ما هو Shadow IT؟

يشير Shadow IT إلى أي تقنية تُستخدم لعمل الشركة وتعمل خارج عملية الموافقة المعتادة. وقد يشمل ذلك تطبيقًا لمشاركة الملفات، أو أداة دردشة جماعية، أو حاسوبًا محمولًا شخصيًا، أو نقطة اتصال هاتفية، أو اشتراكًا برمجيًا تم فتحه باستخدام بطاقة الشركة.

في أغلب الأحيان، لا يفعل الناس ذلك بهدف كسر القواعد. هم يحاولون التحرك بسرعة، أو حل مشكلة، أو استخدام أداة يعرفونها مسبقًا. في الشركة الصغيرة، غالبًا ما يبدأ ذلك لأن لا توجد عملية واضحة لطلب برامج جديدة أو أجهزة جديدة.

المشكلة ليست في أن كل أداة غير معتمدة سيئة. المشكلة هي أن الشركة قد لا تعرف أين يتم تخزين البيانات، ومن لديه إمكانية الوصول، ماذا يحدث عند مغادرة موظف، أو ما إذا كانت الأداة تتوافق مع قواعد قطاعك.

عندما لا تتم متابعة الأدوات، تصبح الأمور البسيطة أصعب. قد تدفع مقابل برامج مكررة، تفوّت تجديدات، تفقد ملفات العمل داخل حسابات شخصية، أو تكتشف في وقت متأخر أن موظفًا واحدًا فقط كان يعرف بيانات تسجيل الدخول. حتى الدعم الروتيني يصبح فوضويًا عندما لا يملك أحد قائمة بما تعتمد عليه الشركة.

هناك أيضًا جانب الأمن والامتثال. قد تبدو الأداة بريئة، لكنها قد تحتوي على سجلات العملاء أو تفاصيل الدفع أو معلومات صحية. تختلف القواعد حسب الصناعة والولاية، لكن الشركات في مجال الرعاية الصحية غالبًا ما تنظر إلى HIPAA، وهي قانون قابلية نقل التأمين الصحي والمساءلة (Health Insurance Portability and Accountability Act)، والشركات التي تتعامل مع مدفوعات بطاقات الائتمان غالبًا ما تنظر إلى PCI، وهو معيار أمان بيانات صناعة بطاقات الدفع (Payment Card Industry Data Security Standard). كما تطلب بعض الشركات من الموردين معلومات حول SOC 2، وهو معيار شائع للتقارير يوضح كيفية تعامل شركة الخدمة مع ضوابط الأمان.

يمكن أيضًا أن يسبب Shadow IT مشكلات أثناء تغيّر الموظفين. إذا تم فتح تطبيق باستخدام بريد شخصي لأحد الأشخاص، فقد تواجه الشركة صعوبة في استعادة الملفات أو سجل الفوترة أو صلاحيات الإدارة بعد مغادرة ذلك الشخص.

في الشركات الصغيرة والمتوسطة، يبدو Shadow IT غالبًا عاديًا. ليس دائمًا خادمًا سريًا مخفيًا في خزانة. في كثير من الأحيان، هو عمل يومي يحدث داخل أدوات لم يوافق عليها المالك أو لم يكن يعرف عنها.

تشمل الأمثلة تخزين ملفات مشتركة داخل حساب سحابي شخصي، أو تطبيق مشاريع مجاني تستخدمه جهة واحدة، أو حفظ بيانات العملاء داخل إضافة للمتصفح، أو استخدام الموظفين لأجهزة الكمبيوتر المحمولة الخاصة بهم للعمل، أو قيام الفرق بالاشتراك في تجارب برمجية تتحول بهدوء إلى خطط مدفوعة.

لا يعني “الوضع الجيد” تقييد كل شيء بإحكام بحيث لا يستطيع أحد العمل. يعني “الوضع الجيد” وجود طريقة بسيطة وقابلة للتكرار لاختيار الأدوات التي تستخدمها الشركة والموافقة عليها وتتبعها. يجب أن يعرف الناس كيفية طلب البرامج، ومن يقرر، وما هي الفحوصات الأساسية التي تحدث أولًا.

عادةً يتضمن الإعداد السليم قائمة بالأدوات (التطبيقات والأجهزة) المعتمدة، ومالكًا واضحًا لكل أداة، وخطة لعمليات تهيئة الموظفين (onboarding) ومغادرتهم (offboarding). كما يساعد على استخدام حماية أساسية مثل MFA، مصادقة متعددة العوامل (multi-factor authentication)، وهي خطوة ثانية إضافةً إلى كلمة المرور عند تسجيل الدخول.

إذا كنت تعمل مع مزوّد مستقل لخدمات تقنية المعلومات (MSP)، وهو مزوّد خدمات مُدارة (managed services provider)، فاسأله كيف يساعد العملاء في جرد الأجهزة والبرمجيات، ومراجعة صلاحيات الوصول، ووضع معايير للأدوات الجديدة. قد يساعد بعض المزوّدين أيضًا في حماية نقاط النهاية (endpoint protection)، حيث تعني “نقطة النهاية” جهازًا تابعًا للشركة مثل حاسوب محمول أو مكتب أو هاتف، و“patching” تعني الحفاظ على تحديث البرمجيات عبر الإصلاحات، وEDR، الكشف والاستجابة لنقطة النهاية (endpoint detection and response)، وهي نوع من أدوات الأمان يساعد على اكتشاف النشاطات المشبوهة على الأجهزة. وقد يستخدم غيرهم RMM، المراقبة والإدارة عن بُعد (remote monitoring and management)، وهي برمجيات تساعدهم على مراقبة صحة الأنظمة والتعامل مع الصيانة الروتينية. يعتمد الخيار الأنسب على حجمك وأنظمتك ومستوى المخاطر لديك.

لا تحتاج إلى نظام مثالي في اليوم الأول. ابدأ بالوضوح، والملكية الواضحة، وعملية موافقة بسيطة سيلتزم بها الناس فعلًا.

ابدأ بطرح ثلاث أسئلة. ما التطبيقات التي نستخدمها لتشغيل العمل؟ أين يتم تخزين بيانات العمل؟ ومن لديه صلاحية الإدارة (admin) لكل أداة؟ قد تفاجأ بكمية البيانات التي تعيش فعلًا داخل صناديق البريد الإلكتروني، أو الحسابات الشخصية، أو الاشتراكات القديمة.

ثم أنشئ قائمة مختصرة. دوّن البرامج والأجهزة ومالكي الفوترة، ومن يمكنه تسجيل الدخول كمسؤول إداري. بالنسبة لشركة صغيرة، حتى جدول بيانات بسيط أفضل من التخمين. الهدف ليس لوم أي شخص. الهدف هو إزالة الفجوات غير المرئية.

إذا كنت تريد مساعدة لفهم نوع الدعم الخارجي المناسب، يمكن أن يساعدك NodeBridge IT في التعرف على خدمات تقنية المعلومات المُدارة والحصول على تطابق مع مزوّد مستقل. نحن لا ندير أنظمتك ولا نتحكم في حساباتك. نحن فقط نقدم تعليمًا عامًا ونُجري مطابقة مجانية بناءً على احتياجات عملك.

يمكنك أيضًا تصفح مزيد من الإجابات بصياغة بسيطة في مكتبة الموارد.