Black Hat Asia 2021

4 ขั้นตอนการแก้ไขปัญหา Shadow IT

เชื่อแน่ว่าหลายองค์กรอาจประสบปัญหาที่ยังไม่ทราบแน่ชัดเลยว่าองค์กรของเรามีการใช้งานระบบไอที บริการ หรือแพลตฟอร์มอะไรบ้าง ซึ่งเมื่อยังไม่รู้วามีย่อมยังไม่สามารถป้องกันได้ วันนี้เราขอสรุปแนวทางการจัดการปัญหา Shadow IT จาก IBM X-force มาให้ได้ติดตามกันครับ

Shadow IT เป็นระบบซอฟต์แวร์ แอปพลิเคชัน หรือบริการที่ในองค์กรมีการใช้อยู่ แต่ฝ่ายไอทีเองไม่รู้ถึงการมีอยู่หรือไม่เข้าใจการทำงานอย่างถ่องแท้ ทำให้สิ่งต่างๆ เหล่านั้นเข้าถึงข้อมูลขององค์กรได้มากเกินความจำเป็น หรือเกิดความเสี่ยงที่มองไม่เห็น โดยเฉพาะช่วงโควิท19 ได้ทำให้วิธีการแชร์ไฟล์หรือการทำงานเปลี่ยนไป หรือแม้แต่บริการคลาวด์เองก็อาจเป็นส่วนที่ถือเป็น Shadow IT เช่น File Sharing App, Collaboration Tool ไปจนถึง Smartphone และ Tablet อาจเป็นผู้ร้ายได้ทั้งนั้น

ด้วยเหตุนี้เองจึงเป็นประเด็นปัญหาที่สำคัญและต้องได้รับการแก้ไข ซึ่งทางทีมผู้เชี่ยวชาญจาก IBM X-force ได้แนะวิธีการจัดการปัญหาไว้ 4 ข้อดังนี้

1.) ทำความเข้าใจก่อนว่าทำไม Shadow IT เหล่านั้นถึงมีอยู่

การเปิดใจตระหนักถึงปัญหานี้คือโอกาสอันดีขององค์กรที่จะเข้าใจเหตุผลว่า ทำไมจึงเกิดโซลูชันนอกรีตที่เราไม่ได้อนุมัติ ดังนั้นต้องเปิดใจรับฟังเหตุผลของผู้ใช้งานก่อนว่าพนักงานเหล่านั้นต้องการอะไร โซลูชันเหล่านั้นช่วยพวกเขาได้อย่างไร อาจเปิดให้มีการแสดงความคิดเห็นก็ได้ จะได้พิจารณารายการอนุญาตใหม่อีกที แต่ทั้งนี้หากการเจรจาคงเป็นไปได้ยาก ทีมไอทีก็สามารถใช้เครื่องมืออัตโนมัติหรือบริการคลาวด์เข้ามาค้นหาเอง

2.) ให้ความรู้แก่พนักงาน

ขึ้นชื่อว่า User ก็อาจจะไม่เคยรู้ระเบียบขององค์กรมาก่อก็ได้ว่าโปรแกรมอะไรเถื่อนหรืออันไหนไม่อนุญาต ซึ่งพวกเขาแค่อาจจะเจตนาดีอยากใช้เครื่องมือที่เพิ่มประสิทธิภาพการทำงาน ดังนั้นไอทีเองต้องจัดการเทรนเกี่ยวกับลิสต์รายการโซลูชันที่อนุมัติหรือห้ามใช้งาน พร้อมกับวิธีการหลีกเลี่ยงภัยคุกคามอื่นๆ หรือต้องทราบได้ว่าถ้าเกิดปัญหาต้องติดต่อใคร รวมถึงต้องติดตามด้วยว่าถ้าเกิดเหตุฉาวกับเครื่องมือนี้ที่องค์กรอื่นก็ต้องเลิกใช้เสีย

3.) จัดทำรีวิวและอนุมัติโซลูชัน

หากท่านทราบทั้งหมดแล้วว่าองค์กรของท่านมีโซลูชันไหนแอปแฝง และใช้งานอยู่เท่าไหร่ ขั้นตอนต่อมาคือการรีวิวดูว่าอันไหนเหมาะสมนำมาใช้ได้ อันไหนไม่ได้จริงๆ ก็ต้องหาทางเลือกไว้ด้วย ท้ายที่สุดควรมองดูโซลูชันที่มีอยู่แล้วที่สามารถครอบคลุมการทำงานโดยรวมได้ทั้งหมด และก่อนการใช้งานจริง IT ต้องทำ Best Practice หรือ Policy ในการใช้งานเครื่องมือภายนอกว่าต้องปฏิบัติอย่างไร

4.) เลือกทางที่ละมุนละม่อมสำหรับทุกฝ่าย

อยู่ดีๆ การเข้าไปหา Shadow IT เลยนั้นไม่ง่าย ดังนั้นอันดับแรกเราอาจจะประเมินโซลูชันที่ได้รับการอนุญาตก่อน เพื่อจะได้เข้าใจถึงโอกาส Data Loss และวางแผนเปลี่ยนแปลงทดแทน เพื่อจะได้ไม่ต้องมารีวิวซ้ำให้เสียเวลา หลังจากนั้นต้องเข้าไปให้ความรู้พนักงานและให้ทางเลือกแก่พวกเขาด้วยว่า หากไม่ให้ใช้ช่องทางเดิมจะมีท่าไหนไปได้บ้างแต่ยังสามารถตอบโจทย์การทำงานได้อยู่

ที่มา :  https://securityintelligence.com/articles/how-to-fix-shadow-it/

About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Gartner ออก Magic Quadrant ด้าน Endpoint Protection Platforms ประจำปี 2021

Gartner, Inc. บริษัทวิจัยและที่ปรึกษาชื่อดังจากสหรัฐฯ ออกรายงาน Magic Quarrant ทางด้าน Endpoint Protection Platforms ฉบับล่าสุดปี 2021 ผลปรากฏว่ามี Vendor ถึง …

[Guest Post] ISS Consulting ขอเชิญเข้าร่วมฟัง Webinar ในหัวข้อ “บริหารธุรกิจซื้อมาขายไปให้มีประสิทธิภาพด้วย SAP Business One on HANA” ศุกร์ 14 พ.ค.2564

ISS Consulting (Thailand) Limited. ขอเรียนเชิญผู้บริหาร, ผู้จัดการ IT และผู้ที่สนใจทุกท่าน เข้าร่วมฟัง Webinar ในหัวข้อ “ บริหารธุรกิจซื้อมาขายไปให้มีประสิทธิภาพด้วย SAP Business …