Shadow IT 是指在未經組織 IT 部門明確同意或知情 的情況下,由組織內的部門或個人使用 IT 軟體、裝置、系統或應用程式。近年來,影子 IT 應用程式的使用量大幅成長,主要是由於遠端工作和雲端服務和應用程式的使用量不斷增加。雖然影子 IT 可以加速生產力和創新,但它也會帶來嚴重的安全風險和合規性問題,尤其是當資料儲存在 IT 不知道的地方時。
Shadow IT 應用程式與活動範例
任何用於業務目的,而不涉及組織 IT 部門的應用程式,都可能被視為影子 IT 應用程式。
Shadow IT 應用程式分為四大類:
- 使用者透過公司網路直接存取的雲端應用程式。
- 使用者透過 Microsoft Office 365 或 Google Workspace 等 SaaS 應用程式存取的雲端應用程式。
- 由部門或終端使用者購買並載入系統的現成軟體(現在較不常見)。
- 自訂開發的軟體在個人的企業筆記型電腦上執行。
影子 IT 活動的範例包括:
- 下載並未經授權使用 Trello 或 Asana 等工作流程或生產力應用程式。
- 透過個人或部門帳戶或憑證建立和使用雲端工作負載。
- 未經授權購買和/或使用第三方 SaaS 應用程式或其他雲端服務訂閱,而不受組織的 IT 部門監控。
- 使用個人訊息平台或通訊應用程式,如 WhatsApp 或 Signal 進行與工作相關的通訊。
- 使用個人電子郵件帳戶開展業務。
- 未經授權自行攜帶裝置(BYOD)。
隱藏 IT 風險
如果員工將資料儲存在公司無法控制的位置,幾乎不可能保護您的資料。您的 IT 部門也無法得知如果不知道資料位於何處,貴公司的客戶資料會面臨何種風險或多少風險。
因此,影子 IT 的主要安全風險為:
資料遺失
由於您的公司無法存取儲存在個人帳戶或個人筆記型電腦上的資料,因此當員工離職或被解雇時,資料將會遺失。此外,由於這些個人帳戶中的資料不受公司政策和程序約束,因此可能無法根據公司政策妥善備份、歸檔或加密。
降低能見度與控制力
Shadow IT 在能見度和控制方面出現嚴重問題,原因與資料遺失方面出現嚴重問題的原因相同:您無法確保看不到的事物。增加自我配置的使用可能會加速生產力和入職,但也會分散資源配置,導致 IT 人員無法得知情況、對象和地點。這也會導致資料沒有單一可靠的真實來源,或是資料遭破解或不完整的真實來源。
網路攻擊的弱點增加
影子 IT 的每個實例都擴大了組織的攻擊面,由於影子 IT 應用程式不被 IT 人員看見,因此也不受公司的網路安全解決方案保護。此外,影子 IT 應用程式的使用者通常使用微弱的憑證和密碼,網路罪犯可以輕易利用這些憑證和密碼來存取企業網路。
因不合規而增加成本
Shadow IT 經常以監管罰款和處罰的形式,為組織帶來間接成本,除了在資料外洩的情況下造成聲譽損害。此外,雖然有些員工可能轉而使用影子 IT 來降低成本,但長期使用影子 IT 應用程式和服務,如資料儲存,通常在大規模上並不具有成本效益。
如何管理並降低潛在的 IT 風險
影子 IT 的主要原因是什麼?
員工無法盡其所能完成工作。
因此,隨著影子 IT 實例的擴散,管理和減輕它的責任在於員工負責確保員工能夠使用他們完成工作所需的所有工具、資源和服務。
為了降低影子 IT 風險,組織可以:
- 訓練員工安全且正確地使用所有工具與技術
- 執行有關新服務配置的規則和協定
- 強調並持續強化(透過影片、訓練等)有關安全性和合規性的公司政策
但除了上述所有功能之外,公司可以做的降低影子 IT 風險的最佳事,就是使用 Pure Storage® FlashArray 和快照等先進技術,這些技術結合起來,可提高資料可存取性與能見度,以分析多個資料來源, 同時保留其資料在地性。他們可以使用直接儲存在 FlashBlade® 物件式資料儲存或雲端上 Pure Cloud Block Store中的資料,無需建立與其他工具或工作流程共用的資料複本。
下載懶人包電子書快照。
深入了解 FlashBlade//S。
下載我們的資料保護完整指南。