7 способов оказаться в вы­иг­ры­ше, ис­поль­зуя те­не­вые ИТ

оказаться в вы­иг­ры­ше, ис­поль­зуя те­не­вые ИТ

Direktor informatsionnoj sluzhby - - СОДЕРЖАНИЕ «ДИРЕКТОР ИНФОРМАЦИОННОЙ СЛУЖБЫ» (CIO.R - джОН Эд­вар­дС

те­не­вые ит вполне могут стать по­тен­ци­аль­но по­лез­ны­ми и про­дук­тив­ны­ми. как на­деж­но и без­опас­но удо­вле­тво­рить скры­тые по­треб­но­сти со­труд­ни­ков?

Tе­не­вых ИТ, под ко­то­ры­ми по­ни­ма­ют­ся про­грамм­ное обес­пе­че­ние и сер­ви­сы, ис­поль­зу­е­мые со­труд­ни­ка­ми вти­ха­ря, без по­лу­че­ния от ор­га­ни­за­ции со­от­вет­ству­ю­ще­го раз­ре­ше­ния, пу­гать­ся не сто­ит.

На про­тя­же­нии несколь­ких де­ся­ти­ле­тий ИТру­ко­во­ди­те­ли ис­ка­ли спо­со­бы на­деж­но вы­яв­лять и бло­ки­ро­вать те­не­вые технологии, по­ни­мая, что недоз­во­лен­ные ин­стру­мен­ты несут в се­бе угро­зу без­опас­но­сти и по­рож­да­ют уяз­ви­мо­сти в тех­но­ло­ги­че­ских про­цес­сах.

од­на­ко в по­след­нее вре­мя все боль­ше ста­но­вит­ся ИТ-ли­де­ров, ко­то­рые по-ино­му смот­рят на те­не­вые ИТ. К ним при­хо­дит осо­зна­ние то­го, что изу­че­ние тай­ных прак­тик по­мо­га­ет луч­ше по­нять по­треб­но­сти и пред­по­чте­ния ко­неч­ных поль­зо­ва­те­лей. А это, в свою оче­редь, ве­дет к раз­ра­бот­ке и раз­вер­ты­ва­нию ав­то­ри­зо­ван­но­го про­грамм­но­го обес­пе­че­ния и сер­ви­сов, по­вы­ша­ю­щих про­из­во­ди­тель­ность тру­да и удо­вле­тво­рен­ность со­труд­ни­ков.

1 ПОй­МИ­Те ПРИ­ЧИ­Ны ИС­ПОль­зО­ВА­НИя ТеНеВых ИТ-ИН­СТРУ­МеН­ТОВ

Фак­ти­че­ски лю­бая на­вя­зы­ва­е­мая кор­по­ра­тив­ная си­сте­ма за­мед­ля­ет про­цес­сы или со­зда­ет пре­пят­ствия для круг­ло­су­точ­но­го и по­все­мест­но­го до­сту­па со­труд­ни­ков к необ­хо­ди­мым им ре­сур­сам. Мно­гие со­труд­ни­ки хо­ро­шо под­ко­ва­ны тех­ни­че­ски и охот­но при­ме­ня­ют устрой­ства, про­грамм­ное обес­пе­че­ние и при­ло­же­ния, по­мо­га­ю­щие им вы­пол­нять свою ра­бо­ту быст­рее и луч­ше.

Ле­он Ада­то, воз­глав­ля­ю­щий в ком­па­нии SolarWinds груп­пу По управ­ле­ния ин­фра­струк­ту­рой, под­дер­жи­ва­ет тех со­труд­ни­ков, кто ис­поль­зу­ет од­ну-две те­не­вые ИТ, что­бы по­вы­сить эф­фек­тив­ность и про­дук­тив­ность сво­ей ра­бо­ты. «Ни­кто не пы­та­ет­ся вме­ши­вать­ся в от­ла­жен­ный про­цесс, ес­ли он от­ве­ча­ет по­треб­но­стям кол­лек­ти­ва», – ука­зал он. Но ес­ли эти про­цес­сы за­мед­ля­ют или услож­ня­ют ра­бо­ту, то от­дель­ные со­труд­ни­ки или да­же це­лые ко­ман­ды на­чи­на­ют ис­кать дру­гие пу­ти.

2 ИзУ­ЧИ­Те НА­ПРАВ­ле­НИя ИС­ПОль­зО­ВА­НИя ТеНеВых ИТИНСТРУМеНТОВ

Узнать, за­чем ис­поль­зу­ют­ся те­не­вые ИТ, про­ще все­го пу­тем об­суж­де­ния их цен­но­сти и кон­крет­ных за­дач, ре­ша­е­мых с их по­мо­щью.

«Во мно­гом это на­по­ми­на­ет ме­ро­при­я­тия по оцен­ке но­вых тех­но­ло­гий, про­во­ди­мые на­ши­ми ИТ-под­раз­де­ле­ни­я­ми», – по­яс­нил ру­ко­во­ди­тель на­прав­ле­ния раз­ра­бот­ки об­лач­ной стра­те­гии ком­па­нии Netskope Шон Кор­де­ро.

Яр­ким при­ме­ром теневых ИТ яв­ля­ют­ся тай­но ис­поль­зу­е­мые пуб­лич­ные об­лач­ные сер­ви­сы. За­ча­стую со­труд­ни­ки де­лят­ся сво­и­ми фай­ла­ми, от­кры­ва­ют мно­го­поль­зо­ва­тель­ский до­ступ к до­ку­мен­там или про­сто раз­ме­ща­ют важ­ные фай­лы в хра­ни­ли­щах Dropbox и Google Docs. Несмот­ря на то что эти плат­фор­мы про­сты в осво­е­нии и уже по­лу­чи­ли по­все­мест­ное рас­про­стра­не­ние, они под­вер­га­ют рис­ку важ­ные данные. Корпоративные об­лач­ные плат­фор­мы обес­пе­чи­ва­ют бо­лее на­деж­ную без­опас­ность и кон­троль, вклю­чая шиф­ро­ва­ние фай­лов, бла­го­да­ря ко­то­ро­му до­ступ к ним могут по­лу­чить толь­ко упол­но­мо­чен­ные ли­ца. В круп­ных ор­га­ни­за­ци­ях принято внед­рять свои соб­ствен­ные плат­фор­мы для без­опас­но­го об­ме­на фай­ла­ми или при­ме­нять адап­ти­ро­ван­ные про­дук­ты.

3 Вы­яСНИТе, СО­зДА­юТ лИ Те­Не­Вые ТехНОлОГИИ УГРО­зУ Для без­ОПАС­НО­СТИ

«Пер­вым де­лом нужно вы­явить те­не­вые ИТ, име­ю­щи­е­ся в ор­га­ни­за­ции, – ре­ко­мен­ду­ет ру­ко­во­ди­тель кон­суль­та­ци­он­ных служб ком­па­нии

Grant Thornton Рой Ни­кол­сон. – один из способов – это мо­ни­то­ринг ис­хо­дя­ще­го се­те­во­го тра­фи­ка с уче­том то­го, что зна­чи­тель­ная до­ля теневых ИТ обыч­но вклю­ча­ет По или ин­фра­струк­ту­ру, предо­став­ля­е­мую в ка­че­стве сер­ви­са. Про­ана­ли­зи­ро­вав по­лу­чен­ные ре­зуль­та­ты, мож­но при­сту­пать к оцен­ке без­опас­но­сти».

«Без­опас­ность теневых ИТ сле­ду­ет оце­ни­вать точ­но так же, как и без­опас­ность дру­гих ти­пов про­грамм­но­го обес­пе­че­ния и сер­ви­сов, – со­ве­ту­ет ру­ко­во­ди­тель Juniper Threat Labs Му­нир Ха­бад. – Те­не­вые ИТ не тре­бу­ют ка­ких-то дру­гих про­це­дур оцен­ки. Необ­хо­ди­мо лишь вы­явить все рис­ки, что­бы по­том их мож­но бы­ло от­сле­дить и смяг­чить».

Не­из­вест­ные поль­зо­ва­те­ли и устрой­ства в кор­по­ра­тив­ной се­ти могут по­рож­дать бре­ши в си­сте­ме без­опас­но­сти и уве­ли­чи­вать рис­ки. Эф­фек­тив­ным ме­то­дом об­на­ру­же­ния теневых ИТ яв­ля­ют­ся си­сте­мы кон­тро­ля за до­сту­пом к се­ти, предо­став­ля­ю­щие в ре­аль­ном вре­ме­ни ин­фор­ма­цию о каж­дом человеке, си­сте­ме или устрой­стве, под­клю­чен­ных к кор­по­ра­тив­ной ин­фра­струк­ту­ре. Ин­стру­мен­ты ана­ли­за по­ве­де­ния поль­зо­ва­те­лей и объектов (user and entity behavior analytics, UEBA) по­мо­га­ют об­на­ру­жить скры­тые ки­бе­ру­гро­зы, пре­одо­ле­ва­ю­щие пе­ри­метр за­щи­ты, и предот­вра­щать на­но­си­мый ими ущерб.

4 ОПРеДелИТе ПО­ТеН­цИ­Аль­НУю цеН­НОСТь ТеНеВых ИТ, ИСПОль­зУеМых В КА­Че­СТВе ПРО­Из­ВОД­СТВеН­Ных ИН­СТРУ­МеН­ТОВ

Цен­ность теневых ин­стру­мен­тов про­ще все­го опре­де­лить в хо­де об­суж­де­ния тех­но­ло­гий с поль­зо­ва­те­ля­ми. «Ва­ши со­труд­ни­ки зна­ют, как мож­но сде­лать ком­па­нию бо­лее эф­фек­тив­ной и по­вы­сить про­из­во­ди­тель­ность тру­да, луч­ше, чем лю­бой по­став­щик, тор­го­вый пред­ста­ви­тель и спе­ци­а­лист по без­опас­но­сти или ин­фра­струк­ту­ре, – за­ме­тил неза­ви­си­мый ар­хи­тек­тор си­стем без­опас­но­сти Пи­тер Ван­ль­пе­рен. – от­но­си­тесь к со­труд­ни­кам так же, как вы от­но­си­тесь к кли­ен­там и по­тре­би­те­лям, предо­став­ляй­те им хо­ро­шие ин­стру­мен­ты для ра­бо­ты, и они будут де­мон­стри­ро­вать пре­крас­ные ре­зуль­та­ты без вся­ких теневых тех­но­ло­гий. Ес­ли со­труд­ни­ки ис­поль­зу­ют те­не­вые ин­стру­мен­ты, зна­чит, у них есть на это ве­со­мые при­чи­ны. По­ста­рай­тесь вы­яс­нить, по­че­му поль­зо­ва­те­ли об­ра­ща­ют­ся к те­не­вым тех­но­ло­ги­ям и че­го им не хва­та­ет. Луч­ше все­го про­ве­сти опрос, по­свя­щен­ный по­тен­ци­аль­ным но­вым ин­стру­мен­там, и дать лю­дям воз­мож­ность вы­брать раз­лич­ные ва­ри­ан­ты. Из­бе­гай­те слиш­ком слож­ных ин­стру­мен­тов».

5 РАз­РА­бО­ТАй­Те СОВМеСТНО С ПО­СТАВ­щИ­КА­МИ ТеНеВых ИТ КОРПОРАТИВНые ВеР­СИИ ИН­СТРУ­МеН­ТОВ

Ес­ли ИТ-служ­ба вы­яви­ла се­рьез­ные при­чи­ны для пре­об­ра­зо­ва­ния теневых ИТ в одоб­рен­ный ин­стру­мент для биз­не­са, ор­га­ни­за­ции сле­ду­ет на­чать с их раз­ра­бот­чи­ка­ми пе­ре­го­во­ры. У мно­гих по­став­щи­ков По есть раз­ные вер­сии их про­дук­тов, и они го­то­вы со­труд­ни­чать с ор­га­ни­за­ци­я­ми, что­бы адап­ти­ро­вать свои ин­стру­мен­ты к их нуж­дам.

6 ВНеДРИТе ТехНОлОГИИ С СО­хРА­Не­НИ­еМ ИзНАЧАль­Ных ПРе­ИМУ­щеСТВ ТеНеВых ВеР­СИй

По­сле при­ня­тия ре­ше­ния о воз­мож­но­сти офи­ци­аль­но­го внед­ре­ния ИТ-служ­ба долж­на оза­бо­тить­ся при­ве­де­ни­ем те­не­вой технологии к пол­но­стью при­ем­ле­мо­му и без­опас­но­му со­сто­я­нию. «Убе­ди­тесь в том, что ба­зо­вые сце­на­рии ис­поль­зо­ва­ния вы­пол­ня­ют­ся, – за­ме­тил Ван­ль­пе­рен. – Ес­ли же­ла­е­мый ин­стру­мент не ра­бо­та­ет долж­ным об­ра­зом, то ко­ли­че­ство теневых ИТ уве­ли­чит­ся».

Ско­рей­ший спо­соб взять те­не­вой ин­стру­мент под кон­троль ИТ-служ­бы, обес­пе­чить без­опас­ность, со­хра­нив при этом его пер­во­на­чаль­ную по­лез­ность, за­клю­ча­ет­ся в ор­га­ни­за­ции пе­ре­го­во­ров с по­став­щи­ком. Необ­хо­ди­мо разъ­яс­нить ему спе­ци­фи­че­ские по­треб­но­сти ор­га­ни­за­ции, а за­тем, про­ве­дя те­сты и экс­пе­ри­мен­таль­ное раз­вер­ты­ва­ние, про­ве­рить, вы­пол­нил ли по­став­щик свои обе­ща­ния. Важ­но по­ни­мать так­же, что су­ще­ству­ют те­не­вые

ИТ, для ко­то­рых ни­ко­гда не будут вы­пу­ще­ны корпоративные вер­сии.

7 бУДь­Те бДИТель­Ны

ИТ-служ­ба долж­на вни­ма­тель­но сле­дить за но­вы­ми те­не­вы­ми тех­но­ло­ги­я­ми, ко­то­рые пус­ка­ют­ся в ход, как толь­ко со­труд­ни­ки при­но­сят с со­бой со­от­вет­ству­ю­щие ин­стру­мен­ты. С дру­гой сто­ро­ны, ор­га­ни­за­ция, вы­явив­шая ряд успеш­но внед­рен­ных теневых ИТ, долж­на по­ни­мать, что воз­мож­но­стей ее ИТ-служ­бы в ча­сти быст­ро­го и эф­фек­тив­но­го раз­вер­ты­ва­ния на­деж­ных ре­ше­ний яв­но недо­ста­точ­но.

И на­ко­нец, ИТ-служ­бе не сле­ду­ет одоб­рять со­мни­тель­ные те­не­вые ин­стру­мен­ты толь­ко по­то­му, что они от­ве­ча­ют по­треб­но­стям ра­бот­ни­ка. В слу­чае воз­ник­но­ве­ния бре­ши в си­сте­ме без­опас­но­сти и до­ста­точ­но дол­го­го про­стоя от­вет­ствен­ность за ин­ци­дент ля­жет на ИТ­ди­рек­то­ра или тех­ни­че­ско­го ди­рек­то­ра. ИТ-служ­ба долж­на обес­пе­чить со­от­вет­ствие исполь­зуемых теневых ИТ кор­по­ра­тив­ным стан­дар­там.

Newspapers in Russian

Newspapers from Russia

© PressReader. All rights reserved.