Riskler nasıl yönetilir ve azaltılır
Şirketinizdeki Gölge BT oranı

Gölge BT - kurumsal portföyünüzde gizlenen onaylanmamış uygulamalar - işletmenizi gizli risklere maruz bırakıyor olabilir. Pahalı bir sürprize yol açmadan önce bunu şimdi tespit edin.

Çalışanların BT'nin onayı olmadan benimsediği yetkisiz yazılım ve bulut hizmetlerini içeren gölge BT'yi gözden kaçırmak kolaydır. Ancak bu araçlar ne kadar uzun süre fark edilmezse, o kadar tehlikeli hale gelirler.

Birçok çalışan, üretkenliği artıracağını veya ihtiyaçlarını daha iyi karşılayacağını düşünerek izin almadan bu uygulamalara kaydoluyor. Bu kısa vadede işe yarasa da, ciddi güvenlik risklerine kapı açar.

Bu onaylanmamış araçlar güvenlik açıklarına karşı izlenmez veya şirket güvenlik protokollerine göre kontrol edilmez. Sonuç olarak, veri ihlalleri ve siber saldırılar için birincil hedef haline gelirler.

Aslında, yakın tarihli bir Saldırı Hizmet Yönetimi raporuna göre kurumların yaklaşık 70%'si yetkisiz teknolojiyle bağlantılı güvenlik olayları yaşamıştır. Bu makalede, gölge BT'nin yaygın örneklerine, içerdiği risklere ve bunların nasıl etkili bir şekilde yönetileceğine bakacağız.

Gölge BT nedir?

Gölge BT, çalışanlar BT'nin izni olmadan onaylanmamış teknolojiyi (yazılım, cihaz veya hizmetler) kullandığında ortaya çıkar. Bu genellikle işleri kolaylaştırmak için kendi başlarına benimsedikleri SaaS araçlarını içerir.

Bu uygulamalar kısa vadede üretkenliği artırsa da ciddi dezavantajları da beraberinde getiriyor: güvenlik açıkları, uyumluluk riskleri ve BT gözetiminin eksikliğinden kaynaklanan gizli maliyetler.

İyi niyetli olsalar bile, dış araçlara yönelen çalışanlar, onaylanmış güvenlik önlemlerinin dışında çalışarak farkında olmadan şirketi veri ihlallerine ve uyumluluk hatalarına maruz bırakmaktadır.

Daha sonra, günümüz iş yerlerinde genellikle fark edilmeyen yaygın gölge BT örneklerine bakacağız.

Yaygın Gölge BT türleri

Gölge BT tipik olarak üç ana kategoriye ayrılır: yetkisiz yazılım, onaylanmamış bulut hizmetleri ve kurumsal ağlara bağlanan kişisel cihazlar. Bunlar, BT departmanlarının genellikle görünürlüğü kaybettiği, veri ihlalleri ve uyumluluk ihlalleri riskini artıran alanlardır.

Bu yaygın biçimlere ek olarak, çalışanlar işbirliği yapmak ve dosya paylaşmak için hızlı ve uygun yollar aradıkça kişisel bulut depolama ve mesajlaşma platformları da giderek yaygınlaşıyor. 

Yükselişiyle birlikte uzaktan çalışmaPersonelin bu araçları kullanması daha da kolaydır ve hassas verilerin BT'nin kontrolü dışındaki güvenli olmayan yerlere gitme olasılığını artırır.

Çalışanlar iş akışlarında daha fazla esneklik için bu onaylanmamış uygulamalara yöneldiğinden, güçlü BT yönetişimine sahip olmayan kuruluşlar özellikle savunmasızdır. Bu gölge BT tehditlerini tanımlamak ve yönetmek, risklerini azaltmaya yönelik ilk adımdır.

Görmezden gelemeyeceğiniz gölge BT riskleri

Bulut tabanlı uygulamalardaki artışla birlikte, onaylanmamış yazılımlar her büyüklükteki kuruluş için giderek artan bir endişe kaynağı haline geliyor. Aslında, Gartner'ın bildirdiğine göre küresel SaaS harcamaları $195 milyarı aştı 2023'te bir önceki yıla göre 16,7%'lik bir artış.

Bulut hizmetlerine olan bu artan bağımlılık, yetkisiz ve yönetilmeyen uygulamaların yarattığı risklerin ele alınmasının acil bir ihtiyaç olduğunu vurgulamaktadır. Daha fazla çalışan günlük görevler için bu araçlara yöneldikçe, güvenlik açıkları ve finansal verimsizlik olasılığı da artıyor.

Gölge BT ile bağlantılı olan ve her kuruluşun farkında olması gereken beş büyük risk belirledik. Bu riskler veri güvenliğini, uyumluluğu ve bütçe yönetimini ciddi şekilde etkileyebilir.

Risk #1: Veri ihlalleri için artan potansiyel

Gölge BT'nin en ciddi risklerinden biri veri ihlali olasılığının artmasıdır. Çalışanlar onaylanmamış uygulamaları kullandıklarında, genellikle BT tarafından belirlenen güvenlik önlemlerini atlatırlar.

2023 yılında bir veri ihlalinin ortalama maliyeti $9,44 milyona ulaştıIBM'e göre, pek çok olay uygun güvenlikten yoksun, onaylanmamış, yetkisiz yazılımlardan kaynaklanıyor.

Bu onaylanmamış uygulamalar, kişisel olarak tanımlanabilir bilgiler (PII) veya fikri mülkiyet gibi hassas iş verilerini bilgisayar korsanlarına ifşa edebilir. Tek oturum açma (SSO) veya çok faktörlü kimlik doğrulama (MFA) gibi güvenlik önlemleri olmadan bu araçlar siber saldırılar için kolay hedefler haline gelir.

Risk #2: Veri ve gizlilik düzenlemelerine uyumda azalma 

GDPR, HIPAA veya Kaliforniya Tüketici Gizliliği Yasası (CCPA) gibi katı veri gizliliği yasalarıyla yönetilen sektörler için onaylanmamış yazılım kullanmak büyük bir uyum riski oluşturabilir. Çalışanlar hassas bilgileri bilmeden yetkisiz bulut hizmetlerinde depolayabilir, düzenlemeleri ihlal edebilir ve şirketi milyonlara ulaşabilecek para cezalarına maruz bırakabilir.

Gartner'a göre, onaylanmamış SaaS uygulamalarına bağlı uyumluluk ihlalleri, işletmelerin BT gözetimi olmadan bulut tabanlı araçları giderek daha fazla benimsemesiyle daha yaygın hale gelecektir. 

GDPR gibi düzenlemeler, kişisel verilerin nasıl toplandığı, saklandığı ve işlendiği konusunda tam görünürlük ve kontrol gerektirir. Yetkisiz uygulamalar bu kontrolü tehlikeye atarak şirketlerin uyumluluğu sürdürmesini ve yüksek maliyetli cezalardan kaçınmasını zorlaştırır

Risk #3: Kontrolsüz ve izlenmeyen maliyetler

IDC tahminlerine göre Tüm SaaS satın alımlarının 70%'si BT bütçelerinin dışında yapılıyor. Bu değişim, daha fazla departman ve çalışanın yazılımı kendi başlarına tedarik ettiği ve harcadığı anlamına geliyor ve yetkisiz teknolojide bir artışa neden oluyor.

Sonuç mu? Kuruluşlar genellikle radarın altında kalan gereksiz hizmetler veya abonelikler için ödeme yapar. 50'den fazla çalışanı olan şirketlerde, farklı departmanların farkında olmadan aynı yazılıma abone olması yaygındır ve bu da gereksiz mükerrer maliyetlere neden olur. 

Merkezi bir sistem olmadan satıcı yönetimi (B2B SaaS)abonelikleri, yenileme tarihlerini ve gerçek kullanımı takip etmek zorlaşır ve bu da kaynakların boşa harcanmasına ve yazılım bütçelerinin şişmesine neden olur.

Risk #4: Mükerrer harcamalar nedeniyle artan maliyetler

Mükerrer harcamalar, yetkisiz yazılım kullanımının yaygın bir yan etkisidir. Farklı departmanlar veya çalışanlar aynı araçları bağımsız olarak satın aldığında, şirket toplu indirimlerden ve kurumsal düzeyde sözleşmeler için pazarlık yapma şansından mahrum kalır.

Bu çakışma genellikle iletişim platformları, proje yönetim yazılımları veya bulut depolama gibi araçlarda gerçekleşir; çalışanlar kurumun onayladığı yığına bağlı kalmak yerine kendi tercih ettikleri çözümleri seçerler.

Verimsiz yazılım harcamalarının ötesinde, bu durum farklı araçlar kullanan ekipler arasında sürtüşmeye neden olarak işbirliğini zorlaştırabilir ve daha az verimli hale getirebilir.

Risk #5: Planlanmamış otomatik yenilemeler 

Birçok SaaS sözleşmesinde otomatik yenileme maddeleri bulunur. Uygun gözetim olmadan, onaylanmamış uygulamalar otomatik olarak yenilenebilir ve beklenmedik maliyetlere neden olabilir.

Ortalama olarak, bir şirket her ay birden fazla yenileme ile karşı karşıya kalır ve yetkisiz araçlar da işin içine girdiğinde, harcamalar hızla kontrolden çıkabilir. BT bu yenilemelerden haberdar değilse, araçların hala gerekli olup olmadığını veya işle ilgili olup olmadığını değerlendirmek imkansızdır.

BT liderleri yetkisiz teknolojinin risklerini kavradıktan sonra bu sorunla mücadele etmeye başlayabilirler. 

Tehlikeli Gölge BT Örnekleri

Gölge BT, onaylanmamış yazılımlardan iş görevleri için kullanılan kişisel cihazlara kadar birçok şekilde olabilir. Bazı durumlar zararsız gibi görünse de, diğerleri kurumu büyük güvenlik risklerine, veri ihlallerine ve finansal sonuçlara maruz bırakabilir.

İşte yetkisiz teknolojinin tehlikelerini ve bir kuruluşun güvenlik ve uyum çabalarını nasıl baltalayabileceğini gösteren gerçek dünya örnekleri.

Yaygın Olarak Savunmasız Gölge BT Uygulamaları

En savunmasız ve yaygın olarak kullanılan yetkisiz uygulamalardan bazıları şunlardır:

• Üretkenlik Uygulamaları: Slack, Asana ve Trello gibi araçlar, BT gözetimi olmadan kullanıldığında hassas iletişimleri güvenlik tehditlerine maruz bırakabilir.
• Bulut Depolama: Google Drive, Dropbox ve OneDrive gibi onaylanmamış hizmetler güvenlik önlemlerini atlayarak potansiyel veri sızıntısına yol açabilir.
• İletişim Araçları: WhatsApp ve kişisel e-posta hesapları gibi platformlar genellikle kurumsal güvenlik protokollerini karşılayamamakta ve önemli boşluklar yaratmaktadır.
• Proje Yönetim Araçları: Monday.com ve Jira gibi uygulamalar hassas proje verilerini depolayabilir ve bu veriler onaylanmış teknoloji yığınının dışında yeterince güvenli olmayabilir.
• Kişisel Cihazlar: Şirket onayı olmadan erişilen dizüstü bilgisayarlar, akıllı telefonlar ve tabletler, kurumsal güvenlik politikalarına göre yönetilmezse ciddi riskler oluşturur.

Bu uygulamalar verimliliği artırabilirken, yönetilmeyen kullanımları aşağıdaki gerçek dünya örneklerinde vurgulandığı gibi şirket operasyonları için önemli tehditler oluşturmaktadır.

Gölge BT Risklerine Gerçek Dünyadan Örnekler

Truecaller Veri İhlali

• Kurbanlar: 47,5 milyon kullanıcı
• Sorun: Uygulamadaki bir güvenlik açığı, siber suçluların kullanıcı profillerini değiştirmesine ve kullanıcının izni olmadan kötü amaçlı yazılım komut dosyalarını çalıştıran kötü amaçlı bağlantılar eklemesine izin verdi.
• Sonuç: İsimler, e-posta adresleri ve telefon numaraları dahil olmak üzere kişisel olarak tanımlanabilir bilgiler (PII) dark web'de satılarak kullanıcıları potansiyel kimlik avı saldırılarına ve kimlik hırsızlığına maruz bırakmıştır.

Bu vaka, hassas müşteri bilgilerini işleyen onaylanmamış uygulamaların tehlikelerinin altını çizmektedir. BT incelemesi olmadan, Truecaller gibi uygulamalar ciddi veri ihlallerine yol açan güvenlik açıkları ortaya çıkarabilir.

Docker'ın Kimlik Bilgileri İhlali

• Kurbanlar: 190.000 geliştirici
• Sorun: Bir veri ihlali, bilgisayar korsanlarının kullanıcı kimlik bilgilerini çalmasına ve potansiyel olarak siber suçluların platform üzerinde yerleşik uygulamaları değiştirmesine veya tehlikeye atmasına olanak sağladı.
• Sonuç: İhlal, geliştiricilerin verilerini tehlikeye atıyor ve oluşturdukları uygulamaları riske atıyor, bu da son kullanıcılar üzerinde basamaklı etkilere neden olabilir.

Bu ihlal, güvenliğin en önemli öncelik olması gereken geliştirme ortamlarında bile yetkisiz uygulamaların nasıl var olabileceğinin altını çiziyor. BT izleme olmadan Docker gibi geliştirme araçları büyük ölçekli güvenlik açıklarına yol açabilir.

Yahoo'nun Tarihi Veri İhlali

• Kurbanlar: 3 milyar kullanıcı
• Sorun: 2012-2016 yılları arasında yaşanan bir dizi veri ihlali, kimlik avı saldırıları ve zayıf güvenlik uygulamaları nedeniyle kişisel verileri açığa çıkarmıştır.
• Sonuç: Yahoo'nun $117.5 milyona razı olmak zorunda kalması ve lider web hizmetleri sağlayıcısı konumunu kaybetmesi, güvenlik açıklarının uzun vadeli mali ve itibar kaybına nasıl katkıda bulunabileceğini gösterdi.

Bu vakada, zayıf güvenlik protokolleri siber suçluların gölge BT açıklarından faydalanmasına izin vererek tarihteki en büyük veri ihlallerinden birine yol açmıştır.

Gölge BT'nin en tehlikeli beş türü

Bu gerçek dünya örneklerinin ötesinde, onaylanmamış yazılımlar birkaç temel alanda risk oluşturmaktadır:

• Güvenlik Açığı Yönetimi. Onaylanmamış uygulamalar genellikle uygun güvenlik açığı taraması ve yama yönetiminden yoksundur. BT gözetimi olmadan bu uygulamalar kritik güvenlik güncellemelerini kaçırabilir ve bu da onları siber suçlular için birincil hedef haline getirebilir.
• Kimlik ve Erişim Yönetimi (IAM). Yetkisiz yazılımlar, eski çalışanlardan kalan yetim hesaplar da dahil olmak üzere yönetilmeyen kullanıcı hesaplarına yol açabilir. Bu sahte hesaplar yetkisiz erişim için fırsatlar yaratarak içeriden tehdit ve dış ihlal riskini artırır.
• Ayrıcalıklı Erişim Yönetimi (PAM). Uyumlu olmayan uygulamalar, BT'nin bilgisi olmadan çalışanlara ayrıcalıklı erişim sağlayabilir. Bu durum, ihtiyacı olmayan kullanıcılar için aşırı izinlere neden olarak güvenlik ihlalleri olasılığını artırabilir.
• Veri Kaybı ve Uyum İhlalleri. Onaylanmamış birçok uygulama kurumsal güvenlik politikalarını veya GDPR ve HIPAA gibi düzenleyici standartları karşılayamamaktadır. Bu durum hassas verilerin yanlış kullanılmasına yol açarak para cezalarına, veri kaybına ve itibarın zedelenmesine neden olabilir.
• Otomatik Yenileme Riskleri. Birçok yetkisiz uygulama, fark edilmeyebilen ve gereksiz maliyetlere yol açan otomatik yenileme özellikleriyle birlikte gelir. BT gözetimi olmadan, işletmeler artık kullanılmayan hizmetler için ödeme yapmaya devam edebilir ve değerli finansal kaynakları tüketebilir.

Gölge BT nasıl tespit edilir ve önlenir

Uyumlu olmayan teknolojiyi tespit etmek ve yönetmek, şirketinizin verilerini güvenli ve uyumlu tutmak için çok önemlidir. Onaylanmamış araçlar günlük operasyonlara kolayca sızarak güvenlik açıklarına ve mali israfa yol açabilir. Kuruluşunuzdaki yetkisiz yazılımları nasıl tespit edeceğiniz ve önleyeceğiniz aşağıda açıklanmıştır.

Düzenli Yazılım Denetimleri. Şirket genelinde kullanılan tüm yazılımları denetleyerek işe başlayın. Bu süreç, çalışanların BT'nin onayı olmadan indirmiş olabileceği onaylanmamış uygulamaların tespit edilmesine yardımcı olur. Düzenli incelemeler araç listesini güncel tutarak BT ekiplerinin kullanımdaki tüm uygulamaları takip etmesini sağlar.

Çalışanları Eğitin ve Dahil Edin. Çalışanlar, şirket onaylı araçların ihtiyaçlarını karşılamadığını düşündüklerinde genellikle yetkisiz uygulamalara yönelirler. Personeli onaylanmamış yazılımların riskleri konusunda eğitmek çok önemlidir. Veri ihlallerinin ve uyumluluk ihlallerinin sonuçlarını anladıklarından emin olun ve yeni araçları benimsemeden önce BT'ye danışmalarını teşvik edin. Açık iletişim, onaylanmamış çözümler arama dürtüsünü önemli ölçüde azaltabilir.

SaaS Yönetim Araçlarını Kullanın. B2B SaaS yönetim yazılımı şirket tarafından kullanılan tüm uygulamalara gerçek zamanlı görünürlük sağlar. Chrome için Spendbase gibi araçlar, çalışanlar kurumsal hesaplarıyla oturum açtıklarında uygulama kullanımını izler ve yetkisiz yazılımları anında işaretler. Bu, BT ekiplerinin sahte teknolojiyi ortaya çıktıkça yönetmesine ve riskleri artmadan önce önlemesine olanak tanır. 

Spendbase Ayrıca uygulamanın benimsenmesine ilişkin içgörüler sunarak gerçek kullanım verilerine göre abonelikleri yenilemeye veya iptal etmeye karar vermenize yardımcı olur.

Düzenli denetimler yaparak, çalışanlarla açık iletişimi teşvik ederek ve Chrome için Spendbase gibi araçlardan yararlanarak gölge BT'yi etkili bir şekilde tespit edip önleyebilir, şirketinizin güvenli ve uyumlu kalmasını sağlayabilirsiniz.