所以CIO和他的IT部門負(fù)責(zé)人需要能夠識(shí)別與管理企業(yè)環(huán)境中的那些影子IT--潛伏在企業(yè)中的風(fēng)險(xiǎn)與隱患。本文是目前企業(yè)中幾個(gè)影子IT存在的主要方向,希望給各位CIO一個(gè)有效的參考。
CIO視為企業(yè)信息化的推動(dòng)者,首先因?yàn)镃IO是進(jìn)入企業(yè)決策圈的角色,有義務(wù)對(duì)企業(yè)的長(zhǎng)期發(fā)展負(fù)責(zé),通過組織起一支專業(yè)隊(duì)伍來完成其使命,而整合外部資源也是其中之一。
以CIO為代表的信息部門,仍然承擔(dān)著為企業(yè)內(nèi)部各部門提供服務(wù)的責(zé)任。例如傳統(tǒng)的文檔服務(wù),搭建網(wǎng)絡(luò)平臺(tái),開發(fā)信息系統(tǒng),提供硬件維修服務(wù),安裝相關(guān)軟件,處理有關(guān)數(shù)據(jù)等。
作為戰(zhàn)略思想家的CIO,變成企業(yè)決策層的導(dǎo)師與顧問時(shí),能夠在戰(zhàn)略層面為企業(yè)產(chǎn)品或服務(wù)開發(fā)以及市場(chǎng)營(yíng)銷起著積極作用,利用現(xiàn)代信息技術(shù)為商業(yè)帶來機(jī)遇時(shí),CIO就成為企業(yè)CEO或者COO的最佳人選,因?yàn)镃IO具備企業(yè)全局的觀點(diǎn)。
1、監(jiān)控你的網(wǎng)絡(luò)。
對(duì)于企業(yè)IT部門來講,如果你想找出網(wǎng)絡(luò)中存在的風(fēng)險(xiǎn),那么完善的監(jiān)控策略是必不可少的。不管員工使用個(gè)人設(shè)備還是企業(yè)統(tǒng)一提供的設(shè)備進(jìn)行辦公,IT團(tuán)隊(duì)都需要對(duì)這些設(shè)備與軟件進(jìn)行有效監(jiān)控。只有完全掌握軟件與硬件的監(jiān)控權(quán)才能有效的找出風(fēng)險(xiǎn),并且排除它。
發(fā)現(xiàn)風(fēng)險(xiǎn)只是第一步,接下來需要做的就是進(jìn)行快速識(shí)別。你需要對(duì)新加入的以及未識(shí)別的設(shè)備進(jìn)行快速識(shí)別,比較之前的列表,從而進(jìn)行快速添加與排除設(shè)備。將安全可信的設(shè)備放行進(jìn)來,將存在風(fēng)險(xiǎn)和隱患的設(shè)備盡早排除。
通過對(duì)企業(yè)環(huán)境的漏洞掃描與監(jiān)控,IT部門會(huì)不斷的完善企業(yè)的IT環(huán)境,而員工也可以盡可能的從IT部門獲得最大的支持與幫助。當(dāng)然,IT部門還可以根據(jù)網(wǎng)絡(luò)日志、數(shù)據(jù)防火墻、代理與MDM等方式進(jìn)行內(nèi)部設(shè)備的監(jiān)控與識(shí)別。在這些數(shù)據(jù)中會(huì)告訴你,是誰用的資源最多,用來多少,頻率和上傳下載的數(shù)據(jù)是多少。
2、優(yōu)先考慮風(fēng)險(xiǎn)。
并不是所有的軟件和服務(wù)都需要監(jiān)控。CIO可以利用云服務(wù)的注冊(cè)記者來識(shí)別風(fēng)險(xiǎn)提高服務(wù),并且可以解決大部分日常工作。資質(zhì)這些高風(fēng)險(xiǎn)的服務(wù)通過基礎(chǔ)設(shè)施不或者通過用戶的身份識(shí)別來停止他們的服務(wù),可以很好的為企業(yè)避免不必要的損失。
對(duì)于一個(gè)成熟的團(tuán)隊(duì)而言,快速的識(shí)別風(fēng)險(xiǎn)并且優(yōu)先解決風(fēng)險(xiǎn)是必備的技能。
3、建立BYOD、云服務(wù)以及移動(dòng)應(yīng)用的指導(dǎo)方針。
隨著技術(shù)的不斷發(fā)展,移動(dòng)信息化、BYOD以及云服務(wù)開始在企業(yè)中大量采用。對(duì)于CIO和IT部門來講,需要指定相應(yīng)的指導(dǎo)策略,這樣才能幫助其他員工更好的使用這些服務(wù)與軟件。
同時(shí),按照統(tǒng)一標(biāo)準(zhǔn)制定出來的實(shí)施方案有助于未來的可持續(xù)發(fā)展,并且會(huì)大大提升這些方案在企業(yè)中的有效作用,防止影子IT的發(fā)生。
這將使業(yè)務(wù)部門自己的購買決策是保證引入不會(huì)導(dǎo)致兼容性或安全問題,另外,它應(yīng)該把流程,允許快速批準(zhǔn)或不批準(zhǔn)新應(yīng)用積極尋求業(yè)務(wù)單位。
目前在企業(yè)中尤其是開始實(shí)施BYOD策略的企業(yè),員工自帶的設(shè)備種類繁多,給IT部門的管理帶來了很大的壓力。如果沒有得到足夠多的重視,那么這會(huì)給企業(yè)信息安全帶來不可估計(jì)的損失。制定一個(gè)嚴(yán)格的并且是可執(zhí)行的流程方案,可以讓員工知道前期什么是允許的,減輕了未經(jīng)批準(zhǔn)的應(yīng)用程序和設(shè)備使用的風(fēng)險(xiǎn),以及安全風(fēng)險(xiǎn)。
4、提供選擇。
今天的企業(yè)員工吸引能夠采用自己最舒適的方式進(jìn)行工作。比如遠(yuǎn)程訪問。員工可以在家或者咖啡館遠(yuǎn)程訪問企業(yè)數(shù)據(jù),進(jìn)行必要的辦公。如果企業(yè)不提供遠(yuǎn)程訪問企業(yè)數(shù)據(jù)安全解決方案,員工會(huì)找到自己的方式來管理信息有效地通過消費(fèi)產(chǎn)品,可以把組織面臨風(fēng)險(xiǎn)。
隨時(shí)隨地的為員工提供安全的訪問接口這是企業(yè)IT部門必須完成的一項(xiàng)工作。這樣可以大大減少員工外部訪問所帶來的風(fēng)險(xiǎn),而且這樣你還能對(duì)訪問的數(shù)據(jù)進(jìn)行控制。
企業(yè)員工采用iOS與Android設(shè)備進(jìn)行遠(yuǎn)程訪問他們的工作內(nèi)容,所以確保你給用戶移動(dòng)選擇工作與您現(xiàn)有的移動(dòng)管理平臺(tái)或提供廣泛的安全策略控制保護(hù)數(shù)據(jù)丟失或被盜設(shè)備。IT組織不應(yīng)忽視BYOD,但應(yīng)該解決這個(gè)預(yù)先解決方案,使這些員工在個(gè)人設(shè)備上做所有的工作安全。
如果企業(yè)員工不能進(jìn)行選擇,那么他們會(huì)尋找自己習(xí)慣的訪問方式與工作方式,這樣甚至通過一些非法的高危險(xiǎn)途徑進(jìn)行訪問。這樣你不僅失去了這些設(shè)備與接口的控制權(quán),反而會(huì)為企業(yè)IT部門創(chuàng)造出更多的影子問題。
如果你想讓'BYOD安全地工作,給員工一個(gè)合適的方法,而不是強(qiáng)迫他們找到解決方案。
5、限制第三方應(yīng)用的訪問。
在目前的企業(yè)中有很多第三方應(yīng)用的存在,比如Dropbox,SharePoint和SkyDrive等等,大多數(shù)的IT政策都是進(jìn)行內(nèi)部防護(hù),并且針對(duì)的只是企業(yè)內(nèi)部的軟件與硬件設(shè)備。但目前越來越多的員工使用了大量的第三方服務(wù)。
這會(huì)造成IT部門的控制權(quán)喪失,寫明您的IT政策不允許這些服務(wù),并提供你的員工足夠的訓(xùn)練,以便消息是清楚的。IT政策需要控制個(gè)別用戶選擇他們能夠安裝的應(yīng)用程序,這樣會(huì)為企業(yè)消滅更多的安全隱患。
然而員工的使用習(xí)慣并不是一時(shí)半會(huì)可以改變的。這就要求企業(yè)將自身的軟件變得更加人性化,更加方便可用。這樣員工會(huì)更傾向于采用內(nèi)部軟件,從而放棄對(duì)外部應(yīng)用的使用。而且明令禁止并不是一個(gè)好辦法,有時(shí)它可以更有效的識(shí)別用戶,幫助他們理解風(fēng)險(xiǎn)和建議一個(gè)低風(fēng)險(xiǎn)的選擇與等效的功能。人們傾向于尋找方法去站點(diǎn)和服務(wù)他們感到不公正阻止。
6、適當(dāng)?shù)倪M(jìn)行開放。
當(dāng)企業(yè)IT部門確定了安全隱患存在時(shí),有兩種選擇,第一種就是修復(fù)它,利用各種辦法進(jìn)行修復(fù),避免同樣的問題出現(xiàn)。然而這并不是最優(yōu)的解決方案,一味的修復(fù)和禁止只會(huì)讓你的系統(tǒng)越來越封閉。
這時(shí)候你需要進(jìn)行適當(dāng)?shù)拈_放,對(duì)一些第三方的軟件應(yīng)用進(jìn)行開放。比如我們之前提到的Dropbox、Skype等等。這并不是盲目的進(jìn)行開放,而是根據(jù)一定的策略進(jìn)行開放,由IT部門主導(dǎo),對(duì)員工進(jìn)行統(tǒng)一的開放。
畢竟這些軟件在實(shí)際的工作中有很好的幫助,如果徹底堵死,會(huì)顯得并不是那么明智。嘗試相應(yīng)的開放也許并不是那么危險(xiǎn),畢竟這些接口是從IT部門進(jìn)行開放,IT部門依然擁有這些軟件的控制權(quán)。
