
Ánh sáng soi rọi ‘Shadow IT’: Hiểu rõ và kiểm soát
Vào ngày 13 tháng 3 năm 2025, Trung tâm An ninh Mạng Quốc gia Vương quốc Anh (NCSC) đã công bố một bài viết tập trung vào một chủ đề quan trọng trong an ninh mạng: Shadow IT. Bài viết này, có tên “Spotlight on Shadow IT”, nhằm mục đích nâng cao nhận thức về những rủi ro và lợi ích tiềm ẩn, đồng thời cung cấp hướng dẫn về cách quản lý hiệu quả hiện tượng này.
Vậy, Shadow IT là gì?
Hiểu một cách đơn giản, Shadow IT là việc sử dụng phần mềm, phần cứng và dịch vụ công nghệ thông tin mà không được sự chấp thuận hoặc kiến thức của bộ phận CNTT trong một tổ chức. Nó bao gồm mọi thứ, từ việc sử dụng các ứng dụng cộng tác trực tuyến miễn phí như Trello hoặc Asana để quản lý dự án, cho đến việc lưu trữ dữ liệu nhạy cảm trên các dịch vụ đám mây cá nhân như Google Drive hoặc Dropbox.
Tại sao Shadow IT lại xuất hiện?
Có nhiều lý do giải thích cho sự phổ biến của Shadow IT, bao gồm:
- Đáp ứng nhu cầu nhanh chóng: Các bộ phận CNTT truyền thống có thể chậm chạp trong việc cung cấp các giải pháp đáp ứng nhu cầu cụ thể của từng bộ phận hoặc cá nhân. Shadow IT cho phép người dùng tìm và triển khai các công cụ phù hợp một cách nhanh chóng và dễ dàng.
- Dễ dàng tiếp cận công nghệ: Ngày nay, có rất nhiều ứng dụng và dịch vụ dựa trên đám mây, dễ sử dụng và thường miễn phí, khiến người dùng có thể tự giải quyết các vấn đề công nghệ của mình mà không cần sự hỗ trợ từ bộ phận CNTT.
- Không hài lòng với các giải pháp hiện có: Người dùng có thể không hài lòng với các công cụ CNTT hiện tại của công ty vì chúng quá phức tạp, lỗi thời hoặc không đáp ứng đầy đủ nhu cầu của họ.
- Nhu cầu linh hoạt: Trong bối cảnh làm việc từ xa ngày càng phổ biến, người dùng có thể cần sử dụng các công cụ và dịch vụ bên ngoài để cộng tác và hoàn thành công việc.
Những rủi ro tiềm ẩn của Shadow IT?
Mặc dù Shadow IT có thể mang lại một số lợi ích, nhưng nó cũng tiềm ẩn những rủi ro đáng kể, đặc biệt là về mặt an ninh mạng:
- Rủi ro an ninh: Các ứng dụng và dịch vụ Shadow IT thường không được đánh giá bảo mật đầy đủ và có thể chứa các lỗ hổng bảo mật, tạo cơ hội cho tin tặc xâm nhập vào hệ thống của công ty.
- Mất dữ liệu: Dữ liệu được lưu trữ trên các dịch vụ đám mây không được quản lý có thể bị mất, bị đánh cắp hoặc bị truy cập trái phép.
- Tuân thủ kém: Việc sử dụng Shadow IT có thể vi phạm các quy định về bảo vệ dữ liệu, chẳng hạn như GDPR hoặc HIPAA.
- Khó khăn trong quản lý: Do không được kiểm soát, Shadow IT gây khó khăn cho việc quản lý và bảo trì hệ thống CNTT của công ty, dẫn đến sự phân mảnh và thiếu đồng nhất.
- Chi phí ẩn: Mặc dù một số ứng dụng Shadow IT có thể miễn phí, nhưng việc sử dụng chúng có thể dẫn đến chi phí ẩn, chẳng hạn như chi phí hỗ trợ kỹ thuật và chi phí khắc phục các sự cố an ninh.
Làm thế nào để quản lý Shadow IT một cách hiệu quả?
NCSC khuyến nghị các tổ chức nên áp dụng một cách tiếp cận chủ động và cân bằng để quản lý Shadow IT, kết hợp giữa việc phát hiện, đánh giá và kiểm soát:
- Phát hiện:
- Thực hiện kiểm kê CNTT: Xác định tất cả các ứng dụng và dịch vụ CNTT đang được sử dụng trong tổ chức, bao gồm cả những ứng dụng không được sự chấp thuận chính thức.
- Sử dụng các công cụ giám sát mạng: Theo dõi lưu lượng mạng để phát hiện các ứng dụng và dịch vụ không được ủy quyền.
- Khuyến khích báo cáo: Tạo một môi trường an toàn, nơi người dùng cảm thấy thoải mái khi báo cáo về việc sử dụng Shadow IT.
- Đánh giá:
- Đánh giá rủi ro: Đánh giá rủi ro bảo mật, tuân thủ và vận hành liên quan đến từng ứng dụng và dịch vụ Shadow IT.
- Xác định nhu cầu kinh doanh: Hiểu lý do tại sao người dùng sử dụng Shadow IT và xác định các giải pháp thay thế được phê duyệt có thể đáp ứng nhu cầu của họ.
- Kiểm soát:
- Xây dựng chính sách CNTT rõ ràng: Thiết lập các chính sách rõ ràng về việc sử dụng các ứng dụng và dịch vụ CNTT, bao gồm cả những ứng dụng bị cấm và những ứng dụng được phép sử dụng với điều kiện cụ thể.
- Cung cấp các giải pháp thay thế được phê duyệt: Cung cấp cho người dùng các giải pháp thay thế được phê duyệt, an toàn và dễ sử dụng.
- Đào tạo và nâng cao nhận thức: Đào tạo người dùng về những rủi ro của Shadow IT và cách sử dụng các ứng dụng và dịch vụ CNTT một cách an toàn.
- Áp dụng các biện pháp kiểm soát kỹ thuật: Sử dụng các biện pháp kiểm soát kỹ thuật, chẳng hạn như tường lửa và hệ thống phát hiện xâm nhập, để ngăn chặn việc sử dụng các ứng dụng và dịch vụ không được ủy quyền.
- Giám sát và đánh giá định kỳ: Giám sát và đánh giá định kỳ hiệu quả của các biện pháp kiểm soát Shadow IT và thực hiện các điều chỉnh cần thiết.
Tóm lại:
Shadow IT là một hiện tượng phổ biến trong các tổ chức ngày nay. Mặc dù nó có thể mang lại một số lợi ích, nhưng nó cũng tiềm ẩn những rủi ro đáng kể về an ninh mạng. Bằng cách hiểu rõ về Shadow IT và áp dụng một cách tiếp cận chủ động để quản lý nó, các tổ chức có thể giảm thiểu rủi ro và tận dụng tối đa lợi ích của công nghệ một cách an toàn và hiệu quả. Bài viết “Spotlight on Shadow IT” của NCSC cung cấp một hướng dẫn hữu ích cho các tổ chức trong việc giải quyết thách thức này và bảo vệ tài sản thông tin của họ.
AI đã cung cấp tin tức.
Câu hỏi sau đã được sử dụng để tạo câu trả lời từ Google Gemini:
Vào lúc 2025-03-13 08:35, ‘Spotlight on Shadow It’ đã được công bố theo UK National Cyber Security Centre. Vui lòng viết một bài chi tiết với thông tin liên quan theo cách dễ hiểu.
147