Shadow IT - czym jest i jakie stanowi zagrożenie dla biznesu?

Czym jest Shadow IT?

Shadow IT to nazwa używana do opisu dowolnej technologii, oprogramowania, czy aplikacji w przedsiębiorstwie, która jest wykorzystywana bez zgody, a nawet wiedzy działu IT. Mogą to być zasoby sprzętowe, jednak częściej są to aplikacje i usługi, które mają pomóc pracownikom szybciej i efektywniej wykonywać swoją pracę. Tutaj więcej pisaliśmy z jakich powodów pracownicy instalują nieautoryzowane oprogramowanie. Najczęściej po prostu chcą pracować ze znanymi sobie systemami, które pozwala im szybko i sprawnie wykonywać codzienne zadania.

Niestety, większość ludzi, którzy używają nieautoryzowanego oprogramowania uważa, że tylko wykonują swoją pracę i ułatwiają sobie życie. Nie widzą ryzyka związanego z bezpieczeństwem IT "w cieniu".

Podwyższone ryzyko utraty danych

Aplikacje działające poza kontrolą działu IT mogą nie być uwzględnione w strategii tworzenia kopii zapasowych i odzyskiwania danych. Brak odpowiednich procedur w tym zakresie, lub zasobów do wykonania tych zadań może skutkować utratą ważnych danych w razie wystąpienia incydentu bezpieczeństwa. Może to mieć poważne konsekwencje, jeżeli te dane mają krytyczne znaczenie dla biznesu.

Zwiększone ryzyko naruszenia danych

Podobnie jak w przypadku backupów IT nie ma żadnej kontroli nad tym, kto ma dostęp do zasobów zgromadzonych w shadow IT. Może się okazać, że dostęp do przeglądania, modyfikowania czy kopiowania danych mają osoby, które nie powinny być do tego upoważnione, w tym byli pracownicy firmy. Zasadniczo nie ma kontroli nad tym, kto ma konto i co te konta są w stanie zrobić.

Należy również liczyć się z kradzieżą danych. W przypadku zasobów IT shadow działających poza kontrolą działów IT, nikt na bieżąco nie monitoruje logów dostępowych, by wychwycić nietypowe działania wskazujące na próby włamania i naruszenia danych.

Nieefektywność

Zasoby IT shadow negatywnie wpływają na efektywność pracy. Może się to wydawać zaskakujące, ponieważ wiele osób pobiera te aplikacje właśnie po to, aby szybciej wykonywać swoje obowiązki. Jednak uruchomienie każdej nowej aplikacji wpływa na działanie systemu IT. W prawidłowym trybie przed wdrożeniem jakiegokolwiek nowego rozwiązania, jest ono testowane pod kątem potencjalnego obciążenia systemu. Technologia wdrażana poza standardowymi procesami biznesowymi, nie podlega tej kontroli. W konsekwencji przyspieszając jeden proces, może powodować wąskie gardła w innym miejscu lub stworzyć pojedynczy punkt awarii, który grozi wyłączeniem zasobu kluczowego dla biznesu.

 Zagrożenia dla cyberbezpieczeństwa

Hakerzy często wykorzystują luki w zabezpieczeniach oprogramowania dlatego każda z nich jest łatana przez producentów. IT traktuje te aktualizacje bardzo poważnie. Jednak w przypadku shadow IT nie ma osoby odpowiedzialnej za pilnowanie krytycznych aktualizacji i poprawek, które rozwiązują problemy bezpieczeństwa. Nieaktualizowane oprogramowanie i luki w systemie znacznie podwyższają ryzyko przeprowadzenia udanego cyberataku.

Aplikacje mają pomóc w sprawnym załatwieniu spraw służbowych. Nie ma jednak gwarancji, że są one bezpieczne w użyciu. Przypadki, gdy legalnie pobierane lub nawet kupowane aplikacje miały dołączone złośliwe oprogramowanie są na porządku dziennym. Kiedy ktoś instaluje je w miejscu pracy, otwiera drzwi hakerom.

Nie wszystkie zasoby IT shadow są pobierane online za darmo. Część może być zakupiona niezgodnie z prawem i nie ma gwarancji na to, że firma może jej legalnie używać.

Shadow IT stanowi problem, a ponieważ chmura ułatwia użytkownikom korzystanie z aplikacji na poziomie przedsiębiorstwa bez potrzeby informowania o tym działu IT, nadal będzie zyskiwać na atrakcyjności. Jedyną szansą na wygraną z shadow IT jest uświadomić swoich współpracowników o zagrożeniach dla firmy. Z drugiej strony warto zidentyfikować powody wykorzystania shadow IT i zaproponować im praktyczne i bezpieczne rozwiązania.

*Raport ITwiz BEST100 edycja 2018