Affrontare Shadow IT e riprendersi lo stack di software
Shadow IT è diventato un nome familiare (o ufficio) nelle aziende moderne di oggi, ma ciò che molte organizzazioni non si rendono conto è il numero di rischi coinvolti nell'ignorare quelle installazioni tecnologiche canaglia. Secondo uno studio, la grande impresa media utilizza circa 1,220 singoli servizi cloud, ovvero più di 13 volte i 91 servizi riconosciuti dai dipartimenti IT. Non solo Shadow IT va direttamente contro i dipartimenti IT, ma può anche creare vulnerabilità di sicurezza e costi inutili. I dipendenti in genere utilizzano Shadow IT perché pensano che farà risparmiare tempo e denaro alla loro azienda e al reparto IT. In realtà, aggirare l'IT aggira semplicemente la gestione critica, l'integrazione e le salvaguardie relative alla sicurezza e alla conformità che supportano.
Immagina un mondo in cui Shadow IT ha permeato ogni centimetro dell'azienda e, più di quanto chiunque avrebbe mai potuto immaginare, ha minacciato la sicurezza, la redditività e l'efficienza dell'intera azienda. È il selvaggio West: scontri a fuoco per le strade, damigelle in pericolo e pianoforti saloon dal suono vecchio che risuonano in sottofondo. Entrano in Clark il responsabile IT (ed eroe di questa storia), il suo capo Cynthia il CIO e il suo fidato compagno Steve, l'amministratore di sistema. I tre siedono insieme in silenzio. Il loro dipartimento ha perso il controllo e nessuno sa con certezza quali tecnologie vengono utilizzate nell'organizzazione. La consumerizzazione dell'IT, o il ciclo in cui i dipendenti portano le popolari tecnologie del mercato consumer da casa all'ufficio, ha reso facile per i dipendenti implementare la tecnologia lasciando il reparto IT all'oscuro.
Questo problema non è un problema unico per Clark e il suo team. In un sondaggio Intel Security, il 23% degli intervistati ha affermato che i propri reparti gestiscono la sicurezza senza l'aiuto dell'IT.
Un giorno, Clark ha deciso di tracciare la linea. Era stufo e stanco di essere controllato dai capricci di Shadow IT, stufo e stanco di non sapere quale tecnologia fosse utilizzata per mantenere l'attività in funzione. Così ha deciso di fare qualcosa al riguardo. Ha radunato la sua squadra, ha costruito un piano d'azione e si è lanciato a capofitto nella battaglia contro Shadow IT.
In quanto azienda che dipende in larga misura dall'approvazione del dipartimento IT, volevamo saperne di più sui pensieri di Clark sulle applicazioni canaglia e comprendere meglio il suo approccio sistematico per affrontare lo Shadow IT e costruire una cultura di gestione IT più trasparente.
Lifesize
Fornitore di software di comunicazione e collaborazione cloud
Clark
L'incarnazione di un eroico manager IT per un'azienda non dissimile dalla tua
Come hai trovato il problema? Cosa hai fatto per trovare i peggiori trasgressori?
È iniziato con un articolo che ho letto che affermava, ???Sette dirigenti su 10 non sanno quante applicazioni IT ombra vengono utilizzate all'interno della propria organizzazione.??? Ero curioso di vedere se questo fatto fosse vero nella mia compagnia. Spesso il mio team veniva a conoscenza di tutte queste diverse applicazioni utilizzate dai dipartimenti in ufficio, ma nessuno veniva direttamente da noi a riguardo. E mentre alcuni erano benigni, altri erano potenzialmente dannosi ??? e non potevamo permetterci di rischiare nulla. Abbiamo iniziato a monitorare da vicino per vedere se strumenti o applicazioni nuovi e sconosciuti sono comparsi nelle nostre scansioni regolari, il che ha portato a una scansione delle vulnerabilità a livello aziendale.
Esistono programmi creati appositamente per individuare nuove applicazioni sulla rete. Gli sniffer di rete e gli strumenti di scansione della sicurezza possono fornire informazioni dettagliate su flussi di dati nuovi e sconosciuti. Naturalmente, il monitoraggio non rimuove completamente la minaccia dell'IT ombra, ma fornisce informazioni dettagliate. Questa scansione non solo ci ha mostrato che i nostri dipendenti stavano utilizzando strumenti di cui non eravamo a conoscenza, ma ci ha fornito informazioni sufficienti per avviare valutazioni del rischio e, nei casi peggiori, ricercare soluzioni alternative più in linea con i nostri requisiti.
Hai ricevuto un respingimento quando la tua organizzazione IT non è stata in grado di supportare alcuni degli strumenti desiderati di un dipartimento?
Certo. Supportiamo molti telelavoratori nella nostra azienda e una delle sfide che abbiamo rapidamente scoperto è che se non disponi di metodi approvati dall'IT per consentire ai dipendenti di lavorare da remoto o in movimento, troveranno il loro propri modi per farlo. È allora che le cose si fanno rischiose, con trasmissione di documenti non sicura, dispositivi smarriti o rubati e così via. Abbiamo scoperto che, essendo trasparenti in merito ai nostri requisiti di sicurezza e di rete e incoraggiando i nostri dipendenti a contattare l'IT durante la fase di scoperta del nuovo software, siamo stati coinvolti in più discussioni e in una posizione migliore per effettuare le selezioni finali. Saresti sorpreso di quanto siano felici le persone di avere il tuo aiuto nella ricerca e nella selezione di soluzioni invece di girare intorno al cespuglio e cercare di capirlo da sole.
Come hai fatto in modo che i tuoi dipendenti fornissero informazioni sul loro Shadow IT? Deve essere stato impegnativo.
Lo era all'inizio. Shadow IT rappresenta un pericolo assoluto solo per quelle aziende che non sono disposte ad affrontarlo, quindi l'abbiamo affrontato. La tendenza è che le organizzazioni IT sfondano le porte e minacciano il carcere a coloro che utilizzano software non approvato, e questo è sembrato un po' duro per i miei gusti. Abbiamo deciso di adottare un approccio pacifico, quindi abbiamo offerto un rifugio sicuro a quei dipartimenti che utilizzano Shadow IT. Invece di rilevare immediatamente questi programmi e chiuderli, abbiamo fatto un passo indietro, determinato il rischio e offerto soluzioni comparabili ove necessario per ottenere il risultato che le unità aziendali stavano cercando. Questo ci ha anche permesso di aprire un dialogo sui rischi associati a ciascun programma. Questo esercizio ci ha davvero messi tutti sulla stessa pagina e ha stabilito una fiducia e una sincerità tra ???us??? e loro.???
Come hai mantenuto la coerenza con questa strategia? Il tuo problema di Shadow IT è stato risolto ora, ma come ti assicuri che non si insinui di nuovo nella tua azienda?
Sai, molte persone mi hanno fatto questa domanda e la risposta è abbastanza semplice. Si tratta di relazioni. Ho costruito un rapporto con ogni capo dipartimento, mi sono incontrato regolarmente per discutere la strategia tecnologica e ho creato un dialogo aperto tra i dipartimenti e l'organizzazione IT. Inoltre, era essenziale che il mio capo, Cynthia il CIO, mantenesse stretti contatti con il resto del personale elettronico sulla trasparenza tecnologica e sui potenziali rischi derivanti dall'adozione di tecnologie non approvate.
Avendo combattuto con successo lo Shadow IT, che consiglio hai per i dipartimenti IT che stanno appena iniziando ad affrontare il problema nelle loro organizzazioni?
Approfitta della creazione di un dialogo aperto con i tuoi colleghi in tutta l'azienda ??? i tuoi clienti. Ascolta il loro feedback, scopri di più sui problemi che stanno cercando di risolvere e sii disposto a fornire input. Una volta ho ricevuto una richiesta di revisione di uno strumento che era già stato approvato e distribuito da un altro dipartimento dell'organizzazione. In questo caso, è stato molto più semplice, e molto più economico, adattare il nostro piano per aggiungere qualche licenza in più rispetto a iniziare un contratto completamente nuovo. L'ultimo consiglio che vi lascio è di non sottovalutare la potenza di una semplice interfaccia utente. Assicurati di bilanciare i tuoi requisiti di sicurezza e di rete con l'usabilità finale delle applicazioni. Una delle cose che mi piace cercare è una soluzione che si integri con il nostro SSO. Ciò ridurrà semplicemente il numero di password di cui i dipendenti devono tenere traccia e aggiornare durante tutto l'anno.
La combinazione di pratiche password scadenti con applicazioni IT ombra può creare vulnerabilità di sicurezza significative. Dai un'occhiata al nostro blog, The Best Defense Against IoT DDoS Attacks, per proteggere la tua rete.
A proposito di Lifesize
Lifesize è un sistema di collaborazione approvato dall'IT perché è stato creato pensando all'IT per fornire sicurezza, resilienza e affidabilità della rete. Abbiamo più di un decennio di esperienza nella progettazione di fotocamere HD e telefoni touchscreen alle nostre spalle, e la nostra interfaccia intuitiva e la directory condivisa offrono agli utenti tutto ciò di cui hanno bisogno per collaborare in modo più efficace attraverso applicazioni approvate dall'IT, eliminando la necessità di applicazioni canaglia aggiuntive. Per impostazione predefinita, i flussi di comunicazione Lifesize supportano la crittografia AES e TLS (Transport Layer Security) a 128 bit per tutti i segnali e operiamo su una rete in fibra privata tramite IBM Cloud. Per finire, sosteniamo il nostro pluripremiato servizio con un contratto di servizio (SLA) finanziato con supporto 24x7x365.
FONTI
http://blogs.cisco.com/cloud/shadow-it-rampant-pervasive-and-explosive
http://www.csoonline.com/article/3083775/security/shadow-it-mitigating-security-risks.html
http://www.digitalistmag.com/resource-optimization/2016/02/11/2016-state-of-shadow-it-04005674
