Масштабы применения неодобренных приложений говорят о том, что это уже не теневое, а самое что ни на есть открытое использование

Растущая тенденция подписки бизнес-подразделений и рабочих групп на облачные сервисы без ведома ИТ-службы создает на предприятиях серьезные риски.

В числе рисков, связанных с использованием теневых облачных сервисов, аналитики PricewaterhouseCoopers называют проблемы с защищенностью данных, целостностью транзакций, непрерывностью бизнеса и соответствием нормативным требованиям.

«Культура консьюмеризации на предприятиях — ставшая привычной возможность получить желаемое в нужной форме по мере необходимости — в сочетании со стареющими технологиями и ИТ-моделями делает облачные вычисления предпочтительными для бизнес-подразделений и индивидуальных служащих», — говорится в докладе PwC.

Отделы и даже индивидуальные пользователи все чаще самостоятельно подключаются к облачным сервисам для рабочих нужд, поскольку это просто и относительно недорого, — отметила Кара Бестон, руководитель PwC по защите от облачных рисков.

«Сегодня появилась новая форма теневых ИТ, и, учитывая доступность облачных сервисов, скорее всего, они применяются в вашей компании шире, чем многие могут себе представить, — продолжила она. — Обнаружить это непросто, поскольку такие сервисы, приобретаемые по низакой цене, работают вне стен самой компании».

Как правило, в «теневом» режиме используют облачное программное обеспечение для совместной работы, сервисы хранения, приложения для управления отношениями с клиентами и кадровые системы.

Модель SaaS позволяет отделам различных размеров быстро проводить необходимые изменения в бизнес-процессах, не дожидаясь помощи от ИТ-службы. Еще одно преимущество в том, что обычно такие сервисы требуют только операционных затрат и не нуждаются в капитальных.

«Теневые облака используются без ведома ИТ-службы во многих организациях», — уверена Бестон. Но бесконтрольное применение чревато серьезными угрозами защищенности данных и риском появления дублирующихся технологий и сервисов.

В числе других рисков — непреднамеренное раскрытие данных, по закону подлежащих секретности; несанкционированный доступ к конфиденциальным данным и интеллектуальной собственности, а также нарушение правил обращения с информацией.

Компании в регулируемых отраслях рискуют нарушить нормативные требования, касающиеся защиты данных. Важно, что, хотя многие бизнес-пользователи подписываются на облачные сервисы из-за низкой стоимости, на самом деле отсутствие контроля над их использованием нередко может привести к дублированию и как следствие — к росту текущих расходов.

Облачные сервисы для рабочих групп в пять-десять пользователей могут обходиться от сотни долларов в месяц до нескольких тысяч. Но затраты могут быстро выйти из-под контроля, если сразу несколько отделов в организации начнут применять похожие сервисы.

«Теневые облака чреваты новыми, непредвиденными рисками, ростом операционных расходов и избыточностью», — подчеркивается в докладе PwC.

Взять проблему под контроль должны финансовый директор и директор ИТ-службы, полагает Бестон. Первой задачей, по ее словам, должно стать обнаружение всех облачных сервисов, работающих без санкции отдела ИТ.

Решение этой задачи может потребовать применения автоматизированных и ручных методов, позволяющих выяснить, в каких именно отделах используются облачные сервисы и какие данные могли оказаться у их операторов. После выявления теневых сервисов необходимо сформировать сервисный портфель, перечисляющий сервисы, которые нужно запретить или ограничить по каким-то причинам, а также одобренные и те, которыми для минимизации риска нужно управлять централизованно.

За последнее время был опубликован целый ряд аналитических докладов, отмечающих рост применения теневых ИТ вследствие консьюмеризации и свободной доступности облачных сервисов.

Год назад, например, в Frost & Sullivan по заказу McAfee провели опрос среди 300 ИТ-специалистов и стольких же бизнес-менеджеров, и 80% респондентов сообщили, что пользуются SaaS-приложениями без ведома ИТ-службы. Примечательно, что ИТ-специалистов, работающих с неодобренными облачными сервисами, оказалось больше. В среднем в компаниях, принявших участие в опросе, используют примерно по два десятка SaaS-приложений, 35% из которых не утверждены ИТ-службой.

«Масштабы применения неодобренных приложений говорят о том, что это уже не теневое, а самое что ни на есть открытое использование», — заключают авторы доклада Frost & Sullivan.