در اعماق زیرساخت IT همه سازمانها یک نیروی خطرناک نهفته است که همچون ویروس، گسترش یافته و به تمامی بخشهای کسب و کاری آنها نفوذ می کند. شاید این پدیده که از آن با عنوان «سایه IT» یاد می شود، در ظاهر عاری از هرگونه خطر یا آسیب به نظر برسد اما با گسترش و شیوع هر چه بیشتر آن ماهیت خطرناک بودنش بیش از پیش نمایان میشود.
این موضوع می تواند با ایجاد ریشههای عمیق در محیط IT سازمان، سیستم دفاعی آن را تضعیف کرده و آسیبپذیریهای جدید و بی سابقهای را ایجاد کند. با این حال، بدترین قسمت برای ایجاد این آلودگی مضر اینجا است که عامل شیوع آن، خود افراد فعال در سازمان هستند. در واقع این افراد امکان رشد این ریشهها را فراهم کرده و بدون این که از خطری که متوجه آن و سازمان شان است اطلاعی داشته باشند، دایماً بر شدت آن می افزایند.
هر چند این توصیفها کمی نمایشی و دراماتیک به نظر میرسد ولی با این حال، سایه IT خطری انکارناپذیر برای کسب و کار شما محسوب میشود. بر اساس پیش بینی مؤسسه گارتنر، از هر سه رخنه امنیتی که در سال 2020 میلادی رخ داده است، یک مورد از آنها به پدیده سایه IT مربوط میشود. همچنین طبق مطالعات انجام شده، مدیران ارشد فناوری اطلاعات تعداد نرمافزارهای سایهای که در شبکه آنها در حال اجرا است را به اندازه 14 برابر مقدار واقعی دستکم میگیرند. به عنوان مثال فرض کنید یک مدیر ارشد فناوری اطلاعات تصور می کند که 51 سرویس ابری در سازمانش در حال اجرا می باشد، در حالی که این رقم در واقعیت 730 عدد است.
این آمار و ارقام نشان میدهد که بسیاری از مشاغل هنوز هم درک درستی از سایه IT ندارند. با وجود سابقه طولانی این پدیده، بسیاری از کسب و کارها تا وقتی دچار مشکلی نشوند با آن مقابله نمیکنند.
سایه IT چیست؟
سایه IT شامل نرمافزار یا سختافزارهایی است که کارمندان، بدون اطلاع یا تأیید تیم فناوری اطلاعات از آنها استفاده میکنند. این پدیده در شکل ها و فرمهای مختلف می تواند وجود داشته باشد. چند نمونه از آنها عبارتند از:
- اشتراک گذاری فایلها از طریق یک سرویس ذخیره ابر مثل وان درایو، دراپ باکس یا گوگل درایو بین کارمندان، تأمین کنندگان و مشتریان
- استفاده از یک راهکار مدیریت ارتباط با مشتریان توسط یکی از اعضای تیم فروش
- برگزاری کنفرانس توسط مدیر فروش با مشتریان از طریق حساب کاربری اسکایپ شخصی
- استفاده کارمند از ابزارهای آنلاین شغل قبلیاش به جای نرمافزار ارایه شده توسط کارفرمای فعلی
در تمام این موارد چون این سیستمها خارج از حیطه کنترل بخش IT قرار دارند بنابراین سطح حمله و متعاقباً احتمال افشای دادههای حساس افزایش مییابد. سایه IT مبتنی بر این ایده است که «اگر قادر به مشاهده چیزی نیستید، پس کنترلی هم بر آن ندارید». بنابراین این موضوع می تواند چالش های امنیتی و مخاطراتی را ایجاد کند که تیم IT قادر به مقابله با آنها نیست.
البته سایه IT مزایایی هم برای یک کسب و کار می تواند داشته باشد. اگر کار کردن با این ابزارها برای یک کارمند آسانتر باشد، او با بهره وری بیشتری کار خواهد کرد. البته استفاده بیش از حد از این ابزارها میتواند منجر به ایجاد حفرههای امنیتی شده و کسب و کار سازمانها را در معرض مخاطرات جدی قرار دهد.
دلیل شکل گیری سایه IT
رونق و شکوفایی برنامههای کاربردی و فناوریهای مبتنی بر ابر منجر به شکل گیری سایه IT میشود. رشد انفجاری این برنامههای کاربردی به کارمندان این امکان را می دهد تا از طریق رابطهای کاربری تحت وب، به راهکارهای IT دسترسی داشته باشند. با وجود چنین تنوعی کارمندان میتوانند بدون کمترین نظارت و دخالتی از سمت بخش IT، از مجموعه ابزارهای مورد نظرشان به صورت کامل استفاده کنند. در حالی که در گذشته بسیاری از موارد این چنینی برای کسب مجوز، با موانع مطرح شده از سوی بخش IT روبرو میشدند. هر چند وجود این موانع عمدی نبودند اما تأخیر ایجاد شده باعث میشد تا کاربران حرفهای نتوانند به سرعت به راهکارهای مورد نیازشان دسترسی پیدا کنند.
به بیان دیگر، از آنجا که فناوری باید در اسرع وقت در اختیار همه افراد قرار بگیرد بنابراین نیاز به تغییر، بسیار بیشتر و سریعتر از چیزی بوده است که منابع و حتی اطلاعات بخش IT امکان دستیابی به آن را فراهم کنند. با این وجود، بخش IT به تنهایی مقصر تمامی این مشکلات نیست. یکی دیگر از عوامل بروز این مشکل که بخشهای زیادی درگیر آن هستند و بسیار گسترده نیز است، عدم هماهنگی IT با کسبوکارها است. نداشتن کنترل بر وضعیت IT باعث شده که شناسایی عامل ایجاد سایه IT غیرممکن باشد. بنابراین دلیل شکل گیری این پدیده برای هر کسبوکاری متفاوت است.
نحوه مدیریت سایه IT
شاید این گونه به نظر برسد که تعریف فهرست برنامههای مجاز و ممنوع کردن نصب برنامههای خارج آن به راحتی انجام میشود اما در واقع چنین نیست. علاوه بر اینکه این روش باعث آزار و ناراحتی کارمندان و ایجاد اختلال در جریان کار آنها میشود، به احتمال زیاد نیز کارمندان راهی برای فیلتر این محدودیتها پیدا کرده و بر تیم IT فشار میآورند تا نرمافزارهای خاصی را به لیست سفید اضافه کند. بنابراین علاوه بر بی اثر شدن اقدامات صورت گرفته، ممکن است حتی پیامدهایی منفی ایجاد شود. به همین دلیل کسبوکارها باید با پیاده سازی کنترلهای خط مشی و کنترل فنی، با عوامل ریشهای سایه IT مقابله کنند.
سازمانها برای پیادهسازی اقدامات لازم باید هفت گام زیر را دنبال کنند:
1. نظارت بر رویدادهای در جریان
اولین گام، استفاده از راهکارهای کنترل و نظارت درون سازمانی برای مدیریت وقایع است. همچنین اگر برخلاف توصیهها، کاربران اجازه نصب برنامه کاربردی روی وسایل خودشان را داشته باشند، پس باید لپتاپ و رایانههای آنها نیز بررسی شود.
2. ارزیابی و اولویت بندی مخاطرات
پس از بررسی گزارشها باید مشخص شود که کدام عناصر سایه IT از جمله به اشتراک گذاشتن اطلاعات حساس بین کارمندان، دسترسی به وب تاریک از طریق مرورگرهای Tor و غیره، بیشترین میزان خطر را ایجاد می کنند. ممکن است مدیران امنیت در هنگام این بررسیها متوجه نقض استانداردهای قانونی مثل ذخیره فایلها در مکان های غیرمجاز شوند که از آنها مطلع نیستند.
3. محدودیت دسترسی
مدیران سازمانها باید در اسرع وقت همه سرویسها و برنامههای کاربردی خطرناک را غیرفعال کنند. اگر برنامه یا اقدامی غیرقانونی بوده یا منجر به نقض سیاستهای سازمان آنها میشود باید آن را مسدود کرده و کارهای لازم را در سطح مدیریت یا منابع انسانی انجام دهند.
4. فرصت دادن به کاربران
پس از آن که مسئولان امنیتی با مخاطرات فوری مقابله کرده و از آن چه در جریان است باخبر شدند باید به همه افراد فعال در سازمان توضیحات لازم را بدهند که چرا بعضی از برنامههای کاربردی مجاز نیستند. سپس به آنها فرصت دهند تا استفاده از برنامههای کاربردی سایهای را متوقف کنند. پس از گذشت این فرصت، همه برنامههای غیرمجاز باید مسدود شوند.
5. مدیریت روابط
همچنان که سازمانها در حال انجام این فرایند هستند، مسئولان امنیتی باید به برقراری روابط با هیأت مدیره و بخش فناوری اطلاعات توجه داشته باشند. معمولاً کاربران از سایه IT برای انجام وظایف شغلی خودشان به شیوهای مطلوب استفاده میکنند. بنابراین ابتدا مسئولان باید سعی کنند دلیل استفاده از آن و همچنین این که چگونه و از چه راهی میتوانند نیاز کارمندان را رفع کنند مشخص نمایند. حتی شاید آنها متوجه شوند تعدادی از این برنامههای کاربردی سایهای میتوانند برای بخشهای دیگری از کسب و کارشان مفید باشند. همچنین برای جلوگیری از متضرر شدن سازمان باید مراقب باشند که خصومتی با بخش IT ایجاد نشود.
6. تعریف خط مشیها
بعید است کارمندان معمولی از مخاطرات سایه IT و این که چرا نباید از آن استفاده کنند، مطلع باشند. به همین خاطر پیادهسازی خط مشیهایی واضح با آموزشها و یادآوریهای منظم، به کاهش این مخاطرات کمک میکند.
7. مدیریت مستمر
مسئولان همواره باید بر آن چه در محیط کسبوکارشان میگذرد نظارت داشته باشند. گاهی وقت ها کاربران آموزشها را فراموش میکنند و نیاز به یادآوری دارند. از آنجا که فناوریهای کمک رسان و مفید همیشه در اختیار سازمان است بنابراین بهانهای برای عدم نظارت بر کارمندان و جلوگیری از انجام کارهای مضر توسط آنها وجود ندارد.
منبع: quostar