Gölge BT, BT departmanlarını atlatmak için yetkisiz teknoloji kaynaklarını kullanan kullanıcıların uygulamasına atıfta bulunur. Kullanıcılar, mevcut BT politikalarının çok kısıtlayıcı olduğunu düşündüklerinde veya işlerini etkin bir şekilde yapmalarına engel olduklarında gölge BT uygulamalarını kullanmaya başvurabilirler.
Eski bir okul fenomeni
Gölge BT yeni değil. Yıllar boyunca yaygın gölge BT kullanımının sayısız örneği olmuştur. Örneğin, 2000’lerin başında, birçok kuruluş, güvenlik çabalarını baltalayabileceği korkusuyla Wi-Fi’yi benimseme konusunda isteksizdi. Ancak, kullanıcılar kablosuz cihaz kullanımının rahatlığını istediler ve çoğu zaman BT departmanının bilgisi veya onayı olmadan kablosuz erişim noktaları kurdular.
Aynı şey, iPad ilk popüler olduğunda da oldu. BT departmanları, cihazlara grup ilkesi ayarlarının ve diğer güvenlik kontrollerinin uygulanamaması nedeniyle iPad’lerin iş verileriyle kullanılmasını büyük ölçüde yasakladı. Buna rağmen, kullanıcılar genellikle BT’yi görmezden geldi ve yine de iPad’leri kullandı.
Tabii ki, BT uzmanları sonunda iPad’leri ve Wi-Fi’yi nasıl güvence altına alacaklarını anladılar ve sonunda teknolojiyi benimsediler. Ancak gölge BT kullanımı her zaman mutlu sonla gelmez. Gölge BT kullanımına katılan kullanıcılar, bilmeden bir kuruluşa onarılamaz zarar verebilir.
Buna rağmen, gölge BT kullanımı sorunu bu güne kadar devam ediyor. Son birkaç yılda gölge BT kullanımı arttı. Örneğin 2021’deGartner bulundu (büyük bir kuruluşta) tüm BT harcamalarının %30 ila %40’ı gölge BT’yi finanse etmeye yöneliktir.
Shadow IT 2022’de yükselişte
Pandemi sonrası uzaktan çalışma
Gölge BT kullanımındaki artışın bir nedeni uzaktan çalışmadır. Kullanıcılar evden çalışırken, BT departmanının, şirket ofisinden yetkisiz teknolojiyi kullanmayı denemelerinden daha kolay uyarıdan kaçmaları daha kolaydır. Core tarafından yapılan bir araştırma COVID gereksinimlerinden kaynaklanan uzaktan çalışmanın gölge BT kullanımını %59 oranında artırdığını tespit etti.
Teknoloji, son kullanıcılar için daha kolay hale geliyor
Gölge BT’deki artışın bir başka nedeni de, bir kullanıcının BT departmanını atlatmasının her zamankinden daha kolay olmasıdır. Bir an için bir kullanıcının belirli bir iş yükünü dağıtmak istediğini, ancak BT departmanının isteği reddettiğini varsayalım.
Kararlı bir kullanıcı, bir bulut hesabı oluşturmak için kurumsal kredi kartını kullanabilir. Bu hesap bağımsız bir kiracı olarak var olduğundan, BT’nin hesaba ilişkin hiçbir görünürlüğü olmayacak ve hesabın varlığından bile haberi olmayabilir. Bu, kullanıcının yetkisiz iş yükünü tam bir cezasızlıkla çalıştırmasını sağlar.
Aslında, 2020 yılında yapılan bir araştırma, çalışanların %80’inin yetkisiz SaaS uygulamaları kullandığını kabul ettiğini buldu. Aynı çalışma, ortalama bir şirketin gölge BT bulutunun, şirketin onaylanmış bulut kullanımından 10 kat daha büyük olabileceğini de buldu.
Kendi ağınızı bilin
Bir kullanıcının gölge BT kaynaklarını dağıtma kolaylığı göz önüne alındığında, BT’nin gölge BT’nin olmadığını veya gölge BT kullanımını algılayabileceklerini varsayması gerçekçi değildir. Bu nedenle, en iyi strateji, kullanıcıları gölge BT’nin oluşturduğu riskler konusunda eğitmek olabilir. Sınırlı bir BT geçmişine sahip bir kullanıcı, gölge BT’ye katılarak istemeden güvenlik riskleri oluşturabilir. Göre bir Forbes Insights raporu Şirketlerin %60’ı tehdit değerlendirmelerine gölge BT’yi dahil etmiyor.
Benzer şekilde, gölge BT kullanımı bir kuruluşu düzenleyici cezalara maruz bırakabilir. Aslında, gölge BT kullanımını keşfedenler genellikle BT departmanı değil, uyumluluk denetçileridir.
Tabii ki, yalnızca kullanıcıları eğitmek, gölge BT kullanımını durdurmak için yeterli değildir. Uyarıları görmezden gelmeyi seçen kullanıcılar her zaman olacaktır. Aynı şekilde, kullanıcının belirli teknolojileri kullanma taleplerine boyun eğmek de her zaman kuruluşun çıkarına olmayabilir. Sonuçta, kuruluşunuz için önemli bir tehdit oluşturabilecek kötü yazılmış veya güncelliğini yitirmiş uygulamalar sıkıntısı yoktur. Kullanıcıları gözetlediği bilinen uygulamaları boşverin.
Shadow IT’ye sıfır güven çözümü
Gölge BT tehditleriyle başa çıkmak için en iyi seçeneklerden biri sıfır güveni benimsemek olabilir. Sıfır güven, kuruluşunuzdaki hiçbir şeyin otomatik olarak güvenilir olduğunun varsayılmadığı bir felsefedir. Kullanıcı ve cihaz kimlikleri, bir kaynağa erişmek için her kullanıldıklarında kanıtlanmalıdır.
Sıfır güven mimarisinin birçok farklı yönü vardır ve her kuruluş sıfır güveni farklı şekilde uygular. Örneğin bazı kuruluşlar, kaynaklara erişimi kontrol etmek için koşullu erişim ilkelerini kullanır. Bu şekilde, bir kuruluş yalnızca bir kullanıcıya bir kaynağa sınırsız erişim vermekle kalmaz, bunun yerine kullanıcının kaynağa nasıl erişmeye çalıştığını düşünür. Bu, kullanıcının coğrafi konumu, cihaz türü, günün saati veya diğer faktörler etrafında kısıtlamalar oluşturmayı içerebilir.
Yardım masasında sıfır güven
Bir kuruluşun sıfır güven uygulamasıyla ilgili yapabileceği en önemli şeylerden biri, yardım masasını daha iyi güvence altına almaktır. Çoğu kuruluşun yardım masaları, sosyal mühendislik saldırılarına karşı savunmasızdır.
Bir kullanıcı aradığında ve parola sıfırlama talebinde bulunduğunda, yardım masası teknisyeni kullanıcının iddia ettiği kişi olduğunu varsayar, ancak gerçekte arayan kişi erişim elde etmenin bir yolu olarak parola sıfırlama isteğini kullanmaya çalışan bir bilgisayar korsanı olabilir. ağa. Kullanıcı kimliklerini doğrulamadan parola sıfırlama istekleri vermek, sıfır güvenin temsil ettiği her şeye aykırıdır.
Specops Software’in Güvenli Hizmet Masası, bir yardım masası teknisyeninin bir kullanıcının kimliği kanıtlanana kadar bir kullanıcının parolasını sıfırlamasını imkansız hale getirerek bu güvenlik açığını ortadan kaldırabilir. Ağınızdaki gölge BT risklerini azaltmak için ücretsiz olarak test edebilirsiniz.