Gölge sadece bir güvenlik riski değil, yasal bir risk. Takımlar onaylanmamış araçlar kullandıklarında, uyum ihlallerini tetikleyebilir, hassas verileri ortaya çıkarabilir veya sözleşmeleri kırabilirler. Yasal kara mayınlarının nerede olduğuna ve Cisos’un önlerinde kalmak için neler yapabileceğine bakalım.
Gölgenin yasal risklerini anlamak
Çalışanlar onaylanmamış araçlar kullandıklarında, hassas bilgileri korumak için tasarlanmış yasaları ve düzenlemeleri yanlışlıkla ihlal edebilirler. Örneğin, GDPR kişisel veriler üzerinde sıkı kontrol gerektirir. Yetkisiz uygulamalar bu kontrolü tehlikeye atabilir, bu da uyumsuzluğa ve potansiyel para cezalarına yol açabilir. Benzer şekilde, HIPAA veya PCI DSS gibi düzenlemelerle yönetilen endüstriler, gölge BT yerleşik veri koruma protokollerini atlattığında artan risklerle karşı karşıyadır.
Dahası, gölge sözleşmeye bağlı ihlallere neden olabilir. Bazı işletme anlaşmaları, belirli güvenlik standartlarına uyulmasını gerektiren hükümleri içerir. Yetkisiz yazılım kullanımı, kuruluşu yasal işlemlere maruz bırakarak bu şartları ihlal edebilir.
Auvik’deki Strateji ve Teknoloji Evanjelizm Direktörü John Harden, iyi niyetli bir çözümün neredeyse bir HIPAA uyumluluk sorununa neden olduğu bir doktor ofisinde yakın tarihli bir davaya işaret etti. “Bir Gölge BT keşif aracı uyguladılar ve hasta alım süreçleri için uçaktan yetkisiz kullanımını hızlı bir şekilde tanımladılar” dedi.
Uygulayıcılar, iş akışlarını kolaylaştırmak için bağımsız olarak Airtable’ı benimsemişlerdi. Ancak bilmeden hassas hasta verilerini riske atıyorlar. Airtable kullanımı bir işletme anlaşması kapsamında değildi, yani platformun veri korumaları HIPAA gereksinimleriyle uyumlu değildi.
“Bu onlara pahalı bir ikilem sundu,” diye açıkladı Harden. “Ya Airtable’ı bir kurumsal versiyona uyum sağlamak için 40.000 ila 60.000 dolar harcıyor ya da aynı şeyi özel yazılıma harcıyor.” Ancak asıl sorunun araç olmadığını, zamanlamanın olduğunu söyledi. “Eğer daha önce Airtable kullanımı hakkında bilgi sahibi olsaydı, BT ve güvenlik güvenli, uyumlu ve hatta daha ucuz bir çözüm bulmak için ekiple işbirliği yapabilirdi.”
Bu tür bir durum nadir değildir. Fark edilmeden ne kadar uzun olursa, düzeltmek o kadar pahalı olur.
Yasal riskleri azaltma stratejileri
1. Düzenli denetimler yapın – Yetkisiz araç ve uygulamaları belirlemek için kuruluşunuzun BT ortamını düzenli olarak değerlendirin. Bu proaktif yaklaşım, uyumluluk sorunlarına yol açmadan önce gölgenin tespit edilmesine yardımcı olur.
2. Politikaları uygulayın – Yazılım ve cihazların kullanımı ile ilgili net politikalar geliştirin ve iletin. Çalışanların onaylanmış araçları kullanmanın önemini ve uyumsuzluğun yasal sonuçlarını anlamalarını sağlayın.
3. Çalışan eğitimini geliştirin – Personeli gölge ile ilişkili riskler hakkında eğitin. Eğitim, yetkisiz uygulamaların veri ihlallerine ve yasal sonuçlara nasıl yol açabileceğini vurgulamalıdır.
4. Teknoloji çözümlerini kullanın – Yetkisiz uygulamaları tespit etmek ve yönetmek için izleme araçlarını dağıtın. Bulut Access Güvenlik Komisyoncuları (CASB’ler) gibi çözümler, Gölge BT etkinliklerine görünürlük sağlayabilir ve güvenlik politikalarının uygulanmasına yardımcı olabilir.
5. Açık BT kültürünü teşvik edin – Çalışanları teknoloji ihtiyaçlarını BT departmanı ile iletmeye teşvik edin. Çalışanların yararlı buldukları araçları anlayarak, bu ihtiyaçları karşılayan onaylanmış çözümler sağlamak için işe yarayabilir ve onu gölgelemeye başvurma cazibesini azaltabilir.
6. Yasal ve uyum ekipleriyle işbirliği yapın – Mevcut yasalar ve düzenlemelerle uyumlu politikaların sağlanmasını sağlamak için yasal ve uyum departmanlarıyla yakın işbirliğini sürdürün. Bu ortaklık, gölgeden kaynaklanan yasal sorunların ele alınmasına yardımcı olur.
Yasal olarak savunulabilir bir güvenlik programı oluşturmak
Bir mahkeme salonunda duran bir güvenlik programı oluşturma yeteneği, saldırganlara dayanan bir program kadar önemli hale geliyor.
JumpCloud baş stratejisti Chase Doelling, “Varlık yönetimi ve izlemeye odaklanmak, yasal olarak savunulabilir bir güvenlik programı için çok önemlidir” diyor. “Sisteminiz denetlenebilir olmalı – kime erişebilecekleri, ona eriştiklerinde ve bu erişime ilk etapta kimin yetkilendirildiği.”
Bu yaklaşım uyumluluk programlarının yapısını yakından yansıtır. Bir kuruluş zaten yerleşik uyumluluk çerçeveleri ile uyumludursa, muhtemelen yasal inceleme altında devam edebilecek bir güvenlik duruşuna doğru doğru yoldadır. Doelling’e göre, “Esasen, kuruluşunuz uyumluysa, yasal bir ortamda durabilecek bir güvenlik programına sahip olmanın zaten yolundasınız.”
Bu savunmasızlığın temeli görünürlükte yatmaktadır. Kullanıcılar, varlıklar ve izinler hakkında net bir bakış açısıyla, kuruluşlar daha kolay doğru denetimler yapabilir ve yasal soruşturmalara hızlı bir şekilde yanıt verebilir.
Bu özellikle gölge çağında kritiktir. Doelling, “anahtarın görünürlük olduğunu ve ne kadar çok görürseniz, o kadar korunuyorsunuz” olduğunu vurgular. Hangi araçların kullanıldığı ve kim tarafından kullanıldığına dair bir fikir olmadan, kuruluşlar hem güvenlik açıklarına hem de yasal risklere maruz kalırlar.
Bu görünürlüğü eyleme geçirilebilir hale getirmek için, merkezileştirme için savunucular. “Bu netliği elde etmenin en etkili yolu, varlık ve izinleri izleme sürecini basitleştirerek tek bir gerçek kaynağı olarak hizmet eden birleşik bir platformdur” diyor. Bu tür bir platform sadece güvenlik işlemlerini kolaylaştırmakla kalmaz, aynı zamanda denetçiler veya hukuk profesyonelleri gibi üçüncü tarafların verileri anlamasını ve doğrulamasını sağlar.
Gölgeye uygulandığında, faydalar daha da net hale gelir. Doelling, “Bu perspektifi gölgede bırakmak için genişleterek, bireysel kullanıcıya izlemeyi otomatikleştirerek, onaylanmamış varlıkların bile hesaba katılmasını sağlayabilirsiniz” diye. Bu içgörü seviyesi, artmakta olan maliyetler ve uyumluluk boşlukları da dahil olmak üzere gölgenin neden olduğu gizli riskleri ve verimsizlikleri azaltmaya yardımcı olur.
Doelling, “Gölge daha acil bir endişe haline geldikçe, etkili bir şekilde yönetmek artık isteğe bağlı değil, gerekli” diyor. “Bu sadece güvenlik ile ilgili değil, en çok önemli olduğunda programınızı yasal olarak savunabilmekle ilgili.”