Shadow IT คืออะไร

Shadow IT นั้นครอบคลุมถึงอุปกรณ์ทั้งหมด ไม่ว่าจะเป็นแอปพลิเคชัน, แพลตฟอร์ม หรือเทคโนโลยีต่างๆ ที่ถูกใช้นอกเหนือจากแผนกไอทีหรืออยู่นอกเหนือการดูแลจากผู้ให้บริการ ในหลายๆ ครั้งพนักงานหรือในแผนกต่างๆ มักพบเครื่องมือหรืออุปกรณ์ที่พวกเขาชอบ ซึ่งช่วยให้พวกเขาทำงานได้สะดวกมากขึ้น การใช้แอปพลิเคชันและเทคโนโลยีที่ไม่มีการจัดการสามารถสะท้อนความชอบของแต่ละบุคคลได้ นอกจากนี้ยังอาจเปิดเผยให้เห็นปัญหาเกี่ยวกับเครื่องมือที่พนักงานและแผนกเลือกใช้ได้อีกด้วย

ในแผนกหนึ่งอาจใช้หนึ่งในแพลตฟอร์มซอฟต์แวร์ As-a-service (SaaS) จาก Third-party ที่มีอยู่มากมาย ซึ่งโซลูชันและแอปพลิเคชัน SaaS ที่มีอยู่มากมายนี้ทำให้เราไม่สามารถรวบรวมหรือระบุถึงแอปพลิเคชันหรือโซลูชันเหล่านั้นทั้งหมดได้ และอีกหนึ่ง Shadow IT ก็คือการนำอุปกรณ์ส่วนตัวมาใช้ สำหรับบางองค์กรอาจจะสนับสนุนวิธีนี้หากพวกเขาอนุญาตให้ผู้ใช้งานสามารถนำอุปกรณ์ส่วนตัว เช่น สมาร์ทโฟนหรือแท็บเล็ตมาใช้กับงานกับเน็ตเวิร์กภายในได้ ในแต่กรณีนั้นจะพบว่าการใช้งานหรืออุปกรณ์ต่างๆ นั้นเกี่ยวข้องกับระบบธุรกิจและข้อมูลแต่การใช้งานเหล่านั้นอยู่นอกเหนือการควบคุมและการติดตามขององค์กร

ความเสี่ยงในด้านความปลอดภัยของข้อมูลนั้นไม่ใช่เพียงปัญหาเดียวที่ Shadow IT ได้สร้างขึ้น แต่ยังมีปัญหาที่สำคัญอื่นๆ อีก เช่น
•        ความปลอดภัยของข้อมูล Endpoint ที่ไม่ได้ถูกควบคุมและไม่ได้รับการตรวจสอบอย่างสมาร์ทโฟนและแอปพลิเคชันคลาวด์ต่างๆ จาก Third-party สามารถกลายเป็น Open Gateway ในระบบเน็ตเวิร์กอื่นได้ แม้ว่าเน็ตเวิร์กและแอปพลิเคชันของคุณจะปลอดภัย แต่การรับส่งข้อมูลระหว่างกันก็อาจไม่ปลอดภัย โดยเฉพาะพนักงานที่ทำงานทางไกล (Remote Workforce) เมื่อเป็นเรื่องเกี่ยวกับความปลอดภัยของข้อมูลแล้ว Shadow IT นั้นก็เป็นเหมือนฝันร้ายของความปลอดภัยทางด้านไซเบอร์
•        การปฏิบัติตามกฎระเบียบ ความปลอดภัยด้านข้อมูลและการปฏิบัติตามข้อกำหนดนั้นมีความเกี่ยวข้องกัน แนวทางปฏิบัติด้านไอทีอาจก่อให้เกิดภัยคุกคามได้แม้ว่าข้อมูลของคุณจะไม่ถูกบุกรุก ทั้งนี้ขึ้นอยู่กับข้อกำหนดในการปฏิบัติตามข้อกำหนดของคุณด้วย
ปัญหาทั้งสี่ข้อข้างต้นนี้แสดงให้เห็นปัญหาพื้นฐานและปัญหาสำคัญของ Shadow IT ที่มีต่อองค์กร ในช่วงไม่กี่ปีที่ผ่านมานี้ปัญหาต่างๆ และความยุ่งยากนั้นก็เพิ่มมากขึ้น

ข้อเสียของ Shadow IT คือความเสี่ยง ดังนั้นคุณอาจมองเห็นเฉพาะข้อเสียของมันและพยายามหาทางป้องกันความเสี่ยงนั้น แต่มันไม่เป็นเช่นนั้นเสมอไป Shadow IT ก็มีประโยชน์เช่นกัน ซึ่งประโยชน์เหล่านั้นประกอบไปด้วย
•        เพิ่มผลผลิต พนักงานจะทำงานเสร็จลุล่วงมากขึ้นเมื่อพวกเขาใช้เครื่องมือและแอปพลิเคชันที่พวกเขาชอบและคุ้นเคย
•        ช่วยสอดส่องหาเครื่องมือที่ดีกว่า การค้นหาเทคโนโลยีใหม่ ๆ นั้นอาจเคยเป็นความรับผิดชอบของผู้เชี่ยวชาญด้านเทคโนโลยีและผู้จัดการแผนก ทุกวันนี้พนักงานจำนวนมากพึงพอใจที่จะค้นหาเครื่องมือเพื่อทำให้งานของพวกเขาง่ายขึ้น
•        พนักงานมีอำนาจ เมื่อพนักงานมีส่วนร่วมในการเลือกเทคโนโลยี พวกเขาจะยอมรับและเห็นด้วยกับบริษัทและเป้าหมายของบริษัทมากขึ้น กล่าวคือพวกเขาจะมีความรับผิดชอบต่องานและความสำเร็จของบริษัทมากขึ้นตามไปด้วย
•        ลดค่าใช้จ่ายด้านเทคโนโลยีและสำนักงาน ในบางกรณี Shadow IT ก็ช่วยประหยัดเงินให้กับองค์กรได้ การนำอุปกรณ์ของคุณมาเอง (BYOD) ช่วยลดค่าใช้จ่ายในการจัดหาอุปกรณ์พกพาให้กับพนักงาน ในทางกลับกัน ยังช่วยลดค่าใช้จ่ายในสำนักงาน เช่น ค่าเช่า ค่าเช่าอุปกรณ์ ฮาร์ดแวร์ไอที ค่าสาธารณูปโภค ฯลฯ

ธุรกิจจะจัดการกับ Shadow IT อย่างไรนั้นขึ้นอยู่กับเป้าหมายของพวกเขาต่อบรรดาแอปพลิเคชันของ Third-party อุปกรณ์ส่วนบุคคล และ Remote worker สำหรับบางธุรกิจการจัดการฮาร์ดแวร์และการรักษาความปลอดภัยอาจเป็นปัญหา สำหรับผู้อื่น ผู้ใช้งานอาจเลือกใช้แอปพลิเคชันสำหรับ workflow ที่มีประสิทธิผลมากขึ้น ทั้งนี้การทำงานร่วมกันก็สามารถขับเคลื่อนความต้องการได้ เช่น หลายๆ บริษัทยังเลือกใช้งาน Zoom เพื่อให้มั่นใจว่าทีมของพวกเขาจะยังทำงานต่อไปได้ หรือจะใช้ Server Room อย่างเช่น CASB หรือ Cloud Assess Security Brokers ซึ่ง CASB เป็นระบบเชื่อมต่อระหว่างองค์กรไปยังคลาวด์ทำหน้าที่เหมือนโบรกเกอร์โดยมีอำนาจตรวจสอบลำดับชั้นการเข้าถึงข้อมูลของผู้ใช้ ตลอดจน เนื้อหาของข้อมูล เพื่อดูแลความปลอดภัยต่างๆที่ผู้ใช้จะแลกเปลี่ยนข้อมูลบนคลาวด์ เพื่อทำการสร้างนโยบายทางการปลอดภัยต่างๆ แทนที่เราจะให้ผู้ใช้เข้าไปยังคลาวด์โดยตรง สาเหตุที่ทำให้ CASB ได้รับความนิยม มาจากการที่บริษัทใหญ่ๆต่างมีการใช้ ไพรเวท คลาวด์ และพับลิก คลาวด์ และหลายองค์กรหันมาใช้ Cloud Computing ในรูปแบบของ IaaS หรือ Infrastructure as a service และ PaaS หรือ Platform as a service เช่น อเมซอน, ไมโครซอฟท์ อาซัวร์ หรือผู้ให้บริการอื่นๆ ซึ่งผู้ให้บริการเหล่านี้จะพัฒนาเอพีไอ เพื่อเชื่อมต่อกับ CASB ทำให้องค์กรสะดวกในการเชื่อมต่อกับผู้ให้บริการเหล่านี้มากขึ้น สำหรับเมืองไทย CASB นับว่าเป็นเรื่องใหม่ แต่อย่างไรก็ดีองค์กรใหญ่จำเป็นต้องศึกษาเรื่องนี้ เพราะเทคโนโลยีนี้กำลังจะมีบทบาทอย่างมากและใช้กันทั่วโลก ในที่สุดแล้ว CASB อาจจะเป็นเครื่องมือสำคัญที่ช่วยองค์กรในการปกป้องข้อมูลในอนาคตได้