Çok da uzun olmayan bir zaman önce, çoğu BT liderinin gölge BT’nin şirketlerinde ihmal edilebilir bir unsur olduğuna inandığı bir zaman vardı. Hangi uygulamaların satın alındığı ve kime erişim verildiği konusunda BT kuruluşlarının çok fazla kontrol sahibi olduğunu ve onların bilgisi dışında çok az benimsemenin gerçekleştiğini hissettiler.
O zamanlar, merkezileştirilmiş BT’nin norm olduğu ve iş odaklı teknoloji edinme fikrinin gerçekçi olmadığı günlerdi. “Arka bahçemde olmuyor” inancıydı (politika değilse de).
Pandemi, uzaktan iş gücünün işlerini yapmaya devam edebilmesi için şirketleri bulut uygulamalarını benimsemeye yönelttikçe ve çalışanlar ister istemez daha bağımsız hale gelip istedikleri uygulamaları satın alma konusunda kendilerini güçlü hissettikçe, gölge BT’nin varlığına dair farkındalık değişti.
Günümüzde kuruluşlar, gölge BT’nin “arka bahçelerinde” bulunduğunun ve ne kadar çok bilinmeyen uygulamalara ve kontrolsüz erişime sahip olurlarsa, saldırı yüzeylerinin o kadar büyük olduğunun çok iyi farkındalar. Ancak genellikle sahip olduklarına inandıklarından 2 kat veya daha fazla bulut uygulamasına sahip olmalarına hâlâ şaşırıyorlar.
Gölge BT neden hafife alınıyor?
Günümüzün değişken ekonomisi, BT harcamalarını kısmaları için şirketler üzerinde daha fazla baskı oluşturuyor. SaaS’ın benimsenmesi ve harcamaların büyük ölçüde kontrolsüz bir şekilde artmasıyla birlikte, birçok kuruluş gereksiz ve az kullanılan uygulamaları, gereksiz erişimi ve boşa harcanan lisansları bulup ortadan kaldırmaya daha fazla önem vermeye başlıyor. Bu, gölge BT’yi ele almayı bir öncelik haline getirdi.
Bu güvenlik için iyi bir haber, ancak günümüzün dağıtık işyerlerinde bunu yapmak zor. BT uygulama alımının %50’den fazlasının artık iş odaklı olduğu ve ortalama bir şirketin portföyüne her ay 18-20 yeni uygulama eklemeye devam ettiği tahmin ediliyor. Bunların çoğu, BT’nin veya satın almanın bilgisi olmadan edinildi – herhangi bir kötü nedenden dolayı değil. Çalışanlar sadece işlerini iyi yapmaya odaklıdır. Hangi araçlara ihtiyaç duyduklarını BT veya satın almanın bileceğinden daha iyi bilirler. BT veya tedarikin değerlendirme ve edinim süreçlerinden geçmesini beklemek, bu kullanıcıların beklemeye istekli olduklarından daha uzun sürer.
Gölge BT’yi ortaya çıkarmak söz konusu olduğunda sorun, hangi uygulamaların var olduğu ve bunlara kimin erişimi olduğu hakkındaki bilgilerin bir şirket genelinde, birçok farklı siloda dağılmış olmasıdır. Pazarlama, satış, müşteri hizmetleri, finans, İK, ürün geliştirme, hukuk ve diğer departmanlardaki uygulamaları edinen son kullanıcılar – bazen yüzlerce iş uygulaması sahibinin dosyalarında yaşar.
Çoğu kuruluş bu verileri bulma konusunda nasıl ilerliyor? Çalışanlara e-postalar, Microsoft Teams veya Slack mesajları göndererek, ücretsiz bir uygulama satın alıp almadıklarını veya ücretsiz bir uygulama için kayıt olup olmadıklarını ve kime erişim verdiklerini BT’ye bildirmelerini isterler (ve herkesin yanıt vermesini umarlar). Ardından BT, aldıkları bilgileri bir elektronik tabloya manuel olarak girer. Tabii ki, sürekli eklenen uygulamalar ve günlük olarak değişen kullanıcı erişimi ile, herhangi bir insanın bunu takip etmesi imkansız. Bu e-tablolar, neredeyse oluşturuldukları veya güncellendikleri anda güncelliğini yitirirler.
Tek kayıt sistemi
İhtiyaç duyulan şey, tek, güvenilir bir kayıt sistemidir: her uygulama, kullanıcıları, kullanımı, risk profili ve onaylı veya onaysız durumu hakkında güncel bilgileri içeren merkezi bir yer.
Veriler otomatik ve sürekli olarak toplanmalı ve normalleştirilmelidir. Uygulamalarına sahip olan ve bu nedenle uygulamalarını yönetme sorumluluğunu üstlenmesi gereken kişilerden BT liderlerine ve yöneticilerine, BT güvenlik ekiplerine, satın alma yöneticilerine ve daha fazlasına kadar tüm SaaS yönetimi paydaşlarının kullanımına sunulmalıdır.
SaaS Yönetim Platformları (SMP’ler), bilinen ve gölge BT uygulamalarını ve bunlarla ilişkili kullanıcıları, kullanımı, maliyetleri ve riskleri otomatik olarak keşfetmek için giderek daha fazla kullanılıyor. Bazı SMP’ler, SaaS paydaşlarının özellikle ihtiyaç duydukları verileri ortaya çıkarmasını ve hedeflenen eylemleri gerçekleştirmesini daha da kolaylaştıran gelişmiş rol tabanlı erişim sağlar.
Yeni ve mevcut gölge BT ve yaptırım uygulanan uygulamalar ve kullanıcılar hakkında gerçek zamanlı bilgiler parmaklarının ucunda olduğundan, BT ve BT güvenlik ekipleri bu verilere tek gerçek kaynağı olarak güvenle güvenebilir. Onaylanmamış olmaları ve/veya eski çalışanlar ve hiç görevden alınmamış yükleniciler tarafından erişilebilir olmaları nedeniyle risk altında olan uygulamaları kolayca görebilirler. Onaylanmamış uygulamaları değerlendirmek ve yetkisiz kullanıcıların lisanslarını kaldırmak için harekete geçebilirler.
Siber güvenlik eğitimi daha fazla dikkat gerektiriyor
Uygulamayla ilgili bilgiler için güvenilir bir kayıt sistemine sahip olmak çok önemlidir. Ancak siber güvenlik açıklarıyla mücadele etmek için, şirket çalışanlarını riskleri en aza indirmeye yardımcı olmak için kişisel olarak ne yapmaları gerektiği konusunda eğitmek gerekir. Örneğin, kimlik avı saldırılarının nasıl fark edilip önlenebileceği ve BT ve güvenlik ekiplerinin bilgisi olmadan uygulamaların edinilmesi ve entegre edilmesinin şirketi neden riske attığı.
Ancak yakın zamanda yapılan bir Torii anketi, BT liderlerinin ve yöneticilerinin yalnızca %15’inin güvenlik eğitimini siber güvenlik cephaneliklerindeki en güçlü silah olarak değerlendirdiğini ortaya koydu.
Gallup tarafından yürütülen bir ankete göre, uzaktan iş gücü şirketleri daha da savunmasız hale getiriyor ve çalışanların %80’i ya tamamen uzaktan ya da hibrit ortamlarda çalışıyor. Ayrıca Hornet Security, şirketlerin %33’ünün uzaktan çalışan kullanıcılara herhangi bir siber güvenlik farkındalığı eğitimi vermediğini tespit etti ve bu da kuruluşların güvenliğe öncelik verirken karşılaştıkları boşlukların altını çiziyor.
İş liderliğindeki BT kalıcıdır ve gölge BT uygulamaları da öyle. Şirketinizin tüm bulut uygulamalarını ve kullanıcılarını otomatik olarak keşfedecek bir yöntemi yoksa ve tüm çalışanlar için siber güvenlik eğitimi konusunda katı değilse, şimdi bu araçları ve uygulamaları hayata geçirme zamanı.