曾經(jīng)負(fù)責(zé)管理或當(dāng)前正在管理IT運(yùn)營的CIO最有可能遇到的情況是，他們或他們團(tuán)隊(duì)成員會(huì)發(fā)現(xiàn)不受其控制的“流氓”系統(tǒng)或應(yīng)用程序。在云計(jì)算技術(shù)成為IT常態(tài)前的幾年中，用戶可能發(fā)現(xiàn)他們需要訪問應(yīng)用程序或其他IT資源，而由于某種原因，他們對(duì)IT的響應(yīng)不滿意。對(duì)于某些用戶，他們可能會(huì)認(rèn)為IT響應(yīng)一直如此，但是對(duì)于其他用戶，這促使他們走出IT部門控制，并構(gòu)建自己的產(chǎn)品。

[[328264]]

這是影子IT的示例，這種影子IT越來越多地涌現(xiàn)，特別是隨著易于訪問的基于云的服務(wù)的出現(xiàn)。影子IT被認(rèn)為是企業(yè)運(yùn)營的主要風(fēng)險(xiǎn)，因此，管理影子IT必須納入現(xiàn)在的總體風(fēng)險(xiǎn)管理活動(dòng)中。

影子IT的影響

考慮到IT的復(fù)雜性，尤其是在互聯(lián)網(wǎng)時(shí)代，了解和有效管理IT資源(內(nèi)部和外部)的能力變得越來越重要。在本文中，我們將探討有關(guān)影子IT的情況，并提供指導(dǎo)以確保CIO可以識(shí)別和減輕流氓活動(dòng)。

大多數(shù)CIO的主要目標(biāo)是平穩(wěn)運(yùn)行IT部門，保持合規(guī)、安全且無風(fēng)險(xiǎn)。在安全問題方面，他們會(huì)關(guān)注任何威脅信息機(jī)密性、完整性和可用性的情況。未經(jīng)批準(zhǔn)安裝系統(tǒng)–無論是在現(xiàn)場還是通過云技術(shù)，都可能導(dǎo)致未經(jīng)授權(quán)訪問內(nèi)部系統(tǒng)。從風(fēng)險(xiǎn)管理的角度來看，影子IT對(duì)CIO及其網(wǎng)絡(luò)安全和運(yùn)營團(tuán)隊(duì)帶來獨(dú)特的挑戰(zhàn)，并應(yīng)該成為他們工作的關(guān)鍵要素。

軟件即服務(wù)(SaaS)、基礎(chǔ)架構(gòu)即服務(wù)(IaaS)和平臺(tái)即服務(wù)(PaaS)等基于云的系統(tǒng)的增加，為影子IT活動(dòng)帶來巨大的機(jī)遇。影子IT用戶能獲取的傳統(tǒng)資源是現(xiàn)成的硬件和軟件應(yīng)用程序，而現(xiàn)在他們能夠獲得更多資源，只要互聯(lián)網(wǎng)連接可用，影子IT用戶就能以最小的難度訪問幾乎任何基于云的資源。

影子IT活動(dòng)帶來的風(fēng)險(xiǎn) 有效監(jiān)控和管理大型多樣化IT基礎(chǔ)架構(gòu)本身就具有挑戰(zhàn)性，因?yàn)樗鼈兙哂懈鞣N固有風(fēng)險(xiǎn)和漏洞。使用影子IT可能會(huì)發(fā)生以下情況：

• 引入漏洞，可能導(dǎo)致數(shù)據(jù)丟失，并危及數(shù)據(jù)管理和數(shù)據(jù)完整性;
• 惡意代碼引入內(nèi)部網(wǎng)絡(luò);
• 未經(jīng)授權(quán)訪問數(shù)據(jù)，可能會(huì)阻礙管理員執(zhí)行其工作;
• 未經(jīng)授權(quán)更改數(shù)據(jù)—原本可以避免;
• 無法及時(shí)修復(fù)應(yīng)用程序，這些應(yīng)用程序可能存在錯(cuò)誤或者其他問題;
• 潛在合規(guī)性問題(特別是對(duì)于受監(jiān)管的組織)，可能會(huì)受到罰款和訴訟;
• 使用未經(jīng)IT部門檢查和驗(yàn)證的系統(tǒng)，對(duì)業(yè)務(wù)帶來潛在負(fù)面影響;
• 招致網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，可能有助于黑客和其他網(wǎng)絡(luò)罪犯的遠(yuǎn)程訪問。

影子IT的好處

企業(yè)用戶使用和管理影子IT系統(tǒng)和技術(shù)的最常見原因是，他們不滿意IT提供的工具，而嘗試獲得和使用更能滿足其獨(dú)特要求的工具。理論上來說，用戶應(yīng)該首先詢問IT部門是否可以幫助滿足用戶的要求。并且，理想情況下，IT部門應(yīng)利用軟件開發(fā)生命周期(SDLC)提供經(jīng)驗(yàn)證的結(jié)構(gòu)，以識(shí)別、開發(fā)和部署合適的選項(xiàng)。這通常需要大量時(shí)間才能完成SDLC中的所有步驟。

無論出于何種原因，用戶會(huì)意識(shí)到IT在提供業(yè)務(wù)產(chǎn)品方面很慢，并決定繞過IT獲取自己的產(chǎn)品，他們只是因?yàn)橄Ｍ故虑榭焖龠M(jìn)展。從積極的方面來看，流氓系統(tǒng)可能會(huì)比IT部門提供的工具為企業(yè)帶來更大的利益，并且企業(yè)甚至可以實(shí)現(xiàn)積極的成果，例如獲得競爭優(yōu)勢。

管理影子IT活動(dòng)

在你管理和控制影子IT部署前，首先由必要對(duì)其進(jìn)行識(shí)別。以下是有效管理影子IT的14個(gè)技巧。

• 定期運(yùn)行網(wǎng)絡(luò)嗅探程序，以檢測不在已知IP地址列表中的IP地址;
• 對(duì)IT基礎(chǔ)架構(gòu)內(nèi)所有資源進(jìn)行整理，同時(shí)，使用網(wǎng)絡(luò)庫存技術(shù)或其他相關(guān)應(yīng)用程序定期對(duì)其進(jìn)行更新;
• 確保CIO高級(jí)領(lǐng)導(dǎo)人員團(tuán)隊(duì)密切關(guān)注潛在的影子安裝;
• 并將此作為員工會(huì)議的定期議程項(xiàng)目;
• 審查網(wǎng)絡(luò)防火墻的活動(dòng)(入站和出站)，以識(shí)別任何可疑流量以進(jìn)行進(jìn)一步分析;
• 審查入侵檢測和入侵防御系統(tǒng)(IDS / IPS)的活動(dòng)，以識(shí)別異常情況以進(jìn)行進(jìn)一步分析; 定期向員工發(fā)送消息，告知可能存在的影子IT活動(dòng)，并向IT管理層報(bào)告任何可疑活動(dòng);
• 向高級(jí)管理層報(bào)告任何可疑的IT活動(dòng)以及正在采取的補(bǔ)救措施-確保他們支持應(yīng)對(duì)影子IT的舉措;
• 與當(dāng)前合作的云服務(wù)提供商聯(lián)系，以告知他們有關(guān)未經(jīng)授權(quán)的IT的任何擔(dān)憂，并詢問他們是否意識(shí)到任何可疑活動(dòng);
• 確定云服務(wù)提供商和其他托管服務(wù)提供商的影子IT分析能力;
• 制定處理影子IT活動(dòng)的政策和協(xié)議，并與人力資源和法律部門進(jìn)行審查;
• 對(duì)被認(rèn)定為從事影子IT活動(dòng)的員工制定處罰措施;
• 與人力資源協(xié)調(diào); 如果存在BYOD(自帶設(shè)備)策略，請(qǐng)考慮對(duì)其進(jìn)行更新以解決影子IT活動(dòng);
• 在進(jìn)行IT審計(jì)前，做好準(zhǔn)備應(yīng)對(duì)審計(jì)員是否存在影子IT活動(dòng)的潛在問題，因?yàn)樗鼈儙頋撛诎踩L(fēng)險(xiǎn)和訪問控制問題;
• 檢查可從云訪問安全代理(CASB)獲得的影子IT檢測工具