Biz kullanıcılar bir ihtiyacı karşılamak için basitçe satın alınabilecek işlerine yardımcı olabilecek bir araç veya uygulama bulmaya alışmış durumdayız. Shadow IT ise işletmenin Bilgi Teknolojileri departmanının bilgisi olmadan yönetilen ve kullanılan Bilgi Teknolojileri uygulamalarını ve altyapısını ifade etmektedir. Shadow IT riskleri hemen hemen her kuruluşta mevcuttur, ancak çoğu IT liderleri ve CISO’ları bu alandaki erişimleri küçümsemektedir. Bugünkü yazımda her işletme liderinin Shadow IT hakkında anlaması gereken önemli gerçekleri sizlerle paylaşmaya çalışacağım. Shadow IT, Bilgi Teknolojileri departmanı tarafından izin verilmeden (veya bilgisi olmadan) kuruluşlar içinde oluşturulan ve/veya kullanılan IT sistemlerini ve IT çözümlerini tanımlamak için kullanılan bir terimdir. Shadow IT örnekleri arasında, Dropbox ve Google Drive gibi bulut depolama yazılımları, iş amaçlı kullanılan kişisel e-posta hesapları, şirket ağına dahil olmayan şirket cihazları haricindeki cihazlar “Kendi Cihazlarını Getir” (Bring Your Own Device – BYOD) veya yukarıda belirttiğim gibi üçüncü taraf bir Hizmet Olarak Yazılım (Software as a Service – SaaS) uygulamaları yer almaktadır.

1. Shadow IT kavramı yeni bir kavram değildir

“Shadow IT” kelimesi son birkaç yılda çok popüler bir hale gelmiştir. Ancak, bu kavram hiç de öyle görüldüğü gibi yeni bir kavram değildir. Çalışanlar, daha bu kavram ortaya çıkmadan önce bile yetkisiz araçlar ve işyerinde kişisel bilgisayarlarını yıllardır getirerek kullanmaktadırlar. Dünden bugüne değişen tek şey şu, bu cihazları kullanmak şimdi geçmişte olduğundan çok daha kolay. Kullanıcılar/çalışanlar web’de arama yaparak dakikalar içinde karşılaştıkları sorunlara yönelik buldukları uygulamaları indirerek çözüm bulabilirler. Hepimizin tecrübe ettiği gibi BT departmanlarıyla bir anısı mutlaka vardır; BT departmanına bir talepte bulunduktan sonra onay sürecini beklemek zorundadırlar. Shadow IT’nin herhangi bir kuruluştaki oluşmasının ana nedenlerinden biri bu bekleme zorunluluğunu ortadan kaldırarak kısa sürede sorunlarını çözme isteğidir.
Gartner, 2020 yılına kadar başarılı saldırıların üçte birinin Shadow IT nedeniyle olacağını öngörmektedir.1 Büyük resme baktığımızda büyük çaptaki kuruluşların IT harcamalarının %30-40’ı Shadow IT’ye gitmektedir. Bulut’un benimsenmesiyle, CIO/CISO için işler günden güne gittikçe zorlaşmaktadır.

2. Shadow IT, düşündüğünüzden daha büyük bir buzdağıdır

Birçok kuruluş, Shadow IT’in kendileri için geçerli olmayabileceğini ve etkilemeyeceğini düşünüyor. Öyleyse neden Shadow IT konusunda endişelenmelisiniz? Yada, nasıl bu kadar emin olabiliyorsunuz?
Son zamanlarda yapılan çalışmalar ve anketler, IT liderlerinin kuruluşlarında Shadow IT kullanımını çoğunlukla küçümsemediklerini ortaya koymuştur. İşte gerçek verileri değerlendirdiğiniz de genel olarak, Shadow IT kullanımı tahmin edilenden 15 kat daha fazla durumdadır.
Gerçek şu ki, Shadow IT, tıpkı efsane titanik örneğinde olduğu gibi deniz yüzeyi üzerinde küçük bir şekilde görülebilen bir buzdağına benziyor, ancak yüzeyin altına baktığınızda etki alanının fark ettiğinizden çok daha büyük olduğunu göreceksiniz.
IT departmanları bazı özel keşif araçlarından faydalanmadıkça, bunların farkında bile değillerdir. Bu durum şirketin güvenlik duruşunun ne olduğu, ne tür risklere maruz kaldığı veya hassas verilerin nerede olduğu hakkında hiçbir fikrinin olmadığı anlamına gelir.

3. Shadow IT Saldırı Yüzeyini Gün Geçtikçe Artırıyor

Shadow IT saldırı yüzeyleri gün geçtikçe genişliyor. Hassas verilere ulaşmak için dosya paylaşım araçları ve iletişim araçları vasıtasıyla erişmek için kullanılabilir. Shadow IT’de kullanılan her yeni uygulama, saldırganlara/bilgisayar korsanlarına, hassas veriler elde etmek için sisteminize girmenin başka bir yolunu sunmaktadır.

4. Shadow IT bir isyan değildir

CISO’lar/CIO’lar/IT liderlerinin Shadow IT ile yüzleştiklerindeki en sık görülen tepki öfke veya sürprizdir. Kuruluşun teknolojisini yönetmek ve kullanıcılarının güvenli erişimini sağlamak için çok zaman harcadıklarını ancak yine de kullanıcıların/çalışanların risk oluşturduğunu keşfedeceklerdir.
Ancak, Shadow IT’in bir isyan aracı olmadığını ve son kullanıcıların verimli çalışmak için kendi çözümlerini bulmaya çalıştığı gerçeğini anlamalısınız.

5. Shadow IT değişen iş ihtiyaçlarını karşılamak için çözüm arayışı olmalıdır.

Shadow IT mutlaka karşımıza çıkan bir tehdit değildir, değişen iş ihtiyaçlarını karşılamak ve IT ile iş ihtiyaçları arasında daha sıkı bir uyum sağlamak için etkili bir yol olabilir. CISO’lar risklerin asgari düzeyde olmasını sağlamak için bu gayri resmi sistemleri tespit etme, değerlendirme ve yönetme konusunda dikkatli olmalıdırlar. CISO’lar, ihtiyaç duydukları yazılım ve uygulamaları seçmek için iş birimlerine güvenmeli ve daha sonra bu teknoloji yatırımlarından en iyi şekilde yararlanmaları için onlara yardım etmelidir. Bu sorunları ancak bu şekilde çözebilirsiniz.

6. Shadow IT’deki Etkin Çözüm Nedir?

Shadow IT, kurumsal güvenlik riskleri, veri gizliliği riskleri ve uyumluluk riskleri gibi birçok işletme riskine yol açacaktır. Kuruluş IT departmanının bilgisi olmadan üçüncü taraf hizmetleri (Yazılım) satın alıp kullandığında, hassas verileri riske sokabilir. Ancak bu duruma da aşağıda belirttiğim gibi çözümler vardır.

1. Shadow IT Keşfi
Shadow IT risklerini azaltmak için ilk adım çalışanlarınızı inceleyin ve ağ trafiğini takip edin. Öncelikle, çalışanlarınızın düzenli olarak kullandıkları tüm hizmetleri ve yazılımları öğrenin ve bu şekilde kullandıkları yetkisiz araçları açığa çıkaracaksınız. Tarama tekniklerinin kullanılması, ağınızı kullanan yetkisiz sistemler ve yazılımların belirlenmesinde sizlere yardımcı olacaktır.
2. Karşılanamayan İhtiyaçların Belirlenmesi
Yetkisiz sistemleri ve yazılımı belirledikten sonra, çalışanların neden ihtiyaç duydukları çözümleri onlara sunduğunuz altyapıdan almadığını iyi anlamalısınız. Shadow IT riskini ortadan kaldırmak istiyorsanız, asıl meseleleri ele almalısınız ve onlara kontrolünüzde olan kurumsal çözümler getirmelisiniz.
3. Kullanıcılara İhtiyaç Duydukları Araçları Vermelisiniz
Shadow IT risklerini azaltmanın en iyi yolu, shadow IT’yi tamamen gereksiz hale getirmektir. Shadow IT, işletme kullanıcıları IT’den ihtiyaç duydukları çözümleri almadığında ortaya çıkar. Bu çözümleri başarıyla sunarsanız, Shadow IT sorununun arkasındaki itici gücü ortadan kaldıracaksınız.
Bu adımın amacı kontrollü self servis çözümlerdir. Sağladığınız herhangi bir yazılım iki önemli kritere uymalıdır:

  •         Self servis: Kullanıcılar IT’yi rahatsız etmeden çözümü kullanabilir olmalıdır.
  •         Kontrol: IT, verileri ve kullanıcı erişimini kontrol edebilmelidir.

Kontrollü self servis seçeneklerini sunduğunuzda, her iki durumda da riskleri en aza indirirsiniz. Kullanıcılar ihtiyaç duydukları çözümleri hızlı bir şekilde alırlar ve IT sorumluları da hala verilerini, uygulamaları güvence altına alabilir. Buradaki kazan-kazan ilişkisiyle bu süreç başarılı bir şekilde yürütülebilir.

4. Kullanıcılara Farkındalık Yaratma
Çalışanlar kasıtlı olarak Shadow IT uygulamasını kullanmıyor, ancak kendileri karşılaştıkları bir sorunu kendi kendilerine çözmeye çalışmalarıyla ortaya çıkıyor. Çoğu çalışanlar güvensiz bir şekilde aldıkları eylemlerinin, kuruma ve kendilerine getirebileceği güvenlik risklerini anlamıyor veya bilmiyor. Güvenlik risklerini azaltmak için çalışanlar/kullanıcılar eğitilmeli ve ilgili riskleri anladıklarından ve kavradıklarından emin olmalı ve kaçınılması gereken yetkisiz sistemler ve yazılımlar hakkında farkındalık yaratılmalıdır. En zayıf halkanın insan olduğu ve zayıf halkanız kadar güvende olduğunuz gerçeği burada yine unutulmamalıdır.
Shadow IT’yi yönetmek için başlıca politikaların oluşturulması gerekiyor. Yukarıdaki adımlara geçmeden önce ilk olarak bir kurumun Shadow IT politikasına sahip olması gerekiyor. Shadow IT Yönetimi’nin temel alanlarıyla ilgilenen bir politika dokümanı oluşturulmalıdır. Her ihtiyaç duyulan aktiviteyi IT ile ilişkilendirmek, IT altyapısının uygun şekilde kullanılması olasılığını arttırır. Bu durumun elbette IT politikasına belirli bağımlılıkları bulunmaktadır. Bu durum politikalarda dikkate alması gereken ana konulardan biridir. Bu konuda ilk olarak ilgili Shadow IT politikalarını oluşturarak başlayabilirsiniz.