18.12.2013

«Теневые ИТ» используются повсеместно

Источник: Network World, США
Когда приложения в виде сервиса несанкционированно используются в обход ИТ-департамента, сисадмины начинают жаловаться на проблему «теневых ИТ». Но, похоже, что и сами ИТ-специалисты нередко работают «в тени», если судить по результатам опроса The Hidden Truth behind Shadow IT, проведенного компаниями Frost & Sullivan и McAfee. В ходе анкетирования 300 ИТ-специалистов и 300 работников других специальностей ответили на вопрос, пользуются ли они на работе онлайн-сервисами без официального разрешения. Положительный ответ дали 80%; только 19% сотрудников бизнес-подразделений и 17% сотрудников ИТ-департаментов заявили о своей «невиновности».

Проблема «теневых ИТ» стала более актуальной с расширением применения облачных приложений, которыми можно легко и недорого воспользоваться так, что в ИТ-департаменте об этом не узнают, — в обход процесса проверки SaaS на соответствие корпоративным политикам безопасности.

«В ИТ-департаментах лишь опускают руки, жалуясь, что не имеют возможности воспрепятствовать этому», — отмечает Дженнифер Гейслер, старший директор подразделения McAfee по сетевой безопасности.

Что касается самих ИТ-специалистов, 42% из них признались, что прибегают к «теневым» сервисам, так как они им «знакомы» и «привычны». Треть, как и бизнес-менеджеры, пожаловались, что процесс получения разрешения на внедрение новых приложений слишком медленный или сложный. Четверть заявили, что неодобренное ПО лучше отвечает их потребностям, чем аналог, утвержденный ИТ-департаментом.

В число предпочитаемых респондентами видов неодобренных приложений SaaS вошли офисные пакеты, социальные сети, файлообменные сервисы, а также сервисы хранения и резервного копирования. Среди самых популярных из числа несанкционированных — Microsoft Office 365, Google Apps, LinkedIn, Facebook, Dropbox и Apple iCloud. Многие признались, что планируют увеличить объем несанкционированного использования онлайн-сервисов, в том числе для таких задач, как хранение данных ERP, а также документов бухгалтерских и юридических служб.

В докладе, подготовленном по результатам опроса, отмечается, что служащие прекрасно осознают риски и свою ответственность за нарушения.

Почти половина беспокоятся в связи с опасностью раскрытия и хищения данных либо боятся лишиться возможности получить информацию из облачного приложения. Среди опрошенных 22% признали, что уже имели дело с каким-либо инцидентом безопасности, связанным с социальными сетями, а 16% сообщили о таких инцидентах в связи с сервисами обмена файлами, резервного копирования или хранения.

«Но несмотря на подобные инциденты и осознание рисков, больше 80%, похоже, считают оправданным продолжать пользоваться несанкционированными сервисами без соблюдения политик безопасности», — говорится в докладе.

Что же делать с «теневыми ИТ», если учесть, что к возникновению проблемы наряду с остальными причастны сами же сотрудники ИТ-отделов?

По мнению Гейслер, первый шаг — ужесточить контроль за исполнением политик безопасности и соблюдением нормативных актов при использовании SaaS; директору по информационной безопасности стоит сделать решение этой задачи приоритетом. Можно также воспользоваться техническими средствами мониторинга применения SaaS, но пытаться полностью заблокировать приложения в виде сервиса вряд ли целесообразно. Онлайн-сервисы помогают людям творчески подходить к выполнению своих рабочих задач, особенно молодым сотрудникам, полагают авторы доклада. Но руководители, ответственные за безопасность ИТ, должны внедрить для SaaS надежные средства управления паролями, идентификацией и доступом, а также шифрования и предотвращения потери данных. Поскольку ИТ-специалисты признаются, что сами являются источником проблемы «теневых ИТ», они уже не могут перекладывать вину на остальных, полагает Гейслер.

Комментарии

  • Facebook
  • Вконтакте