Czym jest shadow IT i dlaczego stanowi ryzyko?
Shadow IT, czyli oprogramowanie używane przez pracowników bez zgody działu IT, jest większe i groźniejsze, niż większość organizacji przypuszcza. Co to jest, jak się pojawia i jak sobie z tym radzić.
- 1 października 2024
- 5 min
Shadow IT to jedna z największych nieświadomych luk w zarządzaniu oprogramowaniem w przedsiębiorstwach. Termin ten odnosi się do wszystkich technologii, oprogramowania, aplikacji, chmur danych oraz narzędzi komunikacyjnych używanych przez pracowników bez wyraźnej zgody działu IT lub działu zakupów. A zjawisko to jest większe, niż większość firm sądzi.
Jak powstaje shadow IT?
Shadow IT niemal zawsze rodzi się z prawdziwego problemu. Pracownik potrzebuje narzędzia do wykonania swojej pracy, proces zatwierdzania trwa zbyt długo lub oferowana przez IT alternatywa jest niewygodna. Najprostsze rozwiązanie to założenie darmowego konta lub wykupienie małej subskrypcji na firmową kartę kredytową.
To, co zaczyna się od jednej osoby i jednego narzędzia, szybko rośnie. Dołączają koledzy, dzielą się plikami na niezatwierdzonych platformach, a wrażliwe dane firmowe trafiają na serwery poza UE, często bez świadomości kogokolwiek.
Dlaczego shadow IT stanowi problem?
Shadow IT ma trzy konkretne konsekwencje:
1. Ryzyko bezpieczeństwa. Niezatwierdzone narzędzia nie są sprawdzane pod kątem zabezpieczeń, nie są aktualizowane i nie są monitorowane. Tworzą otwartą furtkę do wycieków danych i cyberataków.
2. Ryzyko zgodności z przepisami. Dane przetwarzane przez niezatwierdzone narzędzia wymykają się kontroli RODO organizacji. W przypadku wycieku firma i tak ponosi odpowiedzialność.
3. Marnotrawstwo. Organizacje płacą za scentralizowane narzędzia, podczas gdy pracownicy równolegle korzystają z darmowych lub tanich alternatyw. Konsolidacja jest niemożliwa bez pełnego wglądu.
Shadow IT a NIS2
Wraz z wejściem w życie dyrektywy NIS2 shadow IT staje się jeszcze większym ryzykiem. Obowiązek należytej staranności wymaga, aby organizacje miały aktualny przegląd całego używanego oprogramowania i dostawców, włącznie z narzędziami zakupionymi poza formalnym procesem zakupowym. Shadow IT z definicji uniemożliwia posiadanie takiego pełnego obrazu.
Jak poradzić sobie z shadow IT?
Zwalczanie tego zjawiska nie zaczyna się od zakazów, lecz od zrozumienia. Dlaczego pracownicy korzystają z określonych narzędzi? Czego brakuje w zatwierdzonym pakiecie? Dopiero odpowiadając na te pytania, można skutecznie konsolidować i poprawiać oficjalną ofertę oprogramowania.
Praktyczne kroki: przeanalizuj zestawienia kart kredytowych i faktury pod kątem nieznanych subskrypcji oprogramowania, przeprowadź ankietę wśród pracowników dotyczącą używanych narzędzi, a następnie przekaż wyniki działowi IT i zakupów w celu wspólnego działania.
Najczęściej zadawane pytania
Najczęściej zadawane pytania dotyczące tego tematu.
Co dokładnie oznacza shadow IT?
Shadow IT to całe oprogramowanie i technologie używane przez pracowników bez zgody lub wiedzy działu IT lub zakupów. Chodzi o darmowe narzędzia, osobiste chmury czy niezatwierdzone platformy komunikacyjne.
Jak duży jest problem shadow IT w przeciętnej organizacji?
Badania pokazują, że średnio 40-60% narzędzi SaaS w organizacji nie jest zarządzanych centralnie. Rzeczywista skala shadow IT jest systematycznie niedoszacowana.
Jak odkryć, jakie shadow IT występuje w mojej organizacji?
Zacznij od audytu oprogramowania na podstawie zestawień kart kredytowych, analizy faktur i ankiety wśród pracowników. Dodatkowo narzędzia takie jak Zylo, Torii czy Blissfully mogą pomóc w automatycznym wykrywaniu użycia SaaS.
Gotowy, aby oszczędzać na oprogramowaniu?
SoftVaro negocjuje dla Ciebie najlepsze oferty u ponad 4 000 dostawców. Niezależnie, transparentnie, w ciągu 24 godzin.