企業內憂隱患:此消彼長的資訊部門與影子IT

最新消息與洞察

NEITHNET 資安實驗室

  外部攻擊鬥得如火如荼,內憂卻成為戰役的累贅?

  影子IT (shadow IT ),指的是企業員工使用自己私有的或未經核准的軟體、硬體或其他系統和服務。與標準的IT結構不同之處在於,資訊部門對於影子IT通常不知情,所以並未加以管控。

  影子IT進入組織內部的方式有很多種,但最常透過以下兩種方式將影子IT引入公司 :

    1、使用未經核准的工具存取、儲存或共用公司資料

    2、以未經授權的方式存取核准的工具

  至於為什麼員工會引入影子IT?最大的比例是以下三種可能:

    1、沒有意識到影子IT的資安風險

    2、更加喜好能滿足業務需求的工具

    3、進行刻意的惡意行為

  影子IT在企業內部的比重逐年增加,現在更是有超過半數中大型企業有影子IT。企業內部已不再是資訊部門不知情的狀況,甚至有高達85%的企業正透過影子IT來營運。

  無論影子IT的採用是有意或無意,都會造成嚴重的資安問題和處理成本。正因為未受管控,不但增加資料外洩、竊取和其他網路攻擊的風險,同時影響了IT團隊採取關鍵措施來減少可能造成的損害。近期的統計更有八成的臺灣保險業者,其SaaS平臺帳密外洩案件與影子IT有關。

  從營運風險及影響層面來看,企業絕對不會放任影子IT的成長,但為何影子IT的比例不減反增?

  利大於弊?

  近幾年疫情影響了工作型態,在企業生存的目標下,開放居家工作或使用其他行動裝置,進而發展到數位轉型及業務創新,都大大的影響固有的IT結構。

  不只是時代推進所帶來的新工作型態,從公司營利的正面角度來看,節省員工工作時間、減輕工作負擔、員工滿意度提升、財務正影響等,都是讓影子IT比重逐年增加的原因。Everest Group創辦人Peter Bendor-Samuel曾說:「如果CIO想要應付這樣的問題,並且與業務間的關係變得更為密切,那麼CIO必須要確認:『自己所帶領的IT團隊必須表現得比影子IT還要好』。」

  遏止到控制

  早期的IT治理方針都是要求員工配合公司規範,禁止使用影子IT,而如今對於這把雙面刃,該如何駕馭,穩固企業安全性,是最新的企業議題。企業應該知曉揠苗助長的道理,過多的限制往往會出現反效果,對於影子IT的處置也是如此。應該先提高能見度,讓影子IT攤在陽光下,看得到才能進行控制措施或準備應對方式。其次,盡可能在不影響業務靈活度下,針對安全性層面進行控制。看起來簡單,但又要馬兒好又要馬兒不吃草是不可能的,這是需要花費相當大量時間與金錢還有IT人力去調整的大工程。

  利用企業既有的IT框架下去安排合適的軟硬體等,的確是最安全也最不費時費資金的做法,但絕對也是讓員工失去最大靈活度、限制發展、最綁手綁腳的做法。因此,管理階級的決策與支持就更需堅定,若能將影子IT運作在更安全的框架中,融合影子IT本身帶來的正面影響,將不只提升正面效率,也降低了潛在的風險。

  這些隱形的軟硬體或系統雖然提供策略創新,同時也帶來更多的安全隱患,而如何與固有IT框架相互融合達到控制,讓企業不用面臨安全性與靈活度的二選一,將是企業管理層級與IT人員的一大挑戰卻又必須完成的工程。

  更多資安訊息及防護策略,歡迎與NEITHNET資安專家聯繫:info@neithnet.com