Konfrontieren Sie die Schatten-IT und holen Sie sich Ihren Software-Stack zurück
Schatten-IT ist in den modernen Unternehmen von heute zu einem Begriff geworden, der in den Haushalten (oder Büros) verankert ist, aber was viele Unternehmen nicht erkennen, ist die Anzahl der Risiken, die mit dem Ignorieren dieser bösartigen Technologieinstallationen verbunden sind. Laut einer Studie nutzt das durchschnittliche große Unternehmen rund 1,220 einzelne Cloud-Dienste, was mehr als das 13-fache der 91 Dienste ist, die von IT-Abteilungen anerkannt werden. Schatten-IT geht nicht nur direkt gegen IT-Abteilungen, sondern kann auch Sicherheitslücken und unnötige Kosten schaffen. Mitarbeiter engagieren sich in der Regel für Schatten-IT, weil sie glauben, dass dies ihrem Unternehmen und der IT-Abteilung Zeit und Geld sparen wird. In Wirklichkeit umgeht die IT einfach die kritischen Management-, Integrations- und Sicherheits- und Compliance-bezogenen Sicherheitsvorkehrungen, die sie unterstützt.
Stellen Sie sich eine Welt vor, in der die Schatten-IT jeden Zentimeter des Unternehmens durchdrungen hat und die Sicherheit, Rentabilität und Effizienz des gesamten Unternehmens mehr bedroht, als sich jemals jemand hätte vorstellen können. Es ist der Wilde Westen – Schießereien auf den Straßen, Jungfrauen in Not und alt klingende Saloon-Pianos, die im Hintergrund läuten. Betreten Sie Clark, den IT-Manager (und Helden dieser Geschichte), seine Chefin Cynthia, die CIO, und seinen treuen Kumpel Steve, den Systemadministrator. Die drei sitzen schweigend beisammen. Ihre Abteilung hat die Kontrolle verloren und niemand weiß genau, welche Technologien im gesamten Unternehmen eingesetzt werden. Die Konsumerisierung der IT oder der Zyklus von Mitarbeitern, die beliebte Verbrauchermarkttechnologien von zu Hause ins Büro bringen, hat es den Mitarbeitern leicht gemacht, Technologie bereitzustellen, während die IT-Abteilung im Dunkeln gelassen wird.
Dieses Problem ist kein Einzelfall für Clark und sein Team. In einer Sicherheitsumfrage von Intel gaben 23 % der Befragten an, dass ihre Abteilungen die Sicherheit ohne die Hilfe der IT handhaben.
Eines Tages beschloss Clark, die Grenze zu ziehen. Er hatte es satt, von den Launen der Schatten-IT kontrolliert zu werden, und hatte es satt, nicht zu wissen, welche Technologie verwendet wurde, um das Geschäft am Laufen zu halten. Also beschloss er, etwas dagegen zu unternehmen. Er versammelte sein Team, erstellte einen Aktionsplan und stürmte kopfüber in den Kampf gegen Shadow IT.
Als Unternehmen, das stark von der Zustimmung der IT-Abteilung abhängt, wollten wir mehr über Clarks Gedanken zu bösartigen Anwendungen erfahren und ein besseres Verständnis für seinen systematischen Ansatz zur Bekämpfung von Schatten-IT und zum Aufbau einer transparenteren IT-Verwaltungskultur bekommen.
Lifesize
Anbieter von Cloud-Kommunikations- und Collaboration-Software
Clark
Die Verkörperung eines heldenhaften IT-Managers für ein Unternehmen, das Ihrem eigenen nicht unähnlich ist
Wie hast du das Problem gefunden? Was haben Sie getan, um die schlimmsten Übeltäter zu finden?
Es begann mit einem Artikel, den ich las und in dem behauptet wurde, ???Sieben von zehn Führungskräften wissen nicht, wie viele Schatten-IT-Anwendungen in ihrem Unternehmen eingesetzt werden.??? Ich war neugierig zu sehen, ob diese Tatsache in meinem Unternehmen zutrifft. Oft hörte mein Team von all diesen verschiedenen Anwendungen, die Abteilungen im Büro verwendeten, aber niemand kam direkt auf uns zu. Und während einige gutartig waren, waren andere potenziell bösartig ??? und wir konnten es uns nicht leisten, irgendetwas zu riskieren. Wir begannen, genau zu überwachen, ob bei unseren regelmäßigen Scans neue und unbekannte Tools oder Anwendungen auftauchten, was zu einem unternehmensweiten Schwachstellen-Scan führte.
Es gibt Programme, die speziell entwickelt wurden, um neue Anwendungen im Netzwerk zu erkennen. Netzwerk-Sniffer und Security-Scanning-Tools können detaillierte Informationen zu neuen und unbekannten Datenströmen liefern. Natürlich beseitigt die Überwachung die Bedrohung durch Schatten-IT nicht vollständig, aber sie bietet Einblicke. Dieser Scan zeigte uns nicht nur, dass unsere Mitarbeiter Tools verwendeten, die wir nicht kannten, er lieferte uns auch genügend Informationen, um mit Risikobewertungen zu beginnen und im schlimmsten Fall nach alternativen Lösungen zu suchen, die besser zu unseren Anforderungen passten.
Haben Sie Rückschläge erhalten, als Ihre IT-Organisation einige der gewünschten Tools einer Abteilung nicht unterstützen konnte?
Na sicher. Wir unterstützen viele Telearbeiter in unserem Unternehmen, und eine der Herausforderungen, die wir schnell entdeckt haben, ist, dass, wenn Sie keine von der IT genehmigten Möglichkeiten haben, Mitarbeitern das Arbeiten aus der Ferne oder unterwegs zu ermöglichen, sie ihre finden werden eigene Wege dazu. Dann wird es riskant, mit unsicherer Dokumentenübertragung, verlorenen oder gestohlenen Geräten und so weiter. Wir stellten fest, dass wir in mehr Diskussionen einbezogen wurden und besser positioniert waren, um die endgültige Auswahl zu treffen, indem wir unsere Sicherheits- und Netzwerkanforderungen transparent machten und unsere Mitarbeiter ermutigten, sich während der Entdeckungsphase neuer Software an die IT zu wenden. Sie werden überrascht sein, wie glücklich die Menschen sind, Ihre Hilfe bei der Suche und Auswahl von Lösungen zu haben, anstatt um den heißen Brei herumzureden und zu versuchen, es selbst herauszufinden.
Wie haben Sie Ihre Mitarbeiter dazu gebracht, Informationen über ihre Schatten-IT zu melden? Das muss eine Herausforderung gewesen sein.
Es war zunächst. Schatten-IT stellt nur für diejenigen Unternehmen eine uneingeschränkte Gefahr dar, die nicht bereit sind, sich damit zu befassen, also haben wir uns damit befasst. IT-Organisationen neigen dazu, Türen aufzubrechen und denen, die nicht genehmigte Software verwenden, Gefängnisstrafen anzudrohen, und das erschien mir ein wenig hart für meinen Geschmack. Wir entschieden uns für den friedlichen Ansatz und boten den Abteilungen, die Schatten-IT nutzen, einen sicheren Hafen. Anstatt diese Programme sofort zu übernehmen und einzustellen, sind wir einen Schritt zurückgegangen, haben das Risiko ermittelt und bei Bedarf vergleichbare Lösungen angeboten, um das gewünschte Ergebnis der Geschäftseinheiten zu erzielen. Dadurch konnten wir auch einen Dialog über die mit den einzelnen Programmen verbundenen Risiken eröffnen. Diese Übung hat uns wirklich alle auf die gleiche Seite gebracht und Vertrauen und Offenheit zwischen ???uns??? und sie.???
Wie haben Sie die Konsistenz mit dieser Strategie aufrechterhalten? Ihr Schatten-IT-Problem ist jetzt behoben, aber wie stellen Sie sicher, dass es sich nicht wieder in Ihr Unternehmen einschleicht?
Weißt du, viele Leute haben mir diese Frage gestellt, und die Antwort ist ziemlich einfach. Auf Beziehungen kommt es an. Ich habe mit jedem Abteilungsleiter eine Beziehung aufgebaut, mich regelmäßig getroffen, um die Technologiestrategie zu besprechen, und einen offenen Dialog zwischen den Abteilungen und der IT-Organisation geschaffen. Darüber hinaus war es wichtig, dass meine Chefin, Cynthia, die CIO, in engem Kontakt mit dem Rest des e-Personals bezüglich Technologietransparenz und den potenziellen Risiken der Einführung nicht genehmigter Technologien stand.
Welchen Rat haben Sie nach erfolgreicher Bekämpfung der Schatten-IT für IT-Abteilungen, die gerade erst anfangen, sich mit dem Thema in ihren Organisationen auseinanderzusetzen?
Profitieren Sie von einem offenen Dialog mit Ihren Kollegen im gesamten Unternehmen ??? Ihre Kunden. Hören Sie sich ihr Feedback an, erfahren Sie mehr über die Probleme, die sie zu lösen versuchen, und seien Sie bereit, Beiträge zu leisten. Ich hatte einmal eine Anfrage, ein Tool zu überprüfen, das bereits von einer anderen Abteilung in der Organisation genehmigt und bereitgestellt wurde. In diesem Fall war es viel einfacher und viel billiger, unseren Plan anzupassen, um ein paar weitere Lizenzen hinzuzufügen, als einen völlig neuen Vertrag abzuschließen. Der letzte Ratschlag, den ich Ihnen hinterlassen möchte, ist, die Leistungsfähigkeit einer einfachen Benutzeroberfläche nicht zu unterschätzen. Stellen Sie sicher, dass Ihre Sicherheits- und Netzwerkanforderungen mit der Endbenutzerfreundlichkeit der Anwendungen in Einklang gebracht werden. Eines der Dinge, nach denen ich gerne suche, ist eine Lösung, die sich in unser SSO integrieren lässt. Dadurch wird nur die Anzahl der Passwörter reduziert, die Mitarbeiter das ganze Jahr über im Auge behalten und aktualisieren müssen.
Die Kombination schlechter Passwortpraktiken mit Schatten-IT-Anwendungen kann zu erheblichen Sicherheitslücken führen. Sehen Sie sich unseren Blog The Best Defense Against IoT DDoS Attacks an, um Ihr Netzwerk zu schützen.
Über Lifesize
Lifesize ist ein von der IT zugelassenes Kollaborationssystem, da wir mit Blick auf die IT entwickelt wurden, um Sicherheit, Belastbarkeit und Netzwerkzuverlässigkeit zu bieten. Wir verfügen über mehr als ein Jahrzehnt Erfahrung in der Entwicklung von HD-Kameras und Touchscreen-Telefonen, und unsere intuitive Benutzeroberfläche und unser gemeinsames Verzeichnis bieten Benutzern alles, was sie für eine effektivere Zusammenarbeit durch IT-zugelassene Anwendungen benötigen, wodurch die Notwendigkeit zusätzlicher Rogue-Anwendungen entfällt. Lifesize-Kommunikationsströme unterstützen standardmäßig 128-Bit-AES- und TLS-Verschlüsselung (Transport Layer Security) für alle Signalisierungen, und wir arbeiten in einem privaten Glasfasernetzwerk über IBM Cloud. Um das Ganze abzurunden, stehen wir hinter unserem preisgekrönten Service mit einem finanziell abgesicherten Service-Level-Agreement (SLA) mit 24x7x365-Support.
QUELLEN
http://blogs.cisco.com/cloud/shadow-it-rampant-pervasive-and-explosive
http://www.csoonline.com/article/3083775/security/shadow-it-mitigating-security-risks.html
http://www.digitalistmag.com/resource-optimization/2016/02/11/2016-state-of-shadow-it-04005674
