Shadow IT từ lâu đã được coi là mối đe dọa đối với bảo mật và tuân thủ, nhưng ngày nay, nhiều doanh nghiệp nhận ra lợi thế của nó. Nhiều giám đốc điều hành phần mềm CNTT đang đặt câu hỏi, "Có cách nào để duy trì tính bảo mật trong khi tăng cường tính linh hoạt không?" vì điện toán đám mây tiếp tục ngốn một phần ngày càng lớn ngân sách CNTT của các doanh nghiệp của họ. Khi được thực hiện đúng cách, một chính sách CNTT tối ưu có thể giúp cả CNTT và doanh nghiệp thoải mái. Tuy nhiên, để làm như vậy, đòi hỏi bạn phải quen với ý nghĩa của nó, những nhược điểm có thể có và những lợi ích tiềm năng.
Công nghệ thông tin bóng tối là gì và tại sao?
Thuật ngữ "CNTT bóng tối" đề cập đến hoạt động sử dụng tài nguyên, phần mềm hoặc ứng dụng công nghệ thông tin trong một doanh nghiệp mà không có sự hỗ trợ của nhóm CNTT hoặc bảo mật. Nó có thể liên quan đến cả phần mềm và phần cứng, cũng như các tài nguyên dựa trên đám mây. Sự tăng trưởng nhanh chóng của việc sử dụng dịch vụ dựa trên đám mây hiện đang là vấn đề lớn nhất: khi càng có nhiều người sử dụng nó, làm gia tăng hiện tượng “CNTT bóng tối”. Người dùng đã quen với việc truy cập và sử dụng phần mềm và dịch vụ dựa trên đám mây cho các ứng dụng năng suất hoặc công cụ. Việc đưa CNTT bóng tối vào một tổ chức có thể có một số hình thức nhưng thường diễn ra thông qua một trong hai phương pháp:
- Sử dụng chương trình của bên thứ ba để truy cập, lưu trữ hoặc phân phối thông tin công ty. Ngay cả khi một công ty đã chính thức xử phạt Google Workspace vì chia sẻ tệp, nhân viên vẫn có thể giới thiệu CNTT ẩn bằng cách chọn sử dụng Microsoft 365 để thay thế.
- Sử dụng tài nguyên bị xử phạt một cách bất hợp pháp. Theo cách tương tự, ngay cả khi bộ phận CNTT đã bật đèn xanh cho việc sử dụng Google Workspace thông qua các tài khoản do công ty quản lý, nhân viên vẫn có thể sử dụng CNTT ẩn bằng cách truy cập Google Workspace bằng tài khoản không được giám sát của chính họ.
Ví dụ về công nghệ thông tin bóng tối là gì?
Việc sử dụng tài khoản email cá nhân cho hoạt động kinh doanh của công ty, việc sử dụng Mang thiết bị của riêng bạn (BYOD) chưa được phê duyệt hoặc việc triển khai các dịch vụ SaaS (Phần mềm như một dịch vụ) không do nhóm CNTT của công ty bạn quản lý đều là những ví dụ phổ biến về CNTT. Sau đây là các ví dụ cụ thể hơn về CNTT bóng:
- Các ứng dụng hoặc công cụ để tăng năng suất, bao gồm phần mềm như Trello và Asana.
- Microsoft Teams, Slack và Google Trò chuyện là những ví dụ về ứng dụng nhắn tin và cộng tác.
- Các ứng dụng hoặc công cụ trên điện thoại di động, máy tính bảng và các thiết bị Internet vạn vật (IoT) khác.
- Các dịch vụ và ứng dụng để lưu trữ dữ liệu hoặc truyền tệp trong đám mây, bao gồm phần mềm Google Drive, Dropbox, Box và OneDrive.
- Các ứng dụng hoặc công cụ cho cuộc họp trực tuyến, bao gồm Zoom, Skype, WebEx và GoToMeeting
- Phần mềm hoặc công cụ lập lịch và quản lý cuộc hẹn như Calendly, ScheduleOnce và Bookafy.
Những rủi ro khi sử dụng công nghệ thông tin bóng tối là gì?
Rủi ro liên quan đến CNTT bóng tối cũng ẩn trong bóng tối. Mặc dù nhân viên có thể hoàn thành công việc nhanh chóng và dễ dàng hơn với sự trợ giúp của các công cụ hoặc ứng dụng phần mềm CNTT bóng tối, phần mềm hoặc ứng dụng này đi kèm với nhiều mối nguy hiểm mới, sự kém hiệu quả và chi phí cho doanh nghiệp.
Mất khả năng hiển thị và kiểm soát
Bạn mất quyền giám sát và quản lý khi dữ liệu được chuyển đến các hệ thống hoặc ứng dụng không chính thức. Hệ thống CNTT bóng tối cung cấp các mối nguy hiểm như không tuân thủ quy định và bảo mật, vi phạm dữ liệu và không có khả năng thực hiện các hành động khôi phục thảm họa cần thiết liên quan đến dữ liệu đã nêu.
Tích hợp phần mềm
Tích hợp hệ thống là một đặc điểm chung của các bộ phận CNTT. Phần mềm CNTT bóng tối có nguy cơ vi phạm dữ liệu nếu bất kỳ phần nào của tích hợp bị xâm phạm. Nếu người dùng không cài đặt các bản nâng cấp phần mềm quan trọng, mức độ nghiêm trọng của vi phạm này sẽ tăng lên đáng kể. Nhiều khả năng nhân viên thậm chí không biết cách nâng cấp công cụ của họ.
Khi CNTT thực hiện nâng cấp trên một hệ thống tích hợp, một ứng dụng hoặc phần mềm chưa từng biết trước đây có thể cung cấp một cửa sau để kẻ tấn công truy cập vào toàn bộ cơ sở dữ liệu. Bất cứ nơi nào từ sự gián đoạn lớn đến các cáo buộc hình sự đối với giám đốc thông tin có thể là do vi phạm như vậy.
Dữ liệu bị mất
Dữ liệu đám mây bóng có thể trở nên không thể truy cập được đối với các doanh nghiệp, đặc biệt nếu cá nhân tạo ra dữ liệu rời khỏi công ty. Hợp đồng người dùng, tài liệu thiết kế và các ứng dụng hoặc công cụ dự án khác có thể được lưu trữ trên tài khoản Dropbox cá nhân của người dùng. Có thể công ty sẽ không thể khôi phục dữ liệu khách hàng thiết yếu từ tài khoản cá nhân của cá nhân nếu người dùng bị sa thải. Khi người dùng bị chấm dứt hợp đồng và không còn thanh toán cho các dịch vụ đám mây của phần mềm Shadow IT, rất dễ dàng hủy kích hoạt các dịch vụ hoặc ứng dụng đó ngay lập tức.
Phí tổn
Theo một số ước tính, gần một phần ba số đăng ký hoặc ứng dụng SaaS không được sử dụng hoặc sử dụng không đầy đủ, dẫn đến kém hiệu quả và lãng phí tiền bạc. Một số doanh nghiệp muốn củng cố phần mềm CNTT bóng tối của họ sử dụng các phương pháp thủ công không hiệu quả, bao gồm sử dụng bảng tính dài để theo dõi các dịch vụ SaaS của họ, điều này gây lãng phí thời gian và tiền bạc.
Mở rộng bề mặt tấn công không xác định
Với nhiều công nghệ thông tin bóng tối hơn, có nhiều khả năng tổ chức bị tấn công hơn. Hệ thống cơ sở dữ liệu không được tổ chức không nằm trong giới hạn của bất kỳ giao thức bảo mật đã biết nào. Thông tin xác thực yếu hoặc rủi ro mặc định làm lộ tài sản không được quản lý lên Internet. Phần mềm quản lý nhật ký mối đe dọa, thông tin bảo mật, phần mềm hệ thống quản lý sự kiện (SIEM) và kiểm tra thâm nhập sẽ không bao gồm CNTT.
Lợi ích của Shadow IT
Tuy nhiên Shadow IT cũng có những lợi ích của nó. Dưới đây là những ưu điểm chính của việc sử dụng Shadow IT:
Mức năng suất cao hơn
Theo kết quả của một cuộc thăm dò do Entrust Datacard thực hiện, hầu hết tất cả người lao động đều tăng sản lượng của họ khi có cơ hội sử dụng các công nghệ mà họ lựa chọn. Ngoài ra, cùng một cuộc thăm dò cho thấy 77% chuyên gia phần mềm CNTT cảm thấy rằng công ty của họ có thể đạt được lợi thế cạnh tranh nếu các giám đốc điều hành hợp tác hơn trong việc xác định giải pháp cho các vấn đề sử dụng ứng dụng. Khi xem xét cẩn thận vấn đề đang bàn, người ta nhận ra rằng những kết luận này không gây sốc cho lắm. Ví dụ, bạn sẽ không nghĩ rằng một thợ làm tóc có thể hoàn thành khối lượng công việc bằng một chiếc kéo thông thường như họ có thể làm với một bộ kéo làm tóc chuyên nghiệp.
Kích hoạt đổi mới hoặc Chất xúc tác
Khi có nhiều người nhìn hơn, việc xác định các công cụ phù hợp hơn với nhiệm vụ đang làm sẽ đơn giản hơn. Bản thân nhân viên là những người đánh giá cao nhất xem giải pháp phần mềm và phần cứng nào có thể hữu ích nhất đối với họ; do đó, Shadow IT có ý nghĩa hoàn hảo khi cho phép họ sử dụng bất kỳ thứ gì họ muốn mà không yêu cầu họ phải xin phép trước từ bất kỳ ai. Do đó, ban lãnh đạo càng có ý nghĩa hơn khi nghiên cứu kỹ lưỡng các phần mềm hoặc ứng dụng công nghệ thông tin mà người lao động đã bắt đầu sử dụng theo cách riêng của họ và khám phá khả năng chúng được áp dụng chính thức trong toàn công ty. Có nhiều khả năng là giải pháp đạt được thông qua quá trình này sẽ liên kết chặt chẽ với nhu cầu kinh doanh ban đầu hơn so với giải pháp do ban quản lý trực tiếp lựa chọn.
Mang lại những gì tốt nhất và tươi sáng nhất
Shadow IT là một dạng công nghệ thông tin có thể giúp các doanh nghiệp, đặc biệt là những doanh nghiệp hoạt động trong các ngành phụ thuộc nhiều vào phần mềm công nghệ thông tin, tuyển dụng và giữ được những nhân viên giỏi nhất. Các ứng viên cho những công việc có nhiều kinh nghiệm luôn biết ơn khi họ được phép sử dụng những công cụ phù hợp nhất với họ thay vì bị buộc phải học cách sử dụng một bộ công cụ hoàn toàn khác, có thể lỗi thời hoặc có thể không. , đơn giản vì ai đó đến trước họ thích sử dụng chúng. Tương tự như vậy, những cá nhân có hiệu suất cao sẽ tham gia và làm việc hiệu quả hơn rất nhiều khi họ có quyền truy cập vào phần mềm CNTT tiên tiến nhất hiện có và thậm chí họ có thể từ chối các đề nghị trả công cao hơn từ các đối thủ cạnh tranh có môi trường làm việc không phù hợp với họ.
Giảm thiểu nhu cầu và sự tiếp xúc với, Shadow IT
Bạn có thể giảm bớt nhu cầu về CNTT ẩn, cũng như các rủi ro liên quan đến nó, bằng cách thực hiện một số điều được liệt kê ở trên.
Giao tiếp và hợp tác
Tìm hiểu những gì người dùng CNTT thực sự muốn. Đưa các silo xuống. Giúp các bộ phận CNTT và người dùng CNTT có thể giao tiếp theo cách đơn giản, thoải mái và hiệu quả để hiểu rõ hơn về các yêu cầu thực tế, trải nghiệm và nhận xét của người dùng cuối về các công nghệ hiện tại và mới cần thiết. nền tảng mã thấp / không mã.
Đào tạo và giáo dục
Thông báo cho người dùng về các mối nguy liên quan đến phần mềm CNTT ẩn và cách công ty có thể hỗ trợ đáp ứng các yêu cầu công nghệ mà không vi phạm các quy tắc quản trị thông thường là một bước rất quan trọng trong việc giảm thiểu những rủi ro này. Các nhân viên hiểu biết về bảo mật và chia sẻ tầm nhìn của tổ chức về bảo mật phần mềm công nghệ thông tin có nhiều khả năng nắm bắt được các rủi ro liên quan đến CNTT bóng tối và sẽ được khuyến khích tìm ra các giải pháp có thể chấp nhận được để đáp ứng nhu cầu công nghệ của họ.
Lời kết
Cấu trúc văn phòng thông thường đang nhường chỗ cho các lựa chọn linh hoạt hơn, từ xa và kết hợp. Đám mây giúp thay đổi này, nhưng bạn vẫn cần phải đối phó với một số hậu quả đáng kể. Các mối đe dọa CNTT ẩn sẽ vẫn là một vấn đề miễn là các dịch vụ SaaS đang thúc đẩy sự đổi mới của bạn.
Nhưng điều gì sẽ xảy ra nếu tôi nói với bạn rằng bạn có thể giải quyết mọi rủi ro của Shadow IT bằng cách sử dụng các nền tảng mã thấp / không mã ? Những nền tảng này có thể nằm trong quyền kiểm soát của bộ phận CNTT, nhưng chúng cũng sẽ giúp tạo ra các công cụ kinh doanh cần thiết cho nhân viên. Hãy tưởng tượng rằng bạn có thể xây dựng một ứng dụng lên lịch cuộc hẹn, chẳng hạn, ứng dụng này hoàn toàn phù hợp với nhu cầu của công ty bạn. Ngoài ra, bạn sẽ không sợ tất cả những rủi ro này của Shadow IT - bởi vì nó sẽ được phát triển và kiểm soát bởi bộ phận CNTT của bạn. AppMaster.io là một trong những nền tảng không mã tiên tiến sẽ giúp bạn tạo các ứng dụng di động và web tốt nhất cho doanh nghiệp của mình mà không cần phải viết bất kỳ mã nào.
