website security

影子 IT,不再神秘!

影子 IT (shadow IT ),指的是企業內部人員使用非公司傳統的 IT 系統,改以雲端服務儲存企業資料,或是利用未經許可的 SaaS 服務 (Software as a service) 進行作業程序,其雖然能有效提升工作績效,卻間接造成企業資安潛在風險,引起不少業者省思該如何妥善做好風險控管,在操作使用面與資訊安全中取得最佳平衡點。

根據 McAfee Software 贊助的分析報告研究發現,其實影子 IT 並非如此神秘,由於雲端與 SaaS 服務應用優勢,故其充分運用於各企業組織中,舉例而言,你是否曾經利用行動裝置或是雲端服務存取公司文件呢?透過以下六點分析,我們將可以清楚了解到影子 IT 的真實存在。

1. 無所不在的服務應用

方才提出的問題,相信多數人都會回答曾使用過雲端服務存取公司資料吧!研究發現,超過 80% 的受訪者承認曾於工作中使用過尚未經過批准的 SaaS 服務,而這些未經批准的應用程式因為其高度便利性,使得內部人員即使無經過許可亦會自行下載使用。

2. 最大的敵人就是自己

為什麼會這樣說呢?因為研究中發現了一項有趣現象,那就是多數使用影子 IT 服務的人……就是 IT 專職員工本身呢!

3. 缺乏明確使用規範

多數企業對於雲端服務與 SaaS 服務並無明顯使用規範,即使有亦散佈各處,無法讓每位員工清楚了解,如此一來便無法有效管理員工使用狀況,因此建議企業要逐步重視此類議題,加強內部資訊安全管理,有效控管 IT 資源應用。

4. 良善的使用出發點

企業員工之所以使用影子 IT 服務,往往只是單純想要藉此提升工作效率,利用雲端服務與 SaaS 服務解決各項工作問題,帶來更佳作業效能,因此我們無法只因為其潛在風險,就抹滅掉影子 IT 的其他利益。

5. SaaS 服務廣泛應用

其實在工作中免不了接觸到 SaaS 服務的延伸應用,舉凡企業內部的各種營運系統,或是線上操作平台,都可以算是一種 SaaS 服務,因此若只是單純的限制使用權限,不如善盡管理責任吧。

6. 可接受的存在風險

將近 15% 的員工都了解影子 IT 存在風險,但這樣依舊無法阻止他們使用。對大部份人而言,每件事都存在著一定風險,而影子 IT 確實能提升工作效能,帶來相當大的助益,因此使得多數員工選擇忽略資訊安全問題,進而繼續使用。

最後,透過這份報告並非是要讓企業以高壓手段阻止影子 IT 現象,正所謂防不勝防,與其一意孤行的限制,不如制定明確管理制度,做好資安防護作業,帶來雙贏的使用局面。

參考資料:6 reasons why shadow IT is emerging from the shadows

圖片來源:pixabay.com/harrivicknarajah0

發表迴響