Shadow IT ถูกมองว่าเป็นภัยคุกคามต่อความปลอดภัยและการปฏิบัติตามข้อกำหนดมาช้านาน แต่ปัจจุบัน ธุรกิจจำนวนมากขึ้นตระหนักถึงข้อดีของมัน ผู้บริหารซอฟต์แวร์ไอทีหลายคนตั้งคำถามว่า "มีวิธีรักษาความปลอดภัยในขณะที่เพิ่มความยืดหยุ่นหรือไม่" เนื่องจากการประมวลผลแบบคลาวด์ยังคงใช้งบประมาณด้านไอทีของธุรกิจที่เพิ่มขึ้นอย่างต่อเนื่อง เมื่อทำอย่างถูกต้อง นโยบายด้านไอทีที่เป็นเงาอาจช่วยให้ทั้งฝ่ายไอทีและธุรกิจสบายใจได้ อย่างไรก็ตาม การจะทำเช่นนั้นได้ จำเป็นต้องทำความคุ้นเคยกับความหมาย ข้อเสียที่เป็นไปได้ และผลประโยชน์ที่อาจเกิดขึ้น
Shadow IT คืออะไร และเพราะเหตุใด
คำว่า "เงาไอที" หมายถึงการใช้ทรัพยากรเทคโนโลยีสารสนเทศ ซอฟต์แวร์ หรือแอปพลิเคชันในธุรกิจโดยไม่ได้รับการสนับสนุนจากฝ่ายไอทีหรือทีมรักษาความปลอดภัย อาจเกี่ยวข้องกับทั้งซอฟต์แวร์และฮาร์ดแวร์ ตลอดจนทรัพยากรบนคลาวด์ การเติบโตอย่างรวดเร็วของการใช้บริการบนคลาวด์เป็นปัญหาที่ใหญ่ที่สุดในปัจจุบัน: เมื่อมีผู้คนจำนวนมากขึ้นใช้งานมัน ก็ยิ่งเพิ่มปรากฏการณ์ของ "shadow IT" ผู้ใช้คุ้นเคยกับการเข้าถึงและการใช้ซอฟต์แวร์และบริการบนคลาวด์สำหรับแอพพลิเคชั่นเพื่อประสิทธิภาพการทำงานหรือ เครื่องมือ การนำ Shadow IT มาใช้ในองค์กรสามารถมีได้หลายรูปแบบ แต่มักจะเกิดขึ้นด้วยวิธีใดวิธีหนึ่งจากสองวิธีต่อไปนี้:
- การใช้โปรแกรมบุคคลที่สามเพื่อเข้าถึง จัดเก็บ หรือแจกจ่ายข้อมูลของบริษัท แม้ว่าบริษัทจะลงโทษ Google Workspace อย่างเป็นทางการสำหรับการแชร์ไฟล์ แต่พนักงานอาจยังแนะนำ Shadow IT ได้ด้วยการเลือกใช้ Microsoft 365 แทน
- การใช้ทรัพยากรที่ถูกลงโทษอย่างผิดกฎหมาย ในลักษณะเดียวกัน แม้ว่าแผนกไอทีจะอนุญาตให้ใช้ Google Workspace ผ่านบัญชีที่จัดการโดยองค์กร แต่พนักงานอาจยังคงนำ IT มาใช้โดยการเข้าถึง Google Workspace โดยใช้บัญชีที่ไม่ได้รับการตรวจสอบของตนเอง
ตัวอย่างของ Shadow IT คืออะไร?
การใช้บัญชีอีเมลส่วนบุคคลสำหรับธุรกิจของบริษัท การใช้ Bring Your Own Devices (BYOD) ที่ไม่ได้รับอนุมัติ หรือการปรับใช้บริการ SaaS (ซอฟต์แวร์เป็นบริการ) ที่ไม่ได้จัดการโดยทีมไอทีของบริษัทของคุณ ล้วนเป็นตัวอย่างทั่วไปของ Shadow IT ต่อไปนี้คือตัวอย่างเฉพาะของ Shadow IT:
- แอปพลิเคชันหรือเครื่องมือสำหรับเพิ่มประสิทธิภาพการทำงาน รวมถึงซอฟต์แวร์ เช่น Trello และ Asana
- Microsoft Teams, Slack และ Google Chat เป็นตัวอย่างของแอปส่งข้อความและการทำงานร่วมกัน
- แอปพลิเคชันหรือเครื่องมือโทรศัพท์มือถือ แท็บเล็ต และอุปกรณ์ Internet of Things (IoT) อื่นๆ
- บริการและแอปพลิเคชันสำหรับการจัดเก็บข้อมูลหรือถ่ายโอนไฟล์ในระบบคลาวด์ รวมถึงซอฟต์แวร์ Google Drive, Dropbox, Box และ OneDrive
- แอปพลิเคชั่นหรือเครื่องมือสำหรับการประชุมออนไลน์ รวมถึง Zoom, Skype, WebEx และ GoToMeeting
- ซอฟต์แวร์หรือเครื่องมือ การจัดกำหนดการการนัดหมาย และการจัดการ เช่น Calendly, ScheduleOnce และ Bookafy
การใช้ Shadow IT มีความเสี่ยงอย่างไร?
ความเสี่ยงที่เกี่ยวข้องกับเงาไอทีก็ซ่อนอยู่ในเงามืดเช่นกัน แม้ว่าพนักงานอาจทำงานให้เสร็จเร็วขึ้นและง่ายขึ้นด้วยความช่วยเหลือของเครื่องมือหรือแอปพลิเคชันซอฟต์แวร์ shadow IT แต่ซอฟต์แวร์หรือแอปพลิเคชันนี้มาพร้อมกับอันตราย ความไร้ประสิทธิภาพ และค่าใช้จ่ายใหม่ๆ มากมายสำหรับธุรกิจ
สูญเสียการมองเห็นและการควบคุม
คุณสูญเสียการกำกับดูแลและการจัดการเมื่อข้อมูลถูกย้ายไปยังระบบหรือแอปพลิเคชันที่ไม่เป็นทางการ ระบบไอทีในเงามืดทำให้เกิดอันตราย เช่น การไม่ปฏิบัติตามกฎระเบียบด้านความปลอดภัย การละเมิดข้อมูล และการไม่สามารถดำเนินการกู้คืนจากความเสียหายที่จำเป็นเกี่ยวกับข้อมูลดังกล่าว
การรวมซอฟต์แวร์
การรวมระบบเป็นคุณลักษณะทั่วไปของแผนกไอที ซอฟต์แวร์ Shadow IT มีความเสี่ยงต่อการรั่วไหลของข้อมูล หากส่วนใดส่วนหนึ่งของการผสานรวมถูกบุกรุก หากผู้ใช้ไม่ติดตั้งการอัปเกรดซอฟต์แวร์ที่สำคัญ ความรุนแรงของการละเมิดนี้จะเพิ่มขึ้นอย่างมาก มีแนวโน้มมากขึ้นที่พนักงานอาจไม่รู้วิธีอัปเกรดเครื่องมือของตนด้วยซ้ำ
เมื่อฝ่ายไอทีทำการอัปเกรดบนระบบรวม แอพพลิเคชั่นหรือซอฟต์แวร์ที่ไม่รู้จักก่อนหน้านี้อาจมีแบ็คดอร์ให้ผู้โจมตีเข้าถึงฐานข้อมูลทั้งหมดได้ ทุกที่ตั้งแต่การหยุดชะงักครั้งใหญ่ไปจนถึงการตั้งข้อหาทางอาญาสำหรับหัวหน้าเจ้าหน้าที่ข้อมูลอาจเป็นผลมาจากการละเมิดดังกล่าว
ข้อมูลสูญหาย
ข้อมูล Shadow Cloud อาจไม่สามารถเข้าถึงได้สำหรับธุรกิจ โดยเฉพาะอย่างยิ่งหากบุคคลที่สร้างข้อมูลออกจากบริษัท สัญญาผู้ใช้ เอกสารการออกแบบ และแอปพลิเคชันหรือเครื่องมือโครงการอื่นๆ อาจถูกจัดเก็บไว้ในบัญชี Dropbox ส่วนตัวของผู้ใช้ เป็นไปได้ว่าบริษัทจะไม่สามารถกู้คืนข้อมูลลูกค้าที่สำคัญจากบัญชีส่วนตัวของบุคคลนั้นได้ หากผู้ใช้ถูกไล่ออก เมื่อผู้ใช้ถูกบอกเลิกและไม่ชำระค่าบริการซอฟต์แวร์คลาวด์ของ Shadow IT อีกต่อไป จะเป็นเรื่องง่ายที่จะปิดใช้งานบริการหรือแอปพลิเคชันดังกล่าวทันที
ค่าใช้จ่าย
เกือบหนึ่งในสามของการสมัครรับข้อมูลหรือแอปพลิเคชัน SaaS ทั้งหมด จากการประมาณการบางอย่าง ไม่ได้ใช้งานหรือใช้งานน้อยเกินไป ซึ่งนำไปสู่ความไร้ประสิทธิภาพและเสียเงินไปเปล่าๆ ธุรกิจบางแห่งที่ต้องการสนับสนุนซอฟต์แวร์ Shadow IT ของตนใช้วิธีแมนนวลที่ไม่มีประสิทธิภาพ ซึ่งรวมถึงการใช้สเปรดชีตขนาดยาวเพื่อติดตามบริการ SaaS ของตน ซึ่งเสียเวลาและเงินไปเปล่าๆ
การขยายพื้นผิวการโจมตีที่ไม่รู้จัก
ด้วยเงาไอทีที่มากขึ้น มีโอกาสมากขึ้นสำหรับองค์กรที่จะถูกโจมตี ระบบฐานข้อมูลที่ไม่มีการรวบรวมกันไม่อยู่ในขอบเขตของโปรโตคอลความปลอดภัยที่รู้จัก ข้อมูลประจำตัวที่อ่อนแอหรือความเสี่ยงเริ่มต้นในการเปิดเผยสินทรัพย์ที่ไม่มีการจัดการสู่อินเทอร์เน็ต การจัดการบันทึกภัยคุกคาม ข้อมูลความปลอดภัย ซอฟต์แวร์ระบบการจัดการเหตุการณ์ (SIEM) และการทดสอบการเจาะระบบจะไม่ครอบคลุมถึง Shadow IT
ประโยชน์ของ Shadow IT
อย่างไรก็ตาม Shadow IT ก็มีประโยชน์เช่นกัน นี่คือข้อดีหลักของการใช้ Shadow IT:
ระดับผลผลิตที่สูงขึ้น
จากผลการสำรวจความคิดเห็นที่จัดทำโดย Entrust Datacard พนักงานเกือบทั้งหมดเพิ่มผลผลิตเมื่อได้รับโอกาสในการใช้เทคโนโลยีที่ตนเลือก นอกจากนี้ ผลสำรวจเดียวกันนี้พบว่า 77% ของผู้เชี่ยวชาญด้านซอฟต์แวร์ไอทีรู้สึกว่าบริษัทของตนอาจมีความได้เปรียบทางการแข่งขัน หากผู้บริหารร่วมมือกันมากขึ้นในการระบุวิธีแก้ไขปัญหาโดยใช้แอป เมื่อใคร่ครวญเรื่องนั้นอย่างถี่ถ้วนแล้ว ผู้หนึ่งตระหนักดีว่าข้อสรุปเหล่านี้ไม่น่าตกใจมาก ตัวอย่างเช่น คุณไม่ควรคาดหวังให้ช่างทำผมสามารถทำงานให้เสร็จได้ในปริมาณที่เท่ากันด้วยกรรไกรธรรมดาๆ เหมือนกับที่ทำกับชุดกรรไกรตัดผมมืออาชีพ
ตัวกระตุ้นนวัตกรรมหรือตัวเร่งปฏิกิริยา
เมื่อมีคนค้นหามากขึ้น การระบุเครื่องมือที่เหมาะสมกับงานในมือจะง่ายกว่า พนักงานเองเป็นผู้ตัดสินที่ยิ่งใหญ่ที่สุดว่าโซลูชันซอฟต์แวร์และฮาร์ดแวร์ใดอาจเป็นประโยชน์กับพวกเขามากที่สุด ดังนั้น Shadow IT จึงเหมาะสมอย่างยิ่งที่จะให้พวกเขาใช้สิ่งที่พวกเขาต้องการโดยไม่ต้องขออนุญาตจากใครก่อน ดังนั้นจึงเหมาะสมยิ่งขึ้นสำหรับผู้บริหารในการศึกษาซอฟต์แวร์หรือแอพเทคโนโลยีสารสนเทศที่พนักงานเริ่มใช้งานด้วยตนเองอย่างละเอียดถี่ถ้วนและสำรวจความเป็นไปได้ของการนำพวกเขาไปใช้อย่างเป็นทางการทั่วทั้งบริษัท มีความเป็นไปได้มากที่โซลูชันที่มาถึงผ่านกระบวนการนี้จะเชื่อมโยงอย่างใกล้ชิดกับความต้องการทางธุรกิจเริ่มต้นมากกว่าโซลูชันที่ผู้บริหารเลือกโดยตรง
นำสิ่งที่ดีที่สุดและสว่างที่สุด
Shadow IT เป็นเทคโนโลยีสารสนเทศรูปแบบหนึ่งที่สามารถช่วยเหลือธุรกิจ โดยเฉพาะอย่างยิ่งผู้ที่ปฏิบัติงานในอุตสาหกรรมที่ต้องพึ่งพาซอฟต์แวร์เทคโนโลยีสารสนเทศเป็นอย่างมาก สรรหาและรักษาพนักงานที่ดีที่สุด ผู้สมัครงานที่มีประสบการณ์มากมายมักจะรู้สึกซาบซึ้งเสมอเมื่อพวกเขาได้รับอนุญาตให้ใช้เครื่องมือนั้นซึ่งทำงานได้ดีที่สุดสำหรับพวกเขา แทนที่จะถูกบังคับให้เรียนรู้วิธีใช้ชุดเครื่องมือที่ต่างไปจากเดิมอย่างสิ้นเชิง ซึ่งอาจจะใช่หรือไม่ทันสมัยก็ได้ เพียงเพราะคนที่มาก่อนพวกเขาชอบใช้พวกเขา ในทำนองเดียวกัน บุคคลที่มีประสิทธิภาพสูงจะมีส่วนร่วมและมีประสิทธิผลมากกว่าเมื่อเข้าถึงซอฟต์แวร์ไอทีที่ทันสมัยที่สุดที่มีอยู่ และพวกเขาอาจปฏิเสธข้อเสนอค่าตอบแทนที่สูงขึ้นจากคู่แข่งที่มีสภาพแวดล้อมการทำงานไม่เหมาะกับพวกเขา
การลดความต้องการและการเปิดรับ Shadow IT
คุณอาจลดความจำเป็นในการใช้ Shadow IT รวมถึงความเสี่ยงที่เกี่ยวข้องด้วยการทำบางสิ่งที่ระบุไว้ข้างต้น
สื่อสารและให้ความร่วมมือ
ค้นหาสิ่งที่ผู้ใช้ไอทีต้องการจริงๆ นำไซโลลงมา ทำให้แผนกไอทีและผู้ใช้ไอทีสามารถสื่อสารกันในลักษณะที่เรียบง่าย สะดวก และมีประสิทธิภาพ เพื่อให้เข้าใจถึงความต้องการที่แท้จริง ประสบการณ์ และความคิดเห็นของผู้ใช้ปลายทางเกี่ยวกับเทคโนโลยีในปัจจุบันและใหม่ที่จำเป็นมากขึ้น เช่น แพลตฟอร์มรหัสต่ำ/ไม่มีรหัส
ฝึกฝนและให้ความรู้
การแจ้งให้ผู้ใช้ทราบถึงอันตรายที่เกี่ยวข้องกับซอฟต์แวร์ Shadow IT และวิธีที่บริษัทอาจช่วยเหลือในการปฏิบัติตามข้อกำหนดทางเทคโนโลยีโดยไม่ต้องหลีกเลี่ยงกฎการกำกับดูแลตามปกติเป็นขั้นตอนที่สำคัญมากในการลดความเสี่ยงเหล่านี้ พนักงานที่มีความรู้ด้านความปลอดภัยและแบ่งปันวิสัยทัศน์ขององค์กรในเรื่องความปลอดภัยของซอฟต์แวร์เทคโนโลยีสารสนเทศ มักจะเข้าใจความเสี่ยงที่เกี่ยวข้องกับเงาไอที และได้รับการสนับสนุนให้ค้นหาโซลูชันที่ยอมรับได้เพื่อตอบสนองความต้องการทางเทคโนโลยีของพวกเขา
ความคิดสุดท้าย
โครงสร้างสำนักงานทั่วไปทำให้ตัวเลือกมีความยืดหยุ่น ห่างไกล และไฮบริดมากขึ้น ระบบคลาวด์ช่วยการเปลี่ยนแปลงนี้ได้ แต่คุณยังคงต้องจัดการกับผลที่ตามมาที่สำคัญบางประการ ภัยคุกคามด้าน Shadow IT จะยังคงเป็นปัญหาตราบใดที่บริการ SaaS ขับเคลื่อนนวัตกรรมของคุณ
แต่ถ้าฉันบอกคุณว่าคุณสามารถแก้ไขความเสี่ยงทั้งหมดของ Shadow IT ได้โดยใช้ แพลตฟอร์มแบบ low-code/no-code แพลตฟอร์มเหล่านี้สามารถควบคุมแผนกไอทีได้ แต่จะช่วยสร้างเครื่องมือทางธุรกิจที่จำเป็นสำหรับพนักงาน ลองนึกภาพว่าคุณสามารถสร้างแอปพลิเคชันการกำหนดเวลานัดหมาย ซึ่งตรงกับความต้องการของบริษัทของคุณโดยสิ้นเชิง นอกจากนี้ คุณจะไม่กลัวความเสี่ยงทั้งหมดของ Shadow IT เพราะจะได้รับการพัฒนาและควบคุมโดยแผนกไอทีของคุณ AppMaster.io เป็นหนึ่งในแพลตฟอร์มไร้รหัสล้ำสมัยที่จะช่วยให้คุณสร้างเว็บและแอปพลิเคชั่นมือถือที่ดีที่สุดสำหรับธุรกิจของคุณโดยไม่จำเป็นต้องเขียนโค้ดใดๆ
