Stratejik BT kararları vermenin kalbi, doğru ve eksiksiz bir küresel veri haritasının yanı sıra benzer şekilde doğru ve kapsamlı bir varlık haritasına dayanır. Ne yazık ki, bugün hiçbir girişim buna sahip değil ve açık konuşmak gerekirse muhtemelen hiçbir zaman da olmadı.
Günümüzde BT ile ilgili herhangi bir şeyde tam görünürlük elde etme konusunda her zaman sorunlar yaşanmaktadır, ancak son yıllarda kurumsal ortam değiştikçe, BT’nin asırlık düşmanı, gölge BT hala önemli bir faktördür.
Bu sorun, birkaç sorun nedeniyle son birkaç yılda çok daha kötü bir hal aldı. IoT ve OT cihazlarının büyümesinin ve ağ ayrıcalıkları kazanan iş ortakları ve müşterilerin ötesinde, en büyük değişiklik ev ofislerin çığ gibi artması ve bu uzak sitelerde tutarlılık veya standartların olmamasıdır. Yönlendiriciler herhangi bir satıcıdan olabilir ve herhangi bir taşıyıcıyla ilişkilendirilebilir. Donanım güvenlik duvarları var olabilir veya olmayabilir ve varsa bile yamalanabilir veya uygulanmayabilir. LAN’ların çoğu vahşi batıdadır ve erişim herkese verilir (belki çalışanın ergenlik çağındaki kızının erkek arkadaşı gibi).
Donanım, yazılım ve cihaz sorunlarının ötesinde, gölge BT fikri artık on yıl önce yaptığı şey anlamına gelmiyor. Orijinal tanım, Target’tan bir yönlendirici satın almak veya Amazon, Microsoft veya Google’dan bulut alanı almak gibi başka bir yerden teknoloji satın alarak BT’de son noktayı koyan bir çalışan veya yüklenici anlamına geliyordu. Bunun tipik nedeni, BT’nin bir talebi yanıtlama ve yerine getirme konusunda sabırsız olmasıydı. Bir çalışanın/yüklenicinin bir Visa kartı çıkarması ve ihtiyaç duyduğu şeyi birkaç dakika içinde alması daha kolaydır.
Bir tedarikçi bir sisteme bir şey eklediğinde ve bundan bahsetmediğinde buna ne ad verilmelidir? Bu, büyük bir üreticinin başına, çok büyük ve pahalı bir montaj hattı ekipmanı – kuruluşun onlarca yıldır aynı satıcıdan sürekli olarak satın aldığı bir şey – arızalanmaya başladığında geldi. Satıcının tamircilerini beklerken, işçiler bir paneli kaldırdılar ve küçük antenlerin takılı olduğu mikrofonlar keşfettiler. Satıcının son yükseltmeyle IoT cihazlarını eklediği ve değişiklikten herhangi bir müşteriye bahsetmediği ortaya çıktı.
Bu, fabrika katında kurumsal BT’nin hakkında hiçbir şey bilmediği IoT donanımı olduğu anlamına geliyordu. Bu gölge BT mi? Tesis bakım görevlileri BT veya güvenlik görevlilerinin izni olmadan IoT ampulleri veya kapı kilitleri almaya başladığında ne olacak?
İşte benim favorim: Peki ya stratejik bir iş ortağı belirli sistemleri, yazılımları veya cihazları zorunlu kılıyorsa?
Infoblox’ta güvenlikten sorumlu kıdemli ürün pazarlama müdürü Bob Hansmann, “BT, VPN’leri, bulut depolamayı ve iş ortaklarının ihtiyaç duyduğu ancak kuruluş tarafından onaylanmayan diğer hizmetleri kullanan kişileri keşfediyor, çünkü ortaklıklar daha fazla dijital bağlantı içeriyor” dedi.
Bir kuruluşun çalışanlarının bunu BT’ye bildirmesi gerekiyor mu? Bu ortağın yapması gerekiyor mu? Tahmin ettiniz: kimse bunu BT’ye bildirmiyor ve yine de hassas kurumsal fikri mülkiyete erişiyor ve bunlarla etkileşim kuruyor. Bu belirli iş ortağı etkileşimi gölge BT mi?
Daha da kötüsü, işletme ve ortağın zıt kutuplara sahip politikaları olduğunda ne olması gerekiyor? Örneğin, bir son kullanıcının işvereni Google Drive’ı kullanmakta ısrar ederse ve Microsoft veya DropBox’ı yasaklarsa ne olur? Ve ortağın ekibi, BT’leri Google’ı yasakladığı için herkesin bir proje için DropBox kullanması konusunda ısrar ediyor? Bu kurallar, güvenlik, uyumluluk ihtiyaçları ve hatta iş ortağının Google ile başka bir ürün alanında veya coğrafyada rekabet etmesi gibi rekabet nedenleriyle yürürlükte olabilir.
bu tür şeyler önemsiz ayrıntılar sözleşme müzakerelerinde neredeyse hiçbir zaman özetlenmeyenler.
Bazı gölge BT çabalarını ortaya çıkarmaya çalışmanın bazı yolları vardır, ancak değişen doğası bu teknikleri bile daha az etkili hale getirir. Yaklaşımlardan biri, kuruluşa bağlı olmaması gereken bir şeye giden ağ etkinliğini algılamak için DNS izlemeyi kullanmak olabilir. Daha az inek bir yaklaşım, gider raporlarını düzenli olarak denetlemek için BT’nin ödenecek hesaplarla çalışmasını sağlamak ve BT aracılığıyla işlenmesi gereken herhangi bir teknoloji satın alımını aramaktır.
NTT Australia’nın siber güvenlik direktörü Dirk Hodgson, “Kişisel kullanım ile iş amaçlı kullanımın ne olduğunu belirlemek kolay olmadığı için teknolojiyi kullanmak zor. Örneğin, OneDrive her ikisi de olabilir. Ve çoğu gölge BT’nin SaaS ve web uygulaması tabanlı olduğunu ve çoğunun ücretsiz açık kaynak olduğunu düşündüğünüzde bu sorunun çok büyük olduğu ortaya çıkıyor – bu nedenle onu tanımlayacak bir finansal işlem bile bulamıyorsunuz.
Hodgson, “Ölçeğe örnek olarak, çalıştığım görece küçük bir finansal hizmetler müşterisinin – 1.000’den az lisansa sahip – ortamlarını uygulamalar için taramak için kullandıkları araçta gösterilen yaklaşık 4.500 uygulaması var” dedi. gölge BT’ uygulaması bu bağlamda kesinlikle samanlık işinde iğnedir. Birisi iş yerinde kişisel Google sürücüsüne erişirse, bu gölge BT mi yoksa yalnızca kişisel bir uygulama mı?
“Kullanıcıdan her birini her zaman kontrol etmesini istemek gerçekçi değil” dedi. “Ancak bunu yapmaz ve erişimi engellerseniz, bu kullanıcı deneyimi için acı verici olabilir ve yasal ticari işlevleri yerine getirmelerini engelleyebilir.”
Hodgson, gölge BT’yi doğrudan engellemenin veya başka bir şekilde alt etmeye çalışmanın muhtemelen işe yaramayacağını savundu. Daha iyi yaklaşımın, temel sorunu ele almak olduğunu savunuyor. Başka bir deyişle, BT’yi o kadar duyarlı, etkili ve düşük maliyetli hale getirin ki, son kullanıcıların kendi yollarına gitmek için çok az nedenleri olsun.
Hodgson, “Bir müşterimin önemli bir maliyetle düşük kodlu hızlı uygulama geliştirme platformu ve bunun için gerekli personeli satın almasını sağladım” dedi. “Ardından BT, iş alanlarının ihtiyaç duydukları her yeni uygulamaya çok düşük bir maliyetle erişmesine izin vererek onları başka bir yere gitmekten kurtarıyor.”
Hansmann, son kullanıcıların BT’yi gölgede bırakmaya yönelmesinin farklı bir nedeni olduğunu savundu: belirli bir görev için belirli bir aracın gerekli olduğunun farkında olmama.
Hansmann, “Kullanıcılar genellikle uygun aracın farkında değildir ve genellikle benzer bir araca daha aşinadırlar ve kendi araçlarını tercih ederler” dedi. “Veya ‘Kaynaklarımıza erişmek için VPN’imizi veya kimlik doğrulama yazılımımızı kullanın’ örneğinde olduğu gibi, bir iş ortağı tarafından gerekli görülen belirli bir yetkisiz araç vardır.”
Başka bir konu, BT’nin – haklı olarak – alaycı ve şüpheci olma eğiliminde olduğunu ve tüm gölge BT çabalarını “şirket/ajans görünürlüğünden ve etik dışı, yasa dışı vb. şeyler yapmak için kontrollerden bilinçli olarak kaçmaya çalışan bir kullanıcı” olarak görmesidir. artık her ihlale durum buymuş gibi davranmayı göze alamaz. Tarih, gölge BT ihlallerinin çoğunun, yalnızca doğru olanı yapmaya çalışan değerli çalışanları rahatsız etmeden kolayca düzeltilebileceğini gösteriyor.”
Kimlik satıcısı SailPoint’in CISO’su Rex Booth, bu sorunun büyük olasılıkla daha da kötüye gideceğini söyledi.
Booth, “Gölge BT’nin yaygınlığı, geleneksel olarak iş birimlerinin CIO’yu atlatarak ne kadar hızlı sonuç alabileceğiyle ilişkilendirilmiştir” dedi. “SaaS ortaya çıktığında, bu hız farkı arttı, bu da gölge BT’nin yaygınlığının da artması anlamına geliyordu. Şimdi asıl soru, üretken yapay zekanın nasıl bir etkiye sahip olacağı.
“Bir iş birimi birkaç gün içinde özel bir uygulama oluşturabiliyorsa, sizce resmi BT sürecini bekleyecekler mi? Bu hızla büyüyecek.”
Başka bir korkutucu düşünce: Şirketiniz gölge BT kurallarını uygulama konusunda ne kadar ciddi? Çoğu şirkette, BT iyi bir oyundan bahsediyor ve gölge BT çabalarının yasak olduğunu ilan ediyor. Ancak bu kurallar ihlal edildiğinde anlamlı cezalar asla olmaz. ne mesaj verir O son kullanıcılara gönderilsin mi?
Bir şirket, şirket için çok değerli olan bir üst düzey yöneticiye, gölge BT hizmetini kullanmak için kontrolleri atladığı için yaptırım uygulamaya hazır mı? Yoksayılacak mı yoksa önemsiz bir yanıtla mı sonuçlanacak?
Kroll siber risk uygulamasının kıdemli genel müdürü Alan Brill, “Şirketinizin BT hizmetlerinin yetkisiz kullanımını nasıl ele aldığı konusunda caydırıcılık ihtiyacını göz önünde bulundurmalısınız. İnsanlar, bunu yapanların gerçek ve önemli cezalar olabileceğini anlamalıdır.” yani, ya da her ne yapıyorsanız yapın, insanları sistemi yenmek için yeni yollar aramaya motive edebilir, çünkü onlar yakalandıklarında önemli sonuçları olacağına inanmazlar.
Brill, “Bunun bir şirketin BT, İK ve yasal birimleri tarafından ortaklaşa değerlendirilmesi gereken bir konu olduğunu düşünüyorum” dedi. “Gölge BT’yi caydırmak konusunda ciddi olmak istiyorsanız, kuralları çiğnemeyi acı verici hale getirmelisiniz. Bunu yapmaya istekli değilseniz, gölge BT yasaklama programınız dişsiz bir kaplan olarak görülebilir.”
Telif hakkı © 2023 IDG Communications, Inc.
Kaynak : https://www.computerworld.com/article/3697788/the-shadow-it-fight-2023-style.html#tk.rss_all