Τα οφέλη και οι κίνδυνοι του Shadow IT

web hosting

Τα οφέλη και οι κίνδυνοι του Shadow IT

Πριν από 2 χρόνια, η MyIP – web hosting – έφερε μια επιπλέον οθόνη από το σπίτι στο γραφείο. Ήθελαν μια πρόσθετη οθόνη χωρίς να κοστίσει χρήματα στην εταιρεία και διαπίστωσαν ότι ήταν πολύ πιο εύκολο να ολοκληρώσουν την εργασία τους χωρίς να χρειάζεται να ξεφυλλίσω διαφορετικές καρτέλες και παράθυρα προγράμματος περιήγησης για να αναφέρω άλλες πληροφορίες.

Πέρασαν μερικοί μήνες χωρίς επεισόδια έως ότου ο επικεφαλής τεχνολογίας της εταιρείας (CTO) παρατήρησε τελικά ότι είχα αυτήν την οθόνη στο γραφείο μου. Με τράβηξε στην άκρη και με ειδοποίησε ότι ήταν αντίθετο με την πολιτική της εταιρείας και αποτελούσε κίνδυνο για την ασφάλεια.

Εκείνη τη στιγμή, δεν μπορούσα να καταλάβω γιατί ήταν κίνδυνος για την ασφάλεια, αλλά συμμορφώθηκα και πήρα την οθόνη στο σπίτι.

Μέχρι εκείνο το σημείο δεν είχα ακούσει ποτέ για το “shadow IT” ή οποιονδήποτε από τους κινδύνους που συνδέονται με αυτό. Μόλις ξεκίνησα το ταξίδι μου στην ασφάλεια στον κυβερνοχώρο, κατάλαβα τελικά για τι μιλούσε ο CTO.

Τι είναι το Shadow IT;

Το Shadow IT (ή «stealth IT») περιγράφει οποιεσδήποτε εφαρμογές — βασισμένες σε σύννεφο ή τοπικά εγκατεστημένες — συστήματα και συσκευές που λειτουργούν στο επιχειρηματικό σας περιβάλλον και δεν αναπτύσσονται και δεν ελέγχονται από το τμήμα τεχνολογίας πληροφοριών (IT).

Αυτό περιλαμβάνει:

  • Συσκευές όπως smartphone, smartwatches, tablet και υπολογιστές
  • Εφαρμογές παραγωγικότητας όπως Slack, Asana, Trello και Basecamp
  • Αποθηκευτικός χώρος στο cloud όπως (Dropbox και Google Drive
  • Φυσική αποθήκευση, όπως εξωτερικοί σκληροί δίσκοι και δίσκοι αντίχειρα
  • Εφαρμογές ανταλλαγής μηνυμάτων όπως το WhatsApp και το Signal

Επιστρέφοντας στο προηγούμενο παράδειγμά μου, η οθόνη που έφερα στο γραφείο ήταν ένα παράδειγμα σκιώδους πληροφορικής.

Από την πλευρά της εταιρείας, η συσκευή μου δεν ήταν ένας κίνδυνος που ήταν διατεθειμένοι να δεχτούν. Πώς θα μπορούσαν να είναι βέβαιοι ότι δεν είχα διαμορφώσει μια από τις πρίζες στην οθόνη για την αποθήκευση ευαίσθητων δεδομένων ή την εισαγωγή κακόβουλου κώδικα στο δίκτυο;

Αν και αυτό προφανώς δεν συνέβαινε, αυτού του είδους οι απειλές είναι απολύτως δυνατές και εύκολο να παραβλεφθούν από τις ομάδες ασφαλείας. Ωστόσο, τέτοια παραδείγματα είναι μόνο ένα κλάσμα του προβλήματος Shadow IT.

Χάρη στην έκρηξη στο cloud computing και την ευρεία χρήση έξυπνων συσκευών, αυτό το φαινόμενο έχει φτάσει σε τέτοιο σημείο που είναι πρακτικά αδύνατο για τις επιχειρήσεις να περιορίσουν εντελώς τη χρήση τους.

Ποια είναι τα οφέλη και οι κίνδυνοι του Shadow IT;

Όπως με κάθε άλλη τεχνολογική εξέλιξη, υπάρχουν πλεονεκτήματα και μειονεκτήματα σε αυτήν την αλλαγή παραδείγματος.

Το εάν επιτρέπετε το Shadow IT στον οργανισμό σας είναι επωφελές εξαρτάται από πολλούς παράγοντες, όπως τα είδη των πληροφοριών που χειρίζεστε και το μέγεθος του οργανισμού σας γενικά. Αυτά είναι τα οφέλη και οι κίνδυνοι του Shadow IT.

Οφέλη Shadow IT

Το κύριο πλεονέκτημα του Shadow IT είναι η βελτιωμένη παραγωγικότητα που σχετίζεται με ομάδες που μπορούν ελεύθερα να υιοθετήσουν συσκευές, εφαρμογές και συστήματα όπως χρειάζονται.

Επιπλέον, το σύγχρονο εργατικό δυναμικό μετατοπίζεται σε μια νοοτροπία «εργασία οπουδήποτε» χάρη στην έναρξη της πανδημίας COVID-19. Αυτό το είδος ευελιξίας είναι εξαιρετικά χρήσιμο για την ώθηση της αλλαγής όπου και όταν χρειάζεται σε μια στιγμή.

Ο κύκλος πάει κάπως έτσι:

  • Η νέα τεχνολογία ανακαλύπτεται από το εργατικό δυναμικό.
  • Οι πρωτοπόροι του εργατικού δυναμικού χρησιμοποιούν την τεχνολογία για να βελτιώσουν τη δική τους ατομική παραγωγικότητα.
  • Οι ομάδες λαμβάνουν υπόψη τις βελτιώσεις της παραγωγικότητας.
  • Οι ηγέτες των ομάδων εισάγουν τεχνολογία σε ανώτερους και σε ομάδες πληροφορικής για αξιολόγηση.
  • Τα ανώτερα στελέχη εγκρίνουν τη νέα τεχνολογία και την φέρνουν υπό το άγρυπνο βλέμμα της ομάδας πληροφορικής σας.

Ωστόσο, αυτού του είδους οι κύκλοι μπορούν να συμβούν με επιτυχία μόνο σε έναν οργανισμό που ενθαρρύνει την καινοτομία και εκπαιδεύει τους υπαλλήλους του σχετικά με πρακτικές κυβερνοασφάλειας κατά το χειρισμό των πληροφοριών της εταιρείας.

Η αποτελεσματικότητα είναι το κλειδί όταν πρόκειται για την ενίσχυση της παραγωγικότητας. Οι πιο αποτελεσματικές ομάδες είναι αυτές που βρίσκουν τις δικές τους λύσεις στα προβλήματά τους. Το Shadow IT επιτρέπει στο εργατικό δυναμικό να βρίσκει νέες τεχνολογικές λύσεις σε καθημερινά προβλήματα χωρίς να ασχολείται με τη γραφειοκρατία για να βρει λύσεις.

Αυτή η αυτονομία μειώνει τις επιβραδύνσεις που επιβαρύνουν τις διαδικασίες ενώ παράλληλα βελτιώνει το ηθικό του εργατικού δυναμικού και την αίσθηση ιδιοκτησίας. Η εμπιστοσύνη είναι σημαντική όταν πρόκειται για σχέσεις με το εργατικό δυναμικό σας και η περισσότερη αυτονομία είναι ένα μήνυμα σε όσους εργάζονται για εσάς ότι εμπιστεύεστε την κρίση τους.

Σκιώδεις κίνδυνοι πληροφορικής

Το πιο προφανές ζήτημα με το Shadow IT είναι η έλλειψη ελέγχου και επίβλεψης από τις ομάδες πληροφορικής και ασφάλειας στον κυβερνοχώρο. Η μη διαχειριζόμενη τεχνολογία σημαίνει ότι οι ομάδες πληροφορικής και ασφάλειας δεν θα μπορούν να παρακολουθούν και να μετρούν τις κινήσεις δεδομένων ή να αποτρέπουν τη διείσδυση αυτών των πληροφοριών.

Ως έχει, το shadow IT λειτουργεί σε ένα είδος συστήματος τιμής με το εργατικό δυναμικό σας με πολλούς τρόπους. Βασίζεστε στα άτομα με τα οποία συνεργάζεστε για να τηρήσετε τις πολιτικές διαχείρισης και αποθήκευσης δεδομένων της εταιρείας που έχετε δημιουργήσει με αντάλλαγμα την ικανότητά τους να ενσωματώσουν αυτήν την τεχνολογία στη ροή εργασίας τους.

Η άνοδος της απομακρυσμένης/υβριδικής εργασίας κατά τη διάρκεια της πανδημίας COVID-19 έχει επίσης θολώσει τα όρια μεταξύ προσωπικής και επαγγελματικής τεχνολογίας, ειδικά όταν πρόκειται για τη μεταφόρτωση δεδομένων.

Οι εργαζόμενοι χρησιμοποιούν υπολογιστές της εταιρείας και άλλη τεχνολογία για προσωπικά μέσα, γεγονός που ανοίγει την πόρτα για λανθασμένο χειρισμό δεδομένων, είτε εκούσια είτε ακούσια.

Τα εργαλεία Cloud όπως το Gmail, το OneDrive, το Dropbox και το Google Drive, όλα ενέχουν απειλές για μη διαχειριζόμενες μεταφορτώσεις επαγγελματικών δεδομένων σε προσωπικούς χώρους.

Αυτό θέτει τα δεδομένα σας σε επισφαλή θέση. Όχι μόνο οι ομάδες IT σας δεν θα έχουν τη δυνατότητα να παρακολουθούν τη χρήση της Shadow τεχνολογίας IT, αλλά δεν μπορούν επίσης να μιλήσουν για την ποιότητα των μέτρων ασφαλείας που λαμβάνουν οι χρήστες και οι προγραμματιστές εφαρμογών.

Υπάρχουν όλα τα είδη πιθανών ζητημάτων ασφαλείας με το shadow IT, όπως:

  • Έλλειψη κρυπτογράφησης/ασθενής κρυπτογράφηση
  • Αδύναμα πρότυπα κωδικών πρόσβασης
  • Ανεπαρκείς ενημερώσεις κώδικα ασφαλείας
  • Καμία γνώση της ποιότητας των μελλοντικών ενημερώσεων

Αυτού του είδους τα ζητήματα αυξάνουν την πιθανότητα εκμεταλλεύσεων και παραβιάσεων που μπορούν να βλάψουν το δίκτυο και τα δεδομένα σας ή να σας εκθέσουν σε ζητήματα συμμόρφωσης. Μιλώντας για παραβιάσεις συμμόρφωσης, πώς φαίνονται αυτοί οι κίνδυνοι;

Λοιπόν, η έλλειψη ελέγχου στις Shadow τεχνολογίες πληροφορικής ανοίγει την επιχείρησή σας σε πιθανές παραβιάσεις του νόμου Sarbanes-Oxley (SOX), του νόμου Gramm-Leach-Bliley (GLBA), του νόμου περί φορητότητας και λογοδοσίας ασφάλισης υγείας του 1996 (HIPAA) και Γενικών Κανονισμός Προστασίας Δεδομένων (GDPR), ανάλογα με το μέγεθος, τον κλάδο και τις τοποθεσίες λειτουργίας της επιχείρησής σας.

Οι περισσότεροι από αυτούς τους κανονισμούς συμμόρφωσης ασχολούνται με τον τρόπο χειρισμού και/ή αποθήκευσης δεδομένων και η παραβίαση αυτών των προτύπων μπορεί να οδηγήσει σε παραβιάσεις και πρόστιμα.

Ενώ βρισκόμαστε στο θέμα των προστίμων, τα μέσα πρόστιμα για μια μικρή επιχείρηση κυμαίνονται από 36.000 $ έως 50.000 $, ενώ οι μεγαλύτερες επιχειρήσεις μπορούν να αναμένουν πρόστιμα άνω των 8,64 εκατομμυρίων $ μόνο στις Ηνωμένες Πολιτείες.

Στις ΗΠΑ, το κόστος ανά παραβιασμένο ρεκόρ είναι 242 $. Αυτά είναι πολλά χρήματα, γι’ αυτό τόσες πολλές εταιρείες web hosting προσπαθούν να κρατήσουν τη Shadow πληροφορική τους στο απόλυτο ελάχιστο και να ενθαρρύνουν τους υπαλλήλους τους να χρησιμοποιούν ελεγμένα και εγκεκριμένα κανάλια.

Δείτε περισσότερα για web hosting:

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται.