در ادامه نحوه جلوگیری از مشکلات Shadow IT را توضیح می دهیم.
اگر افراد آگاهی داشتند، از همان ابتدا جانب امنیت را می گرفتند. اما ما در جهانی زندگی می کنیم که پر از نقص است و هیچ چیز در آن کامل نیست. کارمندان اغلب از سرویس های اشتراک گذاری فایل، اپ های وبیِ ایمیل، کلاینت های شبکه اجتماعی و یا مسنجرها آن هم بدون حتی کمی فکر کردن استفاده می کنند و تازه بعدش متوجه عواقب منفی و سنگین آن خواهند شد (البته شاید هرگز متوجه این پیامدها نشوند). مشکل لزوماً این نیست که ابزار مذکور ممکن است مسنجر جدید، فوری و رایگان باشد که در طول مسیر آلوده شده باشد. در این مبحث با سرویس خوش ساخت و بدون مشکلی روبه رو هستیم. مشکل این است که نه متخصصین امنیتی (اگر شرکت تان اساساً چنین متخصصینی داشته باشد) و نه متخصصین آی تی نمی دانند در چنین مواقعی چه اتفاقی دارد می افتد. و این یعنی اپِ بی تعهد هیچ تضمینی برای مدل های تهدید زیرساختی، جداول جریان های اطلاعاتی و تصمیم گیری های برنامه ریزی اولیه نیست؛ بلکه در عوض آمده است تا دردسر ایجاد کند.
احتمال نشتی
چه کسی می داند وقتی دارید از ابزارهای طرف سوم استفاده می کنید چه تله هایی آن پشت نهفته است؟ هر اپلیکیشنی خواه مبتنی بر ابر و خواه با میزبانی داخلی می تواند تنظیمات بسیاری در بخش نظارت حریم خصوصی داشته باشد. و همه کاربران هم به هیچ وجه از هوش یکسان نرم افزاری برخوردار نیستند. موارد زیادی داشته ایم که کارمند جداول حاوی داده های شخصی را بی هیچ راهبرد امنیتی ای در Google Documents رها کرده است. یا نمونه ای دیگر، سرویس ها می توانند آسیب پذیری هایی داشته باشند که از طریق آن ها، طرف های سوم بتوانند به داده های شما دسترسی پیدا کنند. نویسندگان آن ها ممکن است سریعاً حفره را پر کنند؛ اما چه کسی تضمین می دهد کارمندان همه ی پچ های لازمه را برای اپ های سمت مشتری نصب کرده اند؟ بدون دخیل کردن بخش آی تی محال است بتوان تضمین داد دست کم در آپدیت کردن تنبلی نکرده اند.
همچنین حتی اگر چنین ویژگی ای موجود هم باشد باز خیلی کم پیش می آید که کسی مسئولیت مدیریت حقوق دسترسی در اپ ها و سرویس های غیرمجاز بر عهده گیرد- برای مثال با لغو امتیازات بعد از قطع همکاری. خلاصه بگوییم که هیچ کس مسوول امنیت انتقال داده ها یا پردازش آن ها وقتی دارید از سرویس های غیرمجاز استفاده می کنید، نیست.
نقض الزامات نظارتی
این روزها، کشورهای سراسر جهان قوانین مخصوص به خود را دارند که مشخص می کند کسب و کار چطور باید داده های شخصی را مدیریت کنند. تازه کلی استانداردهای صنعتی را هم بدان اضافه کنید. شرکت ها باید برای پاسخگویی به الزامات رگولاتورهای متعدد، به صورت دوره ای تحت ممیزی قرار گیرند. اگر در ممیزی ناگهان معلوم شود داده های شخصی کلاینت ها و کارمندان با استفاده از سرویس های نامطمئن فرستاده شده بودند (و خبری از تیم آی تی نبوده است)، شرکت می تواند با جریمه ی سنگینی مواجه شود. به بیانی دیگر، یک شرکت برای به دردسر افتادن نیازی به نقض داده ی واقعی ندارد.
بودجه ی هدر رفته
استفاده از ابزاری جایگزین به جای ابزار توصیه شده شاید چندان هم مسئله ی بزرگی نباشد اما برای شرکت یک جورهایی به مثابه ی هدر دادن پول است. از اینها گذشته، اگر شرکت برای هر شرکت کننده ی تأییدشده لایسنس خریداری کند اما هیچ کس از لایسنس خود استفاده نکند، پس بودجه به معنای واقعی حرام می شود.
در مورد Shadow IT باید چه کار کرد؟
Shadow IT را باید مدیریت کرد نه اینکه با آن جنگید. اگر بتوانید آن را تحت کنترل خود درآورید، نه تنها قادر خواهید بود امنیت داده های خود را در شرکت تان ارتقا دهید که همچنین می توانید ابزارهایی بس محبوب و کارآمد را پیدا کنید؛ ابزارهایی که می شود آن ها را در سطح سازمانی به کار گرفت. در حال حاضر که ویروس کرونا همه جا را فرا گرفته ریسک استفاده از اپ ها و سرویس های پشتیبانی نشده حتی بالاتر هم رفته است. کارمندان دارند مجبور می شوند خود را با شرایط پیش آمده وفق دهند.
منبع: کسپرسکی آنلاین