“暗箱IT”,顧名思義�,給我們留下的是非常不好的感覺?�!鞍迪銲T”有自己的運(yùn)行系統(tǒng)����,并且公然的實(shí)施其自身的規(guī)章制度,很快就可以對企業(yè)的安全基礎(chǔ)設(shè)施造成嚴(yán)重的威脅�。
那么,面對這些看上去似乎是在自然生長繁殖的暗箱實(shí)體�,CIO們該如何去應(yīng)付呢?針對“暗箱IT”這種現(xiàn)象�,我們走訪了兩位專家。這些實(shí)體為什么會存在�����?他們對企業(yè)的基礎(chǔ)設(shè)施安全構(gòu)成了怎樣的威脅�����?企業(yè)的高級管理層該如何解決問題�,化解由此而帶來的風(fēng)險(xiǎn)?帶著這些問題,讓我們來聽聽專家的意見�。
“暗箱IT”為何存在?
一些商業(yè)環(huán)境很自然的為一些非正式的甚至是非法的IT運(yùn)作提供了生存和繁殖的肥沃土壤���。下面就是一些很好的例子:
1�����、“暗箱IT”實(shí)體在壓力下產(chǎn)生�����。
Configuresoft, Inc.的CTO Dennis R.Moreau博士指出��,由于企業(yè)IT支出的大幅度減少和基礎(chǔ)設(shè)施問題對IT支持需求的增加(這種需求包括安全需求��,但是又不僅僅局限在安全需求之內(nèi)���,還包括技術(shù)融合/升級和服務(wù)水平的維持等)�,公司的IT部門要完成的項(xiàng)目越來越多。但是它們的工作能力又是有限的����,無法對業(yè)務(wù)部門的需求完全作出迅速積極的回應(yīng)。這樣一來,一些業(yè)務(wù)部門就很自然的自己處理這些問題了��。
2�、“暗箱IT”小組最初是為了解決業(yè)務(wù)部門的特定問題。
Moreau說���,在很多情況下�,企業(yè)IT部門的工作并不能充分滿足業(yè)務(wù)需求����,這樣一來很多業(yè)務(wù)部門就想辦法來進(jìn)行自己的“暗箱IT”項(xiàng)目。
這些暗箱項(xiàng)目通常風(fēng)險(xiǎn)很小����,因?yàn)樗鼈兯O(shè)計(jì)的范圍很小,并且都同業(yè)務(wù)部門的需求相一致�。這些項(xiàng)目通常也可以迅速的實(shí)現(xiàn)投資回報(bào),這在很大的程度上是因?yàn)樽畛醯耐顿Y比較小��。
3���、“暗箱IT”實(shí)體被速度錯(cuò)覺所驅(qū)使�。
一些業(yè)務(wù)實(shí)體認(rèn)為����,同樣的工作,如果交給IT部門去做�,可能需要八個(gè)星期的時(shí)間,而如果由自己的員工來完成���,可能只需要兩個(gè)星期的時(shí)間���。但是,正如Spafford Global Consulting的負(fù)責(zé)人��,IT Process Institute發(fā)行副主管George Spafford所指出的����,業(yè)務(wù)實(shí)體自己的員工來完成工作可以比IT部門快,是因?yàn)樗恍枰獙⒐ぷ魍麄€(gè)企業(yè)的工作進(jìn)行協(xié)調(diào)��,不需要從企業(yè)整個(gè)系統(tǒng)的角度來考慮問題��,不需要考慮數(shù)據(jù)的正式化和再度利用�����。
但是��,當(dāng)這些暗箱系統(tǒng)開始出問題的時(shí)候�����,這種速度錯(cuò)覺也就被打破了����。
那么“暗箱IT”實(shí)體又會給企業(yè)帶來哪些安全威脅呢?
Moreau說:“沒有經(jīng)過專業(yè)人員正規(guī)操作的IT系統(tǒng)通常很難滿足不斷升級的安全要求”��。Spafford還補(bǔ)充說:“暗箱操作同樣也缺少標(biāo)準(zhǔn)���,沒有經(jīng)過充分的計(jì)劃��,對安全設(shè)計(jì)和開發(fā)缺乏充分的理解�?��!?BR>
這樣一來�����,“暗箱IT”實(shí)體就可能將整個(gè)企業(yè)的IT基礎(chǔ)設(shè)施暴露在嚴(yán)重的風(fēng)險(xiǎn)之中�。例如:
安全受到威脅的系統(tǒng)可能會對外提供基礎(chǔ)配置和網(wǎng)絡(luò)設(shè)施的信息���。
一個(gè)不安全的系統(tǒng)對服務(wù)的拒絕可能會危及到同一網(wǎng)絡(luò)上的所有其他系統(tǒng)����。
一個(gè)安全受到威脅的系統(tǒng)可能會成為整個(gè)企業(yè)系統(tǒng)上的突破口。
一個(gè)安全受到威脅的系統(tǒng)背后可能暗藏著敏感信息的交流���。
管理層如何解除安全威脅�����?
管理層應(yīng)該如何消除這些安全風(fēng)險(xiǎn)����,或者使其最小化���,至少也要能對這些風(fēng)險(xiǎn)進(jìn)行控制��。Moreau為我們提供了一些戰(zhàn)略:
1�����、投資購買可以及時(shí)發(fā)現(xiàn)“暗箱IT”操作的工具����。
處于“暗箱IT”操作下的系統(tǒng)通常是不受企業(yè)范圍內(nèi)的控制的����。要想發(fā)現(xiàn)這種系統(tǒng)的存在,最為有效的辦法既可以是積極主動的(通過掃描)也可以是被動的(通過目錄����,緩存,日志等)�。對被發(fā)現(xiàn)系統(tǒng)的全面控制應(yīng)該包括系統(tǒng)設(shè)置、獨(dú)立性和軟件安裝(包括給軟件打補(bǔ)?。?BR>
2��、加強(qiáng)對現(xiàn)有“暗箱IT”設(shè)施的管理�����。
通過對現(xiàn)有安全配置的評估加強(qiáng)對已經(jīng)發(fā)現(xiàn)的暗箱系統(tǒng)的控制和管理���。
3�、防患于未然���。
加快那些能夠更好的適應(yīng)和滿足業(yè)務(wù)需求的系統(tǒng)的創(chuàng)立��。鼓勵(lì)I(lǐng)T部門更積極的同業(yè)務(wù)部門合作�����,滿足業(yè)務(wù)部門的需求�����。
記錄“暗箱IT”系統(tǒng)的支持成本和安全風(fēng)險(xiǎn)信息����。在對風(fēng)險(xiǎn)進(jìn)行控制和管理時(shí),這些信息是非常重要而有效的���。
Spafford還補(bǔ)充指出�,管理層還需要了解與現(xiàn)有的IT模型所并存的風(fēng)險(xiǎn)��,確定自己是否愿意接受并承擔(dān)這些風(fēng)險(xiǎn)�。
此外,他還進(jìn)一步指出�����,管理層必須要了解,“暗箱IT”是整個(gè)控制環(huán)境的一部分��,必須也要符合企業(yè)整體的規(guī)章制度����?��!叭绻鞍迪銲T”要繼續(xù)存在��,它就必須遵守企業(yè)的IT制度���。”
