نحوه کنترل سایه فناوری اطلاعات

در اعماق زیرساخت IT همه سازمان­‌ها یک نیروی خطرناک نهفته است که همچون ویروس، گسترش یافته و به تمامی بخش‌های کسب و کاری آنها نفوذ می­ کند. شاید این پدیده که از آن با عنوان «سایه IT» یاد می شود، در ظاهر عاری از هرگونه خطر یا آسیب به نظر برسد اما با گسترش و شیوع هر چه بیشتر آن ماهیت خطرناک بودنش بیش از پیش نمایان می‌شود.

این موضوع می تواند با ایجاد ریشه‌های عمیق در محیط IT سازمان، سیستم دفاعی آن را تضعیف کرده و آسیب‌پذیری‌های جدید و بی سابقه‌ای را ایجاد کند. با این حال، بدترین قسمت برای ایجاد این آلودگی مضر اینجا است که عامل شیوع آن، خود افراد فعال در سازمان هستند. در واقع این افراد امکان رشد این ریشه‌ها را فراهم کرده و بدون این که از خطری که متوجه آن و سازمان شان است اطلاعی داشته باشند، دایماً بر شدت آن می افزایند.

هر چند این توصیف‌ها کمی نمایشی و دراماتیک به نظر می‌رسد ولی با این حال، سایه IT خطری انکارناپذیر برای کسب و کار شما محسوب می‌شود. بر اساس پیش ­بینی مؤسسه گارتنر، از هر سه رخنه امنیتی که در سال 2020 میلادی رخ داده است، یک مورد از آنها به پدیده سایه IT مربوط می­‌شود. همچنین طبق مطالعات انجام شده، مدیران ارشد فناوری اطلاعات تعداد نرم‌افزارهای سایه‌ای که در شبکه آنها در حال اجرا است را به اندازه 14 برابر مقدار واقعی دستکم می‌گیرند. به عنوان مثال فرض کنید یک مدیر ارشد فناوری اطلاعات تصور می­ کند که 51 سرویس ابری در سازمانش در حال اجرا می باشد، در حالی که این رقم در واقعیت 730 عدد است.

این آمار و ارقام نشان می‌دهد که بسیاری از مشاغل هنوز هم درک درستی از سایه IT ندارند. با وجود سابقه طولانی این پدیده، بسیاری از کسب و کارها تا وقتی دچار مشکلی نشوند با آن مقابله نمی‌کنند.

سایه IT چیست؟

سایه IT شامل نرم‌افزار یا سخت‌افزارهایی است که کارمندان، بدون اطلاع یا تأیید تیم فناوری اطلاعات از آنها استفاده می‌کنند. این پدیده در شکل ها و فرم‌های مختلف می ­تواند وجود داشته باشد. چند نمونه از آنها عبارتند از:

در تمام این موارد چون این سیستم‌ها خارج از حیطه کنترل بخش IT قرار دارند بنابراین سطح حمله و متعاقباً احتمال افشای داده‌های حساس افزایش می‌­یابد. سایه IT مبتنی بر این ایده است که «اگر قادر به مشاهده چیزی نیستید، پس کنترلی هم بر آن ندارید». بنابراین این موضوع می تواند چالش های امنیتی و مخاطراتی را ایجاد کند که تیم IT قادر به مقابله با آنها نیست.

البته سایه IT مزایایی هم برای یک کسب و کار می ­تواند داشته باشد. اگر کار کردن با این ابزارها برای یک کارمند آسان‌تر باشد، او با بهره وری بیشتری کار خواهد کرد. البته استفاده بیش از حد از این ابزارها می‌تواند منجر به ایجاد حفره‌های امنیتی شده و کسب و کار سازمان‌ها را در معرض مخاطرات جدی قرار دهد.

دلیل شکل گیری سایه IT

رونق و شکوفایی برنامه‌های کاربردی و فناوری‌های مبتنی بر ابر منجر به شکل گیری سایه IT می‌شود. رشد انفجاری این برنامه‌های کاربردی به کارمندان این امکان را می ­دهد تا از طریق رابط‌های کاربری تحت وب، به راهکارهای IT دسترسی داشته باشند. با وجود چنین تنوعی کارمندان می‌توانند بدون کمترین نظارت و دخالتی از سمت بخش IT، از مجموعه ابزارهای مورد نظرشان به صورت کامل استفاده کنند. در حالی که در گذشته بسیاری از موارد این چنینی برای کسب مجوز، با موانع مطرح شده از سوی بخش IT روبرو می‌شدند. هر چند وجود این موانع عمدی نبودند اما تأخیر ایجاد شده باعث می‌شد تا کاربران حرفه‌ای نتوانند به سرعت به راهکارهای مورد نیازشان دسترسی پیدا کنند.

به بیان دیگر، از آنجا که فناوری باید در اسرع وقت در اختیار همه افراد قرار بگیرد بنابراین نیاز به تغییر، بسیار بیشتر و سریع‌تر از چیزی بوده است که منابع و حتی اطلاعات بخش IT امکان دستیابی به آن را فراهم کنند. با این وجود، بخش IT به تنهایی مقصر تمامی این مشکلات نیست. یکی دیگر از عوامل بروز این مشکل که بخش‌­های زیادی درگیر آن هستند و بسیار گسترده نیز است، عدم هماهنگی IT با کسب­‌وکارها است. نداشتن کنترل بر وضعیت IT باعث شده که شناسایی عامل ایجاد سایه IT غیرممکن باشد. بنابراین دلیل شکل گیری این پدیده برای هر کسب‌و‌کاری متفاوت است.

نحوه مدیریت سایه IT

شاید این گونه به نظر برسد که تعریف فهرست برنامه‌های مجاز و ممنوع کردن نصب برنامه‌های خارج آن به راحتی انجام می‌شود اما در واقع چنین نیست. علاوه بر اینکه این روش باعث آزار و ناراحتی کارمندان و ایجاد اختلال در جریان کار آنها می‌شود، به احتمال زیاد نیز کارمندان راهی برای فیلتر این محدودیت‌ها پیدا کرده و بر تیم IT فشار می‌آورند تا نرم‌افزارهای خاصی را به لیست سفید اضافه کند. بنابراین علاوه بر بی اثر شدن اقدامات صورت گرفته، ممکن است حتی پیامدهایی منفی ایجاد شود. به همین دلیل کسب‌و‌کارها باید با پیاده سازی کنترل‌های خط مشی و کنترل فنی، با عوامل ریشه‌ای سایه IT مقابله کنند.

سازمان­‌ها برای پیاده‌­سازی اقدامات لازم باید هفت گام زیر را دنبال کنند:

1. نظارت بر رویدادهای در جریان

اولین گام، استفاده از راهکارهای کنترل و نظارت درون سازمانی برای مدیریت وقایع است. همچنین اگر برخلاف توصیه‌­ها، کاربران اجازه نصب برنامه کاربردی روی وسایل خودشان را داشته باشند، پس باید لپ‌تاپ و رایانه‌های آنها نیز بررسی شود.

2. ارزیابی و اولویت بندی مخاطرات‌

پس از بررسی گزارش‌­ها باید مشخص شود که کدام عناصر سایه IT از جمله به اشتراک گذاشتن اطلاعات حساس بین کارمندان، دسترسی به ‌وب تاریک از طریق مرورگرهای Tor و غیره، بیشترین میزان خطر را ایجاد می­­ کنند. ممکن است مدیران امنیت در هنگام این بررسی‌ها متوجه نقض استانداردهای قانونی مثل ذخیره فایل‌ها در مکان های غیرمجاز شوند که از آنها مطلع نیستند.

3. محدودیت دسترسی

مدیران سازمان­‌ها باید در اسرع وقت همه سرویس‌ها و برنامه‌های کاربردی خطرناک را غیرفعال کنند. اگر برنامه یا اقدامی غیرقانونی بوده یا منجر به نقض سیاست‌های سازمان آنها می‌شود باید آن را مسدود کرده و کارهای لازم را در سطح مدیریت یا منابع انسانی انجام دهند.

4. فرصت دادن به کاربران

پس از آن که مسئولان امنیتی با مخاطرات فوری مقابله کرده و از آن چه در جریان است باخبر شدند باید به همه افراد فعال در سازمان توضیحات لازم را بدهند که چرا بعضی از برنامه­‌های کاربردی مجاز نیستند. سپس به آنها فرصت دهند تا استفاده از برنامه‌های کاربردی سایه‌ای را متوقف کنند. پس از گذشت این فرصت، همه برنامه‌های غیرمجاز باید مسدود شوند.

5. مدیریت روابط

همچنان که سازمان­‌ها در حال انجام این فرایند هستند، مسئولان امنیتی باید به برقراری روابط با هیأت مدیره و بخش فناوری اطلاعات توجه داشته باشند. معمولاً کاربران از سایه IT برای انجام وظایف شغلی خودشان به شیوه‌­ای مطلوب­ استفاده می‌کنند. بنابراین ابتدا مسئولان باید سعی کنند دلیل استفاده از آن و همچنین این که چگونه و از چه راهی می‌توانند نیاز کارمندان را رفع کنند مشخص نمایند. حتی شاید آنها متوجه شوند تعدادی از این برنامه‌های کاربردی سایه‌ای می‌توانند برای بخش‌های دیگری از کسب و کارشان مفید باشند. همچنین برای جلوگیری از متضرر شدن سازمان باید مراقب باشند که خصومتی با بخش IT ایجاد نشود.

6. تعریف خط مشی‌ها

بعید است کارمندان معمولی از مخاطرات سایه IT و این که چرا نباید از آن استفاده کنند، مطلع باشند. به همین خاطر پیاده‌­سازی خط مشی‌هایی واضح با آموزش‌ها و یادآوری‌های منظم، به کاهش این مخاطرات کمک می‌کند.

7. مدیریت مستمر

مسئولان همواره باید بر آن چه در محیط کسب‌و‌کارشان می‌گذرد نظارت داشته باشند. گاهی وقت  ها کاربران آموزش‌ها را فراموش می‌کنند و نیاز به یادآوری دارند. از آنجا که فناوری‌های کمک رسان و مفید همیشه در اختیار سازمان است بنابراین بهانه‌ای برای عدم نظارت بر کارمندان و جلوگیری از انجام کارهای مضر توسط آنها وجود ندارد.

 

منبع: quostar

خروج از نسخه موبایل