Kurumlar tarafından kullanılan onaylı BT uygulamaları, kimi zaman çalışanlar tarafından yeterli bulunmuyor. Çeşitli eksikleri gidermek ya da süreçleri daha pratik hale getirmek için personel tarafından tercih edilen BT çözümleri, gölge BT olarak tanımlanıyor. Gölge BT, BT departmanı tarafından resmi olarak onaylanmayan ve desteklenmeyen herhangi bir dijital hizmetin ya da cihazın yetkisiz kullanımını ifade ediyor.
2022 yılı içinde hazırlanan Hibrit Bir Dünyada Gölge BT ile Yüzleşmek isimli rapor, gölge BT’nin ne kadar yaygın olduğunu gözler önüne seriyor. Tamamen kamu kuruluşları özelinde yapılan ankete katılanların yüzde 52’si, işlerini yapmak için çalıştıkları kuruluşların güvenlik politikalarını aşmak zorunda hissediyor. Yine yüzde 52’lik bir dilim onaylanmamış cihazlar kullanırken, yüzde 49 ise onaylanmamış yazılım veya bulut araçları kullanıyor…
Kurumlarda gölge BT’nin yaygınlığı, gerekli iş çevikliği düzeyine ulaşmak için tutarlılığın, güvenliğin ve yönetilebilirliğin feda edildiği, büyük ölçüde parçalanmış bir uygulama ortamına neden oluyor. Peki, gölge BT neden bu denli sıklıkla tercih ediliyor? Firmalara ne gibi faydalar sağlıyor?
Gölge BT neden tercih ediliyor?
Gölge BT, iş gereksinimlerinin evrimine uygun prototip çözümler oluşturma potansiyeli ile dikkat çekiyor. Böylece çeviklik noktasında da fayda sağlayan gölge BT uygulamaları, BT departmanlarının karmaşık işleyiş süreçlerine dahil olmadan, işlem yapabilme fırsatı yaratıyor. Örneğin, günümüzde ev kullanıcılarının tercih ettiği yüksek donanım gücüne sahip bilgisayar sistemleri sayesinde, bir takım karmaşık veri kümelerini ayıklamak ve işlemek için BT departmanının donanım çözümlerine ihtiyaç kalmayabiliyor. Kullanıcılar bazı işlemleri kişisel bilgisayarlarında kolaylıkla yapabiliyor.
Kurumsal sistemin VPN çözümüne bağlanmada sorun yaşayan bir çalışanın, yetkisiz bir VPN uygulamasını kullanarak, o an için iş sürecini hızlandırması da bir başka örnek olarak gösterilebilir. Bütün bunlar gölge BT’nin avantajlarını resmediyor olsa da madalyonun bir tarafı daha mevcut. Gölge BT, avantajlarının yanında kişi ve kurumlar için çok büyük tehlikeleri de beraberinde getiriyor.
Gölge BT’nin getirdiği tehlikeler
Araştırmalara göre neredeyse her iki çalışandan biri, riskleri göze alarak ya da farkında olmayarak gölge BT çözümlerini kullanıyor. Ancak bu çözümlerin ciddi maliyetleri bulunuyor. İlk maliyet, gölge BT uygulamalarıyla elde edilen verilerin güvenilirliği noktasında ortaya çıkıyor. Geçerliliği tartışılan, tekrar kontrol gerektiren, sistemlere entegre etmek için iş gücüne ihtiyaç duyan bu tür veriler, önemli ölçüde zaman kaybı yaratıyor ve boşa harcanan zaman, gölge BT çözümlerinin getirdiği gizli maliyetler arasında gösteriliyor.
Tablolarda ortaya çıkacak tutarsızlıklar ise gölge BT’nin bir diğer önemli dezavantajı konumunda yer alıyor. Zira farklı uygulamaların elektronik tablolarından kopyalanan veriler, küçük farklar oluşturabiliyor. Bu farklar zamanla birikerek, tablolarda eşleşmeyen verilerin meydana gelmesine sebep oluyor. Ayrıca tanımlar ve formüller doğru olsa bile, analiz metodolojisi, bağlantılı tabloların düzeni ve akışı nedeniyle bozulabiliyor ve ortaya tamamen hatalı veriler çıkabiliyor. Tutarsız ve sorunlu veriler sebebiyle, kurumların onaylı sistemlerinden elde edecekleri verim de önemli ölçüde azalıyor.
“Araştırmalar, gölge BT’nin Covid-19 nedeniyle %59 oranında arttığını gösteriyor”
Verimsizlikler, şirketlerin daha verimli iş süreçleri oluşturmasını engelleyerek inovasyonun önünde bir engel haline geliyor. Gölge BT uygulamaları mevcut sistemlerin üzerine eklendiğinde, ortaya ek performans darboğazları ve yeni hata noktaları çıkabiliyor. Ayrıca veri sızıntısı ve yüksek veri kaybı gibi riskler de, gölge BT çözümlerinin akabinde kişi ve kurumların yüzleşebileceği ihtimaller arasında gösteriliyor.
Özetleyecek olursak gölge BT kurumlar tarafından takip edilemediğinden dolayı;
- BT maliyetlerini artırıyor. Onaylanmayan yazılımlar şirketin onaylı uygulamalarıyla verimli çalışmadığı için BT yatırımlarından alınan verim azalıyor.
- Ciddi para cezalarına yol açabiliyor. Yetkisiz yazılım tespit edilmesi halinde, şirketler için ağır para cezaları söz konusu olabiliyor.
- Siber güvenlik riski yaratıyor. Şirketler gölge BT sistemlerini görüntüleyip inceleyemediği için, desteklenen teknolojilerle aynı güvenlik prosedürleri uygulanamıyor ve güvenlik duvarında çatlaklara yol açıyor.
- Zaman maliyeti ve verimsizlik yaratıyor. Bir proje üzerine çalışan ekipler, farklı gölge BT uygulamalarının çözümlerini kullandıklarında, verilerini bir araya getirerek birlikte çalışma noktasında yeni çözümlere ihtiyaç duyuyor. Bu da düşük değerli görevlerin uzun sürelerde tamamlanmasına yol açıyor.
Gölge BT’yi ortadan kaldırmak için 4 pratik adım
Son dönemde gölge BT kavramının geçmişe nazaran daha sık duyulmasının sebebi için iki farklı neden göstermek mümkün. İlk olarak uygun fiyatlı ve kurulumu kolay pek çok bulut hizmeti ortaya çıktı ve BT çalışanları, anlık olarak kendilerine avantaj sağlayacağını düşündükleri ancak uzun vadede kritik seviyede olumsuz sonuçlara yol açacak gölge BT uygulamalarını tercih etmeye başladı. Gölge BT’nin yaygınlaşmasındaki ikinci önemli faktör ise pandemi döneminde uzaktan çalışmaya başlayan çalışanların, bu süreçte görev yaptıkları kurumların güvenlik politikalarını atlamaya ve BT departmanı tarafından onaylanmayan araçları kullanmaya başlamasıydı. Araştırmalar, gölge BT’nin Covid-19 nedeniyle %59 oranında arttığını gösteriyor.
Teknoloji araştırma ve danışmanlık şirketi Gartner’ın raporlarına göre büyük şirketlerin BT harcamalarının %30 ila %40’ı gölge BT’ye gidiyor. Tablonun daha da iç karartan kısmı, gölge BT çözümlerini tercih eden çalışanlar, BT ekibinin üzerinde anlaşmaya vardığı kurumsal indirimlerden yararlanamadıkları için genellikle yetkisiz uygulamaların kullanımından dolayı fazladan ödeme yapıyor.
Kişi ve kurumlar için siber güvenlik riskleri son derece yıkıcı sonuçlar doğurabiliyor. Gölge BT ise siber güvenlik risklerinin kritik seviyelere ulaşmasına yol açıyor. Araştırmalara göre BT uzmanlarının %54’ü, kuruluşlarının gölge BT nedeniyle “Son derece yüksek veri ihlali riski altında” olduğunu düşünüyor.
IBM, kuruluşların %21’inin onaylanmamış bir BT kaynağı nedeniyle bir siber güvenlik vakasıyla karşı karşıya kaldığına işaret ediyor. Bir veri ihlalinin ortalama maliyetinin 3,86 milyon dolar olduğu düşünüldüğünde, tek bir siber güvenlik vakası bile yıkıcı etkiye sebep olabiliyor.
Kurumlar, gölge BT ile nasıl mücadele edebilir?
Şirketlerin BT yatırımlarını ve iş stratejilerini doğru yönetebilmeleri ve hedeflerini tutturabilmeleri için gölge BT sorununu aşmaları gerekiyor. 2022 yılında, kuruluşların önemli bir kısmında hibrit bir iş gücü oluşturulmaya çalışıldı. Ofise belli aralıklarla gelen çalışanlar, geri kalan süreçlerde evden ya da bulundukları ofis dışı mekanlardan görev yaptılar. 2023’te de hibrit çalışma modeli devam edecek ancak bu sürecin verimli olabilmesi için şirketlerin gölge BT ile mücadele etmesi gerekiyor. İşte gölge BT’yi kalıcı olarak ortadan kaldırmak için 4 pratik adım;
Adım 1: Gölge BT’de görünürlük elde edin
Kurumların gölge BT’nin önüne geçmeleri için uç noktalara gerçek zamanlı görünürlük sağlamaları kritik önem taşıyor. Yetkisiz yazılımları ve güvenlik açıklarını tespit edebilmek için, uzak ve ofis tabanlı uç noktalara gerçek zamanlı görünürlük sağlayan uzaktan izleme ve yönetim (RMM- Remote Monitoring and Management) ve uç nokta koruma sistemleri sağlamak, oluşabilecek güvenlik risklerini en aza indirecektir.
BT ekibine veri kaybı önleme (DLP – Data Loss Prevention) araçları sağlamak, çalışanların hassas verileri güvenli kurumsal ortamdan herhangi bir yetkisiz bulut depolama alanına aktarma girişimlerinde ve bir tehdit ihlale dönüşmeden önce harekete geçilmesine yardımcı olacaktır. Son olarak şirketler, saldırı önleme sistemlerinin (IPS – Intrusion Prevention System) ağ trafiğini ve VPN bağlantılarını yeterince izlediğini ve güvenlik duvarının doğru şekilde yapılandırıldığını kontrol edip söz konusu çözümleri en iyi hale getirmeliler.
Adım 2: Çalışanlarla diyalog kurun
Kurumların, BT hizmetlerinden memnuniyetleri ve bunları geliştirmek için neler yapılabileceği konusunda çalışanlardan düzenli olarak geri bildirim istemeleri de gölge BT ile mücadelede büyük önem taşıyor. Ayrıca yeni çalışanları işe alırken, onlara hangi yazılım ve donanımlarla çalışmaya alışkın olduklarını ve şirketin mevcut araçlarıyla rahat çalışıp çalışmayacaklarını sormak, gelecekte yaşanacak ihlallerin önüne geçebilir.
Yöneticiler, çalışanların yetkisiz uygulamalar kullandığı tespit ettiklerinde, onları suçlayacak bir dil yerine şirketin onaylı yazılımlarındaki eksiğin ne olduğunu sorarak, iş süreçlerini geliştirecek bilgi ve yorumlara ulaşabilir. Böylece etkili ve güvenli bir alternatif sağlama imkanı da oluşacaktır.
Adım 3: Kullanıcılara ihtiyaç duydukları araçları verin
Kurumların gölge BT’yi belirledikten sonra, bu yetkisiz hizmetlerin kapsamlı bir analizini yaparak, kuruluşun güvenlik ve verimlilik nedenleriyle bunlardan kurtulması mı yoksa yetkili kullanım için onaylaması mı gerektiğini değerlendirmesi gerekiyor. Örneğin, bazı kullanıcılar kurumsal verileri kişisel bulut hesaplarında depoluyorsa, bu hizmetlerin resmi kurumsal stratejinin bir parçası haline getirilip getirilmeyeceğine karar vermenin zamanı gelmiş olabilir.
Bu noktada değerlendirme yaparken dikkat edilecek en kritik hususlar, güvenlik ve uyumluluk riskleridir. Çalışanların bu endişeleri anlamalarına yardımcı olmak ve onaylanmış seçenekleri kullanarak görevlerini verimli bir şekilde gerçekleştirmelerini sağlamak en ideal çözümdür.Bazı araçlar veya yazılımlar başkalarıyla değiştirildiğinde, geçiş sırasında yeni seçeneklerin kullanılmasıyla ilgili talimatlar ve uygulama zaman çizelgesiyle ilgili güncellemeler de dahil olmak üzere çalışanlara destek sağlamak, süreci en doğru ve güvenilir şekilde yönetmek için büyük önem taşır.
Adım 4: İşletme kültürünü değiştirin
Siber güvenlik farkındalığını artırarak tüm kullanıcıların gölge BT’nin ne olduğunu ve içerdiği riskleri anladığından emin olmak ve çalışanlara gölge BT’den uzak durmaları için alternatifler oluşturmak da gölge BT ile mücadelede önemli bir adım olarak öne çıkıyor. Böylece gölge BT, zamanla çalışanlar için bir alternatif olmaktan çıkacak ve şirket faaliyetlerinin dışında kalacaktır.
Şirketler bu 4 adımı atarak, gölge BT ile mücadele edebilir ve onu kalıcı olarak ortadan kaldırabilir. İşletmeler için gölge BT’den kurtulmak, yalnızca maliyetleri azaltmanın yanında güvenliği ve uyumluluğu geliştirmenize değil, aynı zamanda işleyiş süreçlerini iyileştirerek, üretkenliği artırmanıza ve buna bağlı olarak markanızı daha rekabetçi hale getirmenize imkan sağlar.
Bu yazı Digital Report Dergisinin 16. sayısında yayınlanmıştır.
