«Теневые ИТ»: опасности и последствия для бизнеса

В этой статье исследуем, что такое «теневые ИТ», какие угрозы они несут для бизнеса, и как компании, нуждающиеся в ИТ-услугах, могут защитить себя от их негативного влияния. Для обеспечения безопасности сети необходим контроль всего, происходящего в ней. Это невозможно сделать, если ряд объектов в сети используется без разрешения непосредственного руководства. Системные администраторы не могут их контролировать, документировать, осуществлять мониторинг работы.

Риски для компаний:

• наличие уязвимых мест, которыми могут воспользоваться злоумышленники;
• низкие эффективность и производительность,  использование неподдерживаемых систем снижает  производительность;
• накапливание ошибок, так как не проводится обновление приложений и систем;
• отсутствие аудита службы безопасности;
• не используется общая политика по управлению доступом.
• юридические последствия – штрафы, санкции;
• репутационные потери – утрата  доверия со стороны клиентов партнеров  из-за нарушений в области безопасности данных.

Это может привести к утрате корпоративных данных,  финансовым потерям, компрометации бизнеса.

Причины возникновения «теневых ИТ»

Персонал может прибегать к использованию неразрешённого программного обеспечения с благими намерениями. Для повышения производительности труда, удобства они устанавливают не регламентированные программные продукты, не поставив в известность  системного администратора и службу информационной безопасности. Персонал использует облачную инфраструктуру для взаимодействия с клиентами, хранения данных. 

Зачастую в этом виновато руководство, откладывающее официальную закупку софта, получение доступа, либо установившее сложный механизм оформления заявок для получения доступа к нужным приложениям и программам. Имеет значение недостаток обучения и осведомлённости сотрудников об ИТ-политике компании, нежелание соблюдать официальные процедуры и правила использования ИТ-ресурсов.

Организации Санкт-Петербурга области могут обратиться за помощью в аутсорсинговую компанию BitRaid. Проведём аудит ит инфраструктуры, выявим возможности использования  «теневой ИТ», разработаем методику предотвращения угрозы информационной безопасности. Предложим политику ИБ, основанную на балансе удобства работы и минимизации рисков. Обучим персонал основам ИБ. Принятие соответствующих мер по защите от угроз, связанных с «теневыми ИТ», позволит бизнесу эффективно функционировать и сохранить безопасность в цифровой среде.

Как защититься от «теневых ИТ»

Со сторонним программным обеспечением необходимо бороться. Отдел информационной безопасности (ИБ) должен отслеживать всё, что происходит в сети, чтобы не допустить появления «слепых» зон. 

Меры по защите от «теневых ИТ»:

1. Внедрять технологии для выявления используемых приложений и сервисов.
2. Наладить обратную связь, выяснять у сотрудников, с какими приложениями им удобнее работать и почему.
3. Установить ПО для автоматизации и управления доступом.
4. Разъяснить персоналу реальные проблемы компании в сфере безопасности, объяснить, что не должно быть «слепых» зон.
5. Обучить сотрудников основам безопасного использования ИТ-ресурсов.
6. Снизить число используемых неконтролируемых устройств на территории компании. Это облегчит мониторинг, укрепит безопасность. Можно запретить подключение к корпоративной сети мобильных телефонов, персональных ноутбуков без специального разрешения.

Не экономьте, предложите персоналу лучшие решения из доступных. Эта стратегия позволит избежать затрат в будущем, избавит от проблем с информационной безопасностью. Проведите аудит бизнес-процессов, выясните, какие рутинные задачи можно автоматизировать с помощью макросов, запросов. Предусмотрите обучение основам ИБ вновь принятых работников. Объясните, как понять угрозу кибербезопасности, какие предпринять действия в подозрительных ситуациях.