Аудит Shadow IT
Теневые ИТ (Shadow IT) — это те ИТ, которые появляются в компании, минуя ИТ департамент, в том числе самописки, сложные системы макросов, граберры, сторонние ноутбуки, флешки, смартфоны. Большой новый класс Shadow IT — это ИИ помощники, используемые без санкций ИТ департамента.
В таких программах копятся уязвимости, через которые киберпреступники могут проникнуть в корпоративную систему. Теневые IT могут использоваться как одним сотрудником, так и командой. После увольнения автора, поддержка этих ИТ возлагается на ИТ департамент и становится крайне сложной из-за отсутствия описаний и исходников.
Причин появления Shadow IT несколько. На первом месте находится ситуация, когда руководитель отдела не смог выстроить отношения с властной группировкой. При распределении приоритетов на разработку и внедрение в ИТ департаменте его отдел оказывается в хвосте очереди. Чтобы быстро получить нужное приложение, он нанимает аналитика с базовыми навыками разработки. Вторая причина появления Shadow IT — творчество отдельных сотрудников, которые пытаются облегчить себе жизнь за счет автоматизации и часто в дальнейшем передают наработки коллегам. Третья — сотрудники переносят Shadow IT с прошлых мест работы или начинают использовать готовые решения.
На текущий момент самые популярные теневые приложения — это грабберы цен конкурентов, тендерные системы, системы обновления предложений на сторонних сайтах, системы сводных таблиц в Excel.
Начался тренд на использование ИИ помощников для автоматизации работы сотрудника. ИИ помощник может собирать информацию из корпоративной ERP и других информационных систем, анализировать ее и обрабатывать. Для удобства работы ИИ помощник получает доступы и пароли своего хозяина, что несет существенные риски для безопасности компании. При увольнении обученный ИИ помощник вместе с хозяином начинает служить конкурентам.
Второй тренд — компании переходят на SAAS использование ПО. При этом в ПО встроен ИИ с объяснительной способностью. В общении пользователя с этим ИИ происходит настройка ПО. При увольнении старого сотрудника сложно разобраться в деталях бизнес-процессов и работы ПО. Если первый тренд создает больше проблем с ИБ, то второй — с поддержкой.
Как нас учит Cobit и здравый смысл, эффективно управлять ИТ в компании без плана ИТ аудитов крайне сложно. Регулярный внутренний ИТ аудит Shadow IT должен быть включен в план аудитов ИТ. Он должен проводиться от 1 до 4 раз в год. Рекомендуем периодичность аудита процессов управления теневыми ИТ в первый год — раз в квартал подробно, далее — раз в полугодие выборочно.
Shadow IT пронизывает работу всех подразделений компании. Поэтому аудит процессов управления теневыми ИТ начинается с анализа документа — «Положения по управлению Теневыми ИТ». Этот документ должен быть утвержден генеральным директором. Проверяется факт наличия документа, его актуальность, доведение, соблюдение требований, изложенных в данном документе.
Рассмотрим, какие разделы должны присутствовать в «Положении по управлению Теневыми ИТ».
Глоссарий;
Цели регламента;
Описание Регламента;
План внутренних и внешних аудитов Shadow IT;
Лист согласования и утверждения.
▍ Глоссарий
«Теневые ИТ» — группа сервисов и приложений, которые используют сотрудники компании напрямую, без участи ИТ департамента.
В частности, к «Теневым ИТ сервисам» относятся грабберы, парсеры, системы выгрузки прайс листов, системы внешнего документооборота, различные веб-сервисы, самописные программы и сложные процедуры Excel с макросами, с которыми пользователи начали работать напрямую без ИТ департамента.
Разработчик «Теневого ИТ сервиса» — сотрудник, который разрабатывает, устанавливает или подключается к новому сервису без участия ИТ департамента.
Владелец «Теневого ИТ сервиса» — сотрудник, который определяет правила, границы использования сервиса в бизнес-процессах компании.
Информация об электронном документе с информацией об ИТ сервисе. Например, «Паспорт ИТ сервиса» — Шаблон в MS Word, в который вносится информация об ИТ сервисе для дальнейшего переноса в CMDB.
Аудит информационной безопасности ИТ сервиса — проверка сотрудником отдела информационной безопасности всех угроз, которые порождаются использованием ИТ сервиса.
ИТ аудит сервиса — проверка правильности и полноты информации о сервисе в CMDB, а также инструкций для поддержки и использования ИТ сервиса, необходимых дистрибутивов и инструментов.
▍ Цели Регламента
1. Обеспечить стабильную поддержку программ и сервисов, относящихся к группе «Теневые ИТ сервисы», в случае увольнения владельца сервиса;
2. Снизить риски для информационной безопасности компании через уязвимости «Теневых ИТ сервисов».
▍ Описание Регламента
На рабочих устройствах разрешается использовать только те сервисы, которые необходимы для выполнения Ваших должностных обязанностей.
Рекомендуется установка, а при необходимости — создание нового сервиса, через заявку в ИТ департамент в SD.
Если на заявку ответ не поступил, то в производственных интересах руководитель отдела дает поручение сотруднику подключить/написать теневой ИТ сервис.
Распоряжение делается через систему SD или ЭДО в электронном виде. В распоряжении определяется цель и ответственный за теневой ИТ сервис (Владелец этого ИТ сервиса).
Обязанностью Владельца ИТ сервиса является заполнить паспорт ИТ сервиса и переслать его в ИТ департамент через систему SD или ЭДО с момента начала использования ИТ сервиса.
После получения информации в CMDB о появлении нового сервиса, сотрудник отдела информационной безопасности проводит аудит этого сервиса. При необходимости принимает меры, чтобы сервис решал задачи бизнеса с минимальными рисками для безопасности компании. Отметку о проведении аудита и рекомендации он указывает в CMDB. Сотрудник ИБ не может запретить использование сервиса без предложения другого, более безопасного решения бизнес-задачи.
Владелец процесса управления конфигурациями назначается приказом ИТ директора. Владелец процесса управления конфигурациями контролирует актуальность паспортов сервисов в CMDB, в том числе и Shadow IT.
Проверка полноты и актуальности паспортов сервисов в CMDB осуществляется следующими способами:
1. Выборочные интервью пользователей и сличение их ответов с записями в CMDB;
2. Проверка через DLP системы и системы мониторинга;
3. Exit интервью пользователей при увольнении. В частности, задается вопрос, какими ИТ сервисами он пользовался.
Помимо этого, владелец процесса управления конфигурациями должен регулярно проводить испытания — восстановление сервиса в случае отсутствия разработчика/владельца сервиса.
▍ План аудитов Shadow IT
В случае отсутствия «Положения по управлению Теневыми ИТ» проводить аудит более глубоко обычно не имеет смысла. Если положение присутствует, и оно актуально, то следует проверить электронные документы, которые порождает «Положение по управлению Теневыми ИТ».
В частности, отчеты по выборочным интервью пользователей и сличение их ответов с записями в CMDB. Отчеты по поиску теневых приложений через DLP системы и системы мониторинга. Отчеты с ответами на вопросы в рамках Exit интервью, какими ИТ сервисами пользовался сотрудник до увольнения.
Сам аудитор может выборочно опросить пользователей, использовать системы мониторинга для проверки приложений, которыми пользуются сотрудники. Провести стресс тесты, задача которых — показать, что ИТ департамент готов обеспечить восстановление любого из теневых приложений.
▍ Ошибки
Частые ошибки, выявляемые при аудите «теневых ИТ»:
Формальное запрещение Теневых ИТ;
Отсутствие положения по работе с Теневыми ИТ;
Отсутствие ответственных за заполнение CMDB;
Не проводится аудит актуальности заполнения CMDB по теневым ИТ, в частности, ряд интервью, данные мониторинга и DLP, отсутствуют вопросы про теневые ИТ при EXIT интервью.
По данным западных аналитиков 2023 году треть успешных атак на информационные ресурсы организаций выполнялись через Shadow IT, и эта доля растет. Постепенная передача основного функционала ИИ помощникам увеличивает риски для предприятия, связанные с Shadow IT. Поэтому руководство ИТ и ИБ должны уделять больше внимания системе аудитов процессов управления Shadow IT.
