Теневые ИТ, включающие в себя несанкционированные приложения, скрипты и сервисы, представляют собой значительную угрозу информационной безопасности и стабильности работы организаций. Часто возникая из-за недостатка внимания со стороны ИТ-департамента к реальным потребностям бизнеса, они создают уязвимости и сложности в поддержке, особенно после ухода сотрудников, их создавших.
Использование ИИ-помощников без санкции ИТ-отдела усугубляет проблему. Такие ассистенты могут получать доступ к корпоративной информации, что несет риски безопасности, а их обучение и настройки могут быть утрачены при увольнении сотрудника, переходя к конкурентам. Подобные риски усиливает распространение SaaS-решений со встроенным ИИ, где настройка и логика работы становятся непрозрачными для нового персонала.
Эффективное управление теневыми ИТ требует регулярного внутреннего аудита, включающего анализ документа «Положение по управлению Теневыми ИТ». Этот документ должен содержать глоссарий, цели регламента, описание процессов, план аудитов и лист согласования. В регламенте должны быть четко прописаны процедуры запроса новых сервисов через IT-департамент, а также порядок действий в случаях, когда бизнес-процессы требуют оперативного решения. Обязательным является заполнение паспортов ИТ-сервисов и их регистрация в CMDB, а также обязательный аудит ИБ-сервисов.
Аудит теневых ИТ должен включать проверку актуальности CMDB, интервью с пользователями, анализ данных DLP и мониторинговых систем, а также вопросы о теневых ИТ при выходных интервью. Ключевыми ошибками при управлении теневыми ИТ являются формальные запреты, отсутствие регламента и ответственных, а также неполнота информации в CMDB. Регулярный контроль за теневыми ИТ, включая стресс-тестирование, является критически важным для обеспечения безопасности и непрерывности бизнеса.
Изображение носит иллюстративный характер
Использование ИИ-помощников без санкции ИТ-отдела усугубляет проблему. Такие ассистенты могут получать доступ к корпоративной информации, что несет риски безопасности, а их обучение и настройки могут быть утрачены при увольнении сотрудника, переходя к конкурентам. Подобные риски усиливает распространение SaaS-решений со встроенным ИИ, где настройка и логика работы становятся непрозрачными для нового персонала.
Эффективное управление теневыми ИТ требует регулярного внутреннего аудита, включающего анализ документа «Положение по управлению Теневыми ИТ». Этот документ должен содержать глоссарий, цели регламента, описание процессов, план аудитов и лист согласования. В регламенте должны быть четко прописаны процедуры запроса новых сервисов через IT-департамент, а также порядок действий в случаях, когда бизнес-процессы требуют оперативного решения. Обязательным является заполнение паспортов ИТ-сервисов и их регистрация в CMDB, а также обязательный аудит ИБ-сервисов.
Аудит теневых ИТ должен включать проверку актуальности CMDB, интервью с пользователями, анализ данных DLP и мониторинговых систем, а также вопросы о теневых ИТ при выходных интервью. Ключевыми ошибками при управлении теневыми ИТ являются формальные запреты, отсутствие регламента и ответственных, а также неполнота информации в CMDB. Регулярный контроль за теневыми ИТ, включая стресс-тестирование, является критически важным для обеспечения безопасности и непрерывности бизнеса.
