目次
シャドー IT を打ち砕いた IT マネージャー

シャドー IT に立ち向かい、ソフトウェア スタックを取り戻す

シャドー IT は、今日の現代のビジネスではよく知られている (またはオフィスホールド) の名前になっていますが、多くの組織が認識していないのは、これらの不正なテクノロジのインストールを無視することに伴うリスクの数です。 ある調査によると、平均的な大企業は約 1,220 の個別のクラウド サービスを使用しています。これは、IT 部門が認識している 13 のサービスの 91 倍以上です。 シャドー IT は IT 部門に直接影響を与えるだけでなく、セキュリティの脆弱性や不要なコストを生み出す可能性もあります。 従業員は通常、シャドー IT を使用することで、会社と IT 部門の時間とお金を節約できると考えています。 実際には、IT を回避することは、IT がサポートする重要な管理、統合、およびセキュリティとコンプライアンス関連の保護を回避するだけです。

シャドー IT が企業の隅々まで浸透し、企業全体のセキュリティ、収益性、効率性を誰もが想像できなかったほど脅かしている世界を想像してみてください。 それは野生の西部です — 路上での銃撃戦、苦しんでいる乙女、バックグラウンドで鳴り響く古い音のサルーン ピアノ。 ITマネージャーのクラーク(そしてこのストーリーのヒーロー)、彼の上司であるCIOのシンシア、そして彼の信頼できる相棒であるシステム管理者のスティーブが登場します。 XNUMX人は黙って一緒に座っています。 彼らの部門はコントロールを失っており、組織全体でどのテクノロジーが使用されているかは誰にもわかりません。 IT のコンシューマライゼーション、つまり従業員が一般的な消費者市場のテクノロジを自宅からオフィスに持ち込むサイクルにより、従業員は IT 部門を知らずにテクノロジを簡単に展開できるようになりました。

この問題は、Clark と彼のチームに固有の問題ではありません。 Intel Security の調査では、回答者の 23% が、自分の部門が IT の助けなしにセキュリティを処理していると述べています。

ある日、クラークは一線を引くことにしました。 彼は、シャドー IT の気まぐれに支配されることにうんざりしていました。また、ビジネスを継続するためにどのようなテクノロジが使用されているかを知らないことにうんざりしていました。 それで彼はそれについて何かをすることにしました。 彼はチームを結集し、行動計画を立て、Shadow IT との戦いに真っ向から突撃しました。

IT 部門の承認に大きく依存している企業として、不正なアプリケーションに関するクラークの考えを詳しく知り、シャドー IT に立ち向かい、より透明性の高い IT 管理文化を構築するための彼の体系的なアプローチをよりよく理解したいと思いました。



等身大アイコン

等身大
クラウド通信およびコラボレーション ソフトウェア プロバイダー

クラーク アイコン

クラーク
自分の会社と変わらない会社の英雄的な IT マネージャーの具現化

どうやって問題を見つけましたか? 最悪の犯罪者を見つけるために何をしましたか?

それは、私が読んだ記事から始まりました。エグゼクティブの 10 人中 XNUMX 人は、組織内で使用されているシャドー IT アプリケーションの数を把握していません。??? その事実が私の会社に当てはまるかどうか知りたいと思っていました。 多くの場合、私のチームは、各部門がオフィスで使用しているさまざまなアプリケーションについて耳にしますが、それについて直接私たちに連絡する人は誰もいませんでした。 そして、無害なものもあれば、潜在的に悪意のあるものもありました??? そして、私たちは何かを危険にさらす余裕はありませんでした. 私たちは定期的なスキャンで新しい未知のツールやアプリケーションが出現するかどうかを注意深く監視し始め、その結果、企業全体の脆弱性スキャンが行われました。

ネットワーク上の新しいアプリケーションを特定するために特別に作成されたプログラムがあります。 ネットワーク スニファとセキュリティ スキャン ツールは、新しい未知のデータ ストリームに関する詳細な情報を提供できます。 もちろん、監視によってシャドー IT の脅威が完全に取り除かれるわけではありませんが、洞察は得られます。 このスキャンは、従業員が私たちが知らないツールを使用していることを示しただけでなく、リスク評価を開始するのに十分な情報を提供し、最悪の場合には、私たちの要件により適した代替ソリューションを調査しました.

IT 組織が部門の必要なツールの一部をサポートできなかったときに、反発を受けましたか?

もちろん。 当社では多くのテレワーカーをサポートしていますが、すぐに発見された課題の XNUMX つは、従業員がリモートまたは外出先で作業できるようにする IT 承認済みの方法がない場合、従業員は自分の仕事を見つけることになるということです。そのための独自の方法。 それは、セキュリティで保護されていないドキュメントの送信、デバイスの紛失または盗難など、事態が危険にさらされるときです。 セキュリティとネットワークの要件について透明性を確保し、従業員が新しいソフトウェアの発見段階で IT に連絡するよう奨励することで、より多くの議論に参加し、最終的な選択を行うことができるようになりました。 解決策を探したり選択したりするのにあなたの助けがあれば、周りの人は喜んで助けてくれるでしょう。

従業員にシャドー IT に関する情報を提供してもらうにはどうしましたか? それは挑戦的だったに違いありません。

最初はそうでした。 シャドー IT は、それに対処する意思のない企業にとってのみ緩和されない危険を表すため、私たちはそれに対処しました。 IT 組織はドアを壊し、承認されていないソフトウェアを使用している人々に懲役刑を科すと脅迫する傾向があり、それは私の好みには少し厳しいように思えました。 私たちは平和的なアプローチを取ることにしたので、シャドー IT を利用している部門に安全な避難所を提供しました。 これらのプログラムをすぐに引き継いで閉鎖するのではなく、一歩下がってリスクを判断し、ビジネス ユニットが求めている結果を達成するために必要な場合は、同等のソリューションを提供しました。 これにより、各プログラムに関連するリスクについて対話を開始することもできました。 この演習により、本当に私たち全員が同じページにいるようになり、???us???の間に信頼と率直さが確立されました。 と???them.???

この戦略の一貫性をどのように維持しましたか? シャドー IT の問題は現在解決されていますが、それが会社に忍び寄らないようにするにはどうすればよいでしょうか?

ご存知のように、多くの人が私にこの質問をしてきましたが、答えはかなり簡単です。 それは関係に帰着します。 私はすべての部門長と信頼関係を築き、定期的に会って技術戦略について話し合い、部門と IT 組織の間にオープンな対話を作成しました。 さらに、私の上司である CIO の Cynthia が、技術の透明性と、承認されていない技術を採用することの潜在的なリスクについて、他の e-staff と密接に連絡を取り合うことが不可欠でした。

シャドー IT との闘いに成功しましたが、組織内でこの問題に対処し始めたばかりの IT 部門にどのようなアドバイスがありますか?

会社全体で同僚とのオープンな対話を作成することを活用してください??? あなたの顧客。 彼らのフィードバックに耳を傾け、彼らが解決しようとしている問題について詳しく学び、喜んで意見を提供してください。 私はかつて、組織内の別の部門によって既に承認され、展開されているツールのレビューを依頼されました。 この場合、まったく新しい契約を開始するよりも、いくつかのライセンスを追加するように計画を調整する方が、はるかに簡単で安価でした. 最後にお伝えするアドバイスは、シンプルなユーザー インターフェースの力を過小評価しないでくださいということです。 セキュリティとネットワークの要件と、アプリケーションの最終的な使いやすさとのバランスを必ずとってください。 私が探しているものの XNUMX つは、SSO と統合するソリューションです。 これにより、従業員が年間を通じて追跡および更新する必要があるパスワードの数が減ります。

 

不適切なパスワード プラクティスとシャドー IT アプリケーションを組み合わせると、重大なセキュリティの脆弱性が生じる可能性があります。 ネットワークを保護するために、ブログ「IoT DDoS 攻撃に対する最善の防御」をご覧ください。

等身大について

Lifesize は、セキュリティ、回復力、およびネットワークの信頼性を提供するために IT を念頭に置いて構築されているため、IT 承認済みのコラボレーション システムです。 HD カメラとタッチスクリーン電話を設計してきた 128 年以上の経験があり、直感的なインターフェイスと共有ディレクトリにより、ユーザーは IT 承認済みのアプリケーションを介してより効果的にコラボレーションするために必要なすべてを提供し、不正なアプリケーションを追加する必要がなくなります。 Lifesize の通信ストリームは、デフォルトですべてのシグナリングに対して 24 ビットの AES および TLS (Transport Layer Security) 暗号化をサポートし、IBM Cloud を介してプライベート ファイバー ネットワーク上で動作します。 さらに、7 時間 365 日サポートを提供する金銭的に裏付けられたサービス レベル アグリーメント (SLA) により、受賞歴のあるサービスを支えています。

SOURCES
http://blogs.cisco.com/cloud/shadow-it-rampant-pervasive-and-explosive
http://www.csoonline.com/article/3083775/security/shadow-it-mitigating-security-risks.html
http://www.digitalistmag.com/resource-optimization/2016/02/11/2016-state-of-shadow-it-04005674