Co to jest „Shadow IT” i dlaczego stanowi to problem?

Firmy wydają dużo pieniędzy na zakup sprzętu komputerowego. Zakupy sprzętu mogą dotyczyć zarówno urządzeń użytkownika końcowego, takich jak laptopy, komputery stacjonarne i telefony komórkowe, jak i innego sprzętu komputerowego, takiego jak serwery i sprzęt sieciowy. Firmy mogą również wydawać ogromne sumy pieniędzy na oprogramowanie uruchamiane na sprzęcie. Łącznie są to oficjalna infrastruktura, ponieważ firma zatwierdziła ich wykorzystanie do celów biznesowych.

Shadow IT to nazwa nieoficjalnej infrastruktury, w której ludzie zaczęli korzystać z niezatwierdzonych urządzeń, oprogramowania lub usług w chmurze. Infrastruktura cienia niekoniecznie musi mieć nawet zastosowanie biznesowe. Na przykład, jeśli firma zablokuje BYOD, czyli Bring Your Own Device, a pracownik połączy swój osobisty telefon komórkowy z siecią firmową, nadal będzie to traktowane jako shadow IT. Dzieje się tak, ponieważ urządzenie jest podłączone do sieci firmowej, z której może rozprzestrzeniać złośliwe oprogramowanie itp., jeśli zostało naruszone.

Niezatwierdzone oprogramowanie jest również klasyfikowane jako shadow IT. Ponieważ oprogramowanie będzie działać na komputerach firmowych, może to negatywnie wpłynąć na wydajność lub bezpieczeństwo urządzeń lub sieci. Główne zagrożenia związane z niezatwierdzonym oprogramowaniem to brak aktualizacji lub otrzymanie przez użytkownika nieoficjalnej i wyładowanej złośliwym oprogramowaniem kopii.

Usługi Cloud IT to stosunkowo nowa część shadow IT, która może być wykorzystywana do przetwarzania danych, problem polega na tym, że usługi te mogą wykraczać poza prawny obowiązek firmy w zakresie ochrony danych i nie przekazywania ich innym firmom. Niezatwierdzone usługi w chmurze również znacznie rzadziej przechodzą przez właściwy proces hartowania, co sprawia, że ​​są bardziej podatne na próby włamań.

Shadow IT nie jest łatwym ryzykiem do przygotowania się i radzenia sobie, ponieważ z definicji dokładne problemy i związane z nimi ryzyko są nieznane. Jedynym sposobem na przygotowanie się do nich jest stworzenie procedur i planów oraz wyciągnięcie jasnych konsekwencji za łamanie zasad. Szczególnie ważne jest również zapewnienie, że oficjalne procedury dotyczące odpowiedniego żądania sprzętu itp. są łatwe w użyciu, ponieważ zmniejsza to ryzyko, że pracownicy będą uciekać się do robienia czegoś, czego nie powinni, ponieważ jest to łatwiejsze.