CC BY
14
УДК 33: 004.056.53
ВЛИЯНИЕ ТЕНЕВЫХ ОБЛАЧНЫХ ПРИЛОЖЕНИЙ НА БЕЗОПАСНОСТЬ ОРГАНИЗАЦИИ
© 2017
Кулишова Анастасия Владимировна, студент Кузьмин Евгений Валериевич, кандидат экономических наук, доцент кафедры «Электронная коммерция» Поволжский государственный университет телекоммуникаций и информатики (443010, Россия, Самара, улица Льва Толстого, 23, e-mail: a_kulishova@inbox.ru)
Аннотация. Залогом продуктивной деятельности организации, прежде всего, является ее безопасность. Именно благодаря безопасности сотрудники направляют все свои силы на реализацию максимальных для организации результатов. Существует ряд причин, негативно влияющих на уровень безопасности компании. Одной из наиболее значительных причин нарушения безопасности компании является утечка конфиденциальной информации. Вопрос информационной безопасности актуален для любой организации, так как по причине неправильных действий сотрудников многие организации несут колоссальные убытки, которые не идут в сравнение с затратами на реализацию информационной безопасности. В данной работе рассматривается распространенная сфера нарушения политики безопасности компании связанная с использованием теневых информационных технологий. Определена наиболее популярная сфера теневого ИТ, а именно сфера теневых облачных приложений. В ходе исследования раскрывается понятие облачных технологий, описываются основные характеристики облачных систем. Выясняются основные причины, связанные с использованием несанкционированных облачных приложений. Основные причины использования теневых приложений определены методом графического анализа-диаграммы Исикавы. Исходя из главных причин, выявлены причины второго уровня. На основе изученного материала, автором предлагаются рекомендации для контроля использования теневых приложений.
Ключевые слова: Безопасность, угрозы, данные, вычислительные мощности, конфиденциальность, несанкционированное ПО, теневое ИТ, облачные приложения, графический анализ, диаграмма Исикавы, контроль теневых приложений.
THE DIAGNOSIS OF INNOVATION ECOSYSTEMS IN KRASNODAR REGION
© 2017
Kulishova Anastasia Vladimirovna, student Kuzmin Evgeny Valerievich, candidate of economical science, assistant professor of «E-commerce» Povolzhskiy State University of Telecommunications and Informatics (443010, Russia, Samara, street Lev Tolstoy, 23, e-mail: a_kulishova@inbox.ru)
Abstract. First of all, an organization's safety is the key to its productive activity. Exactly thanks to safety employees direct all the forces to an implementation of the results, maximum for the organization. There is a variety of reasons, negatively influencing the security level of the company. One of the most considerable causes of safety infringement of the company is leakage of confidential information. The question of information security is urgent for any organization because due to the wrong actions of employees many organizations incur enormous losses which aren't comparable with costs of information security implementation. This study reports about the widespread sphere of the trust relationships policy violation of the company connected to the use of shadow information technologies. The most popular sphere of shadow IT is the sphere of shadow cloudy applications. During the research, the concept of cloud computing is revealed, the main characteristics of cloud systems are described. The basic reasons connected to use of unauthorized cloud applications are clarified. Basic reasons of use of shadow applications are determined by a method of the graphic analysis - Ishikawa diagram. Proceeding from the principal reasons, the reasons of the second level are established. On the basis of the studied material, the author offers recommendations for monitoring of the use of shadow applications.
Keywords: Security, threats, data, computing power, privacy, unauthorized software, shadow IT, cloud applications, graphical analysis, Ishikawa diagram, shadow applications control.
Большинство современных предприятий в настоящее время чрезвычайно сильно зависят от ИТ - инфраструктуры. В связи с большим числом облачных сервисов и социальных сетей, актуальным становится вопрос выбора приложений.
В последнее время, как отмечает большинство исследователей, в сфере информационных технологий все чаще упоминается о явлении, получившем название «Теневое ИТ» [1].
Термин «Теневые ИТ» (Shadow IT) используется для описания IT- систем и решений, развернутых и используемых в организациях без формального одобрения со стороны непосредственного руководства.
На данный момент, построение и развертывание корпоративных IT-решений, как правило, регламентируется большим количеством актов и положений, описывающих рекомендованные структуру и систему безопасности данных организации. Однако некоторые сотрудники, не всегда подчиняются политике безопасности компании.
Другими словами, угрозы безопасности возникают в каждом случае, когда данные или приложения свободно и неконтролируемо перемещаются через границу защищаемых систем, сетей, физического местонахождения или безопасных доменов.
Согласно отчетам исследовательской компании Gartner, специализирующейся на рынках ИТ, одним их самых распространенных нарушений безопасности ком-
пании является несанкционированное использование облачных решений [2].
Целью данной работы является определение способов контроля использования теневых облачных приложений в компании.
В ходе исследования автором были сформулированы следующие задачи:
1. Раскрыть понятие «облачные приложения» и провести анализ существующих облачных систем.
2. Провести анализ рисков, связанных с использованием облачных приложений, а также отобразить графическую модель определяющую основные причины использования теневого облака.
3. Разработать стратегию минимизации рисков, связанных с использованием теневых облачных приложений, определив способы контроля использования приложений.
Для выявления степени риска организации требуется раскрыть понятие облачных решений и проанализировать значимость конфиденциальности данных в облаке.
Под термином «облако» следует понимать организацию доступа по сети к удаленному дата-центру с оплатой за фактическое потребление вычислительных ресурсов [3].
У пользователя облачных технологий появляется возможность получить вычислительные мощности и программное обеспечение «как услугу», а это значит, что ему не нужно заботиться ни о работоспособности
инфраструктуры, ни о программном обеспечении - эти обязанности теперь лежат на плечах поставщика облачных услуг.
На рисунке 2 отображены основные характеристики
облачных систем:
ФУНКЦИОНАЛЬНЫЕ ВОЗМОЖНОСТИ
МОДЕЛЬ РАЗВЕРТЫВАНИЙ
Рисунок 1 - Измерения облачных сервисов
Далее следует сгруппировать основные измерения облачных сервисов из рисунка 2 в таблицы и занести в них основные характеристики облачных моделей:
1. Модель обслуживания;
Таблица 1 - Виды обслуживания облачных приложений
2. Модель развертывания;
Таблица 2 - Виды облачных приложений
3. Функциональные характеристики. Таблица 3 - Функционал облачных приложений
выводу, что использование облачных приложений значительно облегчают работу многим компаниям.
Однако, при всех преимуществах облачных приложений, существует ряд моментов, которые могут иметь негативные последствия, в особенности, если речь идет о публичных облачных приложениях. Обновление софта облачных приложений влияет на огромное количество пользователей, что может привести к серьезным авариям. Кроме того, использование облачных технологий далеко не всегда является безопасным.
Тем не менее, облачные ресурсы сегодня играют всё более важную роль в решении корпоративных
ИТ - задач и в реализации бизнес - стратегий.
К сожалению, во многих компаниях отсутствует какой-либо упреждающий подход к управлению безопасностью и соблюдению требований по обеспечению конфиденциальности и защите данных, хранящихся в облачных окружениях. Кроме того, в большинстве организаций в облаке находится большая часть конфиденциальной и иной критически важной информации. Зачастую в организации не проявляют должную осторожность в отношении размещения подобной информации в облачном окружении для доступа третьих лиц, например, бизнес - партнёров, подрядчиков или поставщиков.
Помимо этого, по достоинству оценив возможности работы в облаке, многие сотрудники пользуются его функционалом и в обход ГГ-подразделений компании приобретают и используют приложения самостоятельно. По мнению некоторых сотрудников, соблюдение мер безопасности компании снижает эффективность их работы. Ранее руководство было в курсе подобного «теневого» использования публичных облачных сервисов, однако, в последнее время стал ясен масштаб этого процесса и потенциальные опасности для бизнеса такого бесконтрольного применения облачных технологий [4].
Учитывая опасность использования теневых облачных приложений в компании, рекомендуется определить данный факт, как риск, учитывая его причины. Далее следует рассмотреть причинно-следственные связи использования теневых облачных программ при помощи графического метода - Диаграммы Исикавы. Данный метод графического анализа является инструментом для определения причин проблемы и её последующего графического представления в форме рыбной кости. Анализ диаграммы включает в себя пять основных причин, каждая из которых может быть разделена на причины следующего уровня (подробные причины), которые также могут разбиваться на другие причины [5] .Проведенный анализ представлен на рисунке 5.
Рисунок 2 - Диаграмма Исикавы «Использование теневых программ»
Название Функционал
Broad Access Network Возможность доступа к ресурсам из Интернета с помощью разнообразных устройств.
Rapid Elasticity Эластичность ресурсов. При необходимости быстрое выделение дополнительных ресурсов, вплоть до бесконечности.
Measured Services Автоматическое измерение услуг и выставление счетов для оплаты.
On-Demand Self Services, Resource Pooling Выделение вычислительных ресурсов (resource-pooling) по запросу от заказчиков (ondemand).
Проанализировав данные из таблиц, можно прийти к
Модель обслуживания Характеристики
IaaS (Infrastructure-asa Service) Модель, в которой поставщик предоставляет только вычислительные ресурсы. Кроме того, возможны: набор подготовленных образов OS, которые разворачиваются за несколько минут; сетевая связность между виртуальными машинами; дополнительными дисковые ресурсы.
PaaS (Platform as a Service) Поставщик предоставляет операционную систему и софт для самостоятельной реализации заказчиком своих услуг.
SaaS (Software as a Service) Поставщик предоставляет софт для использования заказчиком.
Вид облака Инфраструктура
Privatecloud (Частное облако) Инфраструктура разворачивается внутри организации, тем самым обеспечивается безопасность и производительность.
Publiccloud (Публичное облако) Инфраструктура предназначена для предоставления услуг сторонним заказчикам. Системе нужен обслуживающий персонал, пользователь платит только за те ресурсы, которые потребил.
Соттипкус-1оМ (Общественное облако) Инфраструктура разделяется между несколькими организациями со схожими концепциями потребления ресурсов и политиками в безопасности.
Hybridcloud (Гибридное облако) Это комбинация из двух или более различных облачных инфраструктур (частных, публичных или общественных). Например, внутри частного облака организация хранит всю необходимую актуальную информацию, а резервные копии прозрачно отправляются в публичное облако.
Как видно из рисунка, к пяти основным причинам возникновения теневых программ относятся: руководство, система, сотрудник, процесс и окружение. Наиболее важными подробными причинами являются недостаточный функционал существующей системы и плохая адаптация системы под задачи компании. Таким образом, можно сделать вывод о том, что в использовании несанкционированных приложений в компании, прежде всего, виновато ее руководство. Так как, при АНИ: экономика и управление. 2017. Т. 6. № 1(18)
грамотной формулировке задач компании, значительно легче создать систему с требуемым функционалом, для работы сотрудников.
Наиболее значительную роль в контроле за теневыми облачными приложениями несет ИТ отдел компании. Согласно отчетам исследовательской и консалтинговой компании Gartner, специализирующейся на рынках ИТ к 2018 году на долю облачных приложений будет приходиться свыше 50% расходов организации . Так как многим организациям тяжело воспрепятствовать популярному в данный момент тренду «теневого облака», ИТ - отделам стоит тесно сотрудничать с другими департаментами, чтобы обеспечить компании максимум пользы при минимуме любых рисков [6].
В ходе исследования, была разработана стратегия использования теневых облачных приложений в компании, включающая в себя способы контроля теневой деятельности сотрудников и рекомендации для своевременной реакции ИТ - отдела.
Основные способы контроля теневых приложений отображены на рисунке 3.
f
СВЕДЕНИЯ О ПРИОБРЕТЕННЫХ ПРИЛОЖЕНИЯХ
С N
ИНФОРМАЦИЯ О МЕСТОПОЛОЖЕНИИ ОБЛАЧНЫХ ПРОВАЙДЕРОВ
V_/
/ КОНТРОЛЬ
{ ТЕНЕВЫХ
V ОБЛАЧНЫХ V
( ПРИЛОЖЕНИЙ V
Г Л
КОНТРОЛЬ НАД УЧЕТНЫМИ ЗАПИСЯМИ ПОЛЬЗОВАТЕЛЕЙ
V_)
РАЗГРАНИЧЕНИЕ КОРПОРАТИВНОГО И ЛИЧНОГО ДОСТУПА К
ДАННЫМ
^_)
Рисунок 3 - Способы контроля облачных приложений в компании
Далее, исходя из рисунка, рассмотрены основные рекомендации по контролю теневых облачных приложений, которые включают в себя:
Выявление информации о приобретенных сотрудниками приложениях.
ИТ - отделу необходимо выяснить какие теневые приложения уже использовались в компании.
Оценка рисков связанных с использованием данных приложений.
ИТ - отделу предстоит выявить существующие меры безопасности, применяемые в данных приложениях , определить местоположение обработки данных, узнать о соблюдении настроек безопасности приложений в соответствии с политикой компании.
Контроль авторизации пользователей.
Компаниям стоит усилить меры защиты и ограничить круг пользователей, имеющих доступ к конфиденциальным данным.
Разграничение корпоративного и личного доступа к данным.
Облачные приложения не предполагают разграничения между личным и корпоративным использованием данных. В целях безопасности компании необходимо ограничить копирование данных на личные мобильные устройства сотрудников.
Усиленный контроль над учетными записями пользователей.
ИТ - отделу компании следует пристально отслеживать информацию о учетных записях. Злоупотребление учетными записями бывших сотрудников или временно не используемых записей возможно в течение долгого времени. Это делает организацию уязвимой с точки зрения фильтрации данных, раскрытия конфиденциальных сведений и корпоративных секретов.
Получение информации о местоположении облачных провайдеров.
Учитывая возможность облаков находится в любой точке мира, компании следует выбирать приложение согласно области безопасности центра обработки данных.
В результате данной работы, стоит сказать, что на данный момент сложно воспрепятствовать современному тренду теневого облака, так как облачные приложения обладают исключительными возможностями и функционалом, что хорошо известно огромному числу сотрудников компаний. Таким образом, руководству стоит направить теневую облачную деятельность в нужное русло, чтобы извлечь максимум пользы. Для этого руководству компаний и ИТ отделам следует придерживаться четкой стратегии безопасного использования теневых облачных приложений, которая поможет использовать новые возможности, сохраняя при этом свободу выбора и обеспечивая соответствие нормативным требованиям компании.
СПИСОК ЛИТЕРАТУРЫ:
1. Юсупов И.И. Влияние теневой экономики на развитие ИТ-предпринимательства в России // Фундаментальные исследования. - 2016. - № 8-2. - С. 430-436; URL: https://fundamental-research.ru/ru/article/ view?id=40685
2. Питер Ферстбрук. Шесть принципов для повышения устойчивости цифрового бизнеса и управления рисками //Ganter.2016//[Электронный ресурс]
3. URL:https://www.gartner.com/doc/3104129?ref=Sitee arch&sthkw=shadow%20it&fnl=search&srcId=1-3478922254
4. Кулишова А.В., Захарова О.И. Поддержка принятия решений в банковской сфере на основе облачных технологий // Современные научные исследования и инновации. 2016. № 9 [Электронный ресурс]. URL: http:// web.snauka.ru/issues/2016/09/71803
5. Корчагин Ю.А. Теневая экономика России в 20142015 годах//Центр исследований региональной экономики. , 2006-2015. -URL: http://www.lerc.ru/?part=articles&ar t=18&page=13
6. Кузьмин А.М. Диаграмма Исикавы// Центр креативных технологий. 2012// [Электронный ресурс].URL: https://www.inventech.ru/pub/methods/metod-0019/
7. Щербинина М.Ю., Стефанова Н.А. Концепция интернет вещей // Креативная экономика. 2016. Том 10. № 11. с. 1323-1336. URL: 10.18334/ce.10.11.37074
