paint-brush
Giải thích về Shadow IT: Hướng dẫn toàn diện [có số liệu thống kê]từ tác giả@uniqkey
546 lượt đọc
546 lượt đọc

Giải thích về Shadow IT: Hướng dẫn toàn diện [có số liệu thống kê]

từ tác giả Uniqkey10m2023/08/25
Read on Terminal Reader

dài quá đọc không nổi

"Shadow IT" đề cập đến các hệ thống và giải pháp CNTT được xây dựng và sử dụng trong các tổ chức mà không có sự chấp thuận rõ ràng của tổ chức. Nó thường được thúc đẩy bởi các phòng ban hoặc cá nhân đang tìm cách nâng cao hiệu quả mà không thông qua các kênh chính thức. Mặc dù nó có thể dẫn đến sự đổi mới và tính linh hoạt, nhưng nó cũng gây ra những rủi ro đáng kể về bảo mật và tuân thủ. Hướng dẫn này đi sâu vào khái niệm, được hỗ trợ bởi số liệu thống kê có liên quan, nêu bật cả lợi ích và nhược điểm tiềm ẩn của nó.
featured image - Giải thích về Shadow IT: Hướng dẫn toàn diện [có số liệu thống kê]
Uniqkey HackerNoon profile picture
0-item


Mặc dù CNTT ngầm (hoặc việc sử dụng phần mềm, hệ thống hoặc thiết bị mà không có sự chấp thuận rõ ràng của công ty) có thể giúp công việc của một số nhân viên trở nên dễ dàng hơn nhưng phương pháp này cũng có những hạn chế đáng kể mà các tổ chức cần giải quyết.


Trong bài viết này, chúng ta sẽ tìm hiểu CNTT bóng tối là gì, tại sao nó lại quan trọng đối với các hành vi vi phạm dữ liệu và rò rỉ dữ liệu cũng như tất cả các bước mà nhóm CNTT của bạn có thể thực hiện để giảm thiểu tác động của nó – bao gồm cả việc sử dụng các công cụ giám sát và phát hiện CNTT bóng tối . Cuối cùng, vì CNTT bóng tối là điều không thể tránh khỏi), chúng tôi sẽ đánh giá khả năng khai thác tiềm năng của nó thay vì loại bỏ hoàn toàn.

Shadow IT là gì?

CNTT ngầm xảy ra khi nhân viên hoặc phòng ban áp dụng hoặc triển khai công nghệ để đáp ứng nhu cầu của họ – nhưng không thông báo cho nhóm CNTT rằng họ đang làm như vậy.


Một số ví dụ phổ biến về CNTT ngầm bao gồm trái phép:


  • ứng dụng phần mềm
  • dịch vụ đám mây (như Dropbox)
  • công cụ giao tiếp (như WhatsApp hoặc Trello)
  • thiết bị cá nhân cho các công việc liên quan đến công việc.


Ví dụ: hãy nghĩ đến việc truy cập tài khoản Dropbox cá nhân, sử dụng Skype (khi công ty có WebEx) hoặc sao chép tệp từ hoặc sang ổ USB.

Đây là tất cả các trường hợp sử dụng trái phép các công cụ kỹ thuật số có khả năng khiến tổ chức của bạn gặp rủi ro nếu chúng bị xâm phạm.

Tại sao Shadow IT lại xuất hiện trong doanh nghiệp?

Do sự phát triển nhanh chóng của công nghệ đám mây và Phần mềm dưới dạng dịch vụ (SaaS), CNTT bóng tối đã trở nên phổ biến và phức tạp hơn trong những năm gần đây.

Trong nhiều trường hợp, các đơn vị kinh doanh cũng bắt đầu áp dụng các ứng dụng mới một cách độc lập để thúc đẩy chuyển đổi kỹ thuật số; ví dụ: các chương trình chia sẻ tệp, công cụ quản lý dự án và các dịch vụ dựa trên đám mây như những dịch vụ được đề cập ở trên.


Kết quả? Từ 30% đến 40% chi tiêu CNTT trong các doanh nghiệp lớn là CNTT ngầm, trong đó các công ty lãng phí hơn 135.000 USD mỗi năm cho các giấy phép và công cụ SaaS không cần thiết. Hơn nữa, một báo cáo năm 2023 cho thấy 65% ​​trong số tất cả ứng dụng SaaS là ​​ứng dụng trái phép (hoặc ứng dụng mà bộ phận CNTT chưa phê duyệt).

Ví dụ về Shadow IT

Như đã giải thích, Shadow IT đề cập đến việc sử dụng hệ thống, thiết bị, phần mềm, ứng dụng và dịch vụ CNTT mà không có sự chấp thuận rõ ràng của bộ phận CNTT. Nó đã được áp dụng rộng rãi ở nhiều tổ chức do tính linh hoạt và tiện lợi của nó. Tuy nhiên, mặc dù có những rủi ro nhất định nhưng nó cũng có thể mang lại lợi ích khi được quản lý phù hợp.


Hãy xem một số ví dụ để hiểu Shadow IT đang được sử dụng như thế nào:


Dịch vụ đám mây : Với sự ra đời của điện toán đám mây, nhân viên ngày càng sử dụng các dịch vụ đám mây của bên thứ ba như Google Drive, Dropbox hoặc OneDrive để chia sẻ và cộng tác tệp. Những công cụ này giúp dễ dàng truy cập dữ liệu từ bất kỳ vị trí nào và tạo điều kiện thuận lợi cho việc cộng tác, nhưng chúng thường được sử dụng mà không có sự giám sát của bộ phận CNTT.


Công cụ giao tiếp : Các công cụ như Slack, WhatsApp hoặc Microsoft Teams thường được nhân viên sử dụng để liên lạc nhanh chóng, thân mật. Những nền tảng này có thể cải thiện năng suất bằng cách cho phép liên lạc tức thì. Tuy nhiên, chúng cũng có thể gây rủi ro bảo mật nếu thông tin nhạy cảm được chia sẻ mà không có giao thức bảo mật hoặc mã hóa thích hợp.


Thiết bị cá nhân : Nhân viên thường sử dụng thiết bị cá nhân của họ cho công việc, được gọi là Mang theo thiết bị của riêng bạn (BYOD). Mặc dù điều này có thể cải thiện tính linh hoạt và cân bằng giữa công việc và cuộc sống, nhưng nó cũng có thể tạo ra lỗ hổng nếu các thiết bị này bị mất, bị đánh cắp hoặc bị nhiễm phần mềm độc hại.


Phần mềm không được phê duyệt : Nhân viên có thể tải xuống và cài đặt phần mềm mà bộ phận CNTT không phê duyệt. Điều này có thể bao gồm từ các công cụ quản lý dự án đến phần mềm thiết kế đồ họa. Mặc dù những công cụ này có thể hỗ trợ năng suất nhưng chúng cũng có thể gây ra các vấn đề về khả năng tương thích hoặc lỗ hổng bảo mật.


Phần cứng : Ngoài phần mềm, Shadow IT còn có thể mở rộng sang phần cứng như bộ định tuyến cá nhân, thiết bị lưu trữ hoặc thậm chí cả máy chủ mà nhân viên có thể cài đặt để cải thiện không gian làm việc của họ. Những thiết bị như vậy có thể gây ra rủi ro bảo mật nghiêm trọng nếu chúng không được cấu hình hoặc bảo trì đúng cách.

Những rủi ro và thách thức về bảo mật CNTT trong bóng tối

Shadow IT tạo ra những rủi ro bảo mật vô hình và nghiêm trọng cho các tổ chức vì khi nhân viên sử dụng các công cụ, ứng dụng, dịch vụ đám mây hoặc thiết bị trái phép, điều này sẽ làm tăng nguy cơ vi phạm bảo mật (trên thực tế, một nghiên cứu của IBM cho thấy 83% số người được hỏi đã gặp phải vấn đề này). ít nhất một vi phạm dữ liệu của công ty trong đó dữ liệu nhạy cảm bị xâm phạm).


Nhiều công cụ trong số này cũng thiếu các biện pháp bảo mật mạnh mẽ, chẳng hạn như mã hóa mạnh hoặc dựa vào thông tin xác thực yếu hoặc mặc định.


Nếu tổ chức của bạn cần làm việc theo các quy định và luật bảo vệ dữ liệu cụ thể, chẳng hạn như CCPA hoặc GDPR, CNTT ngầm cũng có thể dẫn đến vi phạm tuân thủ – đặc biệt nếu bộ phận CNTT của bạn không thể xem hoặc kiểm soát dữ liệu đang được lưu trữ hoặc chia sẻ. Ví dụ: chúng tôi biết rằng 1/3 tất cả các cuộc tấn công mạng thành công đều đến từ dữ liệu được lưu trữ trong CNTT ngầm.


Cuối cùng, CNTT bóng tối thường khó tích hợp với cơ sở hạ tầng hiện có, điều này có thể dễ dàng dẫn đến các vấn đề về khả năng tương thích, kho dữ liệu, hệ thống bị phân mảnh, sử dụng tài nguyên không hiệu quả, chi phí không được kiểm soát và dư thừa.

Thống kê CNTT bóng tối mới nhất

Dưới đây là một số số liệu thống kê gần đây và có liên quan về Shadow IT :


Thống kê CNTT bóng tối

  • 80% công nhân thừa nhận sử dụng ứng dụng SaaS mà không được bộ phận CNTT phê duyệt.
  • Mức sử dụng đám mây Shadow IT ước tính gấp 10 lần mức sử dụng đám mây đã biết.
  • Một công ty trung bình có 975 dịch vụ đám mây không xác định .
  • Hầu hết các công ty đều có hơn 108 dịch vụ đám mây được biết đến .
  • 37% lãnh đạo CNTT cho biết chính sách bảo mật là thách thức lớn nhất đối với trải nghiệm kỹ thuật số hiệu quả của nhân viên.
  • Shadow IT chiếm 30-40% chi tiêu CNTT ở các doanh nghiệp lớn.
  • 82% lãnh đạo CNTT cho biết người dùng sẽ phản đối khi ban quản lý cố gắng ra lệnh nên sử dụng công cụ nào.
  • 67% công nhân đã giới thiệu các công cụ của riêng họ vào tổ chức của mình.
  • 1 trong 3 nhân viên tại các công ty Fortune 1000 sử dụng dịch vụ đám mây mà bộ phận CNTT chưa được phê duyệt.
  • 53% nhóm từ chối chỉ sử dụng các công cụ được CNTT phê duyệt.


Nguồn: Hơn 124 số liệu thống kê về an ninh mạng mà các nhà lãnh đạo CNTT cần biết vào năm 2023


Những số liệu thống kê này sẽ cung cấp sự hiểu biết sâu sắc về mức độ phổ biến, rủi ro và thách thức liên quan đến Shadow IT.

Các yếu tố khác nhau của Shadow IT

Shadow IT là một khái niệm nhiều mặt và có thể được chia thành các yếu tố khác nhau dựa trên loại công nghệ được sử dụng, cách sử dụng và lý do sử dụng. Dưới đây là một số yếu tố chính của Shadow IT:


  1. Phần mềm dưới dạng dịch vụ (SaaS) : Ứng dụng SaaS là ​​một dạng phổ biến của Shadow IT. Chúng dễ dàng truy cập và thường miễn phí hoặc có sẵn với chi phí thấp. Ví dụ bao gồm các ứng dụng chia sẻ tệp như Dropbox, các công cụ năng suất như Google Docs hoặc các nền tảng giao tiếp như Slack. Nhân viên có thể sử dụng những công cụ này để thuận tiện và dễ sử dụng mà thường không có sự hiểu biết hoặc phê duyệt của bộ phận CNTT.
  2. Phần cứng : Điều này bao gồm mọi thiết bị vật lý được sử dụng mà không có sự đồng ý của bộ phận CNTT, chẳng hạn như máy tính xách tay cá nhân, điện thoại thông minh hoặc máy tính bảng được sử dụng cho mục đích công việc. Nó cũng có thể bao gồm bộ định tuyến, máy chủ hoặc thiết bị lưu trữ do nhân viên thiết lập để nâng cao không gian làm việc của họ.
  3. Nền tảng dưới dạng dịch vụ (PaaS) : Đây là những nền tảng cho phép người dùng phát triển, chạy và quản lý ứng dụng mà không cần phải xử lý cơ sở hạ tầng cơ bản. Ví dụ bao gồm Microsoft Azure, Google Cloud và AWS. Chúng có thể được sử dụng để tạo các ứng dụng tùy chỉnh nhằm đáp ứng các nhu cầu kinh doanh cụ thể, thường bỏ qua các giao thức CNTT.
  4. Cơ sở hạ tầng dưới dạng dịch vụ (IaaS) : Điều này liên quan đến việc sử dụng tài nguyên máy tính ảo hóa qua internet, chẳng hạn như máy ảo, bộ lưu trữ hoặc mạng. Ví dụ bao gồm AWS, Google Cloud và Microsoft Azure. Mặc dù các dịch vụ này mang lại tính linh hoạt và khả năng mở rộng nhưng việc sử dụng chúng cũng có thể dẫn đến các lỗ hổng bảo mật nếu không được quản lý đúng cách.
  5. Mang theo thiết bị của riêng bạn (BYOD) : Điều này đề cập đến việc nhân viên sử dụng thiết bị cá nhân của họ cho mục đích công việc. Mặc dù điều này có thể tăng sự tiện lợi và năng suất nhưng cũng có thể gây ra rủi ro bảo mật nếu các thiết bị này bị mất, bị đánh cắp hoặc bị nhiễm phần mềm độc hại.
  6. Email và tài khoản cá nhân : Sử dụng tài khoản email cá nhân để liên lạc liên quan đến công việc là một hình thức khác của Shadow IT. Mặc dù có vẻ vô hại nhưng hành vi này có thể dẫn đến rò rỉ dữ liệu, gây khó khăn cho tổ chức trong việc kiểm soát luồng thông tin.
  7. Nhà cung cấp CNTT không được phê duyệt : Điều này đề cập đến việc sử dụng các nhà cung cấp hoặc nhà tư vấn dịch vụ CNTT mà không có sự chấp thuận hoặc hiểu biết rõ ràng của bộ phận CNTT. Các nhà cung cấp này có thể không tuân thủ chính sách CNTT của công ty, dẫn đến các rủi ro bảo mật tiềm ẩn và các vấn đề về tuân thủ.


Mỗi yếu tố này đặt ra những thách thức và rủi ro khác nhau cho một tổ chức. Tuy nhiên, chúng cũng đại diện cho các cơ hội tăng năng suất, hợp tác và đổi mới. Hiểu được những yếu tố này có thể giúp các tổ chức quản lý Shadow IT một cách hiệu quả, khai thác lợi ích của nó đồng thời giảm thiểu rủi ro tiềm ẩn.

Cách khám phá và quản lý Shadow IT

Cách tốt nhất để ngăn chặn những vấn đề này là xác định xem tổ chức của bạn có đang sử dụng bất kỳ CNTT ngầm nào hay không. Ba phương pháp hay nhất bạn nên cân nhắc để thực hiện là chính sách quản trị, sự tham gia của bộ phận CNTT và đào tạo nhân viên. Chúng ta hãy nhanh chóng đi qua từng chi tiết hơn.


  • Chính sách quản trị : Luôn thiết lập các chính sách và hướng dẫn về việc sử dụng tài nguyên công nghệ trong công ty của bạn – và đảm bảo bạn truyền đạt rõ ràng các hậu quả của chúng.
  • Sự tham gia của bộ phận CNTT : Cố gắng khuyến khích sự giao tiếp và cộng tác cởi mở giữa nhân viên và bộ phận CNTT. Bạn có thể làm điều này bằng cách thúc đẩy một môi trường nơi nhân viên cảm thấy thoải mái khi tiếp cận CNTT với các nhu cầu và thách thức về công nghệ của họ.
  • Giáo dục và nâng cao nhận thức cho nhân viên : Đừng quên tiến hành các buổi đào tạo thường xuyên và các chiến dịch nâng cao nhận thức để giáo dục nhân viên về những rủi ro liên quan đến CNTT bóng tối.


Giám đốc Thông tin (CIO) và đội ngũ CNTT đóng vai trò quan trọng trong việc quản lý CNTT ngầm. Đầu tiên, CIO có thể đưa ra vai trò lãnh đạo chiến lược, xác định các chính sách, thủ tục và khuôn khổ. Họ có thể làm việc cùng với nhóm CNTT để đảm bảo tài nguyên công nghệ được sử dụng theo cách được kiểm soát và tuân thủ.

Chi phí và hậu quả của Shadow IT

Chi phí của Shadow IT có thể khá lớn và nó không chỉ dừng lại ở khía cạnh tài chính. Bất chấp nhiều sáng kiến ​​hiện đại hóa trong nhiều năm, CISO vẫn đang vật lộn với vấn đề lỗi thời này. Phần mềm, dịch vụ và thiết bị chưa được kiểm tra có khả năng gây ra một loạt lỗ hổng, điểm xâm nhập cho kẻ xấu và phần mềm độc hại, do đó gây ra rủi ro bảo mật đáng kể.


Hãy xem xét số liệu từ Gartner, cho thấy 41% nhân viên đã mua, sửa đổi hoặc tạo ra công nghệ nằm ngoài khả năng hiển thị của CNTT vào năm 2022 và con số này dự kiến ​​sẽ tăng lên 75% vào năm 2027. Trong khi đó, khảo sát quản lý dự án và CNTT bóng tối năm 2023 của Capterra nhận thấy rằng 57% doanh nghiệp vừa và nhỏ đã có những nỗ lực CNTT ngầm có tác động cao xảy ra ngoài tầm nhìn của bộ phận CNTT của họ.


Mặc dù mang lại sự linh hoạt và lợi ích thuận tiện cho người dùng, CNTT bóng tối cũng đi kèm với những chi phí đáng kể mà các tổ chức phải lưu ý. Những chi phí này có thể được phân loại rộng rãi thành chi phí trực tiếp và gián tiếp.

Chi phí trực tiếp:

  1. Chi phí không cần thiết : Nếu không có sự giám sát và kiểm soát phù hợp, nhân viên có thể đăng ký các dịch vụ dư thừa hoặc mua nhiều giấy phép hơn mức cần thiết, dẫn đến chi tiêu lãng phí. Ví dụ: các nhóm khác nhau có thể đăng ký sử dụng các công cụ quản lý dự án tương tự, tạo ra những chi phí không cần thiết.
  2. Hỗ trợ CNTT ngày càng tăng : Shadow IT thường dẫn đến các vấn đề về khả năng tương thích và tăng yêu cầu hỗ trợ. Bộ phận CNTT phải dành thời gian và nguồn lực để khắc phục sự cố liên quan đến phần mềm hoặc phần cứng không được phê duyệt.
  3. Vi phạm bảo mật : Shadow IT có thể dẫn đến các lỗ hổng bảo mật mà tội phạm mạng có thể khai thác. Chi phí của việc vi phạm dữ liệu có thể rất lớn, xét đến các hình phạt tài chính, mất niềm tin của khách hàng và tổn hại đến danh tiếng của công ty.

Những chi phí gián tiếp:

  1. Mất năng suất : Nhân viên sử dụng các công cụ không được phê duyệt hoặc không được hỗ trợ có thể gặp phải sự cố tương thích hoặc lỗi phần mềm không mong muốn. Điều này có thể dẫn đến giảm năng suất khi nhân viên cố gắng khắc phục những vấn đề này thay vì tập trung vào nhiệm vụ cốt lõi của họ.
  2. Rủi ro tuân thủ : Nhiều ngành có các quy định nghiêm ngặt về quản lý dữ liệu và quyền riêng tư. Việc sử dụng Shadow IT có thể dẫn đến vi phạm tuân thủ, dẫn đến bị phạt nặng và các vấn đề pháp lý.
  3. Mất dữ liệu : Shadow IT có thể dẫn đến việc dữ liệu được lưu trữ ở những vị trí không an toàn, làm tăng nguy cơ mất dữ liệu. Chi phí khôi phục dữ liệu bị mất có thể cao và trong một số trường hợp, dữ liệu có thể không thể khôi phục được.


Mặc dù chi phí của Shadow IT có thể rất lớn nhưng điều quan trọng cần nhớ là Shadow IT thường xuất hiện do nhu cầu về các công cụ tốt hơn hoặc quy trình hiệu quả hơn. Các tổ chức nên tập trung vào việc quản lý Shadow IT một cách hiệu quả thay vì cố gắng loại bỏ nó .

Mẹo để bảo vệ CNTT trong bóng tối

Chúng tôi nhận thấy rằng CNTT ngầm đặt ra một số thách thức quan trọng về bảo mật và tuân thủ. Vì vậy, việc thực hiện các biện pháp hiệu quả là rất quan trọng.


Dưới đây là một số mẹo thiết thực để bảo vệ khỏi rủi ro Shadow IT:


  • Tạo quy trình phê duyệt và cung cấp phần mềm hoặc công nghệ mới.
  • Tổ chức các buổi đào tạo thường xuyên và các chương trình nâng cao nhận thức để giáo dục nhân viên.
  • Thực hiện các quy trình mua sắm phần mềm nghiêm ngặt và kiểm tra mạng thường xuyên.
  • Xây dựng các chính sách và hướng dẫn công nghệ toàn diện.
  • Quản lý CNTT ngầm theo cách mang lại quyền kiểm soát CNTT và cho phép nhân viên tiếp tục có quyền tự do áp dụng các công cụ mới.
  • Luôn cập nhật các giải pháp an ninh mạng của tổ chức bạn.
  • Đảm bảo rằng các biện pháp kiểm soát quyền truy cập được áp dụng cho các hệ thống, ứng dụng và dữ liệu quan trọng.

Lợi ích của CNTT trong bóng tối

Mặc dù CNTT ngầm có thể gây ra nhiều rủi ro bảo mật nhưng điều quan trọng cần nhớ là nó có thể mang lại lợi ích cho tổ chức của bạn. Điều quan trọng là khai thác sức mạnh của nó chứ không phải loại bỏ nó hoàn toàn.


Hãy nhớ rằng CNTT bóng tối có thể cho phép nhân viên nhanh chóng áp dụng và sử dụng các công cụ và công nghệ phù hợp với nhu cầu cụ thể của họ. Ví dụ: họ có thể thử nghiệm các công cụ đổi mới ban đầu không có trong lộ trình của tổ chức bạn.


Các phòng ban khác nhau sẽ có những yêu cầu riêng mà hệ thống CNTT tập trung có thể không giải quyết đầy đủ. Shadow IT có thể cho phép các bộ phận này tìm và triển khai các dịch vụ chuyên biệt. Vì vậy, làm cách nào bạn có thể giám sát các ứng dụng này để đảm bảo không mất đi tính bảo mật?

Một công cụ đơn giản để giám sát Shadow IT

Một giải pháp thay thế để hạn chế việc sử dụng chúng là triển khai giải pháp CNTT ngầm để phát hiện và quản lý các ứng dụng cũng như các rủi ro liên quan.


Uniqkey có thể làm được điều này và hơn thế nữa.


Chìa khóa để khai thác sức mạnh của CNTT trong bóng tối là đưa nó ra ánh sáng. Là một phần trong giải pháp quản lý mật khẩu doanh nghiệp của chúng tôi, Uniqkey cung cấp cái nhìn tổng quan chi tiết về tất cả các dịch vụ của công ty, cho phép tổ chức của bạn:


  • Biết những dịch vụ mà nhân viên của bạn đang sử dụng; giám sát và khám phá CNTT bóng tối trong tổ chức của bạn.
  • Phát hiện các điểm yếu bảo mật tiềm ẩn, xác định các lỗ hổng và tác động tiềm tàng của chúng đối với hoạt động kinh doanh của bạn.
  • Tiết kiệm tiền cho giấy phép không hoạt động.


Việc triển khai công cụ CNTT bóng tối như Uniqkey có thể giúp bạn điều chỉnh và giải quyết các yêu cầu công nghệ ngày càng phát triển, đảm bảo bạn có thể đánh giá tất cả các ứng dụng mới nổi và khả năng tương thích của chúng với cơ sở hạ tầng hiện có.


Cũng được xuất bản ở đây .