Sorotan pada bayangan itu, UK National Cyber Security Centre

by

Baiklah, mari kita bedah dan terangkan artikel dari UK National Cyber Security Centre (NCSC) yang bertajuk “Sorotan pada Bayangan IT” dalam bahasa yang mudah difahami.

Apa itu Bayangan IT?

Bayangan IT ialah perkakasan, perisian, dan perkhidmatan IT yang digunakan oleh pekerja atau jabatan di dalam organisasi tanpa pengetahuan atau kelulusan jabatan IT rasmi. Bayangkan begini:

  • Ali, seorang pekerja pemasaran, memuat turun aplikasi percuma untuk menyunting video bagi kempen media sosial. Jabatan IT tidak tahu pun tentang aplikasi ini.
  • Pasukan jualan menggunakan platform CRM awan (Customer Relationship Management) yang dipilih sendiri kerana lebih mudah digunakan berbanding sistem yang disediakan oleh IT.
  • Seorang pengurus berkongsi fail sensitif syarikat menggunakan akaun storan awan peribadinya kerana dia rasa ia lebih cepat berbanding sistem perkongsian fail syarikat.

Semua ini adalah contoh Bayangan IT. Ia berlaku di “bayang-bayang,” tersembunyi daripada pandangan jabatan IT.

Mengapa NCSC Menulis Mengenainya?

NCSC (National Cyber Security Centre) adalah pihak berkuasa teknikal negara untuk keselamatan siber di UK. Mereka bimbang tentang Bayangan IT kerana ia boleh menimbulkan banyak risiko keselamatan:

  • Kerentanan Keselamatan: Perisian dan perkakasan yang tidak diluluskan mungkin mempunyai kelemahan yang diketahui (kerentanan) yang boleh dieksploitasi oleh penyerang siber. Bayangkan aplikasi suntingan video Ali mengandungi perisian hasad.
  • Kebocoran Data: Data syarikat yang sensitif boleh disimpan di tempat yang tidak selamat, seperti akaun storan awan peribadi, di mana ia lebih terdedah kepada kebocoran atau pencerobohan. Fail yang dikongsi oleh pengurus tadi mungkin tidak dilindungi dengan betul.
  • Ketidakpatuhan: Industri tertentu (seperti kewangan dan penjagaan kesihatan) mempunyai peraturan yang ketat tentang cara data mesti dilindungi. Bayangan IT boleh menyebabkan organisasi melanggar peraturan ini.
  • Kos yang Tidak Dikawal: Jabatan IT mungkin tidak menyedari perbelanjaan pada aplikasi dan perkhidmatan yang tidak diluluskan, membawa kepada duplikasi dan pembaziran.
  • Kesukaran untuk Menyokong: Jika sesuatu yang buruk berlaku (misalnya, peranti dijangkiti virus), jabatan IT mungkin tidak dapat membantu dengan berkesan kerana mereka tidak tahu pun peranti atau perisian itu wujud.

Jadi, Apa Yang Boleh Dilakukan?

NCSC tidak mencadangkan untuk menghapuskan Bayangan IT sepenuhnya (yang mungkin mustahil). Mereka mengesyorkan pendekatan yang lebih bijak:

  1. Kesedaran dan Pendidikan:
    • Beritahu pekerja tentang risiko Bayangan IT. Jelaskan mengapa ia penting untuk menggunakan alat dan perkhidmatan yang diluluskan oleh IT.
    • Latih pekerja tentang cara mengenal pasti dan melaporkan aktiviti Bayangan IT.
  2. Cari dan Kenalpasti Bayangan IT:
    • Gunakan alat penemuan IT: Alat ini boleh mengimbas rangkaian anda dan mengenal pasti peranti dan aplikasi yang tidak diketahui.
    • Semak log rangkaian dan penggunaan awan: Ini boleh mendedahkan aplikasi dan perkhidmatan yang digunakan di luar saluran IT rasmi.
    • Tanya pekerja: Kadang-kadang cara yang paling mudah untuk mencari Bayangan IT adalah dengan bertanya kepada orang.
  3. Nilai dan Urus Risiko:
    • Apabila anda menemui Bayangan IT, nilailah risikonya. Adakah ia menimbulkan risiko keselamatan yang ketara? Adakah ia mematuhi peraturan?
    • Tentukan sama ada untuk meluluskan, menggantikan atau mengharamkan Bayangan IT. Jika alat itu berguna dan selamat, anda mungkin boleh meluluskannya secara rasmi. Jika tidak, cari alternatif yang diluluskan oleh IT.
  4. Membangunkan Dasar dan Prosedur:
    • Cipta dasar yang jelas tentang penggunaan IT yang boleh diterima. Nyatakan jenis perisian dan perkhidmatan yang dibenarkan, dan proses untuk meminta pengecualian.
    • Permudahkan bagi pekerja untuk mendapatkan alat yang mereka perlukan. Jika IT sukar digunakan atau tidak memenuhi keperluan pekerja, mereka lebih berkemungkinan menggunakan Bayangan IT. Pertimbangkan untuk menyediakan katalog perkhidmatan IT yang mudah diakses.
  5. Pemantauan dan Penguatkuasaan:
    • Pantau rangkaian anda secara berterusan untuk Bayangan IT baharu.
    • Enforce dasar anda dengan konsisten. Ini mungkin termasuk menyekat akses kepada aplikasi yang tidak dibenarkan atau mendisiplinkan pekerja yang melanggar dasar.

Intipatinya:

Bayangan IT boleh menjadi pisau bermata dua. Ia membolehkan inovasi dan ketangkasan, tetapi juga menimbulkan risiko keselamatan yang ketara. Dengan mengambil pendekatan yang proaktif dan termaklum, organisasi boleh mengurus Bayangan IT dengan berkesan dan mengurangkan risikonya. Kuncinya adalah untuk mencapai keseimbangan antara membolehkan pekerja menggunakan alat yang mereka perlukan dan memastikan keselamatan data dan sistem syarikat.

Sorotan pada bayangan itu

AI telah menyampaikan berita.

Soalan berikut digunakan untuk mendapatkan jawapan dari Google Gemini:

Pada 2025-03-13 08:35, ‘Sorotan pada bayangan itu’ telah diterbitkan menurut UK National Cyber Security Centre. Sila tulis artikel terperinci dengan maklumat berkaitan dalam cara yang mudah difahami.


128

Post Views: 3

Leave a Comment