Гражданские разработчики, а также другие бизнес-пользователи меняют деятельность компаний благодаря распространению теневых ИТ-проектов. Опрошенные порталом InformationWeek эксперты рассказывают, как использовать эту инновационную энергию и снизить риски, не закрывая все на замок.

Теневые ИТ (Shadow IT) — это несанкционированное ИТ-отделом использование ПО, оборудования и облачных сервисов. Как правило, пользователи обходят официальные ИТ-каналы, чтобы быстрее и проще выполнить свою работу. Если они тайно используют эти вещи для других целей, то это уже более серьезная проблема безопасности для бизнеса. Но, по большому счету, с обеих ветвей этого запретного дерева можно собирать плоды.

«В эпоху гибридной и удаленной работы наличие определенной терпимости к теневым ИТ и предоставление сотрудникам или их отделам возможности выбирать собственные инструменты может принести большую пользу», — говорит Эрик Кристофер, CEO компании Zylo, поставщика услуг по управлению SaaS.

Но не только изменение модели работы заставляет компании относиться к теневым ИТ с удвоенным вниманием. Их внедрению также способствуют обычное переутомление и слишком малое количество часов в рабочем дне.

В отчете Economic Intelligence Unit подчеркивается неустойчивость нынешних ИТ-процессов: «Отставание ИТ растет, а контроль ИТ-отдела над цифровой инфраструктурой ослабевает». Что вполне объяснимо. По словам Рича Уолдрона, генерального директора и соучредителя компании Tray.io, занимающейся автоматизацией на основе Low-code, ИТ-команды недоукомплектованы и перегружены после резкого роста требований к поддержке, вызванного пандемией.

«Согласно исследованиям, средняя ИТ-команда имеет отставание в реализации проектов на 3-12 месяцев, что является серьезной проблемой, поскольку ИТ-отдел также сталкивается с новыми требованиями к стратегическим проектам, таким как цифровая трансформация и повышение информационной безопасности», — говорит он.

Также существует вопрос удержания сотрудников, который отчасти зависит от качества технологий на рабочем месте. «Данные показывают, что 42% миллениалов с большей вероятностью уволятся с работы, если технологии не соответствуют стандартам», — говорит Ури Харамати, соучредитель и генеральный директор компании Torii, поставщика услуг по управлению SaaS.

Он также отмечает, что теневые ИТ снимают часть нагрузки с ИТ-отдела: «Поскольку бизнес-сотрудники часто знают, какие инструменты лучше всего подходят для их конкретной работы, ИТ-отделу не нужно тратить столько времени на поиск и оценку приложений или даже их покупку».

В эпоху, когда скорость, инновации и маневренность имеют огромное значение, блокировка всего и вся просто не выход. Хорошо это или плохо, но теневые ИТ останутся.

«Передача полномочий по принятию решений в руки команд, а не только ИТ-отдела, дает сотрудникам возможность приобретать инструменты, необходимые для выполнения работы, когда они в них нуждаются, что делает теневые ИТ источником инноваций и гибкости. А это в конечном итоге приводит к двум вещам: улучшению показателей внедрения и повышению качества работы сотрудников», — говорит Кристофер.

Кроме того, не похоже, что у компаний действительно есть выбор.

«Удачи в попытках остановить теневые ИТ — корабль уже уплыл», — считает Ахмед Дату, исполнительный директор Alkira, поставщика облачных сетей как сервиса.

Недостатки теневых ИТ

У теневых ИТ есть и отрицательные стороны, и слишком быстрое их принятие может привести к катастрофе, и не только из-за предсказуемого и значительного роста уязвимостей безопасности.

«Когда сотрудники, контролирующие корневые учетные записи, связанные с этими теневыми ИТ-активами, покидают компанию, подтверждение того, что доступ к этим активам был отозван, или получение какого-либо доступа к осиротевшим учетным записям вообще может становиться серьезной проблемой. В тяжелых случаях это может приводить к нарушению ключевых бизнес-процессов», — предупреждает Дэн Траунер, старший директор по безопасности компании Axonius.

Это делает абсолютно необходимым управление теневыми ИТ-активами и хранилищами данных. В первую очередь необходимо провести инвентаризацию теневых ИТ-активов, например с помощью платформы управления SaaS (SMP) и других инструментов управления активами.

«Целая категория инструментов безопасности — платформы управления SaaS — существует для того, чтобы помочь подключиться к этим источникам данных и проанализировать их с целью обнаружить теневые ИТ. Поскольку большинство организаций сегодня полагаются на SaaS-продукты, это должно быть важным моментом, независимо от того, достигается ли это собственными силами или с помощью поставщика», — добавляет Траунер.

Как только вы обнаружите активы, скрытые в теневых ИТ, не поддавайтесь искушению закрыть все это дело.

«Есть одна вещь, которую ИТ-отдел делать не должен, — взять и заблокировать все это. Как правило, это имеет два последствия. Первое — подавление инноваций и творчества. Второе — теневые ИТ еще больше уйдут в тень», — говорит Энди Майерс, директор по корпоративной гибкости консалтинговой компании ISG.

Использование теневых ИТ для успеха бизнеса

Если теневые ИТ-активы выявлены, пора искать способы их использования на благо компании в целом.

Эксперты говорят, что начать стоит со следующего:

  1. Проверьте, нет ли неиспользуемых лицензий и дублирования приложений. Не удивляйтесь, обнаружив множество дублирующих приложений, используемых разными сотрудниками, которые не могут легко обмениваться информацией или сотрудничать на цифровом рабочем месте, предупреждает Харамати. «Это также означает, что ИТ-отделу приходится поддерживать избыточные приложения. Кроме того, многие теневые ИТ-лицензии не используются или не соответствуют уровню использования, а подписки часто продлеваются без ведома владельца приложения или ИТ-отдела», — говорит он.
  2. Дважды проверьте приложения, которые все еще могут скрываться в тени. К счастью, существуют инструменты, помогающие справиться с этой задачей. «Просматривая данные в провайдере идентификации, таком как Google Workspace, можно определить гранты OAuth, используемые для входа в сторонние приложения. Есть и другие источники, например, журналы DNS или бухгалтерское ПО, например, обслуживающее корпоративные кредитные карты», — говорит Траунер.
  3. Установите постоянное управление. Чтобы избежать неприятностей, будьте проактивны и внимательны. «Вы можете установить постоянный процесс управления, чтобы все приложения проходили проверку безопасности, а приложения, превышающие определенный порог расходов, оценивались с учетом того, что уже есть в вашей SaaS-системе», — говорит Кристофер.
  4. Поощряйте безопасность быть более дружелюбной к разработке. Протоколы безопасности и отношение к ним — наиболее часто называемые вещи, которых разработчики и пользователи пытаются избежать, используя теневые ИТ. Это будет продолжаться, если подчиняться указаниям службы безопасности не станет заметно проще. «Отношение „вы написали плохой код“ не поможет завоевать ни сердца, ни умы», — говорит Викрам Кунчала, директор и руководитель направления кибероблаков в Deloitte Risk & Financial Advisory.

    По его словам, помочь может поощрение раннего и частого взаимодействия со службой безопасности в процессе разработки. Но команды безопасности в свою очередь должны облегчить разработчикам эту задачу.

    Это не просто совет по развитию мягких навыков. Настоящее сотрудничество между разработчиками (гражданскими или формальными) — это еще и практический вопрос. «В большинстве организаций ИТ-отделы и команды разработчиков обычно превосходят по численности команды безопасности, и часто люди с хорошими намерениями могут торопить события, подвергая других риску», — предупреждает Кунчала.
  5. Выведите функцию ИБ на общеорганизационный уровень. Для того чтобы организация действительно была безопасной, эта тема не должна замыкаться на ИТ- и ИБ-отделах. Само существование теневых ИТ доказывает ошибочность такого мышления.

    «Функция безопасности, наделенная полномочиями от генерального директора или аналогичного руководителя — как для того, чтобы обеспечить выполнение бизнес-требований другой команды, так и для того, чтобы ее собственные требования считались не менее важными, — может помочь сделать теневые ИТ-проекты более наблюдаемыми и снизить некоторые риски», — говорит Ансари.

    С другой стороны, «достаточно осведомленные команды безопасности с достаточно широким кругозором также могут заметить, где теневой проект дублирует работу уже существующего, и, возможно, даже исключить необходимость такого проекта в первую очередь», — добавляет он.

Какие бы дополнительные шаги вы ни решили предпринять, помните об одной главной идее. «Старые представления о централизованных, строгих правилах, касающихся архитектуры предприятия, а также управления ИТ, рисков и соответствия требованиям должны эволюционировать. Роль ИТ-службы должна заключаться в предоставлении ограждений, услуг и строительных блоков, необходимых для быстрой и эффективной адаптации к бизнесу», — говорит Майерс.