• Теневые ИТ относятся к ИТ-системам и программным приложениям, которые сотрудники компании используют без ведома ИТ-отдела.
  • Они возникают, когда официальные ИТ не отвечают требованиям сотрудников, и они сами ищут решения.
  • Поскольку теневые ИТ не интегрированы в систему управления ИТ и ИТ-услугами, они несут в себе высокие риски для ИТ-безопасности.
  • Теневых ИТ можно избежать, имея хорошо оснащенный ИТ-отдел, открытую коммуникацию, четкие инструкции и современные бескодовые решения, помимо всего прочего.

Теневые ИТ – это ИТ-системы и программные приложения, которые сотрудники специализированных отделов компании используют без ведома ИТ-отдела для дополнения или обхода официальной ИТ-инфраструктуры.

По определению, теневые ИТ не интегрированы ни технически, ни стратегически в управление ИТ-услугами , что влечет за собой риски безопасности и другие проблемы. Происходящий от английского Shadow IT, этот термин призван выразить тот факт, что сотрудники оставляют высшие инстанции в компании в неведении относительно использования инструментов и цифровых процессов, выполняемых тайно.

shadow IT

Примеры теневых ИТ можно найти на каждом шагу. Вот несколько примеров теневых ИТ, которые знает каждый и которые могут возникнуть в любой компании:

Быстро написать письмо с помощью ChatGPT, перевести годовой отчет с помощью Google Translator или создать новую презентацию с помощью Canva? Многие сотрудники бездумно используют якобы безобидные инструменты искусственного интеллекта, не задаваясь вопросом и не сообщая об этом в ИТ-отдел компании. Большинство из них не понимают, что Инструменты могут использовать введенные тексты для улучшения своих услуг или обучения своей модели ИИ, что таит в себе большую потенциальную опасность, когда речь идет о конфиденциальных данных. Использование чат-ботов, онлайн-переводчиков и генераторов изображений в настоящее время растет и все чаще приводит к появлению критически важных теневых ИТ с рисками для компании.

Упомянутые веб-приложения также предполагают передачу данных, обычно в США, где расположены серверы известных облачных провайдеров. Там потоки данных могут отслеживаться властями США без каких-либо оснований. Та же проблема возникает, когда сотрудники используют облачные хранилища, такие как Dropbox, WeTransfer или Google Drive, для быстрого обмена файлами. Это редко происходит в соответствии с требованиями защиты данных (согласно EU GDPR), поскольку все лица (например, сотрудники или клиенты) должны дать согласие на обработку и передачу своих данных.

Сотрудники также не должны использовать мессенджеры (например, WhatsApp), чаты (например, Slack) или средства для проведения видеоконференций (например, Zoom) для профессионального общения без проверки и одобрения со стороны ИТ-отдела. Теневые ИТ здесь особенно важны, поскольку неавторизованные средства коммуникации могут дать злоумышленникам доступ к конфиденциальному содержимому разговоров. Экспертные ИТ-специалисты, напротив, уделяют внимание сквозному шифрованию и регулярным обновлениям для устранения пробелов в системе безопасности.

теневые ИТ в коммуникациях

Существуют также примеры теневых ИТ, когда желательно использовать само программное обеспечение. Представьте себе компанию, которая полностью полагается на Microsoft: бухгалтерия использует базы данных Access, отдел кадров ведет данные о сотрудниках в электронных таблицах Excel , а отдел продаж записывает данные о клиентах в Microsoft Dynamics CRM . Это выявляет еще одну проблему: если ИТ-отдел не координирует разработку, каждый отдел варит свой собственный суп. Это приводит к хаосу различных процессов, самостоятельно разработанных приложений и силосов данных, которые не интегрированы друг с другом и неизвестны остальным подразделениям компании.

Если сотрудники используют для работы личные смартфоны или ПК или специализированные отделы сами закупают такие устройства, как принтеры или гарнитуры, это тоже теневые ИТ. Как и в вышеупомянутых примерах теневых ИТ, аппаратное обеспечение, не входящее в официальную инвентаризацию компании, также не поддается никакому контролю, хотя это было бы необходимо. Это происходит потому, что внешние устройства, подключенные к сетям компании, представляют собой потенциальные шлюзы для вредоносных программ.

примеры теневых ИТ: частное оборудование

Далее Вы узнаете, почему теневые ИТ часто встречаются в компаниях и что Вы можете с этим сделать.

Необходимость – мать изобретения: если существует определенная неудовлетворенность предоставляемыми ИТ-решениями, это может привести к тому, что умные сотрудники начнут искать решения своих проблем самостоятельно и дополнят официальные ИТ теневыми. Это означает, что им не нужно тратить время на формулирование своих требований и ждать, пока ИТ-отдел их реализует.

Такое нетерпение вполне объяснимо с точки зрения пользователя – ведь большинство специализированных отделов находятся под давлением, требующим выполнения работы. Однако без эффективных цифровых процессов они не смогут предоставлять необходимые услуги. Слишком долгое ожидание помощи от ИТ-отдела – это неприятность, которая снижает производительность сотрудников и замедляет рост компании.

Теневые ИТ могут возникать в результате

  • Нечастой коммуникации и координации между ИТ-отделом и специализированными отделами
  • Чрезмерной формализации (например, сложных и длительных процессов подачи заявок)
  • Отсутствие бюджета на новое программное обеспечение, отвечающее требованиям пользователей
  • Отсутствие или чрезмерная загруженность ИТ-персонала, который едва успевает выполнять запросы
  • Децентрализованная структура компании с высокой степенью автономии отдельных отделов
  • Сотрудники, которые не знают о рисках теневых ИТ

К счастью, Вы можете подумать, что сотрудники Ваших специализированных отделов, подкованные в области ИТ, берут решение проблем в свои руки. При условии, что такая инициатива официально поощряется, а Вы направляете ее в упорядоченные каналы, это может быть правдой. Однако если Ваши сотрудники используют дополнительные инструменты и программы, не посоветовавшись с ИТ-отделом, это может привести к обратному результату.

риски теневых ИТ

Теневые ИТ, которые, как правило, менее хорошо продуманы и протестированы, чем профессионально разработанные системы, таят в себе высокие риски с точки зрения ИТ-безопасности, защиты данных и целостности информации. Если специализированные отделы живут собственной жизнью и внедряют собственное программное обеспечение без ведома ИТ-отдела, они быстро нарушают внутренние и внешние правила соответствия.

Потеря контроля

Теневые ИТ ускользают от управления ИТ. Если управление ИТ-услугами не имеет представления об используемых инструментах, оно не может включить их в поддержку и будущие стратегии, миграции или обновления.

Низкое качество

Теневые ИТ редко документируются, тестируются и поддерживаются должным образом. Системные ошибки или нестабильная работа приложений могут стать результатом того, что ИТ-решения создаются быстро и без специальных знаний.

Изолированные решения и хранилища данных

Отделы могут создавать громоздкие, изолированные обходные пути, не интегрированные с другими системами. Несинхронизированные данные делают процессы неэффективными и избыточными.

Риски безопасности

Теневые ИТ-системы часто не соответствуют общекорпоративным стандартам безопасности (например, шифрование, аутентификация), что делает их уязвимыми для кибератак и утечек данных. Неконтролируемая установка также может открыть двери для вредоносного ПО.

Нарушения нормативных требований

Теневые ИТ часто несовместимы с защитой данных в соответствии с GDPR, сертификацией ISO и другими требованиями. При использовании облачных сервисов расположение серверов за пределами ЕС может быть проблематичным.

Непредсказуемые расходы

Без прозрачности компании быстро теряют контроль над расходами, например, из-за дублирования подписок/лицензий на аналогичные инструменты. Если возникают юридические последствия из-за нарушения нормативных требований, существует риск наложения больших штрафов.

Многие из этих пунктов также важны для управления ИТ-рисками. Это предполагает оценку рисков для компании и сопоставление их с возможными альтернативами: В зависимости от того, как долго теневые ИТ существовали незамеченными, может оказаться, что остановить текущие процессы будет дороже, чем принять риски, пока, например, не появится подходящая замена.

В принципе, IT-подготовленные, мотивированные сотрудники играют важную роль в продвижении цифровой трансформации в Вашей компании и поддержании ее конкурентоспособности. Почему? Потому что они лучше всех знают процессы в своих отделах и требования к разрабатываемому программному обеспечению. Поэтому временные теневые ИТ-решения лучше, чем ничего, и обеспечивают быстрое исправление ситуации, пока ИТ-отдел работает над постоянным решением.

Однако, в отличие от профессиональных разработчиков, у Ваших сотрудников практически нет навыков в области ИТ и программирования. Примеры теневых ИТ, приведенные выше, показали, что многие люди даже не осознают, что используют теневые ИТ. Поэтому, чтобы обеспечить единые стандарты приложений, Вы должны обучить своих сотрудников требованиям к соблюдению ИТ-норм и ИТ-безопасности. Тогда они даже смогут помочь снять нагрузку с ИТ-отдела.

Хотя природа теневых ИТ заключается в том, что они происходят за кулисами, ИТ-отделы часто имеют представление о вероятности появления в организации вышеупомянутых примеров теневых ИТ. В принципе, существует два подхода к тому, чтобы сделать Теневые ИТ видимыми: технический или организационный.

Мониторинг для распознавания теневых ИТ

При техническом контроле Вы используете механизмы безопасности и мониторинг для обнаружения и предотвращения теневых ИТ. Помимо прочего, у Вас есть следующие технические возможности для их обнаружения:

  • Используя прокси и брандмауэры, Вы можете анализировать интернет-трафик Ваших сотрудников, например, несанкционированный трафик данных между облачными сервисами и Вашей сетью.
  • Cloud Access Security Broker (CASB) автоматически распознает использование облачных сервисов и может гарантировать соблюдение нормативных требований.
  • Инвентаризация всех устройств компании и отслеживание программного обеспечения, установленного на них – ключевое слово: Endpoint Management / Mobile Device Management.

С точки зрения организации, теневые ИТ можно выявить сразу же, как только они оставляют финансовые следы: Например, у бухгалтерии могут возникнуть подозрения, если повторяющиеся счета поступают от необычных поставщиков программного обеспечения или с кредитных карт компании списываются деньги за подписку. В любом случае, самый эффективный подход – поговорить с профильными отделами и спросить, какие инструменты они действительно используют.

Теневые ИТ обычно являются результатом не злого умысла, а нехватки времени, неудовлетворенности или небрежности Ваших сотрудников. Если Вы обнаружили в своей компании нежелательные ИТ-системы, спокойный, но твердый тон поможет при работе с теневыми ИТ. Объясните коллегам, работающим в специализированных отделах, что Вам необходимо знать о внедрении и использовании ИТ-систем, чтобы Вы могли проверить их на предмет возможных ИТ-рисков и нарушений нормативных требований.

Затем найдите совместные решения, как интегрировать несанкционированные системы в существующий ИТ-ландшафт, удовлетворить потребности специализированного отдела и, возможно, еще больше оптимизировать процессы. Таким образом, Вы сможете создать позитивный климат, в котором IT будет восприниматься как друг и помощник, а сотрудники будут рады обратиться к Вам, вместо того чтобы скрывать от Вас свои теневые ИТ-решения.

Подводя итог, мы предлагаем следующие рекомендации по действиям, чтобы взять теневые ИТ под контроль и устранить их причины:

  • Укрепляйте ИТ-отдел: Для того чтобы иметь возможность действовать и присутствовать, ИТ-отделу, прежде всего, необходимы достаточные ресурсы, т.е. время, деньги и персонал.
  • Открытое общение: Регулярно обсуждайте с профильными отделами их потребности в ИТ и то, какие ИТ-процессы могли бы работать еще лучше.
  • Четкое управление ИТ: Дайте понять, что разрешено, а что нет. Ознакомьте сотрудников с ИТ-рисками и объясните, почему соблюдение правил имеет смысл.
  • Прагматичные решения: Современные платформы без кода позволяют Вашим сотрудникам самостоятельно разрабатывать рабочие процессы и приложения – в тесном сотрудничестве с ИТ-отделом.

прозрачность против теневых ИТ

Будучи платформой AI No-Code, SeaTable может внести значительный вклад в продвижение сотрудников, подкованных в области ИТ, и дать им возможность разрабатывать собственные приложения в рамках заданной структуры. Просто предоставьте Вашим специализированным отделам набор инструментов, содержащий подходящие программные модули, с помощью которых они смогут гибко планировать, оптимизировать и автоматизировать свои процессы.

Вместо того, чтобы неделями ждать, пока ИТ-отдел внедрит их, сотрудники могут просто реализовать свои идеи самостоятельно. Это позволяет им и разгрузить ИТ-отдел, и ускорить разработку индивидуальных решений. SeaTable соответствует строгим требованиям, повышает удовлетворенность сотрудников и, таким образом, устраняет почву для теневого ИТ.

Ваш ИТ-отдел может развернуть SeaTable как в облаке, так и в локальной сети – в зависимости от того, предпочитаете ли Вы удобство и масштабируемость SeaTable Cloud или предпочитаете использовать SeaTable Server на собственной ИТ-инфраструктуре для обеспечения полного суверенитета данных и высочайших стандартов безопасности.

Оставайтесь в курсе
Получайте наш информационный бюллетень и будьте в курсе последних новостей в области ИТ-безопасности и защиты данных!

Что такое теневые ИТ?

Общее определение теневых ИТ включает в себя все ИТ-системы, программы, приложения, инструменты искусственного интеллекта и устройства, которые сотрудники компании используют без ведома ИТ-отдела для дополнения или обхода официальной ИТ-инфраструктуры. Согласно этому определению, теневые ИТ не интегрированы ни технически, ни стратегически в управление ИТ-услугами, что влечет за собой ряд ИТ-рисков. Термин происходит от английского “Shadow IT”.

Какие риски несут теневые ИТ для компаний?

Незамеченные теневые ИТ влекут за собой многочисленные риски, например, потерю контроля со стороны ИТ-отдела, плохо интегрированные изолированные решения и “силосы” данных, скрытые расходы из-за дублирования структур и непроверенных систем, которые ставят под угрозу ИТ-безопасность и соответствие нормативным требованиям.

Как избежать теневых ИТ?

Теневых ИТ можно избежать, прежде всего, благодаря хорошо оснащенному ИТ-отделу, открытому общению, четким инструкциям и современным бескодовым решениям.

TAGS: ИТ-Безопасность И Конфиденциальность Данных Цифровая Трансформация No Code & Low Code