Если использование теневых IT явлеются проблемой, исходящей от лиц, которые отвечают за принятие бизнес-решений, то это признак того, что ваш старший сотрудник безопасности не выполняет своих обязанностей на достаточно высоком уровне.
Когда лица, принимающие бизнес-решения, выбирают идти в обход мер безопасности, они, как правило, пытаются повысить эффективность работы, а вовсе не подвергать организацию риску. Но, даже когда это делается с хорошими намерениями, это по-прежнему создает определенный риск.
Недавнее исследование , проведенное компанией Code42 показало, что руководители являются главными виновниками использования теневых IT, хотя они и знают, какой риск это создает. Исследование показало, что 75% руководителей и более половины (52%) лиц, ответственных за принятие бизнес-решений используют приложения или программы, которые не одобрены их ИТ-отделом.
Рик Орлофф, вице-президент и CSO компании Code42, сказал, что это яркий пример поговорки «погнаться за двумя зайцами».
«Они просто хотят сделать по-своему. Такое поведение, возможно, свидетельствует о том, что старший сотрудник службы безопасности их организации недостаточно хорошо выполняет свои обязанности», — сказал Орлофф.
«Когда старшие сотрудники службы безопасности сообщают об этой проблеме генеральному директору или исполнительному директору, то у последних появляется понимание того, что происходит на самом деле, и тогда они могут пойти на определенные меры для разрешения использования определенных программ с целью их правильного применения», — сказал Орлофф.
Разумеется, руководители — не единственные, кто виновен в подобном нарушении безопасности. В некоторых случаях, организацию подвергают риску и опытные специалисты по безопасности. «Они загружают программное обеспечение, и оказывается, что его использование подразумевает определённый риск», — сказал Орлофф.
Примером этого могут служить так называемые «официальные» хакеры, которые загружают утилиту для взлома паролей, чтобы проверить сложность паролей, используемых организацией. «После взлома паролей возникают проблемы с соблюдением правил, — сказал Орлофф, добавив, что «есть способ провести подобную проверку без риска для организации, но это нужно тщательно продумать».
В случае с руководителями, которые используют теневое ПО, вероятно, у них нет хороших отношений с опытными специалистами в области безопасности. Но, Райан Столт, соучредитель и технический директор компании Bay Dynamics, утверждает, что проблемы с недостаточно безопасным поведением специалистов, работающих в сфере безопасности, возникают из-за информационной перегрузки.
«Повсеместная проблема, которая заставляет специалистов «срезать углы», заключается в том, что у них имеется слишком много данных об уязвимостях и угрозах», — отмечает Столт.
Когда специалист испытывает перегрузку, он начинает автоматически полагаться на свою интуицию. «Они доверяют своему опыту и полагают, что могут не доверять поступающей информации».
Организации уязвимы и, как представляется, подвергаются атакам со всех сторон. Легко оказаться похороненным под завалами этих угроз, и когда это происходит, то «специалисты начинают возвращаться к тому, что уже помогало им в прошлом. Перед лицом непреодолимых разногласий они возвращаются к тому, что знают наверняка».
Опытные специалисты в области безопасности, которые тонут в информации о различных угрозах, в конечном итоге обретают менталитет охотника, в ущерб для самих данных, которые они призваны охранять. «Они проверяют и ищут конкретные шаблоны, которые были успешными в прошлом», — говорит Столт.
После инцидента, когда к расследованию привлекаются эксперты, обнаруживается, что имелись все доказательства нарушения безопасности данных, просто сотрудники их не увидели.