Next DLP’ye göre güvenlik uzmanlarının %73’ü, geçtiğimiz yıl içinde şirketlerinin BT ekibi tarafından sağlanmayan SaaS uygulamalarını kullandıklarını kabul ediyor.
Yetkisiz araç kullanımı kuruluşlar için büyük riskler oluşturur
Bu, katılımcıların yetkisiz araçları kullanmanın en büyük riskleri olarak veri kaybını (%65), görünürlük ve kontrol eksikliğini (%62) ve veri ihlallerini (%52) belirtmelerine rağmen risklerin son derece farkında olmalarına rağmen böyledir. Buna ek olarak, on kişiden biri kuruluşlarının bunun sonucunda bir veri ihlali veya veri kaybı yaşadığından emin olduklarını kabul etti.
250’den fazla küresel güvenlik uzmanının katıldığı bir anket, güvenlik uzmanlarının gölge SaaS’a karşı daha serbest bir tutum sergilemelerine rağmen GenAI kullanımına karşı daha temkinli bir yaklaşım sergilediklerini ortaya koydu.
Katılımcıların yarısı AI kullanımının kuruluşlarında belirli iş fonksiyonları ve rollerle sınırlı olduğunu vurguladı, %16’sı ise teknolojiyi tamamen yasakladı. Buna ek olarak, kuruluşların %46’sı çalışanların GenAI kullanımını kontrol etmek için araçlar ve politikalar uyguladı.
Next DLP’nin Baş Güvenlik Sorumlusu Chris Denbigh-White, “Güvenlik uzmanları GenAI’nin güvenlik etkileri konusunda açıkça endişeli ve dikkatli bir yaklaşım sergiliyorlar” diye açıklıyor. “Ancak, onaylanmamış teknolojiyle ilişkili veri koruma riskleri yeni değil. Gerekli süreçler ve araçlar olmadan farkındalık tek başına yeterli değildir. Kuruluşların çalışanların kullandığı araçlar ve bunları nasıl kullandıkları konusunda tam görünürlüğe ihtiyaçları vardır. Yalnızca veri kullanımını anlayarak etkili politikalar uygulayabilir ve çalışanları ilişkili riskler konusunda eğitebilirler.”
Çalışanlar gölge SaaS riskleri konusunda bilgi eksikliği yaşıyor
Güvenlik uzmanlarının %40’ı çalışanların gölge SaaS ve AI ile ilişkili veri güvenliği risklerini doğru bir şekilde anlamadığını düşünüyor. Yine de, bu riskle mücadele etmek için çok az şey yapıyorlar. Güvenlik uzmanlarının yalnızca %37’si bu araçları kullanmak için net politikalar ve sonuçlar geliştirdi, daha da azı (%28) kullanımla mücadele için onaylı alternatifleri teşvik etti.
Son altı ayda yalnızca yarısı gölge SaaS ve AI konusunda rehberlik ve güncellenmiş politikalar aldı ve beşte biri bunu hiç almadığını kabul etti. Ek olarak, güvenlik uzmanlarının yaklaşık beşte biri şirketlerinin bu riskler hakkında güncellenmiş politikalar veya eğitim sağlayıp sağlamadığının farkında değildi, bu da daha fazla farkındalık ve eğitime ihtiyaç olduğunu gösteriyor.
Denbigh-White, “Açıkça, çalışanların bu yetkisiz araçları kullanma konusundaki güveni ile kuruluşun risklere karşı savunma yeteneği arasında bir uyumsuzluk var,” diye ekliyor. “Güvenlik ekipleri, gölge SaaS ve AI kullanımının kapsamını değerlendirmeli, sık kullanılan araçları belirlemeli ve onaylı alternatifler sağlamalıdır. Bu, potansiyel riskleri sınırlayacak ve güvenin yersiz değil, hak edilmiş olmasını sağlayacaktır.”