Gölge IT ya da daha yaygın olarak bilinen adıyla Shadow IT, Endüstri 4.0 ile işletmeler için gün geçtikçe daha çok konuşulan konular arasında olmaya devam ediyor. Günümüzde birçok çalışan farkında bile olmadan “Gölge IT çalışanı” olarak işlerini yürütüyor.
Gölge IT, tanım olarak firmanın bilgi teknolojileri kontrolü olmadan farklı birimlerce kullanılan yazılımlar, uygulamalar ve hizmetleri kapsamaktadır. Günümüzde birçok personel farkında olmadan ve bilgi teknolojileri birimine haber vermeden işlerini daha hızlı ve kolay yürüttüğünü düşünerek farklı yazılım ve araçlar kullanabiliyor. Bu çalışanlar IT sektöründe Gölge IT çalışanı olarak isimlendiriliyor. Gölge IT, kurumsal ölçekte şirketlerde üç önemli olumsuz etki yaratıyor. Bunlar;
► Verilerin kaybolması (ilgili personel verileri kendi kullandığı yazılım ve araçta bırakabiliyor)
► Zaman kaybı (kaybolan verilerin yeniden düzenlenmesi gerektiğinde ek personel mesaisi gerekiyor)
► Yatırım kaybı (şirketin ücretli bir şekilde edindiği hizmet personel tarafından kullanılmadığında verimli bir yatırım olmuyor)
Gölge IT, konusu genellikle farkında olmadan yapılan bir işlem olduğu için şirketler gerektiği kadar üstünde durmuyor. Ancak bu konu şirketlerin hem güvenlik hem de mali yatırım konularında oldukça kritik bir rol oynuyor. EMC'den yapılan yakın tarihli bir araştırma, veri kaybı ve hizmet dışı kalma süresinin her yıl 1.7 trilyon dolarlık kayba neden olduğunu öne sürüyor.
Dolayısıyla şirketlerin önünde personelleri Gölge IT konusunda eğitmek gibi önemli bir aşama bulunuyor. Şirket içinde kullanılan yazılım ve hizmetlerin standardizasyonunun yapılması gerekiyor. Kurumsal parolalar varsayılan olarak ayarlanmamalı ve şifrelenmemiş bir klasör içinde saklanmamalı. Herhangi bir hizmeti çalıştırmak için kişisel hesaplar asla kullanılmamalı ve hizmet hesaplarının etkileşimli olarak oturum açmasına izin verilmemelidir.
BT liderleri, personelin hangi yazılımı ve hizmeti kullandığını sürekli takip edemez. Kullanıcıların yaptıklarını tamamen kontrol etmek olanaksız olsa da başarılı bir strateji şu üç kritik adım içermelidir:
► Kullanıcıları kurumsal verilerin nasıl işleneceği konusunda eğitin: Herkese açık şekilde paylaşılan hizmetlerin kullanımının risklerini anlamalarını sağlayın. Gizli, değerli ya da kişisel olarak tanımlanabilir bilgilerin (PII) doğru bir şekilde nasıl saklanacağı konusunda bilgi verin.
► Kullanıcılara ihtiyaç duydukları araçları sağlayın: Çalışanlar, işlerini daha kolay ve daha hızlı tamamladıkları düşüncesiyle farklı yazılım ve hizmetlere yöneliyor. Dolayısıyla kullanıcılara yüksek kaliteli hizmet ve yazılım sunarak başka seçeneklere yönelmelerini engelleyin.
► Kuruluşunuzda olan biteni izleyin: Hangi hizmetin kim tarafından, hangi sıklıkta, hangi veri türlerinde kullanıldığını takip edin. Güvensiz hizmetlere erişimi kontrol edin ve kullanıcıların gerçekten neye ihtiyaç duyduklarını öğrenin.
► Sorun Büyük Değil: Bu yılın başında Tech Pro Research tarafından yürütülen BT uzmanları üzerine yapılan bir çalışmada, ankete katılanların yüzde 23'ü işletmelerinde SaaS etkinliğinin gerçekleşmediğini söyledi. Ancak işletmeler BT bütçelerinin yüzde 35'ini Gölge IT’ye harcadı. Ayrıca mobil yazılım şirketi Canvas tarafından yapılan bir anket, iş takımlarının yüzde 61'inin BT'nin katılımı olmadan uygulamaları geliştirmeye çalıştığını belirledi.
► Kontrol Altında: Bulut kaynaklarına her yerden herhangi bir kullanıcı tarafından erişilebilir. Tech Pro Research anketinde yalnızca yüzde 47'lik kesim SaaS erişimi için yeni nesil güvenlik duvarlarını kullandıklarını söylüyor. Üstelik sadece yüzde 18'i IaaS kaynaklarını güvende tutmak için uzman bir güvenlik sağlayıcısı ile ortak olacağını belirtti.
► Keşfetmesi Kolay: Öncelikle log analizi maliyetli ve zaman alan bir işlemdir. İkincisi, günlükler hangi verilerin aktarıldığını size söylemiyor. Çoğu SaaS sitesi HTTPS şifreleme kullandığı için SaaS olarak işaretlenmemiş olabilir.
► Bulut Servisleri Güvenli: Tech Pro Research anketinde katılımcıların yüzde 70'i IaaS sağlayıcılarının güvenli olduğunu belirtti. Bu durum kısmen doğru olsa da bulut güvenlik tedarikçileri bulut altyapısını güvenli hale getirirken, uygulamalarınızı ve verilerinizi güvence altına almak sizin sorumluluğunuzdadır. Bu nedenle “paylaşılan sorumluluk modeli” ile uyum içinde olmak gerekiyor.
►Önemli İhlal Gerçekleşmez: Tech Pro Research'in yanıt verenlerin yarısından fazlası SaaS kullanımını güvence altına almak için yatırım yapmayı planladıklarını söylemedi. Ayrıca yalnızca yüzde 18'i IaaS'yi güvence altına almak için üçüncü taraflara güveniyor. Gartner, 2020 yılına kadar başarılı sanal saldırıların üçte birinin Gölge IT ile gerçekleştiğini belirtiyor.
Kaynak:
►Fortune
►zdnet