На фоне всеобщего увлечения пользователей публичными облачными сервисами вызывает беспокойство то, что
Бизнес-подразделения все чаще приобретают ИТ-решения и услуги в обход департаментов по информационным технологиям. В частности, приобретение программных решений как сервисов (SaaS) в ряде случаев представляется бизнесу настолько простым делом, что его можно осуществить самостоятельно. Полагаю, тут сказывается ослепление «легкостью бытия», навеянное консьюмеризацией всего, что только можно: сотрудники привыкают самостоятельно выбирать себе инструменты для выполнения служебных обязанностей — от мобильных устройств, которые покупают за свои деньги и для забавы, и для работы, до браузеров, офисных приложений и прочих ИТ-средств и сервисов.
Вряд ли ИТ-руководители смогут полностью искоренить использование для работы с корпоративными информационными ресурсами технологий, не санкционированных ИТ-службой. Следовательно, им нужно возглавить этот процесс, чтобы сделать его управляемым. И едва ли здесь помогут только жесткие регламенты и запреты. Пользователей самых разных уровней придется убедить в том, что ИТ-средства и сервисы, которые предоставляет или рекомендует ИТ-департамент, в самом деле лучше, чем те, что им порекомендовали друзья или навеяли рекламные баннеры. Но прежде ИТ-департаменту нужно убедиться в том, что эти средства и сервисы подходят именно для данной организации.
Вопросы, которые больше всего беспокоят ИТ-руководство, — это распределение расходов на ИТ и информационная безопасность. Особенно много вопросов возникает в области ИБ. Как убедиться в том, что выбранные пользователями средства и сервисы не шпионят за организацией и не выполняют скрытно какие-то вредоносные действия? Как предотвратить утечки информации в результате разгильдяйства? Как выявить и пресечь деятельность инсайдеров? И прочее.
Все эти вопросы ИБ перерастают в проблемы, когда речь заходит о штатных сотрудниках ИТ-департаментов, ведь и их компетенция в области ИТ, как правило, на порядок, а то и два выше, чем у простых пользователей, а возможности доступа к информации и всевозможным ИТ-ресурсам неизмеримо шире. Недавнее исследование, проведенное Frost & Sullivan и McAfee, показало: 80% ИТ-специалистов, похоже, считают оправданным продолжать пользоваться несанкционированными сервисами без соблюдения политик безопасности.
Не думаю, что тотальный контроль или жесткая регламентация использования ИТ-средств и сервисов ИТ-специалистами позволят полностью устранить проблему. На мой взгляд, ее решение следует искать не в сфере технологий, а в области человеческих отношений: придется пересмотреть кадровую политику ИТ-департамента — в частности, принципы отбора специалистов, адаптации их к работе в компании, а также систему мотивации и механизмы управления лояльностью ИТ-сотрудников. Есть основания полагать, что лояльные ИТ-специалисты (если, конечно, штат укомплектован людьми с достаточно высокими нравственными принципами) будут более скрупулезно соблюдать правила и регламенты, касающиеся информационной безопасности, и окажутся менее «зловредными» в отношении своего работодателя.
В спорах вокруг «теневых» ИТ внутри самого ИТ-департамента есть еще один интересный аспект: получается, что «главный по ИТ» в эпоху облачных и мобильных вычислений не сможет толком проконтролировать своих собственных сотрудников и добиться, чтобы они пользовались исключительно теми ИТ, которые разрешены ИТ-департаментом. Возникает болезненный вопрос: если директор по ИТ не имеет реальной власти над деятельностью своих сотрудников, то может ли он претендовать на дополнительные полномочия, «роли» и «миссии», которые ему делегирует бизнес? Полагаю, что ответ зависит от раскрытия лидерских качеств ИТ-руководителя. Только будучи ярким лидером, он сможет реально управлять и своими подчиненными, и всем, что имеет отношение к информационным технологиям.