«Теневые ИТ»: опасности и последствия для бизнеса
В этой статье исследуем, что такое «теневые ИТ», какие угрозы они несут для бизнеса, и как компании, нуждающиеся в ИТ-услугах, могут защитить себя от их негативного влияния. Для обеспечения безопасности сети необходим контроль всего, происходящего в ней. Это невозможно сделать, если ряд объектов в сети используется без разрешения непосредственного руководства. Системные администраторы не могут их контролировать, документировать, осуществлять мониторинг работы.
Что такое «теневые ИТ»
В современном мире многие компании сталкиваются с явлением «теневых ИТ» – использованием ИТ-ресурсов без контроля и поддержки официальных отделов информационных технологий. Термин «теневые ИТ» применяют для характеристики инфраструктур в организации, работающих без ведома ИТ-отдела. Это создаёт проблемы в организации безопасности, увеличивает риск утечки данных, проникновения вирусов, промышленного шпионажа.
Риски для компаний:
- наличие уязвимых мест, которыми могут воспользоваться злоумышленники;
- низкие эффективность и производительность, использование неподдерживаемых систем снижает производительность;
- накапливание ошибок, так как не проводится обновление приложений и систем;
- отсутствие аудита службы безопасности;
- не используется общая политика по управлению доступом.
- юридические последствия – штрафы, санкции;
- репутационные потери – утрата доверия со стороны клиентов партнеров из-за нарушений в области безопасности данных.
Это может привести к утрате корпоративных данных, финансовым потерям, компрометации бизнеса.
Причины возникновения «теневых ИТ»
Персонал может прибегать к использованию неразрешённого программного обеспечения с благими намерениями. Для повышения производительности труда, удобства они устанавливают не регламентированные программные продукты, не поставив в известность системного администратора и службу информационной безопасности. Персонал использует облачную инфраструктуру для взаимодействия с клиентами, хранения данных.
Зачастую в этом виновато руководство, откладывающее официальную закупку софта, получение доступа, либо установившее сложный механизм оформления заявок для получения доступа к нужным приложениям и программам. Имеет значение недостаток обучения и осведомлённости сотрудников об ИТ-политике компании, нежелание соблюдать официальные процедуры и правила использования ИТ-ресурсов.
Организации Санкт-Петербурга области могут обратиться за помощью в аутсорсинговую компанию BitRaid. Проведём аудит ит инфраструктуры, выявим возможности использования «теневой ИТ», разработаем методику предотвращения угрозы информационной безопасности. Предложим политику ИБ, основанную на балансе удобства работы и минимизации рисков. Обучим персонал основам ИБ. Принятие соответствующих мер по защите от угроз, связанных с «теневыми ИТ», позволит бизнесу эффективно функционировать и сохранить безопасность в цифровой среде.
Как защититься от «теневых ИТ»
Со сторонним программным обеспечением необходимо бороться. Отдел информационной безопасности (ИБ) должен отслеживать всё, что происходит в сети, чтобы не допустить появления «слепых» зон.
Меры по защите от «теневых ИТ»:
- Внедрять технологии для выявления используемых приложений и сервисов.
- Наладить обратную связь, выяснять у сотрудников, с какими приложениями им удобнее работать и почему.
- Установить ПО для автоматизации и управления доступом.
- Разъяснить персоналу реальные проблемы компании в сфере безопасности, объяснить, что не должно быть «слепых» зон.
- Обучить сотрудников основам безопасного использования ИТ-ресурсов.
- Снизить число используемых неконтролируемых устройств на территории компании. Это облегчит мониторинг, укрепит безопасность. Можно запретить подключение к корпоративной сети мобильных телефонов, персональных ноутбуков без специального разрешения.
Не экономьте, предложите персоналу лучшие решения из доступных. Эта стратегия позволит избежать затрат в будущем, избавит от проблем с информационной безопасностью. Проведите аудит бизнес-процессов, выясните, какие рутинные задачи можно автоматизировать с помощью макросов, запросов. Предусмотрите обучение основам ИБ вновь принятых работников. Объясните, как понять угрозу кибербезопасности, какие предпринять действия в подозрительных ситуациях.