影子 IT、SaaS 给企业带来安全责任

不可否认，软件即服务 (SaaS) 已进入黄金时代。 软件工具现在已成为现代业务运营和连续性必不可少的。 然而，没有足够的组织实施适当的采购流程来确保他们保护自己免受潜在的数据泄露和声誉损害。

导致对 SaaS 管理的担忧的一个关键因素是 影子IT，即员工在未通知其内部 IT 团队的情况下下载和使用软件工具。 最近的一项研究表明 77％的IT专业人员 认为影子 IT 将成为 2023 年的一个主要问题，超过 65% 的人表示他们的 SaaS 工具未获得批准。 除了对超支和运营效率中断的明显担忧之外，随着 SaaS 使用量的不断扩大，组织开始努力维护安全性。

不幸的是，忽略影子 IT 不再是许多组织的选择。 数据泄露和其他安全攻击是 使企业损失 4.5 万美元 平均而言，其中许多是由于软件领域不断扩大而发生的。 为了对抗影子 IT 和随之而来的高风险，组织必须提高对其 SaaS 堆栈的可见性，并在引入新软件解决方案时制定有效的采购流程。

为什么影子 IT 是一种负担？

所有围绕影子 IT 的问题都可以追溯到组织缺乏可见性。 非托管软件堆栈使 IT 团队无法深入了解公司敏感信息的使用和分发方式。 由于这些工具没有经过适当的审查并且没有受到监控，因此它们存储的数据没有得到大多数组织的充分保护。

这为黑客创建了一个完美的框架，可以轻松获取重要数据，例如机密财务记录或个人详细信息。 关键的公司数据处于危险之中，因为大多数（如果不是全部） SaaS 工具需要企业凭据 以及访问组织的内部网络。 Adaptive Shield 和 CSA 最近的一项调查实际上表明，仅在过去一年中， 63％的CISO 报告了此类 SaaS 滥用的安全事件。

不作为的后果

如前所述，许多企业在影子 IT 方面遇到的反复出现的主题是与数据泄露相关的风险。 然而，同样重要的是要认识到企业面临的潜在行业审查以及由于庞大的影子 IT 而受到监管机构的处罚。 当未经批准的软件被添加到组织的技术堆栈时，很可能 不符合合规标准 — 例如企业必须遵守的通用数据保护条例 (GDPR)、联邦信息安全管理法案 (FISMA) 和健康保险流通与责任法案 (HIPAA)。 对于严格监管行业的组织而言，因合规失败而受到处罚的后果可能会造成无法弥补的声誉损害——这个问题无法仅通过支付与处罚相关的费用来解决。

除了与安全故障相关的成本和企业收到的声誉损失之外，组织还没有注意到在应用程序和工具上浪费的运营资金。 不幸的是，这几乎是不可能的 对于大型组织 发现公司因复杂情况而从未批准的所有应用程序，例如流氓子团队、部门自行配置自己的软件，或员工使用公司凭据访问免费增值或单座工具。

那么我们如何解决影子 IT 困境呢？

纠正组织的 SaaS 蔓延并确保影子 IT 永远不会让您处于妥协位置的关键第一步是 获得知名度 到现有的软件堆栈中。 如果没有可见性，组织将看不到正在使用哪些工具，并且无法就集中其软件做出明智的决定。 IT 团队应该专注于使他们的软件组合的文档跟上速度，并记录应用程序功能、软件利用率、每个工具的合同/订阅期限和成本。

一旦收到并正确更新了此信息的访问权限，IT 团队就可以确定哪些工具是必不可少的，以及可以在何处进行更改。 清洁内部后，企业可以创建一个集中采购系统，以确保所有未来的采购都在各部门之间进行协调，并持续满足所有安全措施或合规标准，以防止安全漏洞和监管处罚。 拥有这些记录将有助于组织轻松跟踪所有使用情况，从而最大限度地减少浪费的成本和安全故障。

对于感受到影子 IT 和整体 SaaS 蔓延影响的公司而言，最大的障碍是认识到您存在软件管理问题并提出解决方案来解决该问题。 在经济压力和监管审查之间，组织再也不能忽视对影子 IT 及其使用的软件类型的日益关注。

• SEO 支持的内容和 PR 分发。 今天得到放大。
• 柏拉图区块链。 Web3 元宇宙智能。 知识放大。 访问这里。
• 与 Adryenn Ashley 一起铸造未来。 访问这里。
• Sumber: https://www.darkreading.com/edge-articles/shadow-it-saas-pose-security-liability-for-enterprises