Shadow IT là gì?

Shadow IT là bất kỳ công nghệ nào được dùng cho công việc kinh doanh nhưng nằm ngoài quy trình phê duyệt thông thường. Có thể bao gồm một ứng dụng chia sẻ tệp, công cụ chat nhóm, laptop cá nhân, bộ phát Wi‑Fi từ điện thoại, hoặc một gói phần mềm được mở bằng thẻ công ty.

Phần lớn thời gian, mọi người không làm vậy để “phá luật”. Họ chỉ muốn làm nhanh hơn, giải quyết một vấn đề, hoặc dùng một công cụ mà họ đã quen. Ở doanh nghiệp nhỏ, điều này thường bắt đầu vì chưa có quy trình rõ ràng để đề nghị phần mềm hoặc thiết bị mới.

Vấn đề không phải là mọi công cụ chưa được phê duyệt đều xấu. Vấn đề là doanh nghiệp có thể không biết dữ liệu đang được lưu ở đâu, ai đang có quyền truy cập, điều gì xảy ra khi nhân viên nghỉ việc, hoặc liệu công cụ đó có phù hợp với các quy định của ngành bạn hay không.

Khi công cụ không được theo dõi, mọi thứ đơn giản cũng trở nên khó hơn. Bạn có thể phải trả trùng cho phần mềm, bỏ lỡ gia hạn, mất tệp kinh doanh trong các tài khoản cá nhân, hoặc phát hiện quá muộn rằng chỉ có một nhân viên biết thông tin đăng nhập. Ngay cả hỗ trợ thường ngày cũng trở nên rối khi không ai có danh sách công ty đang phụ thuộc vào những gì.

Ngoài ra còn có khía cạnh bảo mật và tuân thủ. Một công cụ trông có vẻ vô hại vẫn có thể chứa hồ sơ khách hàng, chi tiết thanh toán hoặc thông tin sức khỏe. Quy định khác nhau theo ngành và theo bang, nhưng các doanh nghiệp trong lĩnh vực y tế thường quan tâm đến HIPAA (Health Insurance Portability and Accountability Act – Đạo luật về Khả năng Chuyển đổi và Trách nhiệm Bảo hiểm Y tế). Các doanh nghiệp xử lý thanh toán bằng thẻ thường quan tâm đến PCI (Payment Card Industry Data Security Standard – Tiêu chuẩn Bảo mật Dữ liệu của Ngành Thẻ Thanh toán). Một số công ty cũng hỏi nhà cung cấp về SOC 2 (một chuẩn báo cáo phổ biến về cách công ty dịch vụ quản lý các kiểm soát bảo mật).

Shadow IT cũng có thể gây vấn đề khi thay đổi nhân sự. Nếu một ứng dụng được mở bằng email cá nhân của một người nào đó, doanh nghiệp có thể khó khôi phục tệp, lịch sử thanh toán hoặc quyền quản trị sau khi người đó nghỉ việc.

Ở các doanh nghiệp nhỏ và vừa, shadow IT thường trông rất “bình thường”. Không phải lúc nào cũng là một máy chủ bí mật trong góc tủ. Thường hơn, đó là công việc hằng ngày đang diễn ra trong các công cụ mà người đứng đầu chưa từng phê duyệt hoặc thậm chí chưa biết đến.

Ví dụ gồm: tệp dùng chung được lưu trong tài khoản đám mây cá nhân, một ứng dụng quản lý dự án miễn phí được một phòng ban dùng, dữ liệu khách hàng được lưu trong tiện ích mở rộng trình duyệt, nhân viên dùng laptop cá nhân cho công việc, hoặc các nhóm đăng ký dùng thử phần mềm rồi âm thầm chuyển thành gói trả phí.

“Làm đúng” không có nghĩa là siết chặt đến mức không ai có thể làm việc. “Làm đúng” là có một cách đơn giản, lặp lại được để lựa chọn, phê duyệt và theo dõi các công cụ doanh nghiệp đang dùng. Mọi người cần biết cách đề nghị phần mềm, ai là người quyết định, và những kiểm tra cơ bản nào sẽ diễn ra trước.

Thiết lập lành mạnh thường gồm danh sách các ứng dụng và thiết bị đã được phê duyệt, một người chịu trách nhiệm cho từng công cụ, và kế hoạch onboarding (đào tạo/thiết lập cho nhân viên mới) và offboarding (thu hồi/quản lý khi nhân viên rời đi). Việc áp dụng các biện pháp bảo vệ cơ bản như MFA (Multi‑Factor Authentication – xác thực đa yếu tố) cũng rất hữu ích; nghĩa là bước thứ hai ngoài mật khẩu khi đăng nhập.

Nếu bạn làm việc với một MSP độc lập (managed services provider – nhà cung cấp dịch vụ quản trị), hãy hỏi họ hỗ trợ khách hàng như thế nào trong việc kiểm kê thiết bị và phần mềm, rà soát quyền truy cập, và đặt tiêu chuẩn cho các công cụ mới. Một số nhà cung cấp cũng hỗ trợ bảo vệ endpoint, trong đó endpoint là thiết bị của doanh nghiệp như laptop, máy tính để bàn hoặc điện thoại; patching là việc cập nhật phần mềm với các bản vá; và EDR (Endpoint Detection and Response – phát hiện và phản hồi trên endpoint), là một loại công cụ bảo mật giúp phát hiện hoạt động đáng ngờ trên thiết bị. Những bên khác có thể dùng RMM (Remote Monitoring and Management – giám sát và quản lý từ xa) – phần mềm giúp theo dõi sức khỏe hệ thống và thực hiện bảo trì định kỳ. Phù hợp hay không còn tùy vào quy mô, hệ thống và mức rủi ro của bạn.

Bạn không cần một hệ thống hoàn hảo ngay từ ngày đầu. Hãy bắt đầu bằng khả năng nhìn thấy rõ (visibility), quyền sở hữu rõ ràng, và quy trình phê duyệt đơn giản mà mọi người thực sự sẽ dùng.

Bắt đầu bằng cách hỏi 3 câu hỏi. Chúng ta đang dùng những ứng dụng nào để vận hành kinh doanh, dữ liệu kinh doanh được lưu ở đâu, và ai có quyền quản trị (admin) đối với từng công cụ? Bạn có thể sẽ ngạc nhiên về việc phần lớn thông tin này đang nằm trong hộp thư email, tài khoản cá nhân hoặc các gói đăng ký cũ.

Sau đó, lập một danh sách ngắn. Ghi lại phần mềm, thiết bị, người phụ trách thanh toán, và ai có thể đăng nhập với vai trò admin. Với một công ty nhỏ, chỉ cần một bảng tính cơ bản cũng tốt hơn việc đoán mò. Mục tiêu không phải để đổ lỗi cho ai. Mục tiêu là loại bỏ “điểm mù”.

Nếu bạn muốn được hỗ trợ để hiểu kiểu dịch vụ hỗ trợ bên ngoài nào là phù hợp, NodeBridge IT có thể giúp bạn tìm hiểu về dịch vụ IT quản trị và được kết nối với một nhà cung cấp độc lập. Chúng tôi không quản lý hệ thống của bạn hoặc quyền truy cập vào tài khoản của bạn. Chúng tôi chỉ cung cấp kiến thức chung và hỗ trợ kết nối miễn phí dựa trên nhu cầu của doanh nghiệp bạn.

Bạn cũng có thể xem thêm các câu trả lời dễ hiểu trong thư viện tài nguyên.