Günümüzün dijital çağında iş operasyonlarının merkezinde teknoloji yer alıyor. Şirketler operasyonlarını desteklemek, verimliliği artırmak ve üretkenliği geliştirmek için BT altyapısına ve uygulamalarına büyük yatırımlar yapıyorlar. Bununla birlikte, kurumsal BT’nin artan karmaşıklığına rağmen, çalışanlar kendi özel ihtiyaçlarını karşılamak için giderek daha fazla yetkisiz teknoloji çözümlerine yöneliyor ve bu da Gölge BT (Shadow IT) olarak bilinen bir olguya yol açıyor.
Gölge BT nedir?
Gölge BT, bir kuruluş içinde BT departmanının bilgisi veya onayı olmadan kullanılan herhangi bir teknoloji veya yazılımdır. Bu, BT departmanı yerine çalışanlar veya diğer departmanlar tarafından satın alınan ve yönetilen bulut tabanlı hizmetleri, uygulamaları ve cihazları içerir.
Gölge BT yazılımları:
- WeTransfer, Imgur ve diğer çevrimiçi dosya aktarım/görüntü paylaşım hizmetleri
- Gmail, Drive ve diğer Google Suite araçları
- Dropbox, Box ve diğer eşler arası iş birliği araçları
- WhatsApp ve diğer mesajlaşma uygulamaları
Gölge BT donanımları:
- Kişisel dizüstü bilgisayarlar
- Akıllı Telefonlar
- USB flash sürücüler
Çalışanlar neden gölge BT kullanıyor?
Gölge BT kullanımının nedenleri çeşitlilik gösterse de başlıca itici güçlerden biri çalışanların işlerinde üretken ve verimli olma ihtiyacıdır. Kurumsal BT sistemleri ve yazılımları genellikle departmanların veya çalışanların özel ihtiyaçlarını karşılayacak şekilde tasarlanmamıştır. Bu durum çalışanların hayal kırıklığına uğramasına ve ihtiyaçlarını daha etkin bir şekilde karşılayacak alternatif çözümler aramasına yol açabilir.
Buna ek olarak, teknolojik değişimin hızı, çalışanların BT departmanlarının en yeni araç ve hizmetleri yakalaması gerektiğini fakat bürokrasi veya bütçe gibi nedenlerle hızlı ilerleyememesini düşünmesine neden oluyor.
Çalışanlar, Gölge BT kullanarak bir adım önde olabileceklerini ve üretkenliklerini arttırabileceklerini düşünebilirler.
Gölge BT’nin riskleri
Kuruluşlar için önemli riskler oluşturuyor:
Güvenlik Riskleri: Gölge BT uygulamaları genellikle güvenlik açısından incelenmez, bu da kuruluşları siber saldırılara ve veri ihlallerine karşı savunmasız bırakır.
Uyumluluk Riskleri: Birçok Gölge BT çözümü GDPR, HIPAA veya PCI DSS gibi düzenleyici gerekliliklerle uyumlu değildir ve bu da potansiyel uyumluluk sorunlarına yol açar.
Veri Kaybı Riskleri: Gölge BT çözümlerinde depolanan veriler yedeklenmeyebilir, bu da bir donanım arızası veya sistem kesintisi durumunda potansiyel veri kaybına yol açabilir.
Operasyonel Riskler: Gölge BT çözümleri mevcut kurumsal BT sistemleri ile çatışmalara neden olarak operasyonel aksaklıklara yol açabilir.
Gölge BT riski nasıl yönetilir?
Risklerini yönetmek için yapılması gerekenler:
Çalışanları Eğitin: Çalışanların Gölge BT’nin risklerini ve kurumsal BT politikalarına uymanın önemini anlamaları gerekir.
Açık BT Politikaları Oluşturun: Şirketler, kurum içinde hangi uygulamaların ve hizmetlerin kullanılabileceğini belirleyen net politikalar oluşturmalıdır.
Alternatif Çözümler Sağlayın: Şirketler, çalışanların ihtiyaçlarını karşılayan çözümler bulmak için çalışanlarla uyum içinde olmalıdır.
Politikaları İzleyin ve Uygulayın: Kuruluşlar Gölge BT’yi izlemeli ve yetkisiz kullanımı önlemek için politikalar ve prosedürler uygulamalıdır.
Safetica NXT ile Gölge BT’yi kontrol altında tutun
Safetica NXT’in Shadow IT özelliği sayesinde, yönetici kullanıcı şirketin yazılım ve web uygulama kataloğunu rahatça inceleyebilir ve istenmeyen uygulamaları veya web sitelerini takip edebilir. Akıllı analizi ve otomatik risk tespiti bu görevi zahmetsiz hale getirir.
Gölge BT bölümü iki sekmeden oluşmaktadır:
Şirket faaliyetleri
Bu varsayılan sekme, onaylı veya Gölge BT olsun, tüm önemli uygulama veya web sitesi etkinliklerini içerir. Yeni tespit edilen tüm faaliyetler, özellikle de riskli görülenler işaretlenir. Şüpheli bir faaliyetin bir veri ihlaline yol açıp açmayacağını görmek için ilgili dosya işlemlerine kolayca erişilebilir.
Kişisel kullanım
Safetica NXT, zararsız kişisel etkinlik kayıtlarını otomatik olarak Kişisel Kullanım sekmesinde filtreler. Bu sekmedeki kayıtlar gizlilik kontrolüne tabidir ve hassas kişisel verilerin güvende tutulmasını sağlar. Bununla birlikte, bir yöneticinin bir güvenlik olayını araştırırken derinlemesine incelemesi gerekiyorsa, neler olduğunu tam olarak anlayabilmesi için için bu kayıtlara erişebilir.
Gölge BT kurumsal güvenlik için önemli bir tehdittir ve kuruluşlar risklerini yönetmek için adımlar atmalıdır. Çalışanları eğiterek, net politikalar oluşturarak, alternatif çözümler sunarak ve politikaları izleyip uygulayarak şirketler Gölge BT risklerini azaltabilir ve BT altyapılarının güvenliğini ve uyumluluğunu sağlayabilir.
CISO (Baş Bilgi Güvenliği Yöneticisi) ne iş yapar?
NUIT: Sesli asistanlara ultrason saldırıları
