Microsoft 如何克服影子 IT 問題
Microsoft 致力於透過克服影子 IT 的問題,並改採全企業通用的法務遵循標準等方式,藉此降低自身的安全性風險。
影子 IT 代表未使用公司所定義之標準來開發和管理的一系列應用程式、服務及基礎架構。這些專為企業營運所建置的應用程式 (亦即「影子 IT」) 不僅存在於 Microsoft 內部已久,更是業界常見的問題。
過去幾年,許多企業部門團隊 (包括業務開發、法律、人力資源、行銷和銷售、支援,以及顧問) 都基於各種不同的原因,紛紛尋求替代的工程解決方案。當中的部分實例包括:缺乏 IT 工程能力或業務需求優先順序、長期以來的預算去中心化、IT 和影子團隊之間缺乏互信、需要專業領域的解決方案,以及由公民開發者透過無程式碼/低程式碼解決方案提供現代化工具。
只要能滿足安全性的前提,上述許多原因都可視為強而有力的企業做法。然而,影子 IT 解決方案通常不在公司工程體系的防護網之內,因此可能對企業帶來潛在的法務遵循風險,特別在安全性、隱私權、數據治理和權限存取等領域中,更是如此。
Microsoft 認為,我們需要先了解影子團隊建置的應用程式是否合乎本公司的安全性法務遵循標準。在 2019 年,我們透過小型的隨機取樣方式,對影子團隊所建置的應用程式進行了一項安全性評估,結果顯示:針對三大關鍵安全性需求,所有應用程式都未能符合其中至少兩項,而某款影子應用程式甚至在三個領域中全軍覆沒。這也讓公司整體陷入了極大且不必要的風險中。
鑑於現行環境正面臨著巨大的風險,在對抗影子 IT 的過程中,Microsoft 向來將解決最大的資訊安全風險視為內部的第一優先要務。美國的資料外洩平均成本為 $420 萬美元 (2021 年 IBM 資料),而全球的年度網路犯罪成本則高達 $6 兆至 $7 兆美元 (2020 年度網路犯罪報告)。
[了解如何透過 3 個步驟來著手減低組織所面臨的影子 IT 風險。 深入了解 GitHub 上提供的 Microsoft Azure 租用戶安全性解決方案 (掃描工具)。]
願景
相較於讓 IT 集中管理所有應用程式,我們將目標放在由團隊自行管理其資產,並確保這些資產合乎 Microsoft 規範的法務遵循標準,從而降低或消弭 Microsoft 所面臨的風險。因此,團隊不僅要開誠布公,更要持續貫徹此一理念。
法務遵循標準
一般而言,Microsoft 的法務遵循標準定義會著重於以下四大層面,且全數受到我們的工程基礎支援:
安全性:旨在維護組織資料和系統的機密性、完整性和可用性。
隱私權:旨在確保掌控資訊的收集、使用和散佈。
數據治理:旨在確保取出資訊的組織角色和負責者,會用適當的方式擷取和維護資訊。
可用性:旨在確保任何人都可以使用我們的產品或服務。
值得注意的是,工程基礎為許多法務遵循領域的重要推手。穩固的工程基礎可讓坐擁資料、流程和工具的團隊建置符合法務遵循規範的解決方案。在解決方案設計完成後才重新規劃法務遵循需求,不僅會為 Microsoft 帶來額外的風險,更會增加我們的工作負擔。此外,工程基礎也有助於擴大法務遵循規模。
工程成熟度
鑑於本計畫涉及的規模和範圍皆相當可觀,我們決定將此一旅程視為長期抗戰 (而非短期衝刺)。本計畫於 2020 年正式開跑,且採多年制的作業模式。相關心力的涉及和影響層面,則涵蓋整個企業中的眾多人員、流程和技術。
對我們而言,初期的重點莫過於體認到:不是所有團隊都具備相同的成熟度。正因如此,我們採用了下列模式,以確保使用一組一致的條件來評估工程成熟度,進而與團隊進行適當層級的互動,並為其提供向前邁進的所需資源。
在一段時間後,影子團隊提升了在工程基礎等級和法務遵循能力上的成熟度。多數團隊皆透過手動作業的方式展開旅程,並隨著時間推移有著長足進展,但迄今尚未完全臻於成熟。我們正持續努力擴大相關心力,特別在相關作業日趨複雜的情況下。
自訂支援
同樣地,視團隊的規模、範圍和特性而定,對於我們所提供的互動量和類型,各部門都有各自專屬的需求。Microsoft 會依據團隊特性來自訂方法,以協助影子團隊成功邁向旅程中的下一階段。
| 模式 | 特性 | 方法 |
| 採用小型資產架構的小型團隊 | 採用較小型資產 (服務和 Azure 訂閱) 架構的團隊。
這些團隊可更靈活地組織自身的計畫心力。 |
協助團隊邁向現代化工程和安全性旅程的下一階段。
使用自模式 1 團隊汲取到的經驗,為模式 2 和 3 提供資訊。 |
| 中型至大型資產架構 | 採用中型到大型資產架構的團隊。
這些團隊可能在預算上更為靈活,在某些情況下需要參考自動化和原則,另外也需由組織出面,以尋求計畫的共同解決方案。 |
識別每個組織的連絡人。
使用規模較小且技術性更高的團隊推動作業。 確保已為低技術性團隊備妥更仔細的計畫和支援模式。 |
| 大型到極大型資產架構 | 採用大型到極大型資產架構的團隊。
由於資產規模、複雜度和地理區域分散程度都相當可觀,這些團隊需要憑藉自動化和更嚴謹的規劃來推動作業。 |
從放慢速度到加快速度:投入必要的時間來定義計畫和互動模式。
善加利用現成的流程、管道和溝通模式來動員組織。 |
儘管我們深知每個模式都應採取不同的方法,本計畫的目的依舊維持不變,但相關心力的所需時間和方法則不盡相同。最終,我們有意讓本計畫昇華為可讓一般職能領域內化的標準作業原則,而非透過個別計畫的方式來加以管理。
計畫方法
我們優先處理了雲端架構解決方案,原因在於:多數影子應用程式皆存在於雲端中,而數位環境可協助我們擴大計畫的涵蓋範圍。我們擬定了作業指引方法,而當中包含三個步驟:監控能力、控管機制和落實。
- 監控能力:掌握所有資產、裝置、身分識別、雲端租用戶和訂閱,以及應用程式,可讓我們透過明確的所有權建立清查作業。為了協助監控雲端資產,我們建置了一款掃描工具,可清查 Microsoft Azure 資產並讀取其設定。識別資產後,我們就能確保每項資產皆連結至適當的部門,藉此進行整頓,並去除空白或未使用的資產。此舉協助我們縮小了範圍,以順利進入下一個階段。Microsoft Azure 租用戶安全性解決方案掃描工具可於 GitHub 上取得。
- 控管機制:我們使用自身掃描工具所提供的資訊,將其餘資產的設定和我們所定義的控管機制相互比較,並建立了報告,以列出違反法務遵循的所有設定。
- 落實:我們使用自身的清查和控管報告,以著手落實安全性和工程法務遵循。在許多案例中,我們能一開始就避免設定錯誤。無法發揮上述效果時,我們則會嘗試自動修補不符合標準的項目,以自動且大規模地解決現有問題。截至今日,我們已可自動修補自身落實的近半數 Microsoft Azure 控管機制。如果無法進行自動修補,我們會採手動修補模式。為了管理與此相關的所有活動,我們使用一款中央通知工具來追蹤行動項目,並向待處理交付項目的擁有者發出通知。這款工具也可讓我們建立主管層級的報告,以提升公司內各層級對安全性風險的意識。
汲取到的經驗
過去兩年,我們雖有長足的進展,卻也遭遇到不少障礙。其中一個重大發現為:在特定案例中,可能會基於充分的業務因素,而導致工程資產無法合乎某項安全性控管機制,而我們會持續與這些團隊合作,以找出特定參數方面的解決方案,以確保同時兼顧業務和安全性優先要務。我們也深知,這項工作永無「完成」的一日,畢竟,安全性永無止境;我們將繼續更新自身的法務遵循需求和方法,以隨同威脅現況和旗下技術與時俱進。
回顧先前的表現,即可察覺現行成果源自於我們影子計畫內的幾項關鍵項目:
建立團隊:我們在安全性組織內成立了一個中央影子團隊,並指派全權負責該計畫的專屬影子 IT 計畫管理員加以領導。此外,我們也爭取到安全性、IT 和財務部門的支持,並與各方共同確保相關心力能有足夠的 IT 資源,以協助進行清查、推動工程工具的採用,並為影子團隊提供工程指引。最後,建立責任制度也是一大重要關鍵;我們在每個參與的團隊中指派單一「直接負責人」(又稱為 DRI),以負責協助自身團隊朝著法務遵循邁進,並擔任我們的主要連絡人,並我們向這些團隊的主管爭取支持。
推動文化變革:雖然此一層面的領導者有其重要性,我們也很快體認到:我們需要接觸在公司內擁有和執行影子解決方案的個人。對方必須了解安全性的重要性,以及如何在日常行動中確保安全性。因此,我們開始透過分享真實安全性事件及突顯事件影響層面等方式,強調員工自身行動的重要性,藉此達到教育旗下員工的目的。
此外,我們也建立「正視計分卡指標不合格處」的文化。改變自身思維,以了解「紅色」或不合格的指標,可引導我們推動自身的優先要務和工作。一旦解決了特定安全性落差,這些專屬指標就會轉變為綠色,而我們將立即使用其他「紅色」指標取代這些「合格」指標,以持續了解進度,並解決新的落差。
另外,我們也為影子團隊提供了訓練、支援和最佳做法指引,包括:
- 在每季要求中列出法務遵循活動需求
- 在第一年提供資金和技能需求的指引
- 透過 Wiki 和訓練滿足最低程度的知識狀態
資料導向:在能否推動進度和展現此一工作的重要性方面,管理報告流程扮演著一大關鍵。在初期階段,我們經常與公司內的高階主管一同檢討我們的狀態,並善加利用自身的高階主管贊助者來推動這些對話,而此舉有助於維持動能。我們很快發現到:在高階主管之外,與中間管理階層進行互動也有著相當的重要性。通常,我們的 DRI 皆位居較高階主管低兩到三個層級的職位,因此,我們需要確保 DRI 和高階主管皆表達支持。
在一段時間過後,我們也學會解讀自身的報告。我們從法務遵循報告著手,一開始的成效相當不錯,直到某個團隊遇到控管機制上的例外狀況。在我們的報告中,例外狀況會顯示為綠色。然而,例外狀況等同接受風險,並不屬於法務遵循徵兆。因此,我們擬定了一項計畫來著手減少例外狀況,並改從風險報告 (而非法務遵循報告) 下手。風險報告可和我們的零信任報告搭配運作,如此即可透過自然而然的方式,於公司內達成一致性並建立明確性。
未來的展望
我們的影子旅程尚未看到終點。我們將持續擴充自身的技術控管機制和治理,以確保所有新解決方案和雲端租用戶皆符合法務遵循標準,並致力於保護開發人員管道。本計畫後續將減少自訂支援流程,並協助所有團隊採用我們標準的企業整體安全性做法,例如企業計分表和風險委員會。當團隊達到事先同意的門檻後,安全性相關心力將從計畫轉換為正常的業務作業。
對任何公司而言,克服影子 IT 風險的初期作業,可能讓人感到無比艱鉅。下方是我們於過程中汲取到的部分心得,可望協助您著手展開工作:
建立團隊
- 指派影子 IT 安全性計畫經理
- 在所有目標部門中設置一名直接負責人 (DRI),並爭取高階主管贊助者
- 與資訊長和財務合作夥伴交流,以爭取對方的支持
定義範圍
- 掃描組織內的雲端清查項目和設定
- 定義雲端安全性控管機制
支援
- 擴充工程和安全性功能,以支援其他服務
- 開發用來推動法務遵循的溝通計畫
- 實作報告流程,以識別焦點領域並顯示進度
- 了解如何透過 3 個步驟來著手減輕組織所面臨的影子 IT 風險。
- 深入了解 GitHub 上提供的 Microsoft Azure 租用戶安全性解決方案 (掃描工具)。
標籤:企業行動力和安全性
