जबकि शैडो आईटी (या कंपनी की स्पष्ट मंजूरी के बिना सॉफ्टवेयर, सिस्टम या डिवाइस का उपयोग) कुछ कर्मचारियों के काम को आसान बना सकता है, इस अभ्यास में महत्वपूर्ण कमियां भी हैं जिन्हें संगठनों को संबोधित करने की आवश्यकता है।
इस लेख में, हम जानेंगे कि शैडो आईटी क्या है, यह डेटा उल्लंघनों और डेटा लीक के मामले में क्यों महत्वपूर्ण है, और आपकी आईटी टीम इसके प्रभावों को कम करने के लिए क्या कदम उठा सकती है - जिसमें शैडो आईटी डिटेक्शन और मॉनिटरिंग टूल का उपयोग करना शामिल है। अंत में, चूंकि छाया आईटी कुछ हद तक अपरिहार्य है), हम इसे पूरी तरह से समाप्त करने के बजाय इसकी क्षमता का दोहन करने की संभावना का मूल्यांकन करेंगे।
शैडो आईटी तब होता है जब कर्मचारी या विभाग अपनी जरूरतों को पूरा करने के लिए प्रौद्योगिकियों को अपनाते हैं या तैनात करते हैं - लेकिन आईटी टीम को सूचित नहीं करते हैं कि वे ऐसा कर रहे हैं।
छाया आईटी के कुछ सामान्य उदाहरणों में अनधिकृत शामिल हैं:
उदाहरण के लिए, स्काइप (जब कंपनी के पास वेबएक्स है) का उपयोग करके, या थंब ड्राइव से फ़ाइलों की प्रतिलिपि बनाकर, व्यक्तिगत ड्रॉपबॉक्स खाते तक पहुंचने के बारे में सोचें।
ये सभी डिजिटल उपकरणों के अनधिकृत उपयोग के उदाहरण हैं जिनसे समझौता होने पर संभावित रूप से आपके संगठन को जोखिम में डाला जा सकता है।
क्लाउड प्रौद्योगिकियों और सॉफ्टवेयर-ए-ए-सर्विस (सास) के तेजी से विकास के कारण, छाया आईटी हाल के वर्षों में अधिक प्रचलित और जटिल हो गया है।
कई मामलों में, व्यावसायिक इकाइयों ने भी डिजिटल परिवर्तन को आगे बढ़ाने के लिए स्वतंत्र रूप से नए अनुप्रयोगों को अपनाना शुरू कर दिया; उदाहरण के लिए, फ़ाइल-साझाकरण कार्यक्रम, परियोजना प्रबंधन उपकरण और ऊपर उल्लिखित जैसी क्लाउड-आधारित सेवाएँ।
परिणाम? बड़े उद्यमों में 30% से 40% आईटी खर्च छाया आईटी है, कंपनियां अनावश्यक SaaS लाइसेंस और टूल पर प्रति वर्ष 135,000 डॉलर से अधिक बर्बाद करती हैं। इसके अलावा, 2023 की एक रिपोर्ट से पता चला कि सभी SaaS ऐप्स में से 65% अनधिकृत ऐप्स हैं (या ऐसे ऐप्स जिन्हें IT विभाग ने अनुमोदित नहीं किया है)।
जैसा कि समझाया गया है, शैडो आईटी स्पष्ट आईटी विभाग की मंजूरी के बिना आईटी सिस्टम, डिवाइस, सॉफ्टवेयर, एप्लिकेशन और सेवाओं के उपयोग को संदर्भित करता है। इसके लचीलेपन और सुविधा के कारण इसे कई संगठनों में व्यापक रूप से अपनाया गया है। हालाँकि, हालाँकि यह कुछ जोखिम पैदा करता है, लेकिन उचित तरीके से प्रबंधित होने पर यह लाभ भी प्रदान कर सकता है।
आइए यह समझने के लिए कुछ उदाहरण देखें कि शैडो आईटी का उपयोग कैसे किया जा रहा है:
क्लाउड सेवाएँ : क्लाउड कंप्यूटिंग के आगमन के साथ, कर्मचारी फ़ाइल साझाकरण और सहयोग के लिए Google ड्राइव, ड्रॉपबॉक्स या वनड्राइव जैसी तृतीय-पक्ष क्लाउड सेवाओं का तेजी से उपयोग कर रहे हैं। ये उपकरण किसी भी स्थान से डेटा तक आसान पहुंच प्रदान करते हैं और सहयोग की सुविधा प्रदान करते हैं, लेकिन इन्हें अक्सर आईटी विभाग की निगरानी के बिना उपयोग किया जाता है।
संचार उपकरण : स्लैक, व्हाट्सएप या माइक्रोसॉफ्ट टीम्स जैसे उपकरण अक्सर कर्मचारियों द्वारा त्वरित, अनौपचारिक संचार के लिए उपयोग किए जाते हैं। ये प्लेटफ़ॉर्म त्वरित संचार की अनुमति देकर उत्पादकता में सुधार कर सकते हैं। हालाँकि, यदि संवेदनशील जानकारी उचित एन्क्रिप्शन या सुरक्षा प्रोटोकॉल के बिना साझा की जाती है तो वे सुरक्षा जोखिम भी पैदा कर सकते हैं।
व्यक्तिगत उपकरण : कर्मचारी अक्सर काम के लिए अपने निजी उपकरणों का उपयोग करते हैं, जिन्हें ब्रिंग योर ओन डिवाइस (BYOD) के रूप में जाना जाता है। हालांकि यह लचीलेपन और कार्य-जीवन संतुलन में सुधार कर सकता है, लेकिन अगर ये उपकरण खो जाएं, चोरी हो जाएं या मैलवेयर से संक्रमित हो जाएं तो यह कमजोरियां भी पैदा कर सकता है।
अस्वीकृत सॉफ़्टवेयर : कर्मचारी ऐसे सॉफ़्टवेयर डाउनलोड और इंस्टॉल कर सकते हैं जिन्हें आईटी विभाग अनुमोदित नहीं करता है। इसमें प्रोजेक्ट प्रबंधन टूल से लेकर ग्राफ़िक डिज़ाइन सॉफ़्टवेयर तक शामिल हो सकते हैं। हालांकि ये उपकरण उत्पादकता में सहायता कर सकते हैं, लेकिन वे संगतता समस्याएं या सुरक्षा कमजोरियां भी पेश कर सकते हैं।
हार्डवेयर : सॉफ्टवेयर से परे, शैडो आईटी व्यक्तिगत राउटर, स्टोरेज डिवाइस या यहां तक कि सर्वर जैसे हार्डवेयर तक भी विस्तारित हो सकता है जिसे कर्मचारी अपने कार्यक्षेत्र को बेहतर बनाने के लिए स्थापित कर सकते हैं। ऐसे उपकरण गंभीर सुरक्षा जोखिम पैदा कर सकते हैं यदि उन्हें ठीक से कॉन्फ़िगर या रखरखाव नहीं किया गया है।
शैडो आईटी संगठनों के लिए अदृश्य और गंभीर सुरक्षा जोखिम पैदा करता है क्योंकि जब कोई कर्मचारी अनधिकृत टूल, एप्लिकेशन, क्लाउड सेवाओं या उपकरणों का उपयोग करता है, तो इससे सुरक्षा उल्लंघनों की संभावना बढ़ जाती है (वास्तव में, आईबीएम के एक अध्ययन से पता चला है कि 83% उत्तरदाताओं को नुकसान उठाना पड़ा है) कम से कम एक कंपनी डेटा उल्लंघन जहां संवेदनशील डेटा से समझौता किया गया था)।
इनमें से कई उपकरणों में मजबूत सुरक्षा उपायों का भी अभाव है, जैसे मजबूत एन्क्रिप्शन या कमजोर या डिफ़ॉल्ट क्रेडेंशियल्स पर निर्भरता।
यदि आपके संगठन को विशिष्ट नियमों और डेटा सुरक्षा कानूनों, जैसे सीसीपीए या जीडीपीआर, के तहत काम करने की ज़रूरत है, तो छाया आईटी भी अनुपालन उल्लंघन का कारण बन सकता है - खासकर यदि आपका आईटी विभाग संग्रहीत या साझा किए जा रहे डेटा को देख या नियंत्रित नहीं कर सकता है। उदाहरण के लिए, हम जानते हैं कि सभी सफल साइबर हमलों में से एक तिहाई छाया आईटी में संग्रहीत डेटा से आते हैं।
अंत में, छाया आईटी को मौजूदा बुनियादी ढांचे के साथ एकीकृत करना अक्सर मुश्किल होता है, कुछ ऐसा जो आसानी से संगतता मुद्दों, डेटा साइलो, खंडित सिस्टम, अकुशल संसाधन उपयोग, अनियंत्रित लागत और अतिरेक का कारण बन सकता है।
यहां शैडो आईटी पर कुछ हालिया और प्रासंगिक आँकड़े दिए गए हैं:
स्रोत: 124+ साइबर सुरक्षा आँकड़े जिन्हें 2023 में आईटी नेताओं को जानना आवश्यक है
इन आँकड़ों को शैडो आईटी से जुड़ी व्यापकता, जोखिमों और चुनौतियों की गहन समझ प्रदान करनी चाहिए।
शैडो आईटी एक बहुआयामी अवधारणा है और इसे उपयोग की जाने वाली तकनीक के प्रकार, इसके उपयोग के तरीके और इसके उपयोग के कारण के आधार पर विभिन्न तत्वों में विभाजित किया जा सकता है। यहां शैडो आईटी के कुछ प्रमुख तत्व दिए गए हैं:
इनमें से प्रत्येक तत्व किसी संगठन के लिए अलग-अलग चुनौतियाँ और जोखिम पैदा करता है। हालाँकि, वे बढ़ी हुई उत्पादकता, सहयोग और नवाचार के अवसरों का भी प्रतिनिधित्व करते हैं। इन तत्वों को समझने से संगठनों को संभावित जोखिमों को कम करते हुए इसके लाभों का उपयोग करके शैडो आईटी को प्रभावी ढंग से प्रबंधित करने में मदद मिल सकती है।
इन समस्याओं को रोकने का सबसे अच्छा तरीका यह पहचानना है कि आपका संगठन किसी छाया आईटी का उपयोग कर रहा है या नहीं। ऐसा करने के लिए आपको जिन तीन सर्वोत्तम प्रथाओं पर विचार करना चाहिए वे हैं शासन नीतियां, आईटी विभाग की सहभागिता और कर्मचारी शिक्षा। आइए शीघ्रता से प्रत्येक के बारे में कुछ और विस्तार से जानें।
मुख्य सूचना अधिकारी (सीआईओ) और आईटी टीमें छाया आईटी के प्रबंधन में महत्वपूर्ण भूमिका निभाती हैं। एक के लिए, सीआईओ रणनीतिक नेतृत्व प्रदान कर सकता है, नीतियों, प्रक्रियाओं और रूपरेखाओं को परिभाषित कर सकता है। वे यह सुनिश्चित करने के लिए आईटी टीम के साथ काम कर सकते हैं कि प्रौद्योगिकी संसाधनों का उपयोग नियंत्रित और अनुपालनात्मक तरीके से किया जाए।
शैडो आईटी की लागत काफी महत्वपूर्ण हो सकती है, और यह सिर्फ वित्तीय पहलू से परे फैली हुई है। वर्षों के आधुनिकीकरण की पहल के बावजूद, सीआईएसओ अभी भी इस पुराने-स्कूल मुद्दे से जूझ रहे हैं। बिना जाँचे गए सॉफ़्टवेयर, सेवाएँ और उपकरण संभावित रूप से कई कमजोरियाँ, बुरे अभिनेताओं के लिए प्रवेश बिंदु और मैलवेयर पेश कर सकते हैं, जिससे काफी सुरक्षा जोखिम पैदा हो सकता है।
गार्टनर के आंकड़ों पर विचार करें, जिसमें पाया गया कि 2022 में 41% कर्मचारियों ने आईटी की दृश्यता के बाहर प्रौद्योगिकी हासिल की, संशोधित की, या बनाई, और यह संख्या 2027 तक 75% तक बढ़ने की उम्मीद है। इस बीच, कैप्टेरा के 2023 छाया आईटी और परियोजना प्रबंधन सर्वेक्षण पाया गया कि 57% छोटे और मध्यम आकार के व्यवसायों में उनके आईटी विभागों के दायरे से बाहर होने वाले उच्च प्रभाव वाले छाया आईटी प्रयास हुए हैं।
लचीलेपन और उपयोगकर्ता सुविधा लाभ की पेशकश करते समय, शैडो आईटी महत्वपूर्ण लागतों के साथ भी आता है जिसके बारे में संगठनों को पता होना चाहिए। इन लागतों को मोटे तौर पर प्रत्यक्ष और अप्रत्यक्ष लागतों में वर्गीकृत किया जा सकता है।
जबकि शैडो आईटी की लागत महत्वपूर्ण हो सकती है, यह याद रखना महत्वपूर्ण है कि शैडो आईटी अक्सर बेहतर टूल या अधिक कुशल प्रक्रियाओं की आवश्यकता से उभरता है। संगठनों को इसे खत्म करने की कोशिश करने के बजाय शैडो आईटी को प्रभावी ढंग से प्रबंधित करने पर ध्यान केंद्रित करना चाहिए।
हमने स्थापित किया है कि शैडो आईटी कुछ महत्वपूर्ण सुरक्षा और अनुपालन चुनौतियाँ पेश करता है। इसलिए, प्रभावी उपाय लागू करना महत्वपूर्ण है।
शैडो आईटी जोखिमों से बचाव के लिए यहां कुछ व्यावहारिक सुझाव दिए गए हैं:
हालाँकि शैडो आईटी कई सुरक्षा जोखिमों के द्वार खोल सकता है, लेकिन यह याद रखना महत्वपूर्ण है कि यह संभावित रूप से आपके संगठन को लाभ पहुंचा सकता है। कुंजी इसे पूरी तरह ख़त्म करने के बजाय इसकी शक्ति का दोहन करने में है।
याद रखें कि शैडो आईटी कर्मचारियों को उनकी विशिष्ट आवश्यकताओं के अनुरूप उपकरण और प्रौद्योगिकियों को जल्दी से अपनाने और उपयोग करने में सक्षम बना सकता है। उदाहरण के लिए, वे उन नवीन उपकरणों के साथ प्रयोग कर सकते हैं जो मूल रूप से आपके संगठन के रोडमैप में नहीं थे।
विभिन्न विभागों की विशिष्ट आवश्यकताएँ होंगी जिन्हें केंद्रीकृत आईटी प्रणालियाँ पूरी तरह से संबोधित नहीं कर सकती हैं। शैडो आईटी इन विभागों को विशेष सेवाएं खोजने और लागू करने की अनुमति दे सकता है। तो, आप यह सुनिश्चित करने के लिए इन एप्लिकेशन की निगरानी कैसे कर सकते हैं कि आप सुरक्षा का त्याग नहीं कर रहे हैं?
उनके उपयोग को प्रतिबंधित करने का एक विकल्प अनुप्रयोगों और उनके संबंधित जोखिमों का पता लगाने और प्रबंधित करने के लिए एक छाया आईटी समाधान लागू करना है।
Uniqkey यह और बहुत कुछ कर सकता है।
छाया आईटी की शक्ति का उपयोग करने की कुंजी इसे प्रकाश में लाना है। हमारे व्यवसाय पासवर्ड प्रबंधन समाधान के हिस्से के रूप में, Uniqkey सभी कंपनी सेवाओं का एक विस्तृत अवलोकन प्रदान करता है, जिससे आपका संगठन सक्षम हो जाता है:
Uniqkey जैसे शैडो आईटी टूल को लागू करने से आपको उभरती हुई प्रौद्योगिकी आवश्यकताओं को अनुकूलित करने और संबोधित करने में मदद मिल सकती है, यह सुनिश्चित करते हुए कि आप सभी उभरते अनुप्रयोगों और मौजूदा बुनियादी ढांचे के साथ उनकी संगतता का मूल्यांकन कर सकते हैं।
यहाँ भी प्रकाशित किया गया है.