Zarządzanie ryzykiem w szarej strefie IT

Pracownicy przynoszą do biura nie tylko własne urządzenia. Potrafią także bez autoryzacji korzystać z aplikacji chmurowych. To poważne zagrożenie dla bezpieczeństwa korporacyjnych zasobów, którego nie można ignorować.

Wiele osób zgodzi się, że branża bezpieczeństwa toczy bardzo żmudną bitwę. Są nawet tacy, którzy stoją na skrajnym stanowisku, że nie da się utrzymać intruzów poza firmową siecią. Dlatego można poddać bitwę i skupić się na łagodzeniu skutków ataków. Niezależnie, na jakim stanowisku się stoi, zapewnienie bezpieczeństwa to wyzwanie, któremu trudno sprostać. W świecie korporacyjnego IT widać, że coraz większą wagę przykłada się do bezpieczeństwa sieci, zarządzania podatnościami oraz spełniania wymogów prawnych. Jeśli nawet jednak uda się wdrożyć lepsze zabezpieczenia, wciąż problemem pozostaje rosnące, niekontrolowane zagrożenie – szara strefa IT (shadow IT).

Ten termin jest używany do opisywania systemów i rozwiązań IT wykorzystywanych w firmach bez autoryzacji. To zjawisko rodzi się najczęściej w działach biznesowych niezadowolonych z funkcjonowania firmowego IT, który nie jest w stanie dostarczyć jakiś zasobów w wymaganym przez biznes czasie. W efekcie biznes zaczynam sam rozglądać się za potrzebnymi zasobami bez informowania o swoich poczynaniach działu IT. Taka sytuacja trwa do czasu, dopóki nie pojawią się jakieś problemy techniczne czy potrzeba integracji z innymi aplikacjami korporacyjnymi. Wtedy użytkownicy zwracają się o pomoc firmowego IT, co nie jest miłą niespodzianką dla CIO.

Zobacz również:

  • 6 trendów wzmacniających rozwój samoobsługowego IT
  • Biały Dom chce wzmocnić kontrolę nad sztuczną inteligencją

Według wyników ankiety przeprowadzonej przez Cisco wśród dyrektorów IT, w firmach wykorzystuje się średnio 51 różnych aplikacji chmurowych. Jednakże Cisco stwierdziło, na podstawie analizy danych, że ta liczba jest bliższa wartości 730. Najczęściej są to usługi typu SaaS lub IaaS. Lista powodów, które doprowadzają do takiej sytuacji, mogłaby zapełnić niedużą książkę. Wspólnym faktem pozostaje jednak, że te usługi są poza firmową siecią, a korzystanie z nich należy oceniać z perspektywy bezpieczeństwa.

Choć powiedzenie mówi, że „niewiedza jest błogosławieniem”, to w tym przypadku nie ma zastosowania. Dział IT jest w firmach odpowiedzialny za technologie, nawet za te, o których nie wie. Może się to wydawać nie fair, ale taka jest rzeczywistość. Jeśli dojdzie do włamania lub nie uda się przejść audytu, szefostwo IT zostanie wezwane na dywanik do prezesa, niezależnie od przyczyn. Dlatego wyzwaniem dla firmowego IT jest znalezienie i zabezpieczenie takich aplikacji. W wielu przypadkach szefowie IT niechętnie stosują niezbędne zabezpieczenia, aby uniknąć konfliktu z biznesem, zwłaszcza wtedy, kiedy nie mają wystarczających środków, aby zrealizować wszystkie oczekiwania biznesu. Jednakże ryzyko, jakie stwarza szara strefa IT jest znacznie większe, niż skutki niezadowolenia biznesu z powodu wprowadzenia nowych zabezpieczeń. Oczywiście jest to kwestia nastawienia, ale chyba lepiej dobrze wykonywać swoje obowiązki i zmagać się z konfliktami wewnątrz firmy, niż w niepewności czekać na telefon do prezesa. Problem jest poważny, niestety nie da się wskazać konkretnego rozwiązania. Można jedynie sformułować kilka praktycznych sugestii.

Monitorowanie ruchu wychodzącego

Jednym z najlepszych sposobów, aby wiedzieć, co dzieje się w sieci, jest monitorowanie ruchu wychodzącego. Zapory sieciowe najczęściej służą do kontrolowania ruchu przychodzącego, a komunikacja wychodząca jest ignorowana. Jednak warto skonfigurować firewall tak, żeby zbierał szczegółowe dane o ruchu wychodzącym i sprawdzał, dokąd ten ruch wychodzi. W ten sposób można szybko zidentyfikować część aplikacji, które są poza kontrolą IT. Przykładowo, jeśli dane zebrane przez firewall wskazują na ruch wychodzący do usługi chmurowej, która nie jest autoryzowana, należy to zweryfikować. Dość szybko można ustalić, którzy użytkownicy stoją za tą komunikacją. Rozmowa z tymi osobami powinny przynieść pozytywne rezultaty.

Kontrolowanie ruchu wychodzącego

To jeden z najbardziej wartościowych mechanizmów bezpieczeństwa, a jednocześnie najczęściej pomijany. Można przyjąć, że kontrolowanie ruchu wychodzącego jest równie ważne, jak kontrolowanie ruchu, który przychodzi. Przykładowo, kontrolowanie ruchu wychodzącego umożliwia wykrywanie infekcji szkodliwym oprogramowaniem i blokowanie generowanej przez niego komunikacji.

Trzeba przyznać, że kontrola ruchu wychodzącego jest wyzwaniem, ponieważ wiele popularnych aplikacji internetowych korzysta jedynie w podstawowych portów TCP. Poza tym blokowanie ruchu czasem wywoła niezadowolenie wśród pracowników, ale przynajmniej skłoni do dyskusji i umożliwi działowi IT przedstawienie zagrożeń, jakie wiążą się z korzystaniem z aplikacji chmurowych bez kontroli. Niestety każdy dział IT musi się zmagać z użytkownikami, którzy znają ryzyko, ale są skłonni je ignorować. Nie brakuje też takich, którzy nie rozumieją problemu. Dlatego temat szarej strefy IT powinien być częścią każdego szkolenia uświadamiającego użytkowników o zagrożeniach informatycznych.

Pozyskanie pomocy zarządu

Członkowie zarządu, którzy dobrze rozumieją zagrożenia związane z szarą strefą IT, w większości przypadków, będę gotowi pomóc we wprowadzeniu odpowiednich zabezpieczeń. Firmowe zarządzenie wydane przez prezesa z komentarzem na temat sankcji stłumi w zarodku ewentualne protesty pracowników. Co więcej, można też liczyć na dodatkowe zasoby potrzebne do kontrolowaniu szarej strefy IT.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200