توجه به سایه آن, UK National Cyber Security Centre

از

سایه IT: یک تهدید پنهان برای امنیت سایبری سازمان‌ها (با نگاهی به گزارش مرکز امنیت سایبری ملی بریتانیا)

مقاله “توجه به سایه IT” منتشر شده توسط مرکز امنیت سایبری ملی بریتانیا (NCSC) در تاریخ 13 مارس 2025، به یک موضوع مهم و رو به رشد در امنیت سایبری سازمان‌ها می‌پردازد: سایه IT. سایه IT به سخت‌افزار، نرم‌افزار و خدمات IT‌ای اشاره دارد که توسط کارکنان یک سازمان بدون آگاهی یا تأیید بخش IT رسمی مورد استفاده قرار می‌گیرند. این پدیده می‌تواند چالش‌های جدی برای امنیت، انطباق و مدیریت کلی IT یک سازمان ایجاد کند.

سایه IT چیست؟

به زبان ساده، سایه IT به هر گونه ابزار، برنامه یا سرویس IT اطلاق می‌شود که کارکنان بدون اطلاع یا اجازه بخش IT از آن استفاده می‌کنند. این موارد می‌تواند شامل موارد زیر باشد:

  • نرم‌افزار و برنامه‌های کاربردی: استفاده از برنامه‌های شخص ثالث برای مدیریت پروژه، همکاری، ذخیره‌سازی فایل، یا ارتباطات.
  • سخت‌افزار: استفاده از دستگاه‌های شخصی (BYOD) مانند تلفن‌های هوشمند، تبلت‌ها و لپ‌تاپ‌ها برای دسترسی به داده‌ها و سیستم‌های شرکت.
  • خدمات ابری: استفاده از سرویس‌های ابری عمومی مانند ذخیره‌سازی فایل، مدیریت ایمیل و یا CRM بدون نظارت IT.
  • شبکه‌های غیرمجاز: ایجاد شبکه‌های وای‌فای یا اشتراک‌گذاری اینترنت ناامن برای اتصال دستگاه‌ها.

چرا سایه IT رخ می‌دهد؟

دلایل متعددی برای ظهور سایه IT وجود دارد، از جمله:

  • سهولت دسترسی: کارکنان به راحتی می‌توانند به برنامه‌ها و خدمات مختلف از طریق اینترنت دسترسی پیدا کنند و این امکان را می‌دهد که بدون درگیری با بخش IT، راه حل‌های مورد نیاز خود را پیدا کنند.
  • نیاز به سرعت و انعطاف‌پذیری: گاهی اوقات، فرآیندهای IT سازمان برای رفع نیازهای فوری کارکنان کند و دست‌وپاگیر هستند. در نتیجه، کارکنان به دنبال راه حل‌های سریع‌تر و انعطاف‌پذیرتر هستند.
  • کمبود آگاهی: بسیاری از کارکنان از خطرات امنیتی و انطباق مرتبط با استفاده از ابزارها و خدمات غیرمجاز آگاه نیستند.
  • شکاف بین نیازهای تجاری و ارائه IT: گاهی اوقات، بخش IT نمی‌تواند نیازهای تجاری خاص را برآورده کند، که منجر به جستجوی راه حل‌های جایگزین توسط کارکنان می‌شود.

خطرات و چالش‌های سایه IT:

سایه IT می‌تواند خطرات و چالش‌های متعددی را برای یک سازمان به وجود آورد، از جمله:

  • نقض امنیت: برنامه‌ها و خدمات غیرمجاز اغلب از نظر امنیتی کمتر از برنامه‌های مورد تایید IT بررسی می‌شوند و ممکن است حاوی آسیب‌پذیری‌هایی باشند که هکرها می‌توانند از آنها سوء استفاده کنند.
  • از دست دادن داده‌ها: داده‌هایی که در برنامه‌ها و خدمات غیرمجاز ذخیره می‌شوند ممکن است پشتیبان‌گیری نشوند یا به درستی محافظت نشوند، که منجر به از دست دادن داده‌ها می‌شود.
  • عدم انطباق: استفاده از برنامه‌ها و خدمات غیرمجاز ممکن است با مقررات و استانداردهای قانونی مطابقت نداشته باشد و سازمان را در معرض خطر جریمه قرار دهد.
  • مشکلات سازگاری: برنامه‌ها و خدمات غیرمجاز ممکن است با سیستم‌ها و زیرساخت‌های IT موجود سازگار نباشند و باعث ایجاد مشکلاتی در عملکرد و یکپارچگی شوند.
  • عدم دید و کنترل: وقتی بخش IT از برنامه‌ها و خدمات مورد استفاده کارکنان آگاه نیست، نمی‌تواند به طور موثر آنها را مدیریت کند، از آنها محافظت کند یا با آنها سازگار کند.
  • هزینه‌های پنهان: سایه IT می‌تواند منجر به هزینه‌های پنهان مانند هزینه پشتیبانی از برنامه‌های غیرمجاز، هزینه رفع مشکلات سازگاری و هزینه بازیابی داده‌ها در صورت از دست دادن داده‌ها شود.

راهکارهای مدیریت سایه IT:

مرکز امنیت سایبری ملی بریتانیا در گزارش خود، راهکارهایی برای مدیریت سایه IT و کاهش خطرات مرتبط با آن ارائه کرده است:

  • آگاهی‌رسانی و آموزش: آگاهی کارکنان را در مورد خطرات امنیتی و انطباق مرتبط با سایه IT افزایش دهید. به آنها آموزش دهید که چگونه می‌توانند درخواست‌های خود را به طور ایمن و قانونی برآورده کنند.
  • سیاست‌های IT واضح و شفاف: سیاست‌های IT واضح و شفافی ایجاد کنید که استفاده از برنامه‌ها و خدمات غیرمجاز را ممنوع کند. این سیاست‌ها باید به طور واضح توضیح دهند که چرا سایه IT خطرناک است و چه جایگزین‌هایی برای کارکنان در دسترس است.
  • فرآیندهای آسان و در دسترس IT: فرآیندهای IT خود را ساده کنید و دسترسی به آنها را برای کارکنان آسان‌تر کنید. این امر می‌تواند شامل ارائه کاتالوگ خدمات IT، راه‌اندازی یک میز کمک و یا ایجاد یک فرآیند سریع برای درخواست نرم‌افزار و سخت‌افزار جدید باشد.
  • نظارت و شناسایی: از ابزارها و تکنیک‌های نظارتی برای شناسایی برنامه‌ها و خدمات غیرمجاز مورد استفاده در شبکه خود استفاده کنید. این امر می‌تواند شامل استفاده از نرم‌افزار کشف شبکه، تجزیه و تحلیل ترافیک شبکه و یا بررسی گزارش‌های ثبت وقایع باشد.
  • مشارکت و همکاری: با کارکنان خود در مورد نیازهای تجاری آنها و چالش‌هایی که با آن روبرو هستند، صحبت کنید. با همکاری با آنها، می‌توانید راه حل‌های IT ایجاد کنید که نیازهای آنها را برآورده کند و در عین حال امنیت و انطباق را حفظ کند.
  • ارزیابی ریسک: به طور منظم ریسک‌های امنیتی و انطباق مرتبط با سایه IT را ارزیابی کنید. از این ارزیابی برای تعیین اولویت‌های خود و تخصیص منابع به مدیریت سایه IT استفاده کنید.
  • ابزارهای مدیریت هویت و دسترسی (IAM): استفاده از ابزارهای IAM می‌تواند به شما کمک کند تا کنترل بهتری بر دسترسی کاربران به سیستم‌ها و داده‌های شرکت داشته باشید، حتی در محیط سایه IT.
  • پذیرش رویکرد امنیتی Zero Trust: مدل امنیتی Zero Trust بر این فرض استوار است که هیچ کاربری، دستگاه یا برنامه ای نباید به طور پیش فرض مورد اعتماد قرار گیرد. این رویکرد می‌تواند به کاهش خطرات مرتبط با سایه IT کمک کند.

نتیجه‌گیری:

سایه IT یک چالش رو به رشد برای امنیت سایبری سازمان‌ها است. با درک خطرات و چالش‌های مرتبط با آن و با اجرای راهکارهای مدیریت موثر، سازمان‌ها می‌توانند خطرات امنیتی و انطباق را کاهش دهند و در عین حال از مزایای انعطاف‌پذیری و نوآوری بهره‌مند شوند. گزارش مرکز امنیت سایبری ملی بریتانیا به عنوان یک راهنمای ارزشمند برای سازمان‌هایی است که به دنبال مدیریت موثر سایه IT هستند.

توجه به سایه آن

هوش مصنوعی اخبار را ارائه کرده است.

سؤال زیر برای دریافت پاسخ از Google Gemini استفاده شد:

در 2025-03-13 08:35، ‘توجه به سایه آن’ طبق گفته UK National Cyber Security Centre منتشر شد. لطفاً مقاله‌ای دقیق با اطلاعات مرتبط به صورت قابل درک بنویسید.


128

Post Views: 2

دیدگاهتان را بنویسید