專家傳真－影子IT使企業資安挑戰加劇

影子IT雖爲資安風險控管時的一大挑戰，但過去幾年臺灣企業積極擁抱數位科技，大幅採用數位化程式或設備來提升工作效率，企業已無法全面防堵或杜絕影子IT的出現，所以更應積極正視影子IT所帶來的影響和衝擊，第一步便是改變IT人員對於資安威脅來自外部攻擊的舊思維，同時建立IT人員對於企業內部資安風險的意識。另外，企業也需全面導入資安教育課程，不分部門與階級，從高階領導者至基層員工，灌輸正確的資安觀念，更讓員工瞭解影子IT的風險，建立完善的資安防禦危機意識，並正視網路安全對企業發展的重要性，與企業IT共同守護企業網路安全。

爲了降低影子IT所帶來的風險，除了全面建立資安思維外，企業也須提升企業網路環境的可視性與可控性，藉由快速偵測網路或應用中異常、威脅、感染的用戶和設備，提高網路威脅的可視性，辨識並過濾員工放到網路上的「隱藏」應用程式，透明化潛在的內部威脅，提高企業IT對影子IT的掌握度。

另外，藉由制定企業資安政策來規範應用程式，企業可提高網路環境的可控性，將資料限制在一定的存取範圍內，加強終端設備和使用者存取的控制力，讓員工的使用行爲能與公司的資安政策保持一致，防止機密資訊上傳和不當的資訊共享，降低資訊泄露的風險。

以公有云爲例，因爲員工使用公有云的比例提升，讓企業暴露於資訊泄漏的風險中，然而透過評估分析，企業可得知員工使用的應用程式，並辨識其運行的網路環境，進而掌握並控管企業內部潛在威脅，降低網路風險，實現真正安全的運作模式，減少影子IT趨勢下企業遭受影響的程度。

數位浪潮下，影子IT日益增加對企業來說是一種警訊，代表現存的IT架構已無法滿足企業業務的需求；爲降低影子IT造成的資安風險，企業除了從根本全面建立資安防禦意識，讓員工將企業網路安全當作自身的責任，也應該調整企業IT資安的策略，提高網路環境的可視性和可控性；長遠地來看，企業還是應該評估現有和未來業務的需求，全面調整IT資安架構，打造安全的環境，讓數位化工具成爲企業的助力而非阻力。