Shadow IT – ryzyko, które kładzie się cieniem na firmie

epoint

Shadow IT i jego konsekwencje zagrażają przedsiębiorstwom każdego dnia. Niejednokrotnie firmy nie zdają sobie sprawy, że padają jego ofiarami. Gorzej, że o tym zagrożeniu często nie zdają sobie sprawy sami jego sprawcy… pracownicy firmy.

  1. Czym jest Shadow IT

Zjawisko polega na tym, że pracownicy firmy korzystają z niezatwierdzonych programów i aplikacji na urządzeniach, które są podłączone do firmowej sieci. Shadow IT w ostatnich latach spektakularnie rośnie.

Według badania firmy Skyhigh, aż 72% menedżerów nie zdawało sobie sprawy ze skali tego zjawiska w swoich firmach, a jest ona znaczna – w przeciętnej firmie z sektora finansowego używanych jest ponad 1000 aplikacji w chmurze. To 15 razy więcej niż szacowały działy IT firm biorących udział w badaniu.

2. Skąd się bierze Shadow IT?

Zjawisko Shadow IT i ryzyka z nim związane biorą się często z wygody pracowników…

„Pracownicy znajdują aplikacje czy programy, które pomagają im sprawniej realizować codzienne zadania. Jeśli dział IT w firmie nie jest świadomy, że takie rozwiązania są stosowane, nie jest w stanie nimi skutecznie zarządzać i zadbać o bezpieczeństwo organizacji” – mówi Jolanta Malak, regionalna dyrektor Fortinet na Polskę, Białoruś i Ukrainę.

3. Ryzyko związane z Shadow IT

Podstawowe zagrożenia związane z Shadow IT dotyczą zarządzania danymi. Tworząc strategię cyberbezpieczeństwa, należy wiedzieć, jakie dane firma posiada i gdzie są one przechowywane. Shadow IT utrudnia ustalenie tego. Dodatkowo dane mogą nie być aktualizowane tak często, jak dane z oficjalnych baz.

W rezultacie pracownicy korzystający z danych przechowywanych w cieniu mogą przeprowadzać operacje biznesowe w oparciu o nieaktualne informacje, zagrażając w ten sposób bezpieczeństwu całej organizacji.

Alarmujące są również inne wyniki badania Skyhigh. Tylko 7% aplikacji w modelu SaaS (Software-as-a-Service) spełnia standardy bezpieczeństwa dla przedsiębiorstw. Oznacza to, że aplikacje używane przez pracowników mogą nie odpowiadać wymogom w zakresie aktualizacji, dostępnych łatek czy szyfrowania danych.

4. Konsekwencje zjawiska

Konsekwencje związane z Shadow IT są poważniejsze w przypadku firm świadczących usługi finansowe. Dzieje się tak ze względu na ilość wrażliwych danych, którymi administrują oraz surowe standardy regulacyjne.

Eksperci z Fortinet zwracają uwagę, że wraz z rozwojem infrastruktury IT sektor finansowy musi nieustannie poszerzać wiedzę na temat ryzyka związanego z Shadow IT, a także zdawać sobie sprawę ze sposobów jego zmniejszania.

5. Zabezpieczanie Shadow IT

Co prawda, organizacje starają się zminimalizować zakres Shadow IT, ale mało prawdopodobne jest, że uda się całkowicie wyeliminować to zjawisko. W pierwszej kolejności firmy powinny zadbać o dostarczenie pracownikom odpowiednich narzędzi pracy, tak aby nie musieli oni poszukiwać dodatkowych aplikacji, które lepiej odpowiadałyby ich potrzebom.

Kolejna sprawa to szkolenia pracowników i podnoszenie ich świadomości. Często nie muszą oni zdawać sobie sprawy z tego, że zainstalowany przez nich program może obniżać cyberbezpieczeństwo firmy.

Mając na uwadze skalę zjawiska Shadow IT, administratorzy sieci i działy IT powinni aktualizować zabezpieczenia oraz poprawiać widoczność ruchu przepływającego w sieci. Konieczne będą także odpowiednie rozwiązania sprzętowe, jak firewalle czy rozwiązania ochrony dostępu do chmury i do wewnętrznej segmentacji sieci.