Czym jest shadow IT i dlaczego stanowi zagrożenie?
Shadow IT, czyli oprogramowanie używane przez pracowników bez zgody działu IT, jest większe i bardziej niebezpieczne, niż większość organizacji zdaje sobie sprawę. Czym jest, jak powstaje i jak z nim walczyć.
- 1 października 2024
- 5 min
Shadow IT to jedna z największych niewidocznych luk w zarządzaniu oprogramowaniem w firmach. Termin ten odnosi się do wszelkich technologii, oprogramowania, aplikacji, przechowywania danych w chmurze czy narzędzi komunikacyjnych używanych przez pracowników bez wyraźnej zgody działu IT lub działu zakupów. I jest większe, niż większość organizacji przypuszcza.
Jak powstaje shadow IT?
Shadow IT powstaje niemal zawsze z autentycznego problemu. Pracownik potrzebuje narzędzia do wykonywania swojej pracy, procedura zatwierdzania trwa zbyt długo lub, zaproponowana przez IT, alternatywa jest niewygodna. Najszybszym rozwiązaniem jest założenie darmowego konta lub wykupienie małego abonamentu na służbową kartę kredytową.
Zaczynając się od jednej osoby i jednego narzędzia, problem szybko rośnie. Koledzy dołączają, pliki są dzielone za pomocą niezatwierdzonych platform, a wrażliwe dane firmowe trafiają na serwery poza UE, często bez czyjejkolwiek wiedzy.
Dlaczego shadow IT jest problemem?
Shadow IT ma trzy konkretne konsekwencje:
1. Ryzyko bezpieczeństwa. Narzędzia niezatwierdzone nie są poddawane przeglądowi pod kątem bezpieczeństwa, nie są aktualizowane ani monitorowane. Stanowią łatwe wejście dla wycieków danych i ataków cybernetycznych.
2. Ryzyko zgodności z przepisami. Dane przetwarzane przez niezatwierdzone narzędzia pozostają poza kontrolą zgodności z RODO w organizacji. W przypadku wycieku danych organizacja jest mimo to odpowiedzialna.
3. Marnotrawstwo. Organizacje płacą za scentralizowane narzędzia, podczas gdy pracownicy równolegle korzystają z darmowych lub tanich alternatyw. Konsolidacja jest niemożliwa bez pełnego przeglądu.
Shadow IT a NIS2
Wraz z wprowadzeniem NIS2 shadow IT staje się jeszcze większym zagrożeniem. Obowiązek staranności wymaga, aby organizacje posiadały aktualny przegląd całego oprogramowania i dostawców, w tym narzędzi zakupionych poza formalnym procesem zakupowym. Shadow IT z definicji sprawia, że ten przegląd jest niepełny.
Jak zwalczać shadow IT?
Rozwiązanie nie zaczyna się od zakazów, lecz od zrozumienia. Dlaczego pracownicy korzystają z określonych narzędzi? Czego brakuje w zatwierdzonej ofercie? Dopiero odpowiedzi na te pytania pozwalają skutecznie konsolidować oraz poprawić formalną ofertę oprogramowania.
Praktyczne kroki: analizuj wyciągi z kart kredytowych i faktury pod kątem nieznanych subskrypcji oprogramowania, przeprowadzaj ankiety wśród pracowników o używanych narzędziach oraz przekazuj wyniki działom IT i zakupów w celu skoordynowanego działania.
Najczęściej zadawane pytania
Najczęściej zadawane pytania na ten temat.
Czym dokładnie jest shadow IT?
Shadow IT to wszystkie rodzaje oprogramowania i technologii używanych przez pracowników bez zgody lub wiedzy działu IT lub działu zakupów. Chodzi o darmowe narzędzia, osobistą chmurę lub niezatwierdzone platformy komunikacyjne.
Jak duży problem stanowi shadow IT w przeciętnej organizacji?
Badania pokazują, że średnio 40-60% narzędzi SaaS w organizacji nie jest zarządzane centralnie. Rzeczywista skala shadow IT jest systematycznie niedoszacowywana.
Jak odkryć, jakie shadow IT występuje w mojej organizacji?
Zacznij od audytu oprogramowania na podstawie wyciągów z kart kredytowych, analizy faktur i ankiety wśród pracowników. Dodatkowo narzędzia takie jak Zylo, Torii czy Blissfully mogą pomóc w automatycznym wykrywaniu użycia SaaS.
Gotowy, aby zaoszczędzić na oprogramowaniu?
SoftVaro negocjuje dla Ciebie najlepszą ofertę u ponad 4 000 dostawców. Niezależnie, przejrzyście, w ciągu 24 godzin.