2つのタイプのシャドーITに対処する
2019年10月18日、Mike Vizard
シャドーITは大きく2つのタイプに分けることができます。1つめは社内の門が利用しているにもかかわらずIT部門に伝えていないプロジェクトです。幸いにも、このようなプロジェクトが企業データにアクセスするようになるとすぐに、サイバーセキュリティ部門は不正行為が行われているという情報を入手します。
もう1つは、ネットワークに接続するパーソナルデバイスが関係しているという点で上記のタイプより巧妙です。多くのIT部門が直面している課題は、パーソナルデバイスがいつどのように、信頼されていないネットワークを悪用して、企業データに突然アクセスするようになる可能性があるかを誰も知らないということです。理想的には、ほとんどのIT部門が企業ネットワークに接続できるエンドポイントのタイプを完全に管理したいと考えています。問題は、エンドユーザが「独裁的」なITポリシーに抵抗する傾向があるということです。実際、エンドユーザの役職が上位であればあるほど、問題は解決しにくくなる可能性があります。現役のすべてのサイバーセキュリティプロフェッショナルに役員がどれほど頑固かを尋ねてみるとよいでしょう。
しかし、問題の本質はエンドユーザの頑固さではありません。単純な事実は、エンドユーザが実際に使用したいエンドポイントデバイスの選定について、IT部門には優れた実績がないということです。ID管理ツールのプロバイダであるEntrust Datacardが1,000人のITプロフェッショナルを対象に実施した調査によると、ほとんどのITプロフェッショナルは、この事実を認識しています。また、従業員が自分の好きなデバイスを社内で使用できる場合は、従業員の生産性(97%)、エンゲージメント(96%)、および忠誠心(93%)が向上すると回答しています。
新しい調査によると、シャドウITする場合、内部のIT部門が最大の敵になる可能性があります。 理由を明らかにします。 #shadowIT
シャドーITにつながる課題
この調査からは、IT部門がエンドユーザにとっての最大の敵になる可能性があることも判明しています。ITプロフェッショナルの約半数(46%)は、デバイスの依頼プロセスが不適切な場合は、IT部門と他の部門の間に対立が生じると回答しています。従業員からの新しいデバイスの依頼のすべてに対処しているITプロフェッショナルは、わずか12%です。ITプロフェッショナルの40%は半数にしか対処していません。IT部門の対処が不十分なことを考えると、機会があるたびに、エンドユーザが生産性という名目でIT部門による管理を回避していることは意外ではありません。
さらに厄介なことに、ITプロフェッショナルの3分の1をはるかに上回る37%は、従業員がIT部門の承認なしに新しいデバイスを持ち込んだ場合に、自社がどのような影響を受けるかを明確に説明していないと回答しています。従業員が2度目の違反で解雇されると回答しているITプロフェッショナルは、わずか40%です。
ITに携わる従業員の半数は、技術要求プロセスの質の低さがITと他の部門との競合を引き起こすと言っています。#shadowIT
シャドーITに対処する方法
当然、問題は、パーソナルデバイスの使用が特にセキュアなわけではないということです。データ侵害の検出には、数か月かかる可能性がありますが、侵害を受けたデバイスが企業のものではない場合は、さらに時間がかかる可能性があります。
すべての「優しい独裁者」が知っているとおり、「支配」を維持するための秘訣は抵抗したいという欲求を最初にそぐことです。シャドーITに対処する最適な方法はエンドユーザがデバイスの選定プロセスに定期的に関与することです。通常は、エンドユーザが関与すると、ITポリシーに抵抗したいという欲求だけでなく、IT部門を敵と見なす傾向も低下します。ほとんどのサイバーセキュリティプロフェッショナルが知っているとおり、見えないものを管理することはできず、まして保護することはできません。IT部門にとっての現在の課題とチャンスは、エンドユーザが熱望するサイバーセキュリティと生産性のバランスをとる方法を見出すことです。
原文はこちら:
Dealing with two types of shadow IT
October 18, 2019 Mike Vizard
https://blog.barracuda.com/2019/10/18/dealing-with-two-types-of-shadow-it/
No comments yet.