所以CIO和他的IT部门负责人需要能够识别与管理企业环境中的那些影子IT--潜伏在企业中的风险与隐患。本文是目前企业中几个影子IT存在的主要方向,希望给各位CIO一个有效的参考。
CIO视为企业信息化的推动者,首先因为CIO是进入企业决策圈的角色,有义务对企业的长期发展负责,通过组织起一支专业队伍来完成其使命,而整合外部资源也是其中之一。
以CIO为代表的信息部门,仍然承担着为企业内部各部门提供服务的责任。例如传统的文档服务,搭建网络平台,开发信息系统,提供硬件维修服务,安装相关软件,处理有关数据等。
作为战略思想家的CIO,变成企业决策层的导师与顾问时,能够在战略层面为企业产品或服务开发以及市场营销起着积极作用,利用现代信息技术为商业带来机遇时,CIO就成为企业CEO或者COO的最佳人选,因为CIO具备企业全局的观点。
1、监控你的网络。
对于企业IT部门来讲,如果你想找出网络中存在的风险,那么完善的监控策略是必不可少的。不管员工使用个人设备还是企业统一提供的设备进行办公,IT团队都需要对这些设备与软件进行有效监控。只有完全掌握软件与硬件的监控权才能有效的找出风险,并且排除它。
发现风险只是第一步,接下来需要做的就是进行快速识别。你需要对新加入的以及未识别的设备进行快速识别,比较之前的列表,从而进行快速添加与排除设备。将安全可信的设备放行进来,将存在风险和隐患的设备尽早排除。
通过对企业环境的漏洞扫描与监控,IT部门会不断的完善企业的IT环境,而员工也可以尽可能的从IT部门获得最大的支持与帮助。当然,IT部门还可以根据网络日志、数据防火墙、代理与MDM等方式进行内部设备的监控与识别。在这些数据中会告诉你,是谁用的资源最多,用来多少,频率和上传下载的数据是多少。
2、优先考虑风险。
并不是所有的软件和服务都需要监控。CIO可以利用云服务的注册记者来识别风险提高服务,并且可以解决大部分日常工作。资质这些高风险的服务通过基础设施不或者通过用户的身份识别来停止他们的服务,可以很好的为企业避免不必要的损失。
对于一个成熟的团队而言,快速的识别风险并且优先解决风险是必备的技能。
3、建立BYOD、云服务以及移动应用的指导方针。
随着技术的不断发展,移动信息化、BYOD以及云服务开始在企业中大量采用。对于CIO和IT部门来讲,需要指定相应的指导策略,这样才能帮助其他员工更好的使用这些服务与软件。
同时,按照统一标准制定出来的实施方案有助于未来的可持续发展,并且会大大提升这些方案在企业中的有效作用,防止影子IT的发生。
这将使业务部门自己的购买决策是保证引入不会导致兼容性或安全问题,另外,它应该把流程,允许快速批准或不批准新应用积极寻求业务单位。
目前在企业中尤其是开始实施BYOD策略的企业,员工自带的设备种类繁多,给IT部门的管理带来了很大的压力。如果没有得到足够多的重视,那么这会给企业信息安全带来不可估计的损失。制定一个严格的并且是可执行的流程方案,可以让员工知道前期什么是允许的,减轻了未经批准的应用程序和设备使用的风险,以及安全风险。
4、提供选择。
今天的企业员工吸引能够采用自己最舒适的方式进行工作。比如远程访问。员工可以在家或者咖啡馆远程访问企业数据,进行必要的办公。如果企业不提供远程访问企业数据安全解决方案,员工会找到自己的方式来管理信息有效地通过消费产品,可以把组织面临风险。
随时随地的为员工提供安全的访问接口这是企业IT部门必须完成的一项工作。这样可以大大减少员工外部访问所带来的风险,而且这样你还能对访问的数据进行控制。
企业员工采用iOS与Android设备进行远程访问他们的工作内容,所以确保你给用户移动选择工作与您现有的移动管理平台或提供广泛的安全策略控制保护数据丢失或被盗设备。IT组织不应忽视BYOD,但应该解决这个预先解决方案,使这些员工在个人设备上做所有的工作安全。
如果企业员工不能进行选择,那么他们会寻找自己习惯的访问方式与工作方式,这样甚至通过一些非法的高危险途径进行访问。这样你不仅失去了这些设备与接口的控制权,反而会为企业IT部门创造出更多的影子问题。
如果你想让'BYOD安全地工作,给员工一个合适的方法,而不是强迫他们找到解决方案。
5、限制第三方应用的访问。
在目前的企业中有很多第三方应用的存在,比如Dropbox,SharePoint和SkyDrive等等,大多数的IT政策都是进行内部防护,并且针对的只是企业内部的软件与硬件设备。但目前越来越多的员工使用了大量的第三方服务。
这会造成IT部门的控制权丧失,写明您的IT政策不允许这些服务,并提供你的员工足够的训练,以便消息是清楚的。IT政策需要控制个别用户选择他们能够安装的应用程序,这样会为企业消灭更多的安全隐患。
然而员工的使用习惯并不是一时半会可以改变的。这就要求企业将自身的软件变得更加人性化,更加方便可用。这样员工会更倾向于采用内部软件,从而放弃对外部应用的使用。而且明令禁止并不是一个好办法,有时它可以更有效的识别用户,帮助他们理解风险和建议一个低风险的选择与等效的功能。人们倾向于寻找方法去站点和服务他们感到不公正阻止。
6、适当的进行开放。
当企业IT部门确定了安全隐患存在时,有两种选择,第一种就是修复它,利用各种办法进行修复,避免同样的问题出现。然而这并不是最优的解决方案,一味的修复和禁止只会让你的系统越来越封闭。
这时候你需要进行适当的开放,对一些第三方的软件应用进行开放。比如我们之前提到的Dropbox、Skype等等。这并不是盲目的进行开放,而是根据一定的策略进行开放,由IT部门主导,对员工进行统一的开放。
毕竟这些软件在实际的工作中有很好的帮助,如果彻底堵死,会显得并不是那么明智。尝试相应的开放也许并不是那么危险,毕竟这些接口是从IT部门进行开放,IT部门依然拥有这些软件的控制权。