Các ứng dụng CNTT được phê duyệt được các tổ chức sử dụng đôi khi không được nhân viên tìm thấy đủ. Các giải pháp CNTT được nhân viên ưa thích nhằm loại bỏ những thiếu sót khác nhau hoặc làm cho các quy trình trở nên thiết thực hơn được định nghĩa là CNTT bóng tối. Shadow IT đề cập đến việc sử dụng trái phép bất kỳ dịch vụ hoặc thiết bị kỹ thuật số nào không được bộ phận CNTT phê duyệt và hỗ trợ chính thức.
Báo cáo Đối đầu với CNTT bóng tối trong một thế giới lai, được chuẩn bị vào năm 2022, cho thấy mức độ phổ biến của CNTT bóng tối. 52 phần trăm số người trả lời cuộc khảo sát, được thực hiện dành riêng cho các tổ chức công, cảm thấy có nghĩa vụ phải vượt quá các chính sách bảo mật của tổ chức mà họ làm việc để thực hiện công việc của mình. Một lần nữa, 52% sử dụng các thiết bị không được phê duyệt, trong khi 49% sử dụng phần mềm hoặc công cụ đám mây không được phê duyệt.
Sự phổ biến của CNTT ngầm trong các doanh nghiệp dẫn đến một môi trường ứng dụng bị phân mảnh cao, trong đó tính nhất quán, bảo mật và khả năng quản lý bị hy sinh để đạt được mức độ linh hoạt trong kinh doanh cần thiết. Vậy tại sao CT bóng lại thường được ưa chuộng đến vậy? Nó mang lại lợi ích gì cho doanh nghiệp?
Tại sao CNTT bóng tối được ưa thích?
Shadow IT nổi bật nhờ tiềm năng tạo ra các giải pháp nguyên mẫu phù hợp với sự phát triển của các yêu cầu kinh doanh. Do đó, các ứng dụng CNTT ngầm cũng mang lại lợi ích ở mức độ linh hoạt, tạo cơ hội thực hiện hành động mà không cần tham gia vào các quy trình vận hành phức tạp của bộ phận CNTT. Ví dụ, nhờ các hệ thống máy tính có sức mạnh phần cứng cao được người dùng gia đình ưa chuộng hiện nay, các giải pháp phần cứng của bộ phận CNTT có thể không cần thiết để trích xuất và xử lý một số bộ dữ liệu phức tạp. Người dùng có thể dễ dàng thực hiện một số thao tác trên máy tính cá nhân của mình.
Một ví dụ khác là một nhân viên gặp sự cố khi kết nối với giải pháp VPN của hệ thống công ty đang đẩy nhanh quá trình kinh doanh tại thời điểm này bằng cách sử dụng ứng dụng VPN trái phép. Mặc dù tất cả những điều này minh họa những lợi thế của CNTT bóng tối, nhưng đồng tiền này cũng có một mặt khác. Shadow IT mang đến những mối nguy hiểm lớn cho các cá nhân, tổ chức cũng như những lợi thế của nó.
Sự nguy hiểm của CNTT bóng tối
Theo nghiên cứu, cứ hai nhân viên thì có gần một người sử dụng các giải pháp CNTT ngầm, dù có chấp nhận rủi ro hay không. Tuy nhiên, những giải pháp này có chi phí nghiêm trọng. Chi phí ban đầu nằm ở độ tin cậy của dữ liệu thu được thông qua các ứng dụng CNTT ngoài luồng. Những dữ liệu như vậy, có tính hợp lệ đang bị tranh cãi, cần phải kiểm tra lại, cần nhân công để tích hợp vào hệ thống, gây ra sự mất mát và lãng phí thời gian đáng kể được thể hiện trong số các chi phí tiềm ẩn do các giải pháp CNTT ngầm mang lại.
Sự không nhất quán trong các bảng là một nhược điểm quan trọng khác của CNTT ngầm. Bởi vì dữ liệu được sao chép từ bảng tính của các ứng dụng khác nhau có thể tạo ra những khác biệt nhỏ. Những khác biệt này tích lũy theo thời gian, khiến dữ liệu trong các bảng không khớp nhau. Ngoài ra, ngay cả khi các định nghĩa và công thức là chính xác thì phương pháp phân tích vẫn có thể bị sai lệch do bố cục và luồng của các bảng được liên kết, dẫn đến dữ liệu hoàn toàn sai. Do dữ liệu không nhất quán và có vấn đề, hiệu quả của các tổ chức trong hệ thống được phê duyệt của họ giảm đáng kể.
“Nghiên cứu cho thấy CNTT bóng tối đã tăng 59% do Covid-19”
Sự kém hiệu quả trở thành rào cản đối với sự đổi mới, ngăn cản các công ty tạo ra các quy trình kinh doanh hiệu quả hơn. Việc thêm các ứng dụng CNTT ngầm lên trên các hệ thống hiện có có thể dẫn đến tắc nghẽn hiệu suất bổ sung và các điểm lỗi mới. Ngoài ra, các rủi ro như rò rỉ dữ liệu và mất dữ liệu cao là một trong những khả năng mà các cá nhân và tổ chức có thể gặp phải sau khi sử dụng các giải pháp CNTT ngầm.
Tóm lại, vì các tổ chức không thể theo đuổi CNTT bóng tối;
- Nó làm tăng chi phí CNTT. Do phần mềm chưa được phê duyệt không hoạt động hiệu quả với các ứng dụng đã được phê duyệt của công ty nên hiệu quả đầu tư vào CNTT sẽ giảm.
- Nó có thể dẫn đến phạt tiền nghiêm trọng. Nếu phát hiện phần mềm trái phép, các công ty có thể phải đối mặt với mức phạt nặng.
- Nó tạo ra một nguy cơ an ninh mạng. Do các công ty không thể xem và kiểm tra các hệ thống CNTT ngầm nên không thể áp dụng các quy trình bảo mật tương tự như các công nghệ được hỗ trợ, dẫn đến các vết nứt tường lửa.
- Nó tạo ra chi phí thời gian và kém hiệu quả. Khi các nhóm làm việc trong một dự án sử dụng giải pháp của các ứng dụng CNTT bóng tối khác nhau, họ cần các giải pháp mới ở điểm cộng tác bằng cách tập hợp dữ liệu của họ lại với nhau. Điều này khiến các nhiệm vụ có giá trị thấp mất nhiều thời gian hơn để hoàn thành.
Để loại bỏ bóng BT 4 bước thực hành
Có thể chỉ ra hai lý do khác nhau giải thích tại sao khái niệm CNTT bóng tối lại được nhắc đến thường xuyên hơn trước đây. Ban đầu, nhiều dịch vụ đám mây có giá cả phải chăng và dễ cài đặt đã xuất hiện và nhân viên CNTT bắt đầu ưa chuộng các ứng dụng CNTT ngầm mà họ cho rằng sẽ mang lại lợi thế trước mắt cho họ nhưng điều đó sẽ gây ra những hậu quả tiêu cực nghiêm trọng về lâu dài. Yếu tố quan trọng thứ hai dẫn đến sự lan rộng của CNTT bóng tối là các nhân viên bắt đầu làm việc từ xa trong thời kỳ đại dịch, bỏ qua các chính sách bảo mật của tổ chức mà họ làm việc và sử dụng các công cụ không được bộ phận CNTT phê duyệt. Nghiên cứu cho thấy CNTT bóng tối đã tăng 59% do Covid-19.
Theo báo cáo từ công ty tư vấn và nghiên cứu công nghệ Gartner, khoảng 30 đến 40% chi tiêu CNTT của các công ty lớn dành cho CNTT bóng tối. Điều đáng buồn hơn nữa là thực tế là những nhân viên lựa chọn giải pháp CNTT ngầm thường phải trả thêm tiền cho việc sử dụng các ứng dụng trái phép vì họ không thể tận dụng các khoản chiết khấu của công ty mà nhóm CNTT đã đồng ý.
Rủi ro an ninh mạng có thể gây ra hậu quả tàn khốc cho các cá nhân và tổ chức. Mặt khác, Shadow IT khiến rủi ro an ninh mạng đạt đến mức nghiêm trọng. Theo nghiên cứu, 54% chuyên gia CNTT cho rằng tổ chức của họ có “nguy cơ vi phạm dữ liệu cực kỳ cao” do CNTT ngầm.
IBM chỉ ra rằng 21% tổ chức phải đối mặt với sự cố an ninh mạng do nguồn CNTT không được phê duyệt. Chi phí trung bình của một vụ vi phạm dữ liệu 3Xét rằng nó trị giá 0,86 triệu USD, ngay cả một sự cố an ninh mạng cũng có thể gây ra hậu quả tàn khốc.
Làm thế nào các tổ chức có thể chống lại CNTT bóng tối?
Các công ty cần khắc phục vấn đề CNTT ngầm để quản lý hợp lý các khoản đầu tư CNTT và chiến lược kinh doanh cũng như đạt được mục tiêu của mình. Vào năm 2022, một bộ phận đáng kể các tổ chức đã cố gắng tạo ra lực lượng lao động kết hợp. Những nhân viên đến văn phòng đều đặn sẽ làm việc tại nhà hoặc ngoài văn phòng nơi họ tham gia các quy trình còn lại. Mô hình hoạt động kết hợp sẽ tiếp tục vào năm 2023, nhưng để quá trình này đạt hiệu quả, các công ty phải chống lại CNTT bóng tối. Đây là cách loại bỏ vĩnh viễn bóng BT 4 bước thực tế;
Tên của tôi 1: Đạt được khả năng hiển thị về CNTT bóng tối
Điều quan trọng đối với các tổ chức là cung cấp khả năng hiển thị theo thời gian thực cho các điểm cuối để đi trước CNTT bóng tối. Cung cấp các hệ thống giám sát và quản lý từ xa (RMM) và bảo vệ điểm cuối cung cấp khả năng hiển thị theo thời gian thực cho các điểm cuối từ xa và tại văn phòng nhằm phát hiện các lỗ hổng bảo mật và phần mềm trái phép sẽ giảm thiểu rủi ro bảo mật tiềm ẩn.
Việc cung cấp cho nhóm CNTT các công cụ ngăn ngừa mất dữ liệu (DLP) sẽ giúp nhân viên thực hiện hành động đối với các nỗ lực chuyển dữ liệu nhạy cảm từ môi trường công ty an toàn sang bất kỳ bộ lưu trữ đám mây trái phép nào và trước khi mối đe dọa leo thang thành hành vi vi phạm. Cuối cùng, các công ty nên tối ưu hóa giải pháp của mình bằng cách kiểm tra xem hệ thống ngăn chặn xâm nhập (IPS – Hệ thống ngăn chặn xâm nhập) có giám sát đầy đủ lưu lượng mạng và kết nối VPN cũng như xem tường lửa có được cấu hình đúng hay không.
Tên của tôi 2: Đối thoại với nhân viên
Điều quan trọng nữa là các tổ chức phải thường xuyên tìm kiếm phản hồi từ nhân viên về sự hài lòng của họ với các dịch vụ CNTT và những gì có thể làm để cải thiện chúng. Ngoài ra, khi tuyển dụng nhân viên mới, hãy hỏi họ xem họ quen làm việc với phần mềm và phần cứng nào và liệu họ có thấy thoải mái với các công cụ hiện có của công ty hay không có thể ngăn ngừa các vi phạm trong tương lai.
Khi người quản lý phát hiện nhân viên đang sử dụng các ứng dụng trái phép, họ có thể tiếp cận thông tin và nhận xét sẽ cải thiện quy trình kinh doanh bằng cách hỏi những gì còn thiếu trong phần mềm được công ty phê duyệt thay vì dùng ngôn ngữ để đổ lỗi cho họ. Vì vậy, nó sẽ có thể cung cấp một sự thay thế hiệu quả và an toàn.
Tên của tôi 3: Cung cấp cho người dùng những công cụ họ cần
Khi các tổ chức đã xác định được CNTT ngầm, họ phải tiến hành phân tích kỹ lưỡng các dịch vụ trái phép này để đánh giá liệu tổ chức có nên loại bỏ chúng vì lý do bảo mật và hiệu quả hay phê duyệt chúng để sử dụng được phép hay không. Ví dụ: nếu một số người dùng lưu trữ dữ liệu của công ty trong tài khoản đám mây cá nhân của họ, có lẽ đã đến lúc phải quyết định xem có đưa các dịch vụ này trở thành một phần chiến lược chính thức của công ty hay không.
Tại thời điểm này, vấn đề quan trọng nhất cần xem xét khi đánh giá là rủi ro về bảo mật và tuân thủ. Giúp nhân viên hiểu những mối quan tâm này và cho phép họ thực hiện nhiệm vụ của mình một cách hiệu quả bằng cách sử dụng các tùy chọn đã được phê duyệt là giải pháp lý tưởng. tiến độ thực hiện, tối ưu hóa quy trình, việc quản lý nó một cách chính xác và đáng tin cậy là rất quan trọng.
Tên của tôi 4: Thay đổi văn hóa kinh doanh
Nâng cao nhận thức về an ninh mạng, đảm bảo rằng tất cả người dùng hiểu CNTT bóng tối là gì và những rủi ro liên quan, đồng thời tạo ra các giải pháp thay thế để nhân viên tránh xa CNTT bóng tối cũng là một bước quan trọng trong cuộc chiến chống lại CNTT bóng tối. Như vậy, Shadow IT sẽ không còn là giải pháp thay thế cho nhân viên và sẽ nằm ngoài hoạt động của công ty.
Những công ty 4 Bằng cách thực hiện bước này, CNTT ngầm có thể chống lại và loại bỏ nó vĩnh viễn. Đối với các doanh nghiệp, việc loại bỏ CNTT bóng tối cho phép bạn không chỉ giảm chi phí, cải thiện tính bảo mật và tuân thủ mà còn cải thiện quy trình hoạt động, tăng năng suất và theo đó, giúp thương hiệu của bạn trở nên cạnh tranh hơn.
Bài viết này đã được đăng trên tạp chí Digital Report số 16.
