تهديد Shadow IT (تكنولوجيا المعلومات في الظل)

من المستحيل عمليًا اختيار أدوات برمجية تنال رضا الجميع. يعرف موظف واحد على الأقل دائمًا خدمة مجانية أفضل بعشر مرات مما تختاره الشركة. وإذا بدأ هذا الشخص في استخدام هذا الخيار الآخر وعمل جاهدًا على توصية زملائه بالعمل به، فإنك أمام ظاهرة تعرف باسم Shadow IT. وفي بعض الأحيان، تساعد هذه الظاهرة الشركةَ فعليًا في إيجاد حل يناسب احتياجات العمل لديها على نحو أفضل، ولكنها تسبب في أغلب الأحيان مشكلات معقدة.

فإذا كان أحد يعرف أي شيء أفضل، فعليه توجيه أفكاره نحو أخصائيي الأمان أولاً. لكننا نعيش في عالم غير مثالي، وكثيرًا ما يستخدم الموظفون خدمات مشاركة الملفات، أو تطبيقات البريد الإلكتروني على الويب، أو شبكات التواصل الاجتماعي، أو تطبيقات المراسلة دون تأنٍ في التفكير، ولا يفكرون في العواقب، إن فكروا، لا يفعلون ذلك إلا بعد فوات الأمان.

ولا تكمن المشكلة بالضرورة في أن الأداة قد تكون برنامج مراسلة فورية مجانيًا جديدًا أُعدّ على عجل. بل قد تكون خدمة جيدة التكوين. تكمن المشكلة في عدم معرفة أخصائيي الأمان، في حال امتلاك شركتك أيًا منهم، ولا أخصائيي تكنولوجيا المعلومات، ما يجري. ويعني ذلك أن التطبيق غير المسموح به يُستبعَد من نماذج تهديدات البنية الأساسية، والرسومات البيانية لتدفق البيانات، وقرارات التخطيط الأساسية. وهذا بدوره يثير المتاعب.

احتمالية التسريب

من يدري ما المخاطر التي قد تنتظرنا عند استخدام أدوات من جهات خارجية؟ يمكن لأي تطبيق، سواء أكان قائمًا على السحابة أم مستضافًا محليًا، أن يحتوي على الكثير من الإعدادات الدقيقة التي تتحكم في الخصوصية. وليس جميع الموظفين بأي حال من الأحوال على دراية كبيرة بالبرامج. حيث تكثر الحالات التي يترك فيها الموظف جداول تحتوي على بيانات شخصية غير محمية في مستندات Google، وهذا مثال واضح.

وثمة مثال آخر، وهو أن الخدمات قد تضم ثغرات أمنية يمكن لجهات خارجية الوصول من خلالها إلى بياناتك. قد يغلق معدّو تلك الخدمات الفجوات على الفور، ولكن من يضمن لك أن يثبّت الموظفون جميع التصحيحات المطلوبة للتطبيقات التي من جانب العميل؟ بدون تدخل أخصائيي تكنولوجيا المعلومات، لا يمكنك ضمان تلقي الموظفين أصلاً تذكيرًا بالتحديث. علاوةً على ذلك، نادرًا ما يتصدى أحدهم لمسؤولية إدارة حقوق الوصول في تطبيقات وخدمات غير مصرح بها – مثلاً، بإلغاء الامتيازات بعد الفصل – إذا كانت هذه الميزة متاحة أصلاً. باختصار، لا يوجد مسؤول عن أمان البيانات التي تُرسَل أو تُعالج باستخدام خدمات غير معتمدة من قبل أخصائيي تكنولوجيا المعلومات أو الأمان.

انتهاك المتطلبات التنظيمية

في هذه الأيام، لكل بلد من بلدان العالم قوانينه الخاصة التي تحدد كيفية تعامل الشركات مع البيانات الشخصية. أضف إلى ذلك العديد من المعايير الصناعية ذات الصلة بهذا الموضوع. على الشركات الخضوع لتدقيقات دورية لتلبية متطلبات مختلف الهيئات التنظيمية. وإذا اكتشف تدقيق ما فجأة أن البيانات الشخصية للعملاء والموظفين تم إرسالها باستخدام خدمات غير موثوقة، وكان قسم تكنولوجيا المعلومات في غفلة، فقد تواجه الشركة غرامة كبيرة. بعبارة أخرى، لا تحتاج الشركة إلى خرق فعلي للبيانات كي تجلب لنفسها المتاعب.

ضياع الميزانية سدى

ربما يبدو استخدام أداة بديلة للأداة الموصى بها أمرًا غير مستهجَن، ولكن بالنسبة للشركة، فإنه يعد في أفضل الأحوال إهدارًا للمال. ففي النهاية، حين تشتري أقسام تكنولوجيا المعلومات تراخيص لكل مشارك معتمد في سير العمل، دون أن يستخدم البعض ترخيصه بالفعل، فهذا يعني أن تلك الأقسام تدفع مقابل لا شيء.

ما عليك فعله بشأن Shadow IT

تحتاج تهديدات Shadow IT إلى الإدارة لا المجابهة. وإذا تمكنت من إبقائها تحت السيطرة، فلن تستطيع تحسين أمان البيانات في شركتك فقط، بل قد تجد أيضًا أدوات شائعة ومفيدة حقًا يمكن نشرها على مستوى الشركة.

في الوقت الحالي، وفي خضم جائحة العمل من المنزل، تتزايد المخاطر المرتبطة باستخدام التطبيقات والخدمات غير المدعومة. حيث يضطر الموظفون إلى التكيف مع الظروف الجديدة، ويحاولون عادة العثور على أدوات جديدة يعتقدون أنها أكثر ملاءمة لعملهم عن بعد. لذلك، أضفنا بعض الميزات الإضافية إلى الإصدار المحدث من Kaspersky Endpoint Security Cloud للكشف عن استخدام خدمات وتطبيقات سحابية غير معتمدة.

علاوة على ذلك، يمكن أن يحظر Kaspersky Endpoint Security Cloud Plus استخدام مثل هذه الخدمات والتطبيقات. يتيح هذا الإصدار من الحل أيضًا للشركة الوصول إلى Kaspersky Security for Microsoft Office 365، والذي يوفر طبقة إضافية من حماية Exchange Online وOneDrive وSharePoint Online وMicrosoft Teams.

يمكنك معرفة المزيد عن حلنا وشراؤه على صفحة Kaspersky Endpoint Security Cloud الرسمية.