影子 IT

本文约需 2 分钟阅读

影子 IT 是指员工未经组织 IT 部门或安全部门审批与管理，自行引入并使用的 IT 服务、应用程序和设备的统称。将业务文件保存在个人 Google Drive、用未经批准的 SaaS 工具进行项目管理、用私人智能手机查看工作邮件等行为，都属于影子 IT。Gartner 的调查显示，企业 IT 支出的 30〜40% 发生在 IT 部门的掌控之外，在合规和安全两方面都带来了严重的风险。

影子 IT 为何会产生

影子 IT 的根本原因在于官方工具与一线需求之间的差距。当审批流程需要数周、官方工具的 UI 难以使用、所需功能未被提供时，员工会优先考虑工作效率而转向非正式手段。尤其是远程办公普及以后，个人终端和个人签约的云服务在业务中的使用激增，IT 部门的可见性进一步下降。

影子 IT 带来的风险

最大的风险是数据泄露。一旦业务数据被保存到 IT 部门并不掌握的服务上，离职时的数据回收、访问权限的盘点、事件发生时的调查都会变得困难。客户信息被遗留在云存储的个人账户中而无人处理的情况屡见不鲜。此外，如果未经批准的服务不符合GDPR 等法规，整个组织都将承担违反合规的风险。

通过 CASB 实现可视化与控制

CASB (Cloud Access Security Broker) 是一种用于将员工所使用的云服务可视化，并根据策略加以控制的解决方案。它通过分析网络流量来检测未经批准的 SaaS 使用，并根据风险评分阻止或警告访问。通过与IAM 联动，可以在为已批准服务提供单点登录的同时，防止向未经批准的服务上传数据，实现统一的管理。

影子 IT 的管理流程

从禁止转向管理的方针转变

一律禁止影子 IT 的做法并不现实。即使禁止，员工也只会找到其他手段，反而转入地下，使可见性进一步下降。先进的组织将方针从「禁止」转向「管理」，建立起对员工想要使用的工具进行快速评估和审批的流程。对满足安全要求的工具积极正式采用，对不满足的工具则提供具有同等功能的已批准替代方案，这种做法是有效的。

密码管理中的影子 IT

密码管理是影子 IT 的典型温床。当企业未正式引入密码管理器时，员工会使用浏览器的保存功能、个人签约的密码管理器，或者用电子表格、记事本来管理认证信息。由于这些都不在 IT 部门的管理范围内，因此会出现离职时无法回收账户信息、共享账户的密码只保存在个人设备上等问题。从访问控制的角度来看，在整个组织范围内引入统一的密码管理基础设施也是不可或缺的。详情请参阅关于影子 IT 与密码风险的文章。信息安全相关书籍 (Amazon)也有助于构建组织的安全体系。

现场使用案例

「引入 CASB 后，我们发现公司内部使用着 200 多个未经批准的 SaaS。其中 30 个保存了客户数据，于是立即实施了数据迁移和账户关闭。同时，对使用频率高的工具通过快速审查予以正式采用，在保持员工便利性的同时大幅降低了风险。」

关于远程办公环境下的安全措施，远程办公安全的文章有详细说明；关于构建整个组织的安全基础设施，初创企业安全检查清单中有详细解说。