ה-IT הרוחש מתחת לפני השטח – חלק ג’ – גישות ופתרונות

תוכן עניינים

בשני הפרקים הקודמים סקרנו את תופעת מחשוב הצללים, הסיבות להיווצרותה והסכנות הממשיות שהיא טומנת בחובה עבור הארגון (פרט לכאב הראש הענק של מנהל ה-IT). בפרק זה, נסקור את הגישות המקובלות והפתרונות האפשריים לטיפול בבעיה.

גישת ה”על גופתי המתה יהיה בארגון מחשוב שאיננו מנוהל ומתועד” – גישה ארכאית, אשר אמנם משדרת פורמליות וסמכותיות, אולם בפועל, אין לה שיניים. לא זו בלבד שבגישה כזו לא תושגנה תוצאות מהותיות ברמה הטכנית, אלא שהיא עלולה להוות מכשול מורלי ואף תוביל למשחקי “חתול ועכבר” בין מנהל ה-IT לבין משתמשים מתוחכמים, בעלי צרכים שלא טופלו.
גישת ה”If you can’t beat them’ join them ויאללה, בלאגן” – גישה מסוכנת ביותר, הנובעת מתחושת חוסר האונים של מנהל ה-IT למול השטף הגובר והולך של סיכונים למערכת. בפועל, גישה אשר מגבירה את הסיכונים למערכת.גישת ה”רגליים על הקרקע, בעוד האוזניים שומעות והמוח מבין” – גישה המהווה סינתזה של שתי הגישות הקודמות: אינך מוותר על מדיניות האבטחה, אבל אתה נכון ופתוח להקשיב לצרכים ומאמץ לתוך המערכת חלק מפתרונות מחשוב הצללים, ואף מכווין מפתחים “פירטיים” לערוצים הנכונים והמנוהלים.

איך גישה זו מתבצעת בשטח?
פתיחת ערוצי תקשורת גמישים בין הדרגים השונים – למידת צרכיהם האמיתיים של המשתמשים בארגון, סימון אבני נגף ופרצות מסוכנות (מנקודת מבטו של מנהל ה-IT, האחראי לתפעול השוטף של המחשוב), בדיקת האופציות התקציביות להקצאת המשאבים הדרושים ליישום הפתרונות הנדרשים וכד’.
בדיקה של מצב מחשוב הצללים הקיים בארגון – תוך הצטיידות בכלים ייעודיים שיאפשרו לאמוד את היקפי הפעילויות השונות שמתבצעות בפועל בארגון. אבחון בשטח של כל אחד מרכיבי מחשוב הצללים, למידתו לעומק והבנת הצורך שהביא להיווצרותו. מיון של הרכיבים לפי חתכים שונים (למשל, רמת הסכנה שהם עלולים להוות לארגון, היכולת להחליף אותם ברכיבים “לגיטימיים” מנוהלים ארגונית, תכיפות השימוש בהם, וכן הלאה).
גיבוש אסטרטגיה ארגונית פרטנית הנוגעת לכל אחד מהרכיבים המאובחנים והמחולקים לפי רמות שונות – למשל, ניתן להגדיר כי אסור באופן מוחלט לחבר דיסק און קי למחשב נייח, אולם ניתן להיכנס לתיבת ה-Gmail בזמן גלישה באינטרנט.
גיבוש נהלים המבוססים על בסיס האסטרטגיה הארגונית – תוך כדי קביעת עונשים קבועים לפי חומרת העברה.
טיפול בקיים – סתימת פרצות אבטחה קיימות (למשל, חסימת גישה לאתרי מייל מבוססי רשת, פרישת מערכת איתור יישומי ענן הנמצאים בשימוש המשתמשים, וכן הלאה). מתן לגיטימציה למפתחי יישומים “פירטיים” מועילים והכוונתם לנתיב הארגוני המנוהל.
הבהרת המדיניות לכל הדרגים בארגון.
הצטיידות בכלים המאפשרים לארגון לנטר ולאכוף את המדיניות שנקבעה – למשל, אכיפת מדיניות השימושים ביישומי ענן באמצעות מערכת DLP ייעודית. או שימוש ב-EMM (ר”ת Enterprise Mobility Management) לניהול המכשור הנייד ואכיפת המדיניות הארגונית (בניהול המכשירים, האפליקציות המותקנות, ההתממשקות לרשת הארגונית ואבטחת המידע).

בשורה התחתונה:
אין ארגון הנקי ממחשוב צללים לגמרי. נקודה. ההבדל בין ארגון בו מחשוב הצללים מהווה סכנה אמיתית וקיימת לאבטחה, ובין ארגון בו מחשוב כזה מהווה סכנה פחותה, טמון בתקשורת שבין הדרגים השונים, ונכונותם לשתף פעולה לטובת הארגון.

תוכן עניינים

הכתבה הועילה לכם? שתפו...

לקוחות וגולשים יקרים,

ימים קשים, עצובים ומורכבים עוברים על כולנו.

משפחת ERG שולחת אהבה ותנחומים עמוקים לכול משפחות ההרוגים והנעדרים והחלמה מהירה ושלמה לכול הפצועים.

בעזרת השם ובמהרה נננצח ונחזור לשקט ולשגרה.

אנחנו מעדכנים שגם בזמנים קשים אלו הצוות שלנו ערוך וזמין לסייע בכל נושאי המחשוב שלכם כרגיל.

אנחנו שולחים מכאן חיבוק גדול לכול עם ישראל ושנדע זמנים טובים יותר במהרה.

משפחת ERG פתרונות מחשוב ותוכנה.

דילוג לתוכן