CIO要如何解除“暗箱IT”带来的风险

“暗箱IT”，顾名思义，给我们留下的是非常不好的感觉。“暗箱IT”有自己的运行系统，并且公然的实施其自身的规章制度，很快就可以对企业的安全基础设施造成严重的威胁。

那么，面对这些看上去似乎是在自然生长繁殖的暗箱实体，安全们该如何去应付呢?针对“暗箱IT”这种现象，我们走访了两位专家。这些实体为什么会存在?他们对企业的基础设施安全构成了怎样的威胁?企业的高级管理层该如何解决问题，化解由此而带来的安全?带着这些问题，让我们来听听专家的意见。

“暗箱IT”为何存在?

一些商业环境很自然的为一些非正式的甚至是非法的IT运作提供了生存和繁殖的肥沃土壤。下面就是一些很好的例子：

1、“暗箱IT”实体在压力下产生。

Configuresoft, Inc.的CTO Dennis R.Moreau博士指出，由于企业IT支出的大幅度减少和基础设施问题对IT支持需求的增加(这种需求包括安全需求，但是又不仅仅局限在安全需求之内，还包括技术融合/升级和服务水平的维持等)，公司的IT部门要完成的项目越来越多。但是它们的工作能力又是有限的，无法对业务部门的需求完全作出迅速积极的回应。这样一来，一些业务部门就很自然的自己处理这些问题了。

2、“暗箱IT”小组最初是为了解决业务部门的特定问题。

Moreau说，在很多情况下，企业IT部门的工作并不能充分满足业务需求，这样一来很多业务部门就想办法来进行自己的“暗箱IT”项目。

这些暗箱项目通常风险很小，因为它们所设计的范围很小，并且都同业务部门的需求相一致。这些项目通常也可以迅速的实现投资回报，这在很大的程度上是因为最初的投资比较小。

3、“暗箱IT”实体被速度错觉所驱使。

一些业务实体认为，同样的工作，如果交给IT部门去做，可能需要八个星期的时间，而如果由自己的员工来完成，可能只需要两个星期的时间。但是，正如Spafford Global Consulting的负责人，IT Process Institute发行副主管George Spafford所指出的，业务实体自己的员工来完成工作可以比IT部门快，是因为他不需要将工作同整个企业的工作进行协调，不需要从企业整个系统的角度来考虑问题，不需要考虑数据的正式化和再度利用。

但是，当这些暗箱系统开始出问题的时候，这种速度错觉也就被打破了。

那么“暗箱IT”实体又会给企业带来哪些安全威胁呢?

Moreau说：“没有经过专业人员正规操作的IT系统通常很难满足不断升级的安全要求”。Spafford还补充说：“暗箱操作同样也缺少安全，没有经过充分的计划，对安全设计和开发缺乏充分的理解。”

这样一来，“暗箱IT”实体就可能将整个企业的IT基础设施暴露在严重的风险之中。例如：

安全受到威胁的系统可能会对外提供基础配置和网络设施的信息。

一个不安全的系统对服务的拒绝可能会危及到同一网络上的所有其他系统。

一个安全受到威胁的系统可能会成为整个企业系统上的突破口。

一个安全受到威胁的系统背后可能暗藏着敏感信息的交流。

管理层如何解除安全威胁?

管理层应该如何消除这些安全风险，或者使其最小化，至少也要能对这些风险进行控制。Moreau为我们提供了一些战略：

1、投资购买可以及时发现“暗箱IT”操作的工具。

处于“暗箱IT”操作下的系统通常是不受企业范围内的控制的。要想发现这种系统的存在，最为有效的办法既可以是积极主动的(通过扫描)也可以是被动的(通过目录，缓存，日志等)。对被发现系统的全面控制应该包括系统设置、独立性和软件安装(包括给软件打补丁)。

2、加强对现有“暗箱IT”设施的管理。

通过对现有安全配置的评估加强对已经发现的暗箱系统的控制和管理。

3、防患于未然。

加快那些能够更好的适应和满足业务需求的系统的创立。鼓励IT部门更积极的同业务部门合作，满足业务部门的需求。

记录“暗箱IT”系统的支持成本和安全风险信息。在对风险进行控制和管理时，这些信息是非常重要而有效的。

Spafford还补充指出，管理层还需要了解与现有的IT模型所并存的风险，确定自己是否愿意接受并承担这些风险。

此外，他还进一步指出，管理层必须要了解，“暗箱IT”是整个控制环境的一部分，必须也要符合企业整体的规章制度。“如果“暗箱IT”要继续存在，它就必须遵守企业的IT制度。”