روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ انتخاب ابزاری که همه دوستش دارند عملاً غیرممکن است. دست‌کم یکی از کارمندان همیشه سرویس رایگانی را می‌شناسد که ده برابر از انتخاب شرکت بهتر باشد. وقتی همان یک نفر شروع کند به استفاده از آن سرویس و نیز به طور فعالانه‌ای به بقیه هم توصیه کند که از همان ابزاری که خودش می‌شناسد استفاده کنند، آنگاه به چنین پدیده‌ای می‌گویند پدیده‌ی Shadow IT (یا همان سایه‌ی آی‌تی). برخی اوقات این پدیده به شرکت در پیدا کردن راه‌حلی که تطابق بیشتری با نیازهای تجاری‌اش داشته باشد کمک می‌کند اما اغلب اوقات فقط دردسر درست می‌کند. در ادامه با ما همراه شوید تا نحوه‌ی جلوگیری از مشکلات Shadow IT را خدمتتان توضیح دهیم.

اگر افراد، آگاهی داشتند از همان ابتدا جانب امنیت را می‌گرفتند اما ما در جهانی زندگی می‌کنیم که پر از نقص است و هیچ چیز در آن کامل نیست؛ کارمندان اغلب از سرویس‌های اشتراک‌گذاری فایل، اپ‌های وبیِ ایمیل، کلاینت‌های شبکه اجتماعی و یا مسنجرها آن هم بدون حتی کمی فکر کردن استفاده می‌کنند و تازه بعدش متوجه عواقب منفی و سنگین آن خواهند شد (البته شاید هرگز متوجه این پیامدها نشوند). مشکل لزوماً این نیست که ابزار مذکور ممکن است مسنجر جدید، فوری و رایگان باشد که در طول مسیر آلوده شده باشد. در این مبحث با سرویس خوش‌ساخت و بدون مشکلی روبرو هستیم. مشکل این است که نه متخصصین امنیتی (اگر شرکت‌تان اساساً چنین متخصصینی داشته باشد) و نه متخصصین آی‌تی نمی‌دانند در چنین مواقعی چه اتفاقی دارد می‌افتد. و این یعنی اپِ بی‌تعهد هیچ تضمینی برای مدل‌های تهدید زیرساختی، جداول جریان‌های اطلاعاتی و تصمیم‌گیری‌های برنامه‌ریزی اولیه نیست؛ بلکه در عوض آمده است تا دردسر ایجاد کند.

احتمال نشتی

چه کسی می‌داند وقتی دارید از ابزارهای طرف‌سوم استفاده می‌کنید چه تله‌هایی آن پشت نهفته است؟ هر اپلیکیشنی خواه مبتنی بر کلود و خواه با میزبانی داخلی می‌تواند تنظیمات بسیاری در بخش نظارت حریم خصوصی داشته باشد. و همه‌ی کاربران هم به هیچ‌وجه از هوش یکسان نرم‌افزاری برخوردار نیستند. موارد زیادی داشتیم که کارمند جداول حاوی داده‌های شخصی را بی‌هیچ راهبرد امنیتی‌ای در Google Documents رها کرده است. یا نمونه‌ای دیگر، سرویس‌ها می‌توانند آسیب‌پذیری‌هایی داشته باشند که از طریق آن‌ها، طرف‌های سوم بتوانند به داده‌های شما دسترسی پیدا کنند. نویسندگان آن‌ها ممکن است سریعاً حفره را پر کنند؛ اما چه کسی تضمین می‌دهد کارمندان همه‌ی پچ‌های لازمه را برای اپ‌های سمت مشتری نصب کرده‌اند؟ بدون دخیل کردن بخش آی‌تی محال است بتوان تضمین داد دست‌کم در آپدیت کردن تنبلی نکرده‌اند.

همچنین حتی اگر چنین ویژگی‌ای موجود هم باشد باز خیلی کم پیش می‌آید که کسی مسئولیت مدیریت حقوق دسترسی در اپ‌ها و سرویس‌های غیرمجاز بر عهده گیرد- برای مثال با لغو امتیازات بعد از قطع همکاری. خلاصه بگوییم که هیچ کس مسئول امنیت انتقال داده‌ها یا پردازش آن‌ها وقتی دارید از سرویس‌های غیرمجاز استفاده می‌کنید نیست.

نقض الزامات نظارتی

این روزها، کشورهای سراسر جهان قوانین مخصوص به خود را دارند که مشخص می‌کند کسب و کار چطور باید داده‌های شخصی را مدیریت کنند. تازه کلی استانداردهای صنعتی را هم بدان اضافه کنید. شرکت‌ها باید برای پاسخگویی به الزامات رگولاتورهای متعدد، به صورت دوره‌ای تحت ممیزی‌ قرار گیرند. اگر در ممیزی ناگهان معلوم شود داده‌های شخصی کلاینت‌ها و کارمندان با استفاده از سرویس‌های نامطمئن فرستاده شده بودند (و خبری از تیم آی‌تی نبوده است)، شرکت می‌تواند با جریمه‌ی سنگینی مواجه شود. به بیانی دیگر، یک شرکت برای به دردسر افتادن نیازی به نقض داده‌ی واقعی ندارد.

بودجه‌ی هدر رفته

استفاده از ابزاری جایگزین به جای ابزار توصیه‌شده شاید چندان هم مسئله‌ی بزرگی نباشد اما برای شرکت یک‌جورهایی به مثابه‌ی هدر دادن پول است. از اینها گذشته، اگر شرکت برای هر شرکت‌کننده‌ی تأییدشده لایسنس خریداری کند اما هیچ‌کس از لایسنس خود استفاده نکند، پس بودجه به معنای واقعی حرام می‌شود.

در مورد Shadow IT باید چه کار کرد؟

Shadow IT را بایست مدیریت کرد نه اینکه با آن جنگید. اگر می‌توانید آن را تحت کنترل خود درآورید، نه تنها قادر خواهید بود امنیت داده‌های خود را در شرکت‌تان ارتقا دهید که همچنین می‌توانید ابزارهایی بس محبوب و کارامد را پیدا کنید؛ ابزارهایی که می‌شود آن‌ها را در سطح سازمانی به کار گرفت. در حال حاضر که ویروس کرونا همه‌جا را فرا گرفته ریسک استفاده از اپ‌ها و سرویس‌های پشتیبانی‌نشده حتی بالاتر هم رفته است. کارمندان دارند مجبور می‌شوند خود را با شرایط پیش‌آمده وفق دهند.

آن‌ها معمولاً سعی دارند ابزارهای جدیدی را پیدا کرده و اعتقادشان هم بر این است که این ابزارها برای دورکاری مناسب‌ترند. بنابراین، ما به نسخه‌ی آپدیت‌شده‌ی Kaspersky Endpoint Security Cloud خود قابلیت‌های دیگری نیز اضافه کرده‌ایم که شناسایی استفاده از اپ‌ها یا سرویس‌های کلودِ غیرمجاز حتی آسانتر نیز بشود. علاوه بر اینها، Kaspersky Endpoint Security Cloud Plus نیز می‌تواند استفاده از چنین سرویس‌ها و اپ‌هایی را بلاک کند. این نسخه از راهکار ما همچنین به شرکت‌ها دسترسی به کسپرسکی سکیوریتی برای مایکروسافت آفیس 365 را هم می‌دهد؛ و این خود لایه‌ی حفاظتی دیگری را به Exchange Online، OneDrive، SharePoint Online و Microsoft Teams اضافه می‌کند.

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.