Szara strefa oprogramowania używanego w pracy bez autoryzacji działu IT powiększa się. Skutki mogą być opłakane. Jak walczyć z shadow IT?
Czy masz pełną wiedzę o swojej sieci?
Każde wdrożenie nowego rozwiązania informatycznego do działów biznesowych firmy (np. dedykowanego oprogramowania dla marketingu lub sprzedaży), powinno z zasady odbywać się przy wsparciu wewnętrznej komórki IT. Gdy jednak jej zasoby są ograniczone, a potrzeby biznesu niecierpiące zwłoki, dochodzi do wolnej amerykanki, w efekcie czego powstaje niekontrolowane zjawisko shadow IT, czyli szarej strefy w IT.
Pracownicy sami instalują oprogramowanie na swoich komputerach, a w dobie rozwoju technologii coraz łatwiej jest im także korzystać z usług typu SaaS. W większości przypadków wystarczy jedynie skonfigurować konto online. Wspólnym mianownikiem jest brak kontroli działu IT nad wykorzystywanym softem, co może prowadzić do naruszenia firmowego łańcucha bezpieczeństwa czy też narazić firmę na kary finansowe w związku z brakiem wymaganych licencji.
W artykule autorstwa Rafała Janusa, opublikowanym na stronie magazynu Computerworld czytamy:
Dział IT jest w firmach odpowiedzialny za technologie, nawet za te, o których nie wie. Może się to wydawać nie fair, ale taka jest rzeczywistość. Jeśli dojdzie do włamania lub nie uda się przejść audytu, szefostwo IT zostanie wezwane na dywanik do prezesa, niezależnie od przyczyn. Dlatego wyzwaniem dla firmowego IT jest znalezienie i zabezpieczenie takich aplikacji. W wielu przypadkach szefowie IT niechętnie stosują niezbędne zabezpieczenia, aby uniknąć konfliktu z biznesem, zwłaszcza wtedy, kiedy nie mają wystarczających środków, aby zrealizować wszystkie oczekiwania biznesu. Jednakże ryzyko, jakie stwarza szara strefa IT jest znacznie większe, niż skutki niezadowolenia biznesu z powodu wprowadzenia nowych zabezpieczeń.
Jak więc chronić się przed shadow IT?
Odpowiedzią jest monitorowanie ruchu wychodzącego z firmy, ale nie tylko: obserwować należy także działające w sieci procesy i przeprowadzać audyt zainstalowanego oprogramowania. Z pomocą przychodzi, oprócz rozwiązań sprzętowych typu firewall, także oprogramowanie do zarządzania IT. W przypadku Axence nVision, kluczowe funkcje z perspektywy walki z shadow IT, posiadają modułyInventory oraz Users.
Pierwszy z nich pozwala śledzić zmiany w oprogramowaniu zainstalowanym na wszystkich stacjach roboczych w sieci, co ułatwi podjęcie stosownych kroków w przypadku braku licencji bądź potencjalnego zagrożenia, jakie może stwarzać dana aplikacja. W module Users Administrator może z kolei zablokować dany program do czasu wyjaśnienia przyczyn jego instalacji i znalezienia konsensusu z biznesem. Jeśli już ktoś coś instaluje, to ważna jest wiedza co i po co, a tego użytkownicy często nam nie powiedzą. Moduł ten pozwala także sprawdzić, czy pracownicy korzystają z bezpiecznych usług SaaS, sprawdzając historię przeglądania stron WWW. Dział IT ma również możliwość stworzenia czarnych list aplikacji oraz domen wątpliwego zaufania, do których pracownicy nie będą mieli dostępu.
