影子IT指企业员工未使用IT企业非常清楚批准的应用程序的影子IT但他们并没有意识到云计算和BYOD时代问题的严重程度。调查显示,85%以上的企业云应用程序尚未通过IT部门批准。
安全供应商CipherCloud分析了其企业客户的云计算使用数据,发现北美企业平均使用约1245个云应用程序。在这个数字中,86%的应用程序没有IT部门批准的应用程序,员工从企业内部网络访问这些应用程序。
CipherCloud云安全全球公司负责人Willy Leichter该数据突出了企业阴影云问题的严重性。虽然企业通常知道企业经营未经批准的应用程序,但他们不知道这种情况有多广泛。
Leichter表示:“很多人不知道影子IT的范围。”部分企业未经批准的应用程序的实际数量是IT经理估计的数量是几倍。例如,他指出,一些企业预计将为文件共享找到10到15个未经批准的云计算应用程序,而员工正在使用70个这样的应用程序。
对于这项研究,CipherCloud将云应用程序定义为云托管服务,用户需要输入用户名和密码进行访问。该应用程序的例子包括社交媒体服务(例如LinkedIn和Twitter),例如,文件共享应用程序DropBox和Box)、电子邮件、安全、生产力和云存储应用程序。
CipherCloud研究表明,最常被访问的应用程序是发布应用程序(例如WordPress和Adobe Creative Cloud)、物业服务(例如Indeed和Resumonk)以及社交媒体网络(例如Facebook、Twitter和LinkedIn)。讽刺的是,这三类也被列为三类最危险的云应用。
CipherCloud研究表明,52%的云应用、42%的社交媒体应用和40%的职业云应用给企业带来了高风险。评估风险CipherCloud所考虑的因素包括云应用份验证,支持数据加密,提供第三方访问,并获得标准认证。
对于企业内不断增长的未经授权的应用程序使用,BYOD该政策起着重要的作用。使用个人移动设备的员工通常使用未经批准的云应用程序来简化他们的工作。例如,如果一些员工想在家里或办公室外工作,他们可以简单地将文件上传到移动设备支持的文件共享应用程序,仅仅因为这更简单。
企业技术老化IT模型也导致了影子云的问题。根据普华永道的报告,面对不断增长的业绩压力,业务组和员工正在放弃IT选择他们认为更好的云服务是部门提供的应用程序。
影子IT一直是企业面临的一大技术难题,影子云带来了新的风险。普华永道指出:“影子IT在很大程度上,相关风险局限于运行解决方案来支持日常工作的个人电脑。”虽然在某些企业这种使用非常普遍,但这种影响主要局限在企业网络内。
另一方面,对于阴影云服务,企业需要处理传输到企业网络外部和公共云的信息。如果这些信息没有企业的控制,这种分散的未知和不受监管的活动将给企业带来巨大的风险,特别是在那些高度监管的行业。
SANS新兴安全威胁主管John Pescatore表示,如果IT它可以响应业务需求,许多风险可以得到缓解。员工和业务部门通常选择满足其需求的云服务,因为这比等待要好IT提供这些服务要快得多。
Pescatore表示:“IT工作方式是,‘我们买了一些硬件,可以用三年,也可以用五年。’这种模式根本不可行。如果存在合作和同步问题,人们会出去找一个可用的应用程序来解决问题。”
如果IT它可以为用户提供一种将信息存储在安全位置的方法,并允许他们随时随地访问信息,因此用户没有理由使用未经批准的应用程序,但如果IT没有解决方案,这种事情总是会发生,你无法阻止。