Biz kullanıcılar bir ihtiyacı karşılamak için basitçe satın alınabilecek işlerine yardımcı olabilecek bir araç veya uygulama bulmaya alışmış durumdayız. Shadow IT ise işletmenin Bilgi Teknolojileri departmanının bilgisi olmadan yönetilen ve kullanılan Bilgi Teknolojileri uygulamalarını ve altyapısını ifade etmektedir. Shadow IT riskleri hemen hemen her kuruluşta mevcuttur, ancak çoğu IT liderleri ve CISO’ları bu alandaki erişimleri küçümsemektedir. Bugünkü yazımda her işletme liderinin Shadow IT hakkında anlaması gereken önemli gerçekleri sizlerle paylaşmaya çalışacağım. Shadow IT, Bilgi Teknolojileri departmanı tarafından izin verilmeden (veya bilgisi olmadan) kuruluşlar içinde oluşturulan ve/veya kullanılan IT sistemlerini ve IT çözümlerini tanımlamak için kullanılan bir terimdir. Shadow IT örnekleri arasında, Dropbox ve Google Drive gibi bulut depolama yazılımları, iş amaçlı kullanılan kişisel e-posta hesapları, şirket ağına dahil olmayan şirket cihazları haricindeki cihazlar “Kendi Cihazlarını Getir” (Bring Your Own Device – BYOD) veya yukarıda belirttiğim gibi üçüncü taraf bir Hizmet Olarak Yazılım (Software as a Service – SaaS) uygulamaları yer almaktadır.
1. Shadow IT kavramı yeni bir kavram değildir
“Shadow IT” kelimesi son birkaç yılda çok popüler bir hale gelmiştir. Ancak, bu kavram hiç de öyle görüldüğü gibi yeni bir kavram değildir. Çalışanlar, daha bu kavram ortaya çıkmadan önce bile yetkisiz araçlar ve işyerinde kişisel bilgisayarlarını yıllardır getirerek kullanmaktadırlar. Dünden bugüne değişen tek şey şu, bu cihazları kullanmak şimdi geçmişte olduğundan çok daha kolay. Kullanıcılar/çalışanlar web’de arama yaparak dakikalar içinde karşılaştıkları sorunlara yönelik buldukları uygulamaları indirerek çözüm bulabilirler. Hepimizin tecrübe ettiği gibi BT departmanlarıyla bir anısı mutlaka vardır; BT departmanına bir talepte bulunduktan sonra onay sürecini beklemek zorundadırlar. Shadow IT’nin herhangi bir kuruluştaki oluşmasının ana nedenlerinden biri bu bekleme zorunluluğunu ortadan kaldırarak kısa sürede sorunlarını çözme isteğidir.
Gartner, 2020 yılına kadar başarılı saldırıların üçte birinin Shadow IT nedeniyle olacağını öngörmektedir.1 Büyük resme baktığımızda büyük çaptaki kuruluşların IT harcamalarının %30-40’ı Shadow IT’ye gitmektedir. Bulut’un benimsenmesiyle, CIO/CISO için işler günden güne gittikçe zorlaşmaktadır.
2. Shadow IT, düşündüğünüzden daha büyük bir buzdağıdır
Birçok kuruluş, Shadow IT’in kendileri için geçerli olmayabileceğini ve etkilemeyeceğini düşünüyor. Öyleyse neden Shadow IT konusunda endişelenmelisiniz? Yada, nasıl bu kadar emin olabiliyorsunuz?
Son zamanlarda yapılan çalışmalar ve anketler, IT liderlerinin kuruluşlarında Shadow IT kullanımını çoğunlukla küçümsemediklerini ortaya koymuştur. İşte gerçek verileri değerlendirdiğiniz de genel olarak, Shadow IT kullanımı tahmin edilenden 15 kat daha fazla durumdadır.
Gerçek şu ki, Shadow IT, tıpkı efsane titanik örneğinde olduğu gibi deniz yüzeyi üzerinde küçük bir şekilde görülebilen bir buzdağına benziyor, ancak yüzeyin altına baktığınızda etki alanının fark ettiğinizden çok daha büyük olduğunu göreceksiniz.
IT departmanları bazı özel keşif araçlarından faydalanmadıkça, bunların farkında bile değillerdir. Bu durum şirketin güvenlik duruşunun ne olduğu, ne tür risklere maruz kaldığı veya hassas verilerin nerede olduğu hakkında hiçbir fikrinin olmadığı anlamına gelir.
3. Shadow IT Saldırı Yüzeyini Gün Geçtikçe Artırıyor
Shadow IT saldırı yüzeyleri gün geçtikçe genişliyor. Hassas verilere ulaşmak için dosya paylaşım araçları ve iletişim araçları vasıtasıyla erişmek için kullanılabilir. Shadow IT’de kullanılan her yeni uygulama, saldırganlara/bilgisayar korsanlarına, hassas veriler elde etmek için sisteminize girmenin başka bir yolunu sunmaktadır.
4. Shadow IT bir isyan değildir
CISO’lar/CIO’lar/IT liderlerinin Shadow IT ile yüzleştiklerindeki en sık görülen tepki öfke veya sürprizdir. Kuruluşun teknolojisini yönetmek ve kullanıcılarının güvenli erişimini sağlamak için çok zaman harcadıklarını ancak yine de kullanıcıların/çalışanların risk oluşturduğunu keşfedeceklerdir.
Ancak, Shadow IT’in bir isyan aracı olmadığını ve son kullanıcıların verimli çalışmak için kendi çözümlerini bulmaya çalıştığı gerçeğini anlamalısınız.
5. Shadow IT değişen iş ihtiyaçlarını karşılamak için çözüm arayışı olmalıdır.
Shadow IT mutlaka karşımıza çıkan bir tehdit değildir, değişen iş ihtiyaçlarını karşılamak ve IT ile iş ihtiyaçları arasında daha sıkı bir uyum sağlamak için etkili bir yol olabilir. CISO’lar risklerin asgari düzeyde olmasını sağlamak için bu gayri resmi sistemleri tespit etme, değerlendirme ve yönetme konusunda dikkatli olmalıdırlar. CISO’lar, ihtiyaç duydukları yazılım ve uygulamaları seçmek için iş birimlerine güvenmeli ve daha sonra bu teknoloji yatırımlarından en iyi şekilde yararlanmaları için onlara yardım etmelidir. Bu sorunları ancak bu şekilde çözebilirsiniz.
6. Shadow IT’deki Etkin Çözüm Nedir?
Shadow IT, kurumsal güvenlik riskleri, veri gizliliği riskleri ve uyumluluk riskleri gibi birçok işletme riskine yol açacaktır. Kuruluş IT departmanının bilgisi olmadan üçüncü taraf hizmetleri (Yazılım) satın alıp kullandığında, hassas verileri riske sokabilir. Ancak bu duruma da aşağıda belirttiğim gibi çözümler vardır.
Bu adımın amacı kontrollü self servis çözümlerdir. Sağladığınız herhangi bir yazılım iki önemli kritere uymalıdır:
- Self servis: Kullanıcılar IT’yi rahatsız etmeden çözümü kullanabilir olmalıdır.
- Kontrol: IT, verileri ve kullanıcı erişimini kontrol edebilmelidir.
Kontrollü self servis seçeneklerini sunduğunuzda, her iki durumda da riskleri en aza indirirsiniz. Kullanıcılar ihtiyaç duydukları çözümleri hızlı bir şekilde alırlar ve IT sorumluları da hala verilerini, uygulamaları güvence altına alabilir. Buradaki kazan-kazan ilişkisiyle bu süreç başarılı bir şekilde yürütülebilir.