De confrontatie aangaan met schaduw-IT en uw softwarestack terugnemen
Schaduw-IT is een begrip geworden in de moderne bedrijven van vandaag, maar wat veel organisaties zich niet realiseren, is het aantal risico's dat gepaard gaat met het negeren van die frauduleuze technologie-installaties. Volgens een onderzoek gebruikt de gemiddelde grote onderneming ongeveer 1,220 afzonderlijke cloudservices, wat meer dan 13 keer zoveel is als de 91 services die door IT-afdelingen worden erkend. Schaduw-IT gaat niet alleen rechtstreeks tegen IT-afdelingen in, het kan ook beveiligingsproblemen en onnodige kosten veroorzaken. Werknemers doen meestal aan schaduw-IT omdat ze denken dat het hun bedrijf en de IT-afdeling tijd en geld zal besparen. In werkelijkheid omzeilt IT gewoon de kritieke beheer-, integratie- en beveiligings- en compliancegerelateerde waarborgen die ze ondersteunen.
Stelt u zich een wereld voor waarin schaduw-IT elke centimeter van de onderneming is doorgedrongen en, meer dan iemand zich ooit had kunnen voorstellen, de veiligheid, winstgevendheid en efficiëntie van het hele bedrijf bedreigde. Het is het Wilde Westen - vuurgevechten op straat, jonkvrouwen in nood en oud klinkende salonpiano's op de achtergrond. Hier komen Clark de IT-manager (en held van dit verhaal), zijn baas Cynthia de CIO en zijn trouwe sidekick Steve de systeembeheerder. De drie zitten zwijgend naast elkaar. Hun afdeling heeft de controle verloren en niemand weet zeker welke technologieën in de hele organisatie worden gebruikt. De consumerisering van IT, of de cyclus van werknemers die populaire consumentenmarkttechnologieën van huis naar kantoor brengen, heeft het voor werknemers gemakkelijk gemaakt om technologie te implementeren terwijl de IT-afdeling in het ongewisse blijft.
Dit probleem is geen uniek probleem voor Clark en zijn team. In een Intel Security-enquête zei 23% van de respondenten dat hun afdelingen de beveiliging afhandelen zonder de hulp van IT.
Op een dag besloot Clark de grens te trekken. Hij was het beu om te worden beheerst door de grillen van Shadow IT, beu om niet te weten welke technologie werd gebruikt om het bedrijf draaiende te houden. Dus besloot hij er iets aan te doen. Hij verzamelde zijn team, stelde een actieplan op en stortte zich hals over kop in de strijd tegen Shadow IT.
Als bedrijf dat sterk afhankelijk is van de goedkeuring van de IT-afdeling, wilden we meer te weten komen over Clarks gedachten over malafide applicaties en een beter begrip krijgen van zijn systematische aanpak om schaduw-IT het hoofd te bieden en een transparantere IT-beheercultuur op te bouwen.
Levensgroot
Softwareleverancier voor cloudcommunicatie en samenwerking
Clark
De belichaming van een heldhaftige IT-manager voor een bedrijf dat lijkt op het uwe
Hoe heb je het probleem gevonden? Wat heb je gedaan om de ergste overtreders te vinden?
Het begon met een artikel dat ik las dat beweerde, ???Zeven op de tien leidinggevenden weten niet hoeveel schaduw-IT-applicaties er binnen hun organisatie worden gebruikt.??? Ik was nieuwsgierig om te zien of dat feit waar was in mijn bedrijf. Vaak hoorde mijn team over al die verschillende applicaties die afdelingen op kantoor gebruikten, maar niemand kwam er rechtstreeks naar toe. En hoewel sommige goedaardig waren, waren andere potentieel kwaadaardig ??? en we konden het ons niet veroorloven om iets te riskeren. We begonnen nauwlettend in de gaten te houden of er nieuwe en onbekende tools of applicaties opdoken in onze reguliere scans, wat resulteerde in een bedrijfsbrede kwetsbaarheidsscan.
Er zijn programma's die speciaal zijn gemaakt om nieuwe applicaties op het netwerk te herkennen. Netwerksnuffelaars en beveiligingsscantools kunnen gedetailleerde informatie geven over nieuwe en onbekende datastromen. Natuurlijk neemt monitoring de dreiging van schaduw-IT niet helemaal weg, maar het geeft wel inzicht. Deze scan liet ons niet alleen zien dat onze medewerkers tools gebruikten waarvan we ons niet bewust waren, het gaf ons ook voldoende informatie om risicobeoordelingen te starten en, in het ergste geval, alternatieve oplossingen te onderzoeken die beter aansluiten bij onze vereisten.
Kreeg u een terugslag toen uw IT-organisatie sommige van de gewenste tools van een afdeling niet kon ondersteunen?
Natuurlijk. We ondersteunen veel telewerkers in ons bedrijf, en een van de uitdagingen die we al snel ontdekten, is dat als je geen door IT goedgekeurde manieren hebt om werknemers in staat te stellen op afstand of onderweg te werken, ze hun eigen manieren om dit te doen. Dat is wanneer de dingen riskant worden, met onveilige documentoverdracht, verloren of gestolen apparaten, enzovoort. We ontdekten dat door transparant te zijn over onze beveiligings- en netwerkvereisten en door onze werknemers aan te moedigen contact op te nemen met IT tijdens de ontdekkingsfase van nieuwe software, we werden betrokken bij meer discussies en beter gepositioneerd om de definitieve selecties te maken. Het zou je verbazen hoe blij mensen zijn met jouw hulp bij het zoeken naar en selecteren van oplossingen in plaats van er omheen te draaien en het zelf uit te zoeken.
Hoe heeft u uw medewerkers zover gekregen om informatie over hun schaduw-IT naar voren te brengen? Dat moet uitdagend zijn geweest.
Dat was het eerst. Schaduw-IT vormt alleen een onoverkomelijk gevaar voor die bedrijven die het niet willen aanpakken, dus hebben we het aangepakt. IT-organisaties hebben de neiging om deuren open te breken en te dreigen met gevangenisstraf voor degenen die niet-goedgekeurde software gebruiken, en dat leek me een beetje hard. We besloten om de vreedzame aanpak te volgen, dus we boden een veilige haven voor die afdelingen die schaduw-IT gebruiken. In plaats van deze programma's direct over te nemen en stop te zetten, deden we een stapje terug, bepaalden we het risico en boden we waar nodig vergelijkbare oplossingen om het resultaat te bereiken waar de business units naar op zoek waren. Dat stelde ons ook in staat om de dialoog aan te gaan over de risico's van elk programma. Deze oefening heeft ons echt allemaal op dezelfde golflengte gebracht en een vertrouwen en openhartigheid tussen ons gevestigd. en ???zij.???
Hoe heb je consistentie behouden met deze strategie? Uw schaduw-IT-probleem is nu opgelost, maar hoe zorgt u ervoor dat het niet terugsluipt in uw bedrijf?
Weet je, veel mensen hebben me deze vraag gesteld, en het antwoord is vrij eenvoudig. Het komt neer op relaties. Ik bouwde een band op met elk afdelingshoofd, kwam regelmatig bijeen om de technologiestrategie te bespreken en creëerde een open dialoog tussen de afdelingen en de IT-organisatie. Bovendien was het essentieel dat mijn baas, Cynthia de CIO, nauw contact onderhield met de rest van het e-personeel over technologische transparantie en de potentiële risico's van het toepassen van niet-goedgekeurde technologieën.
Welk advies heeft u, nadat u schaduw-IT met succes hebt bestreden, voor IT-afdelingen die net beginnen met het probleem in hun organisatie?
Profiteer van het creëren van een open dialoog met uw collega's in het hele bedrijf ??? uw klanten. Luister naar hun feedback, leer meer over de problemen die ze proberen op te lossen en wees bereid om input te geven. Ik had eens een verzoek om een tool te reviewen die al was goedgekeurd en ingezet door een andere afdeling in de organisatie. In dit geval was het een stuk eenvoudiger, en een stuk goedkoper, om ons plan aan te passen om nog een paar licenties toe te voegen dan om een heel nieuw contract te starten. Het laatste advies dat ik je wil geven, is dat je de kracht van een eenvoudige gebruikersinterface niet moet onderschatten. Zorg ervoor dat u uw beveiligings- en netwerkvereisten in evenwicht houdt met de uiteindelijke bruikbaarheid van de applicaties. Een van de dingen waar ik graag naar op zoek ben, is een oplossing die integreert met onze SSO. Dat zal het aantal wachtwoorden verminderen dat werknemers het hele jaar door moeten bijhouden en bijwerken.
Het combineren van slechte wachtwoordpraktijken met schaduw-IT-toepassingen kan aanzienlijke beveiligingsproblemen veroorzaken. Bekijk onze blog, De beste verdediging tegen IoT DDoS-aanvallen, om uw netwerk te beschermen.
Over Levensgroot
Lifesize is een door IT goedgekeurd samenwerkingssysteem omdat we zijn gebouwd met IT in het achterhoofd om veiligheid, veerkracht en netwerkbetrouwbaarheid te bieden. We hebben meer dan tien jaar ervaring met het ontwerpen van HD-camera's en touchscreen-telefoons, en onze intuïtieve interface en gedeelde directory geven gebruikers alles wat ze nodig hebben om effectiever samen te werken via door IT goedgekeurde applicaties, waardoor er geen behoefte meer is aan extra malafide applicaties. Levensgrote communicatiestromen ondersteunen standaard 128-bits AES- en TLS-codering (Transport Layer Security) voor alle signalering, en we werken op een particulier glasvezelnetwerk via IBM Cloud. Als klap op de vuurpijl staan we achter onze bekroonde service met een financieel ondersteunde Service Level Agreement (SLA) met 24x7x365 ondersteuning.
BRONNEN
http://blogs.cisco.com/cloud/shadow-it-rampant-pervasive-and-explosive
http://www.csoonline.com/article/3083775/security/shadow-it-mitigating-security-risks.html
http://www.digitalistmag.com/resource-optimization/2016/02/11/2016-state-of-shadow-it-04005674
