Opmerking van de uitgever: Steve Cobb is Chief Information Security Officer (CISO) voor Een bron, een in Greenville, NC gebaseerde managed services provider (MSP). Het bedrijf was een van de genomineerden voor een prijs van NC TECH. Cobb heeft meer dan 25 jaar zakelijk IT-leiderschap op het gebied van strategische implementatie van IT-infrastructuur, cyberbeveiliging, incidentrespons en informatie over cyberdreigingen. Dit artikel is exclusief gepubliceerd op WRAL TechWire en volgt op een gepubliceerd WRAL TechWire-artikel eerder dit jaar.
+ + +
GROENVILLE – Terwijl de digitale transformatie tijdens de COVID-19-pandemie versnelde, zagen veel bedrijven de spanning toenemen tussen het behouden van controle over IT-middelen en -beleid en het geven van meer flexibiliteit aan werknemers in een veranderende werkomgeving.
Velen hebben nieuwe toepassingen aangenomen om externe werknemers te huisvesten en activiteiten te stroomlijnen, waardoor IT-omgevingen steeds meer gedecentraliseerd raakten. Dit bleek effectief bij het beheren van pandemiegerelateerde uitdagingen, maar in veel gevallen versnelde het een kloof tussen bedrijfseenheden en de IT-afdeling die bekend staat als 'schaduw-IT'.
De bedoelingen achter schaduw-IT kunnen positief zijn en komen meestal voort uit de wens om ervoor te zorgen dat operationele teams hun eigen problemen oplossen om hun klanten van dienst te zijn en het werk van werknemers gemakkelijker te maken. Als het echter niet wordt gecontroleerd, kan het na verloop van tijd een cyberbeveiligings-, operationele en financiële last worden.
Terwijl bedrijven navigeren door het veranderende IT-landschap, volgen hier een paar stappen om schaduw-IT te identificeren en te beheren.
De stukken sorteren
Een van de inherente risico's van schaduw-IT is de toenemende kans op een ongecontroleerde gegevensstroom, wat kan leiden tot tal van beveiligings- en nalevingsproblemen. Vanwege deze risico's heeft Gartner eerder geschat dat tegen 2020 een derde van de succesvolle aanvallen van ondernemingen op hun schaduw-IT-bronnen zou plaatsvinden.
Om deze gevaren te helpen bestrijden, moeten bedrijven een beter beeld krijgen van hun hele technologische omgeving. Het blootleggen van schaduw-IT kan onbedoeld leiden tot budgettaire en politieke spanningen binnen een organisatie. Dit is vaak een reactie op het terugdringen van noodzakelijke kosten en het indammen van cyberrisico's. Natuurlijk kunnen bedrijven alleen verbeteren wat ze kunnen zien.
Cybersecurity talent twist: instructeurstekort 'grootste uitdaging' bij Wake Tech
1. Audit + ontdekken
Het ontdekken van schaduw-IT kan een ontmoedigende taak zijn die vaak met grote tegenzin wordt beantwoord, maar het kan een organisatie op de lange termijn geld besparen.
Bedrijven kunnen beginnen door rechtstreeks naar werknemers te gaan en te informeren naar technologieën of diensten die ze gebruiken voor hun dagelijkse taken.
Deze eerste gesprekken kunnen helpen om niet-goedgekeurde technologieën te identificeren en te begrijpen waarom werknemers ze gebruiken.
Het kan ook nuttig zijn om het geldspoor te volgen - het analyseren van verklaringen van de boekhoudafdeling om te ontcijferen waar gedecentraliseerde uitgaven kunnen plaatsvinden.
WS-startup Salem Cyber, belooft 'een paradigmaverschuiving' in cyberbeveiliging, haalt $ 250 op
2. beheren
Zodra ze schaduw-IT-problemen hebben geïdentificeerd, moeten bedrijven bepalen of de technologie en kosten worden beheerd door de business unit of door de IT-afdeling.
Er moeten interviews worden gehouden met een dwarsdoorsnede van gebruikers om erachter te komen waarom ze ongeautoriseerde persoonlijke apparaten, software of cloudservices op hun werkplek gebruiken.
Als wordt besloten dat de technologie bij de business unit blijft, zullen zij verantwoordelijk zijn voor de kosten en die technologie beheren in afstemming met de IT-afdeling nu deze zichtbaar is.
3. Creëer controles en beleid
Bedrijven moeten controles implementeren, zowel technisch als op beleid gebaseerd, om schaduw-IT-problemen aan te pakken zodra ze zijn geïdentificeerd. Beleidshandhaving is de sleutel, maar hoe meer beleid een bedrijf heeft en hoe complexer het is, hoe meer tijd en energie het kost om het goed af te dwingen. Dit betekent dat de sleutel tot effectieve beleidshandhaving erin bestaat het minimum aantal eenvoudige, gemakkelijk te beheren beleidsmaatregelen te implementeren dat nodig is om de doelstelling te bereiken.
Het is absoluut noodzakelijk voor IT-teams om best practices te creëren voor hoe werknemers externe producten moeten gebruiken, en er moet beleid worden geïmplementeerd voordat nieuwe technologie wordt geïmplementeerd. Door medewerkers voor te lichten over goedgekeurde en reeds beschikbare oplossingen, kunnen ze ook betere beslissingen nemen over de software en services die ze nodig hebben om productief te zijn.
Een sterke verbinding
Shadow IT brengt het gevaar van het onbekende. En als elke afdeling technologieën of diensten blijft toevoegen zonder medeweten van IT, zal een bedrijf steeds meer blootgesteld worden. Decentralisatie veroorzaakt een groter gebrek aan inzicht in welke activa eigendom zijn, welke applicaties worden gebruikt en welke connectiviteitsdiensten al dan niet onder contract vallen.
Hoewel schaduw-IT een complexe uitdaging kan zijn om aan te pakken, zijn er middelen die NC-bedrijven kunnen gebruiken om het probleem en de decentralisatie veroorzaakt door de digitale transitie te overwinnen. Door samen te werken met een ervaren Managed Service Partner (MSP) kunnen IT-teams het proces op zich nemen om een nauwkeurige momentopname van hun eigen technologische omgeving te krijgen, door de tools aan te brengen die nodig zijn om het technische landschap te automatiseren door middel van integraties met HR-, operationele en financiële teams.
Of bedrijven nu interne middelen hebben om met schaduw-IT om te gaan of met een servicepartner te werken, het is een actueel onderwerp om nu over na te denken nu IT-teams strategieën ontwikkelen die voorbij de pandemie kijken. Naarmate de digitale transformatie doorgaat, kunnen bedrijven gemakkelijker rusten, wetende dat wat zich in de schaduw bevindt aan het licht kan worden gebracht.
