Shadow IT oznacza korzystanie przez pracowników organizacji z technologii i rozwiązań, które nie zostały przez nią oficjalnie zaaprobowane. Shadow IT można porównać do nowoczesnej wersji konia trojańskiego. Pozwala atakować sieć firmy za pomocą oprogramowania ransomware i malware, powodując wyciek danych a w konsekwencji również ryzyko braku zgodności organizacji z odpowiednimi przepisami czy regulacjami.
To, co sprawia, że zjawisko shadow IT jest zagrożeniem, jest wciąż niedostateczny brak wiedzy na temat tego problemu. Często zdarza się, że pracownicy używają nieusankcjonowanej technologii bez złych intencji, lecz tylko dlatego, że próbują znaleźć intuicyjne rozwiązanie dla swoich typowych zadań biznesowych. Jeśli istniejące w firmie rozwiązania IT nie odpowiadają potrzebom pracowników, ci zawsze będą szukać takich produktów i narzędzi, które są bardziej nakierowane na interakcję z konsumentem. Aby temu zapobiec warto przeszkolić wszystkich pracowników na temat ryzyka związanego z shadow IT i znaleźć dla firmy takie rozwiązania, które z jednej strony oferują łatwość użytkowania dla ludzi, jak również zaawansowaną ochronę dla organizacji. Menedżerowie IT i właściciele firm powinni opracować odpowiedni plan dotyczący zarządzania środowiskiem IT tak, by móc wskazać scenariusze, w których pracownicy wdrażają technologie i rozwiązania nie zaaprobowane przez dział IT, a następnie opracować strategię rozwiązania tego problemu.
Ataki na infrastrukturę IT firm czy instytucji publicznych to już niechlubna rzeczywistość. Jeden z raportów Federalnego Biura Śledczego (FBI) potwierdza tę tezę pokazując, że od 1 stycznia 2016 r. miało miejsce ponad 4,000 ataków ransomware związanych ze strefą biznesową. Z kolei pomiędzy 2015 a 2016 rokiem ilość ataków ransomware wzrosła o 300 procent. Według raportu Thales Data Threat z 2017 roku wydatki na cyberbezpieczeństwo rosną — jednakże liczba udanych naruszeń bezpieczeństwa również. 26 procent organizacji określonych w raporcie doświadczyło takiego ataku w 2016 roku a 73 procent z nich zwiększyło swoje budżety na wydatki zapobiegające takim sytuacjom.
Co gorsze, 30 procent ankietowanych managerów ds. bezpieczeństwa IT uznało swoje organizacje za bardzo podatne na takie ataki. Stąd też strategia odnośnie technologii bezpieczeństwa powinna obejmować różne elementy infrastruktury firmy od wirtualizacji aplikacji, desktopów i sieci, po centralizację danych, aby uniknąć narażenia na ryzyko utraty informacji w punktach końcowych. Rozwiązania zapewniające bezpieczny kontekstowy i kontrolowany dostęp do dokumentów oraz innych zasobów organizacji o znaczeniu krytycznym powinny stać się priorytetem.
Zastępstwo dla shadow IT
Utrzymanie wysokiej efektywności pracowników wiąże się z możliwością uzyskania przez nich dostępu do najważniejszych zasobów firmy bez ograniczeń w zakresie wykorzystywanych urządzeń czy miejsca, w którym się znajdują. Współczesna rzeczywistość biznesowa nie znosi opóźnień i czekania, a oczekiwania klientów dotyczące utrzymania terminów świadczenia usług czy dostarczania rozwiązań czy produktów stale rosną.
„Jeśli firma – w celu poprawy swojej efektywności – ma plany odnośnie np. wdrożenia BYOD, to powinny one być zgodne z protokołami bezpieczeństwa, które zapewniają elastyczność i mobilność, a jednocześnie poufność i bezpieczeństwo kluczowych informacji biznesowych. Korzystanie z rozwiązań do wymiany i współdzielenia plików opartych na przyjaznym interfejsie i odpowiednim doświadczeniu użytkownika jest jednym z najlepszych sposobów zapewnienia pracownikom odpowiedniej efektowności i zarazem ochrony organizacji. Gdy zatwierdzone przez IT rozwiązania są łatwe do zrozumienia i stosowania przez pracowników, rzadziej będziemy mieli do czynienia ze zjawiskiem shadow IT” – mówi Sebastian Kisiel z Citrix Systems Poland
Dodatkowe środki bezpieczeństwa i strategia prewencji
Dzisiejszy biznes nie może działać w próżni. Aby działać efektywnie, dane muszą się przemieszczać – pomiędzy pracownikami, wykonawcami, menedżerami i innymi interesariuszami. Jednak im więcej danych jest w ruchu, tym więcej jest możliwości ich utraty i kradzieży.
W ostatnich latach rozwiązania pozwalające na zapobieganie utraty danych (DLP) stały się bardziej niezawodne, wykorzystując w tym celu takie elementy jak uczenie maszynowe, sztuczną inteligencje czy analizę behawioralną. Skalowalny pakiet DLP to dobre rozwiązanie dla małych i średnich firm, ponieważ może się rozwijać wraz z nią. Z kolei zarządzanie prawami do informacji (IRM) to bardzo użyteczna taktyka menedżerów IT, którzy mogą kontrolować dane, które są w ruchu. IRM może stosować szyfrowanie na poziomie plików i kontrolę autoryzacji, dzięki czemu można kontrolować, kto i na jakich zasadach ma dostęp do poufnych informacji. Tym samym korzystanie z dokumentów może być ograniczone tylko do wglądu, do wglądu i druku lub np. być w pełni edytowalne.
Zapobieganie wszystkim atakom ransomware i malware jest niestety niemożliwe. Odseparowanie pracowników za pomocą sieci proxy i firewalli może uniemożliwić części mniej biegłym hakerom skuteczne naruszenie bezpieczeństwa firmy, ale na powstrzymanie bardziej utalentowanych z nich te rozwiązania już nie wystarczą. Inwestowanie w elastyczne strategie to jedyny sposób, aby poradzić sobie z naruszeniami bezpieczeństwa. Należy korzystać z rozwiązań prewencyjnych, specjalnie zaprojektowanych do szybkiego wykrywania, identyfikacji i reagowania na ataki cybernetyczne od momentu ich wystąpienia.
