Когда мало контроля ИБ, то приходят тени... Тени ИТ

Аватар пользователя prozorov
Автор: Прозоров Андрей, Независимый эксперт и блоггер
(0)
()
Недавно я публиковал заметку про базовые принципы подхода People-Centric Security, в которой напоминал, что сотрудникам надо передавать ответственность за ИБ, обучать их, контролировать и обязательно давать обратную связь (и, если надо, то и наказывать). То есть всячески развивать культуру ИБ, поощрять бережное и осознанное использование информационных активов.

Если этого не делать, то работники будут ориентироваться на свой прежний опыт и поведение коллег, что не всегда хорошо и может привести к появлению новым (или возрастанию старых) рисков ИБ. Одним из таких рисков, а скорее даже "вызовом" для ИБ, становится  Shadow IT.

Для меня, кстати, странно, что об этом явлении и подходах к его контролю мы практически не говорим на российских ИБ-конференциях. Не актуально? Не знаем, что делать? Не думали об этом? Стыдно?

Ну, ладно, попробую "разложить все по полочкам" в этой заметке.


Что такое "Shadow IT"? 
Кстати, иногда еще встречается термин "Stealth IT".

Gartner дает такое определение:
Shadow IT refers to IT devices, software and services outside the ownership or control of IT organizations.
Мне больше нравится вот такой вариант:
Shadow IT (Теневое ИТ): Неконтролируемое оборудование, ПО и сервисы ИТ, используемые в организации и, обычно, не принадлежащие ей
Это, например, персональные облачные хранилища ("я дома хочу поработать"), и скаченное ПО ("я к этой программе привык, много лет ее использую"), и личный ноутбук ("он легче и батарея дольше держит заряд"), и персональная почта ("через рабочую не могу отправить файлы большого размера"), и личная WiFi-точка доступа ("у меня Интернет быстрее"), и многое другое, используемое в рабочих целях. Причем мотив такого поведения, обычно, конструктивен и рационален: "сроки горят, надо делать проект", "давно просил ИТ, но они до сих пор не сделали", "так эффективнее", "это надо для работы"...
Насколько тема актуальна?

В каждой компании есть Shadow IT, и я тоже, как сотрудник, привношу его в компанию (иногда я использую Dropbox, мессенджеры для рабочего общения, часто приношу свой ноутбук и пр.). Все так делают!

Но если попытаться понять масштаб проблемы, то можно ужаснуться! Я встречал такую аналитику:
  • Skyhigh: 72% организаций не понимают область охвата Shadow IT, но осознают проблему.
  • Cisco: Только 8% организаций понимают область охвата Shadow IT у себя.
  • Forbes: 71% сотрудников используют несанкционированное ПО.
  • Cisco: 80% сотрудников используют несанкционированное ПО.
  • Skyhigh: В среднем сотрудники использует 30 облачных сервисов.
  • Cisco: В среднем организации используют 91 облачный сервис.
  • ITP.net: В 83% организаций используются несанкционированные облачные сервисы, при этом больше трети респондентов заявили, что это запрещено в их организации.
  • Cisco (ссылаются на Gartner): Бюджет Shadow IT порой достигает 40% от общего ИТ-бюджета организации.
  • 2016 BYOD and Mobile Security: В 40% организаций BYOD разрешен для всех сотрудников, в 32% разрешен для избранных сотрудников.
И, пожалуй, самое важное:
  • Gartner: к 2020 году треть успешных атак на организации будет реализовано с помощью Shadow IT.
Проблемы Shadow IT очевидны: оно создает новые уязвимости и точки входа в ИТ-инфраструктуру (обычно об ИБ не задумываются вообще), увеличиваются риски утечки информации (например, можно забыть убрать галочку "доступно всем"), можно случайно принести вредоносное ПО, и много другое...

Как с этим жить? 

Чтобы выбрать подходы к снижению рисков, а также мониторингу и контролю, следует лучше понять Shadow IT. Сделал такую подробную майндкарту (Таксономия Shadow IT, в pdf тут), содержащую примеры элементов Shadow IT, мотив использования, предпосылки, отличие от Enterprise IT, риски и проблемы.
Как мы видим, Shadow IT многообразно поэтому подходить к защите нужно системно и комплексно. Вроде бы очевидные моменты, но лишний раз акцентирую на них внимание.
  1. Надо понять и принять проблему. Постараться оценить "масштаб бедствия" у себя.
  2. Стоит минимизировать права доступа, а также перечень доступного ПО и сервисов. Да, у рядовых сотрудников не должно быть административных прав и большого выбора возможных программных продуктов...
  3. Необходимо определить и документировать Политику допустимого использования (про этот документ писал тут) и другие документы, определяющие правила работы с ПО, АО и сервисами ИТ. 
  4. Следует регулярно проводить инвентаризацию (ПО и АО) и сурово карать за появление "теней". Вообще, мониторинг и контроль должны выполняться регулярно/постоянно, для этого помогают решения классов SIEM, CASB, MDM, DLP, UBA, EDR и другие... Кстати, если вы строите SOC, то выявление и пресечение Shadow IT может стать первоочередной задачей и быстрыми результатами ("quick wins").
  5. Но самое главное, необходимо развивать культуру (и гигиену) ИБ, обучать сотрудников и давать им обратную связь ("что хорошо, что плохо").

Битва с Shadow IT не проста и может длится очень долго! Но ее точно стоит начать! Успехов!

Оцените материал:
Total votes: 93
 
Комментарии в Facebook
 

Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.