نرم‌افزارهایی شبیه به اشباح
«فناوری اطلاعات در سایه چیست» و چه تهدیدات امنیتی را برای سازمان‌ها ایجاد می‌کند؟
در قلب زیرساخت فناوری اطلاعات هر سازمانی، یک نیروی خطرناک پنهان قرار دارد که می‌تواند شبیه به بدافزاری، گسترش پیدا کرده و به تمامی بخش‌های کسب‌و‌کار نفوذ کند. این پدیده که از اصطلاح «فناوری اطلاعات در سایه» برای توصیف آن استفاده می‌شود، در ظاهر بی‌خطر به نظر برسد، اما با گسترش و شیوع هر چه بیشتر آن شاید به ماهیتی کاملا خطرناک تبدیل شود. اگر نسبت به پدیده فناوری ‌اطلاعات در سایه بی‌تفاوت باشید، این ظرفیت را دارد تا به‌سرعت به بخش‌های مختلف فناوری اطلاعات سازمان وارد شود، مکانیزم‌های دفاعی را ضعیف کند و آسیب‌پذیری‌های بی‌سابقه‌ای را پدید آورد. متاسفانه، عامل شیوع این پدیده نوظهور هکرها یا بدافزارها نیستند، بلکه کارمندان شاغل در سازمان هستند. به بیان دقیق‌تر، اگر کارمندان بخش فناوری اطلاعات یا امنیت نسبت به این مسئله بی‌تفاوت باشند، کارمندان سازمان به‌سرعت جذب این پدیده می‌شوند و بدون آن‌که اطلاع داشته باشند، سازمان را با چالش جدی روبرو می‌کنند. شاید کمی اغراق‌آمیز باشد، اما فناوری ‌اطلاعات در سایه ممکن است به خطری جدی برای کسب‌و‌کار شما تبدیل شود، مگر آن‌که بدانید به چه طریقی آن‌را کنترل کنید.

shabake-mag.jpg

پیشرفت‌ها در حوزه فناوری اطلاعات، بهبود بهره‌وری کارمندان و محیط‌های کاری را به‌همراه داشته و به لطف فناوری‌هایی مثل پردازش ابری، دسترسی به راه‌حل‌ها و ابزارهای دیجیتال ساده‌تر از قبل شده است. به‌طوری که کارمندان می‌توانند در کوتاه‌ترین زمان به نرم‌افزارها و ابزارهای موردنیاز دسترسی پیدا کنند و وظایف خود را ساده‌تر از قبل انجام دهند. رابطه مشخصی میان بهبود بهره‌وری، محیط کاری و افزایش سطح درآمدهای سازمان‌ها وجود دارد؛ با این‌حال دسترسی راحت به ابزارهای نظارت نشده در محیط کار، چالش‌های امنیتی جدیدی را برای سازمان‌ها به‌همراه دارد که یکی از آن‌ها فناوری اطلاعات در سایه است. رویکردی که این روزها به مشغله ذهنی بیشتر مدیران ارشد فناوری اطلاعات تبدیل شده است. گارتنر در گزارشی اعلام کرد از هر سه رخنه امنیتی که در سال 2020 میلادی اتفاق داده است، یک مورد از آن‌ها مرتبط با فناوری اطلاعات در سایه است. علاوه بر این، طبق مطالعات انجام شده و گزارش‌های مدیران ارشد فناوری اطلاعات تعداد نرم‌افزارهای سایه‌ای که در شبکه‌های مختلف سازمانی استفاده می‌شوند، قابل شمارش نیست و تنها زمانی شناسایی می‌شوند که آسیبی به زیرساخت سازمان وارد شده باشد. جالب آن‌که در برخی شرکت‌ها، مدیران ارشد فناوری اطلاعات گزارش داده‌اند که تصور می‌کردند 51 سرویس ابری در سازمان آن‌ها در حال اجرا باشد؛ در حالی که بررسی‌های دقیق‌تر نشان داد دست‌کم 730 سرویس ابری توسط کارمندان و بدون اطلاع آن‌ها در شبکه سازمانی به‌کار گرفته می‌شدند. این آمار نشان می‌دهد که بیشتر مشاغل هنوز درک درستی از مفهوم فناوری اطلاعات در سایه ندارند و تنها هنگامی با این اصطلاح آشنا می‌شوند که کسب‌وکار آن‌ها با چالش جدی روبرو می‌شود. 

فناوری اطلاعات در سایه چیست؟

سایه‌ها در فناوری اطلاعات (Information Technology Shadows) که در این مقاله برای درک بهتر از اصطلاح فناوری اطلاعات در سایه برای توضیح آن استفاده شده به استفاده پنهانی از دستگاه‌ها، ابزارها، سامانه‌ها، برنامه‌های کاربردی، نرم‌افزارها و سرویس‌های مرتبط با فناوری اشاره دارد که کارمندان بدون کسب اجازه از دپارتمان فناوری اطلاعات و بدون مجوز مربوطه از آن‌ها استفاده می‌کنند. آمارها نشان می‌دهند بخش عمده‌ای از کارمندانی که از فناوری اطلاعات در سایه استفاده می‌کنند، به دنبال آسیب رساندن به سازمان نیستند و بیشتر به دنبال افزایش بهره‌وری در انجام وظایف محوله هستند، اما به دلیل آن‌که بخش فناوری اطلاعات سازمان از کاری که این افراد انجام می‌دهند مطلع نیست، ممکن است این ذهنیت پدید آید که این افراد به دنبال اعمال فعالیت‌های مجرمانه هستند. همان‌گونه که اشاره کردیم، فناوری اطلاعات در سایه به نرم‌افزار یا سخت‌افزارهایی اشاره دارد که کارمندان، بدون اطلاع یا تأیید تیم فناوری اطلاعات از آن‌ها استفاده می‌کنند. این پدیده در شکل‌های مختلف خود را نشان می‌دهد که از مهم‌ترین آن‌ها باید به سرویس‌های اشتراک‌گذاری فایل‌ها از طریق یک سرویس ابرمحور مثل وان درایو، دراپ باکس یا گوگل درایو بین کارمندان، تأمین‌کنندگان و مشتریان، استفاده از یک راه‌حل مدیریت ارتباط با مشتریان توسط یکی از اعضای تیم فروش، برگزاری کنفرانس توسط مدیر فروش با مشتریان از طریق حساب کاربری اسکایپ شخصی یا استفاده کارمندی از ابزارهای آنلاین شغل قبلی‌اش به جای نرم‌افزار ارائه شده توسط کارفرمای فعلی اشاره کرد. 

فناوری اطلاعات در سایه مفید است یا مضر؟ 

در این زمینه نقطه نظرات مختلف است و دیدگاه‌ها به‌طور کامل مثبت یا منفی نیست. برخی از مدیران امنیت اطلاعات معتقد هستند که فناوری اطلاعات در سایه فایده‌هایی هم دارد و عده‌ای دیگر مخالف وجود چنین سازوکاری در سازمان هستند.

همان‌گونه که اشاره کردیم، بیشتر کارمندان به دنبال سوءاستفاده از فناوری اطلاعات در سایه نیستند و استفاده از این ابزارها به دلیل افزایش بهره‌وری کارمندان می‌تواند به نفع سازمان‌ها باشد؛ از سویی دیگر، با توجه به عدم نظارت بخش فناوری اطلاعات بر این ابزارها امکان تشخیص زودهنگام حمله‌های انجام گرفته بر ضد آن‌ها وجود ندارد؛ بنابراین ابزارهای مذکور می‌توانند داده‌های سازمان را با چالش‌های امنیتی مختلفی روبرو کنند و صدمات جبران‌ناپذیری به سازمان وارد کنند. پرسشی که اکنون مطرح می‌شود این است که چرا فناوری اطلاعات در سایه در سازمان‌ها رواج پیدا کرده است؟ فارغ از دیدگاه منتقدان نسبت به فناوری اطلاعات در سایه، این پدیده در بیشتر سازمان‌ها قابل رویت است. پیشرفت‌های فناوری باعث شده که نادیده گرفتن فناوری اطلاعات در سایه سخت باشد. به‌طور مثال از کارمندان انتظار می‌رود در دنیای پر رقابت کسب‌وکار امروز، عملکرد مناسبی داشته باشند. بنابراین، آن‌ها سعی می‌کنند برای ارتقای سطح عملکرد و بهبود کیفی کارهای خود از نرم‌افزارهای مختلف استفاده کنند. فرایند بررسی و اعتبارسنجی این ابزارها در برخی سازمان‌ها کاری طولانی و پر هزینه است؛ به همین دلیل کارمندان ترجیح می‌دهند به شکل پنهانی از ابزارهای مورد نیازشان استفاده کنند تا مجبور نشوند از واحدهای مختلف کسب اجازه کرده و مدت زمان طولانی را برای ارزیابی کمی و کیفی نرم‌افزارها به انتظار بنشینند. 

فناوری اطلاعات در سایه چه مزایایی برای سازمان‌ها به همراه دارد؟

فناوری اطلاعات در سایه شبیه به یک شمشیر دو لبه است. اگر این فناوری به بهبود بهره‌وری کارمندان کمک کند، بدون شک باعث بهبود فعالیت‌های تجاری یک سازمان نیز می‌شود. از مهم‌ترین مزایای فناوری اطلاعات در سایه برای سازمان‌ها باید به موارد زیر اشاره کرد:

1.  افزایش بهره‌وری کارمندان

ابزارهایی که در اختیار کارمندان قرار می‌گیرند برای افزایش بهره‌وری آن‌ها در محیط کار طراحی شده‌اند، اما اگر کارمندان بتوانند ابزارهای مدنظرشان را انتخاب کنند، بهره‌وری آن‌ها بیشتر می‌شود. ممکن است کارمندان‌ با ابزارهایی که در اختیار دارند احساس راحتی نکنند، اما به اجبار از آن‌ها استفاده کنند. سختی کار با این ابزارها کاهش بهره‌وری را به همراه خواهد داشت، اما اگر کارمندان ابزارهای مورد نیازشان را انتخاب کنند از آن‌جایی که این انتخاب توسط خود آن‌ها انجام شده، بهره‌وری آن‌ها به بیشترین سطح ممکن می‌رسد. به‌طور مثال، فرض کنید سازمانی کارمندان خود را مجبور به استفاده از محیط توسعه یکپارچه استاندارد پایتون IDLE کند، در حالی که ابزارهای دیگری مثل Sublime Text قابلیت‌های بیشتری در اختیار آن‌ها قرار می‌دهد. طبیعی است در چنین شرایطی کارمندان ترجیح می‌دهند به شکل پنهانی از ابزار مدنظر خود استفاده کنند. 

2.  کاهش حجم کار بخش فناوری اطلاعات

توسعه، ارتقا و نگه‌داری مداوم تجهیزات کلاینت از مهم‌ترین وظایف بخش فناوری اطلاعات سازمان‌ها است. حجم کاری کارشناسان این بخش زیاد است و اگر مجبور به بررسی تمام ابزارها باشند، وظایفشان دو چندان می‌شود؛ بنابراین استفاده از ابزارهای مفید و ایمن توسط کارمندان سایر بخش‌ها، باعث افزایش حجم کاری  کارمندان فناوری اطلاعات نمی‌شود. 

3. کمک به ابتکار و نوآوری

تلاش بخش فناوری اطلاعات برای تامین همه فناوری‌های مورد نیاز جهت انجام کارها می‌تواند عملکرد کارمندان این بخش را کاهش دهد. برخی ابزارهای موجود با گذشت زمان منسوخ شده یا به‌روزرسانی آن‌ها توسط تیم فناوری اطلاعات زمان‌بر است. بنابراین کارمندان اگر بتوانند از ابزارهایی که به ارتقای بهره‌وری آن‌ها کمک می‌کند برای انجام وظایف کاری‌شان استفاده کنند، ابتکار و نوآوری را برای سازمان به ارمغان می‌آورند و به رشد و توسعه سازمان کمک می‌کنند. 

فناوری اطلاعات در سایه چه معایبی دارد؟

یکی از مهم‌ترین پیامدهای منفی فناوری اطلاعات در سایه، انجام فعالیت‌های غیراخلاقی است. علاوه بر این، ممکن است کارمندان با این کار، سازمان را در معرض حمله‌های سایبری و تهدیدات مختلف قرار دهند. به همین دلیل فناوری اطلاعات در سایه از برخی جنبه‌ها پیامدهای زیان‌بار زیادی برای سازمان‌ها به‌همراه دارد. از مهم‌ترین معایب فناوری اطلاعات در سایه به موارد زیر باید اشاره کرد:

1.  بی‌توجهی نسبت به الزامات قانونی

سازمان‌ها برای آن‌که بدون مشکل کار کنند همواره باید در چارچوب مقررات و قوانین گام بردارند. این قوانین درباره مدیریت و نحوه استفاده از داده‌ها، سامانه‌ها، کانال‌های ارتباطی و به‌ویژه تجهیزات رادیووایرلسی است که استفاده از آن‌ها نیازمند اخذ مجوزهای قانونی است. ممکن است در اثر استفاده از ابزارهای غیرمجاز توسط کارمندان، کسب‌وکارها با پیامدهای قانونی جدی روبرو شوند. 

2.  نداشتن قابلیت دید و کنترل

بخش فناوری اطلاعات باید بر همه ابزارهای مورد استفاده در سازمان نظارت کند. وقتی به دلیل وجود فناوری اطلاعات در سایه برخی سامانه‌ها از دید بخش فناوری اطلاعات دور می‌مانند، فرصت نظارت بر آن‌ها از دست می‌رود. در چنین شرایطی دیگر تیم فناوری اطلاعات امکان تشخیص تهدیدات سایبری را نخواهد داشت و درست از همین نقطه است که بیشتر سازمان‌ها آسیب می‌بینند. 

3.  نشت داده‌ها

تیم فناوری اطلاعات باید پیامدهای امنیتی استفاده از فناوری‌های مختلف را ارزیابی و مشخص کند. برخی نرم‌افزارها کارآمد هستند، اما الزامات امنیتی پیچیده‌ای دارند. ممکن است کارمندان، اطلاعات لازم برای پیکربندی درست این نرم‌افزارها را نداشته باشند که باعث افشای داده‌های حساس می‌شود. به‌علاوه، احتمال دارد حفظ عملکرد درست سیستم‌های فناوری اطلاعات در سایه، مستلزم به‌روزرسانی و مراقبت پیوسته باشد. اگر کارمندان، تخصص یا فرصت لازم برای انجام این کار را نداشته باشند سامانه‌های سازمان را در معرض نفوذهای امنیتی قرار می‌دهند. 

چگونه چالش‌های امنیتی فناوری اطلاعات در سایه را مدیریت کنیم؟

حذف کامل فناوری اطلاعات در سایه کار سختی است، زیرا تجهیزات همراه کارمندان به یکی از بخش‌های جدایی‌ناپذیر فرهنگ سازمانی تبدیل شده است. بنابراین باید برای حفظ امنیت کسب‌وکار با روش مدیریت این پدیده آشنا باشید. با استفاده از روش‌های زیر می‌توانید با دلایل وقوع این پدیده مقابله کنید:

1. آموزش کارمندان

با توجه به این‌که کارمندان از فناوری اطلاعات در سایه برای بهبود بهره‌وری کاری خود استفاده می‌کنند، اطلاع چندانی درباره مخاطرات امنیتی ندارند. بنابراین در گام اول به جای برخورد جدی با کارمندان باید به آن‌ها درباره مخاطرات انجام این‌کار اطلاعات لازم را بدهید. ابتدا چک‌لیستی در ارتباط با چالش‌های امنیتی آماده کنید و در اختیار آن‌ها قرار دهید و در مرحله بعد برای آن‌ها دوره‌های آموزشی برگزار کنید. آن‌ها را متقاعد کنید حتا زمانی که تحت نظارت نیستند ملزم به رعایت اصول امنیتی هستند. 

2.  توان‌مندسازی کارمندان با تأمین ابزارهای مورد نیازشان

به جای تحمیل برخی ابزارهای منسوخ، قدیمی یا نه چندان کاربردی، با آن‌ها درباره ابزارهای مورد نیازشان صحبت کنید. رویکرد فوق باعث می‌شود کارمندان به جای استفاده پنهانی از ابزارها با هدف بهبود بهره‌وری‌شان به شما مشاوره‌های لازم را بدهند. 

3.  ساده‌سازی فرایندهای بررسی و تأیید

پس از آن‌که کارمندان آموزش‌های لازم در ارتباط با مخاطرات امنیتی را به‌دست آوردند و درباره ابزارهای موردنیاز، نقطه نظرات خود را ارایه کردند باید ساختار مشخصی برای پیاده‌سازی فرایند بررسی آماده کنید. برای آن‌که کارمندان دومرتبه به همان روش استفاده خودسرانه از ابزارهای دلخواه باز نگردند باید فرایند ارزیابی را ساده‌تر کنید. بهتر است تأیید گرفتن از بخش فناوری اطلاعات برای استفاده از یک ابزار یا نرم‌افزار خاص بیش از حد طولانی و پیچیده نباشد.

4.  اولویت‌بندی دارایی‌ها

هکرها همواره به دنبال ارزشمندترین اهداف هستند و وقت‌ خود را صرف دارایی‌های بی‌ارزش نمی‌کنند. با ارزش‌گذاری و اولویت‌بندی دارایی‌های دیجیتالی سازمان می‌توانید منابع اطلاعاتی را به شکل کارآمدتری مدیریت کنید و وقت خود را برای نظارت روی ابزارهای در سایه‌ای که بی‌ضرر هستند، به‌ویژه ابزارهایی که نیازی به اتصال مستقیم به اینترنت ندارند یا خطری در این زمینه ندارد هدر ندهید. 

5.  استفاده از ابزارهای پیشرفته برای مدیریت زیرساخت فناوری اطلاعات

اگر ابزارهای فناوری اطلاعات در سایه ناشناخته باشند باعث بروز مشکلات امنیتی می‌شوند، اما وقتی آن‌ها را شناسایی و زیرنظر بگیرید، نگرانی کمتر می‌شود. با استفاده از ابزارهای نظارتی پیشرفته، همواره اطلاعات دقیقی در ارتباط با زیرساخت فناوری اطلاعات سازمان به‌دست می‌آورید.

کلام آخر

اگر به دنبال بهبود بهره‌وری سازمان هستید، اما در ارتباط با ابزارهای مختلف حوزه کاری اطلاع کافی ندارید، شاید فناوری اطلاعات در سایه به‌شکل غیرمستقیم به شما کمک کند. به عنوان یک قاعده کلی به این نکته دقت کنید، مادامی که کارمندی در سازمان باشد، فناوری اطلاعات در سایه هم وجود خواهد داشت، زیرا طبیعی است کارمندان همواره به دنبال راه‌هایی برای راحت‌تر کردن وظایف خود باشند، به ویژه هنگامی که قصد انجام فعالیت‌های مجرمانه را نداشته باشند. اگر ابزارهای مورد نیاز کارمندان را تامین کنید این شانس را پیدا می‌کنید که از فناوری اطلاعات در سایه به نفع خود استفاده کنید.

ماهنامه شبکه را از کجا تهیه کنیم؟
ماهنامه شبکه را می‌توانید از کتابخانه‌های عمومی سراسر کشور و نیز از دکه‌های روزنامه‌فروشی تهیه نمائید.

ثبت اشتراک نسخه کاغذی ماهنامه شبکه     
ثبت اشتراک نسخه آنلاین

 

کتاب الکترونیک +Network راهنمای شبکه‌ها

  • برای دانلود تنها کتاب کامل ترجمه فارسی +Network  اینجا  کلیک کنید.

کتاب الکترونیک دوره مقدماتی آموزش پایتون

  • اگر قصد یادگیری برنامه‌نویسی را دارید ولی هیچ پیش‌زمینه‌ای ندارید اینجا کلیک کنید.

ایسوس

نظر شما چیست؟