İş dünyası rekabetçidir ve bazen başarıya ulaşmak için risk gerektirir; ancak yeni araştırmalar, bazı çalışanların düşündüklerinden daha fazla risk alabileceğini ortaya çıkardı.
Gölge BT veya çalışanların BT departmanının izni olmadan kullandığı yazılım ve hizmetler, iş ve müşteri verilerini tehdit edebilir ve hatta siber saldırı riskini artırabilir.
Çalışanların zamandan tasarruf etme ve üretkenliği artırıcı hizmetlere ihtiyaç duyduğu bir sır değil; ancak eğer işletme bu hizmetleri sunmuyorsa, çalışanlar kendileri bir hizmet bulacaktır.
Shadow IT’ye karşı mücadele
Yapay zeka, iyi ya da kötü, birçok işçinin günlük yaşamının bir parçası haline geldi. Öfkeli bir e-postayı daha kurumsal dostu bir e-postaya dönüştürmeye veya zaman yönetimini ve üretkenliği artırmak için görevleri düzenlemeye yardımcı olabilir.
Ama bunların olup olmadığı Yapay zeka araçları Bir hizmetin işletme tarafından onaylanıp onaylanmadığı pek çok kişinin aklını kurcalayan bir soru değildir; özellikle de bir hizmet işi kolaylaştırabiliyorsa, çoğu zaman temel düşünce zamandan tasarruf etmektir. Politika ve yönetişim çoğu zaman düşünce sürecinin bir parçası değildir.
Aslında, 1Password’un 2025 Yıllık Raporu Çalışanların yarısından fazlasının (%52) bir noktada BT’nin onayı olmadan uygulamaları indirdiği ve çalışanların neredeyse dörtte üçünün (%73) yapay zeka araçlarını kullanmaya teşvik edildiği, %33 kadarının ise işletmenin yapay zeka politikasına uymadığı ortaya çıktı.
Birçok yapay zeka aracı ve yazılımı, eğitim materyali olarak kullanılmak üzere kullanıcı verilerini ve girdilerini alacaktır. şirket ve müşteri verileri için özellikle tehlikeli. Örneğin, bir yapay zeka aracına isimler, adresler, e-postalar ve diğer verilerden oluşan bir tablo verilirse, araç bunu dikkatlice hazırlanmış bir istem olarak geri gönderebilir.
Ancak Shadow IT’nin sunduğu tek tehlike bu değil. Günümüzün güvenlik yazılımı, çalışanların iş günlerinde kullandıkları araçların çokluğuyla başa çıkmakta zorlanıyor ve bazı durumlarda, özellikle de çalışanın yetkisiz bir uygulama kullanması durumunda koruma sağlayamıyor.
1Password Küresel Danışmanlık CISO’su Dave Lewis, “İnsanlar her zaman sürtüşmeden kaçınacak ve destek net olmadığında kendi çözümlerini yaratacaklar. Bugün bu, SaaS ve AI uygulamalarının karmaşıklığında kendini gösteriyor” dedi.
“Sorun, işletmelerin kurumsal ortamlarında kullandıkları SaaS ve AI araçları değil; bizim varsayımlarımız. Kuruluşlar, dünün kimlik araçlarından bulut tabanlı, AI ile hızlandırılmış bir işyerini yönetmelerini istiyor. Bu kopukluk, Erişim-Güven Açığı’na neden oldu. Kuruluşlar esneklik ve hız istiyorsa, endüstri, erişimi sürekli, bağlama duyarlı ve büyük ölçüde görünmez olarak ele almalı, çalışanların işe devam etmesine izin verirken her uygulamayı, her aracı ve her kimliği korumalıdır.”
CISO bilmecesi
Gölge BT sorunu sadece bir iş sorunu olmanın ötesinde, bazı durumlarda geçim sorunudur.
Çalışmalar göstermiştir Siber güvenlik uzmanları giderek daha fazla strese giriyor İşletmelerin artık dışarıdan karşı karşıya olduğu tehditlerin genişliği göz önüne alındığında, içeriden gelen bir tehditle de yüzleşmek işe yaramıyor.
Bu, özellikle bir yandan kötü güçlere karşı sonsuz savaşlarını sürdürürken, bir yandan da şirket kullanımına yönelik yeni araçlar dalgasını onaylama zorluğuyla karşı karşıya olan CISO’lar için geçerlidir.
Katıldığı basın toplantısında TechRadar ProOracle Red Bull Racing’in CSO’su Mark Hazleton şunu belirtti: “Orada olanların ve çalışanlarımızın dışarı çıkıp aradıklarının basit bir kapsamı – yüzde doksan dokuzunda, bu tamamen ticari amaçlar ve mutlak sağduyu içindir. Ancak bu sitelerin sizin istediğiniz kadar güvenli olup olmadığı vs. Bu zorlu bir mücadele.”
Çoğu durumda, bir çalışan üretkenliğini önemli ölçüde artıracak bir araç bulabilir, ancak aracın haftalar sürebilecek bir süreçte denetlenmesi, test edilmesi ve onaylanması gerekir. Dolayısıyla faydalardan hemen yararlanmak için riskleri dikkate almadan aracı kullanabilirler.
Brex’in CISO’su Mark Hillick, Hazleton’un düşüncelerini yineleyerek şunları ekledi: “Bu çok incelikli bir durum. İşi mümkün kılmaya çalışıyorsunuz ama aynı zamanda aşırı risk de almıyorsunuz. Red Bull’a benzer şekilde, güvenlik konusunda son derece bilinçli çalışanlarımız var. Yani onlar yenilik yapmak isterken ve hareket etmek isterken, biz de buna ayak uyduramama sorunu yaşıyoruz.”
Öğrenilecek bir ders
Güvenlik araçları genellikle Shadow IT’de görünürlüğe sahip değildir, özellikle de bir çalışan kişisel cihazındaki bir uygulamaya şirket bilgilerini giriyorsa. Aslında 1Password’ün raporu, çalışanların %43’ünün kişisel cihazlarda AI uygulamalarını kullandığını ve %25’inin işyerinde onaylanmamış AI uygulamalarını kullandığını ortaya çıkardı.
Ayrıca çalışanların %22’si şirket verilerini bir yapay zeka aracıyla, %24’ü müşteri çağrı ayrıntılarını ve %19’u çalışan verilerini paylaştı.
Çalışanlar tarafından en çok kullanılan Tek Oturum Açma (SSO) gibi güvenlik araçları söz konusu olduğunda, güvenlik ve BT profesyonellerinin %74’ü bunun çalışanları ve işletmeyi korumak için yeterli olmadığını, uygulamaların %30’unun ise SSO balonunun dışında kaldığını söylüyor. Çalışanlar aynı zamanda önceki işyerleri tarafından sağlanan araçlara veya verilere de yöneliyor ve %34’ü uygulamayı kabul ediyor.
Peki ne yapılabilir?
Çoğu zaman olduğu gibi bu sorunun çözümü eğitime bağlıdır. Çalışanların hangi araçları kullanabilecekleri, bunlara hangi verileri girebilecekleri ve bir araç veya uygulamanın işyerinde kullanım için nasıl onaylanacağı konusunda net bilgiye sahip olmaları gerekir. Ancak güvenlik ekiplerinin bilgilerinde de eksiklikler var.
Headway’in CISO’su Susan Chiang, medya brifinginde bu nokta hakkında şunları söyledi: “Genel olarak, kusurlu da olsa güvenmeye alıştığımız ve bu yeni yazılım benimseme çağına giderek daha uygun olmayan birçok geleneksel araç ve görünürlük noktası olduğunu düşünüyorum.”
Yapay zeka araçları, görünürlüğü ve tehdit tespitini geliştirmek için BT ve güvenlik uzmanları tarafından giderek daha fazla kullanılıyor ve C-Suite’in, özellikle CISO’lar olmak üzere, yapay zekanın hem tehditleri hem de faydalarından haberdar olması gerekiyor.
Hillick, “Siz bir iş liderisiniz, bu yüzden bu şekilde düşünmeli ve ekibinizi merak ve öğrenmeye dayalı bir yaklaşım benimsemeye gerçekten teşvik etmelisiniz” diye açıkladı. “Sonuçta bunu gelecek nesil CISO’lara biraz daha ileri götürerek yapay zekaya özgü bir ortamı miras alacaklarını düşünüyorum, bu nedenle yapay zekanın nasıl bir sorun değil çözüm olabileceğine odaklanmaları gerekiyor.”