Jak zarządzać nieoficjalnymi rozwiązaniami IT w firmie?

Rosnąca popularność rozwiązań w chmurze i programów BYOD w firmach powoduje, że działom IT coraz trudniej jest zarządzać i kontrolować stosowane w firmie oprogramowanie i sprzęt – dbając jednocześnie o całkowite bezpieczeństwo środowiska. Oto sześć wskazówek, które pomogą w identyfikacji i zarządaniu zjawiskiem nieoficjalnego IT w firmie, zwłaszcza w kontekście radzenia sobie z potencjalnymi zagrożeniami.

1. Monitoruj swoją sieć - dowiesz się, czy i gdzie występuje zjawisko nieoficjalnego IT

- Niezależnie od tego, czy pracownicy korzystają ze sprzętu firmowego czy własnego (np. w ramach programu BYOD), firma musi wiedzieć, gdzie dokładnie trafiają jej wszystkie dane – pozostają wewnątrz, w centrum danych, a może w chmurze – mówi Greg White, starszy kierownik ds. marketingu produktu w CommVault, dostawcy oprogramowania do zarządzania danymi i informacjami.

- Aby szybko zidentyfikować zjawisko nieoficjalnego IT, należy nieustannie monitorować sieć, szukając nowych i nieznanych urządzeń poprzez porównywanie list skanowania - mówi Dwayne Melancon, dyrektor ds. technologii w Tripwire, firmie zajmującej się bezpieczeństwem sieci.

Zobacz również:

  • Co trzecia firma w Polsce z cyberincydentem
  • Najlepsze MDM-y do ochrony urządzeń mobilnych na 2023
  • Biały Dom obejmie sankcjami kolejną chińską firmę produkującą chipy

- Taka ewaluacja może być prowadzona w ramach rutynowego skanowania podatności sieci firmowej na zagrożenia, szeroko stosowanej i jak narazie najlepszej praktyki w zakresie bezpieczeństwa sieci – radzi Melancon. - Pozwala to na gromadzenie informacji o tym, gdzie w sieci znajdują się nowe urządzenia oraz szczegółowych danych na ich temat – dodaje.

- Można również przetwarzać dane rejestrowe pochodzące z bieżących zapór ogniowych, serwerów proxy, systemów SIEM i MDM w celu identyfikacji usług w chmurze stosowanych poza kontrolą IT - radzi Rajiv Gupta, CEO w Skyhigh Networks, firmie zajmującej się bezpieczeństwem danych w chmurze. – Na podstawie takich informacji można stwierdzić, jakie usługi są wykorzystywane, przez kogo, jak często, ile danych jest pobieranych, a ile przesyłanych – dodaje.

2. Oceniaj zagrożenia według priorytetów

- Nie wszystkie nieautoryzowane rodzaje oprogramowania i nie wszystkie usługi stosowane poza kontrolą IT są złe – mówi Gupta. – Warto pomyśleć o stworzeniu obiektywnego i kompleksowego rejestru usług w chmurze, aby zidentyfikować te o najwyższym stopniu ryzyka i zająć się nimi w pierwszej kolejności. Dostęp do potencjalnie najbardziej niebezpiecznych rozwiązań można uniemożliwić, blokując je za pośrednictwem istniejącej infrastruktury (np. zapór ogniowych, proxy, rozwiązań MDM) lub identyfikując użytkowników i wymagając od nich zaprzestania korzystania z takich usług – dodaje.

3. Określ jasne wytyczne w zakresie BYOD, aplikacji i usług w chmurze

- Spełniając potrzeby działów biznesowych, dział IT może stworzyć i udostępnić listę dodatkowych, dozwolonych aplikacji i oprogramowań – mówi Chris Smith, dyrektor ds. marketingu w Zenoss, dostawcy rozwiązań do monitorowania i zarządzania IT.

- Umożliwi to działom biznesowym podejmowanie samodzielnych decyzji zakupowych, zapewniając jednocześnie, że wdrożenie nowych rozwiązań nie spowoduje problemów z kompatybilnością ani nie będzie stanowić zagrożenia – dodaje Smith. – Zadaniem IT jest zgromadzenie wszelkich procesów w jednym miejscu, co pozwoli na szybkie akceptowanie lub odrzucanie nowych aplikacji, wyszukiwanych i sugerowanych przez działy biznesowe – wyjaśnia.

- Koncentrujemy swoje wysiłki na dzieleniu się szczegółowymi informacjami na temat naszej strategii BYOD ze wszystkimi pracownikami. Chcemy, żeby dokładnie wiedzieli, co możemy wesprzeć i gdzie musimy ostrożnie stawiać kroki ze względu na zagrożenia biznesowe – mówi Jason Cook, główny architekt i dyrektor ds. technologii w BT Global Services. Dzięki temu pracownicy są świadomi ograniczeń. a to pozwala na złagodzenie ryzyka stosowania nieoficjalnych aplikacji i urządzeń, jak również minimalizację zagrożeń powiązanych z bezpieczeństwem.

4. Zaoferuj alternatywne rozwiązania

- Dzisiaj od pracowników oczekuje się, że będą w stanie znaleźć, przejrzeć i wykorzystać informacje, niezależnie od miejsca, w którym się znajdują lub urządzenia, z którego korzystają – mówi White. – Jeżeli firma nie zapewni im bezpiecznego rozwiązania umożliwiającego zdalny dostęp do firmowych danych, znajdą własne sposoby na to, aby zarządzać informacjami i pracować wydajnie, korzystając z produktów konsumenckich, które mogą stanowić zagrożenie dla firmy – dodaje.

- Zapewniając pracownikom mobilny dostęp do informacji, w każdym miejscu i w każdym czasie, bezpieczny i pod nadzorem IT, firmy mogą przeciwdziałać zagrożeniom związanym z użytkowaniem produktów zewnętrznych, które znajdują się poza świadomością, wiedzą i kontrolą IT – wyjaśnia White.

- Pracownicy korzystają z urządzeń mobilnych, z systemem iOS lub Android, aby uzyskać zdalny dostęp do informacji służbowych. Warto zapewnić im alternatywne rozwiązania mobilne, funkcjonujące na istniejącej platformie do zarządzania mobilnością lub gwarantujące rozległe zabezpieczenia, które chronią dane zgromadzone na urządzeniach w przypadku ich zgubienia lub kradzieży – radzi Jeetu Patel, dyrektor generalny w EMC Syncplicity.

- Działy IT w firmach nie powinny lekceważyć zjawiska BYOD, ale przygotować się na nie odpowiednio wcześnie, tworząc rozwiązania, które umożliwiają pracownikom realizację zadań w bezpieczny sposób na własnych urządzeniach – mówi Tyler Lessard, dyrektor ds. marketingu i produktów w Fixmo, firmie dostarczającej oprogramowania na urządzenia mobilne.

- Firmy, które tego nie robią, narażają się na to, że pracownicy będą próbowali obejść wytyczne korporcyjnego IT, stosując własne sposoby m.in. przesyłanie dokumentów firmowych i innych na osobiste urządzenia mobilne – ostrzega Lessard. – Warto bezpośrednio zmierzyć się z kwestią nieoficjalnego IT, ze strategicznego punktu widzenia godząc się na program BYOD i zapewniając pracownikom możliwość bezpiecznego wykonywania obowiązków, nie zmuszając ich do szukania sposobów na obejście zakazów – dodaje.

5. Ogranicz dostęp do innych aplikacji

- Wartość zastanowić się nad opcją ograniczenia dostępu pracowników do takich aplikacji jak m.in. Dropbox, SharePoint i SkyDrive – radzi Christophe Boudet, dyrektor zarządzający w Akita IT Services. – Wytyczne korporacyjnego IT w większości polegają na zakazywaniu użytkownikom instalowania aplikacji, które i tak są w stanie pobrać. W regulaminie warto więc wyraźnie zastrzec, że takie działania są zabronione, a pracownikom zapewnić odpowiednie szkolenia, które zagwarantują, że przekaz zostanie przez nich wyraźnie zrozumiany – radzi.

Niemniej jednak, jak twierdzi Gupta, blokada usług to nie zawsze najlepsze wyjście. – Czasem dużo bardziej skuteczne jest zidentyfikowanie użytkowników, rozmowa z nimi w celu zrozumienia zagrożeń i zasugerowanie alternatywnych rozwiązań o niewielkim poziomie ryzyka, ale podobnej funkcjonalności. Ludzie mają tendencję do szukania sposobów na dotarcie do stron i usług, które ich zdaniem zostały niesprawiedliwie zablokowane – dodaje Gupta.

6. Puść w niepamięć przypadki nieoficjalnego IT

- Określając stopień zagrożenia nieoficjalnym IT w firmie, masz do wyboru dwie opcje: możesz zidentyfikować transfer danych między rozwiązaniami w chmurze, jak np. Skype, Box czy Dropbox – mówi Orlando Scott-Cowley, ewangelista ds. wiadomości, bezpieczeństwa i zgodności w Mimecast, firmie zajmującej się zarządzaniem wiadomościami e-mail, rozwiązaniami zgodności i archiwizacją.

- Jest to jednak czasochłonne, niedokładne, a całkowita blokada usług jest praktycznie niemożliwa. Lepszym rozwiązaniem jest amnestia nie nieoficjalne IT. Pozbawiona konsekwencji strategia „wstań i przyznaj się”, bez obaw i bez kar, zwłaszcza, gdy dajemy użytkownikom możliwość wyjaśnienia, dlaczego potrzebowali aplikacji strony trzeciej, a platformy firmowe nie spełniły swojego zadania – dodaje.

4 pytania, dzięki którym zdecydujesz, czy nieoficjalne IT to rzeczywiście Twój problem

Przed przystąpieniem do działań związanych z nieoficjalnym IT, warto odpowiedzieć sobie na następujące pytania. Pozwoli Ci to na określenie, jak dużym problemem rzeczywiście jest dla Ciebie to zjawisko.

  1. Czy istnieje jakikolwiek powód, dla którego określone rozwiązanie IT jest niewłaściwe dla Twojej firmy?

  1. Załóżmy, że pracownicy wyraźnie odczuwają potrzebę korzystania z rozwiązań umożliwiających im szybki dzielenie się dokumentami czy mobilny dostęp do usług online lub sprzętu. Czy takie rozwiązania możesz zawrzeć w korporacyjnych wytycznych IT Twojej firmy?
  1. Czy w Twojej firmia istnieje obecnie zjawisko nieoficjalnego IT i czy rzeczywiście nie spełnia ono wymogów dotyczących zgodności?

  1. Czy możesz zintegrować nieoficjalne rozwiązania IT (aplikacje, usługi lub urządzenia) z dostępnymi, oficjalnymi zasobami IT w Twojej firmie, instalując odpowiednie zabezpieczenia?
W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200