แหล่งข้อมูล

Shadow IT คืออะไรและบุคลากรด้านความปลอดภัยทางไซเบอร์ต้องรู้อะไรบ้าง?

หากนึกถึงภาพยนตร์สยองขวัญเรื่องโปรดของคุณมักจะมีบางสิ่งบางอย่างแฝงตัวอยู่ในเงามืด ข้อเสียของตัวละครหลักส่วนมากมักจะไม่ดี เช่นเดียวกับ Shadow IT ที่ไม่ใช่แง่บวกในโลกเทคโนโลยี Shadow IT เป็นปัญหาที่พบได้ทั่วไป แต่อาจเป็นหายนะที่เกิดขึ้นเมื่อผู้ใช้งานใช้เครื่องมือที่ไม่ปลอดภัย มันดีหรือไม่ดี? นั่นคือคำถาม

Shadow IT คืออะไร?

Shadow IT หมายถึงโซลูชันหรือแอปพลิเคชันใด ๆ ที่ผู้ใช้งานนำมาใช้โดยไม่ได้รับการอนุมัติ และ/หรือ ขอความรู้จากทีมไอที แม้ว่าแอปพลิเคชันเหล่านี้จะไม่มีการกำกับดูแล แต่ผู้ใช้งานก็มักจะติดตั้งแอปพลิเคชันเหล่านี้

อย่างไรก็ตาม Shadow IT อาจทำให้เกิดปัญหาด้านการปฏิบัติตามกฎระเบียบและความปลอดภัยสำหรับองค์กร ดังที่บุคลากรด้านการรักษาความปลอดภัยทางไซเบอร์บอกเป็นเรื่องยากที่องค์กรจะมั่นใจได้ว่าข้อมูลจะไม่ถูกบุกรุกเมื่อมีการใช้งาน Shadow IT

แหล่งข้อมูลทั่วไปของ Shadow IT มีดังนี้

  • การจัดเก็บไฟล์: แอปพลิเคชั่น เช่น Google Drive และ Dropbox ตัวเลือกการจัดเก็บไฟล์ซึ่งบางตัวให้บริการฟรี ซึ่งโฮสต์ไฟล์จะเก็บอยู่ในระบบคลาวด์แทน
  • แอปพลิเคชันการจัดการโครงการ: แอปยอดนิยมเช่น Trello และ Asana นั้นยอดเยี่ยมในการควบคุมรายการสิ่งที่ต้องทำ แต่มักไม่ได้รับการควบคุมด้านความปลอดภัยและอาจมีข้อมูลที่ละเอียดอ่อนเช่น รายชื่อผู้ใช้งาน ฯลฯ
  • การรับส่งข้อความ: แอปพลิเคชันเช่น What’sApp หรือ Snapchat อาจเป็นปัญหาได้ หากข้อความมีข้อมูลส่วนบุคคลที่สามารถระบุตัวตนได้ (PII) หรือข้อมูลที่มีการป้องกันอื่น ๆ หลุดออกไป
  • สื่อสังคมออนไลน์: ผู้ใช้มักจะไม่รู้ตัวแบ่งปันข้อมูลที่สำคัญโดยไม่ต้องตรวจสอบหรือกำกับดูแลใด ๆ
  • ปฏิทินและการตั้งเวลา: ปฏิทิน third-party ช่วยเก็บรายละเอียดทางธุรกิจและส่วนบุคคลไว้ในที่เดียว แต่ข้อมูลการประชุมหรือรายละเอียดองค์กรอาจสูญหายหรือถูกบุกรุกโดยไม่ได้ตั้งใจ
  • อีเมล: ผู้ใช้โดยเฉลี่ยมีที่อยู่อีเมลสองแห่งและส่งอีเมลธุรกิจประมาณ 40 ฉบับต่อวัน ซึ่งระหว่างบัญชีส่วนบุคคลและบัญชีธุรกิจ อาจทำให้มีอีเมลที่ไม่ได้รับการดูแลและเป็นปัญหาด้านไอที
  • BYOD: เทรนด์การนำอุปกรณ์ของคุณมาเอง (BYOD) ทำให้องค์กรสามารถประหยัดค่าใช้จ่ายบางส่วนได้ แต่อุปกรณ์ส่วนตัวและอุปกรณ์ขององค์กรที่ใช้งานร่วมกันอาจทำให้เกิดข้อผิดพลาดได้ ลองนึกภาพว่าคุณส่งข้อความไปหาคนผิดบ่อยแค่ไหน หรือเด็ก ๆ เผลอกดปุ่มผิดขณะเล่นเกม เป็นต้น

การรักษาความปลอดภัยของ Shadow IT

Shadow IT มีปัญหาจากหลายสาเหตุ ประการแรกมีปัญหาทางการเงินขององค์กรที่ซื้อแอปพลิเคชันที่ทำซ้ำโซลูชันที่มีอยู่ทำให้สิ้นเปลืองเงิน

นอกเหนือจากปัญหาด้านต้นทุนแล้ว Shadow IT ยังสร้างความกังวลด้านความปลอดภัยให้กับทีมเทคโนโลยี ในโลกที่เต็มไปด้วยข่าวการละเมิดและการรั่วไหลของข้อมูล Shadow IT ทำให้การจัดเตรียมสภาพแวดล้อมที่ปลอดภัยเป็นเรื่องยาก

และเมื่อความกังวลด้านการกำกับดูแลเติบโตขึ้น Shadow IT ก็นำมาซึ่งปัญหาสำคัญสำหรับบุคลากรด้านความปลอดภัยทางไซเบอร์ คุณจะรักษาความปลอดภัยได้อย่างไรหากคุณไม่รู้ว่ามีอยู่

Track Resources รายงานว่าพนักงาน 80% ยอมรับว่าใช้ซอฟต์แวร์บริการ (SaaS) โดยไม่ได้รับการอนุมัติจากไอทีนั้น โดยองค์กรทั่วไปมีบริการคลาวด์ที่ไม่รู้จักจำนวนมากถึง 975 บริการ และ 83% ของบุคลากรด้านไอทีรายงานว่าพนักงานเก็บข้อมูลขององค์กรไว้บนบริการคลาวด์ที่ไม่ได้รับอนุญาต

เนื่องจากไอทีเป็นพื้นที่ที่เปลี่ยนแปลงตลอดเวลา การใช้เครื่องมือที่เป็นนวัตกรรมไม่ได้เป็นเพียงแค่การปรับปรุงประสิทธิภาพเท่านั้นแต่ยังอาจถูกมองว่าขาดความได้เปรียบในการแข่งขันอีกด้วย ในความเป็นจริงรายงาน Track Resources ฉบับเดียวกันนี้แสดงให้เห็นว่า 77% ของบุคลากรด้านการสำรวจ เชื่อว่าองค์กรของตนจะได้รับประโยชน์จากการนำโซลูชัน Shadow IT มาใช้

วิธีสร้างสมดุลที่เหมาะสมกับ Shadow IT

ภัยคุกคามที่เกิดจาก Shadow IT เป็นเรื่องจริง แต่การกำหนดข้อจำกัด เพิ่มเติมไม่ได้นำไปสู่สภาพแวดล้อมที่ปลอดภัยมากขึ้นเสมอไป มันสามารถมีผลตรงกันข้าม กฎระเบียบที่เพิ่มมากขึ้นอาจทำให้พนักงานออกไปเสี่ยงใช้งานนอกระบบไอทีมากขึ้นแทนที่จะลดน้อยลง

การสร้างความสมดุลที่เหมาะสมประกอบด้วยการพัฒนานโยบายขององค์กรที่เหมาะสมในขณะที่รับฟังประเด็นปัญหาของผู้ใช้งานและฝึกอบรมพนักงานให้ระบุภัยคุกคามเช่น วิศวกรรมสังคม

1. พัฒนานโยบายขององค์กร

หาก Shadow IT เป็นสิ่งที่หลีกเลี่ยงไม่ได้ในระดับหนึ่งก็ควรที่จะพัฒนานโยบายขององค์กรที่จะอนุญาตให้ใช้งานได้ในขณะที่ยังคงปกป้องข้อมูลของคุณ คุณสามารถอนุญาตให้ใช้ Shadow IT ที่ไม่ส่งผลกระทบต่อระบบที่มีความสำคัญต่อภารกิจหรืออาจรวม Shadow IT ที่มีการใช้งานสูงเป็นส่วนหนึ่งของเทคโนโลยีที่ใช้งานด้วยเลย

2. ฟังความคิดเห็นของผู้ใช้งาน

ท้ายที่สุดแล้วหากผู้ใช้งานรู้สึกว่าไม่ได้รับการสนับสนุนและผิดหวังจากการปฏิเสธความช่วยเหลือด้านไอทีอย่างต่อเนื่อง พวกเขามีแนวโน้มที่จะค้นหาแอปพลิเคชันที่ไม่ได้รับอนุญาตมาใช้งาน หากเปิดใจรับฟังข้อคิดเห็นและทำงานอย่างขยันขันแข็งเพื่อมอบฟังก์ชันการทำงานที่ต้องการให้กับผู้ใช้งานก็จะมีโอกาสน้อยที่จะพบกับ Shadow IT ในตอนต้นของบทความนี้เราตั้งคำถามว่า Shadow IT ดีหรือไม่ดี? คำตอบคืออาจเป็นได้ทั้งสองอย่าง การใช้เครื่องมือที่เป็นนวัตกรรมใหม่เพื่อเพิ่มผลผลิตเป็นสิ่งที่ดีอย่างแน่นอน แต่การใช้เครื่องมือเหล่านี้มากเกินไปอาจมีค่าใช้จ่ายสูง ค้นหาความสมดุลที่เหมาะสมและเดินทางไปสู่สภาพแวดล้อมการทำงานที่มีความสุข ประสิทธิผล และปลอดภัย