Trong thế giới kinh doanh, có một sự thật hiển nhiên: một số nhân viên tuân thủ quy tắc, trong khi những người khác sẵn sàng chấp nhận rủi ro và tạo ra các lối tắt để hoàn thành dự án và tăng năng suất. Thông thường, nhân viên sẽ không chờ đợi sự chấp thuận của bộ phận CNTT khi những thách thức này xảy ra, mà tự mình giải quyết vấn đề. Các phòng ban sẽ tự chịu trách nhiệm về dự án và cấp phép công nghệ, công cụ, từ việc mua phần mềm đến lưu trữ máy chủ, sử dụng các dịch vụ đám mây (XaaS) và thậm chí kết nối các thiết bị cá nhân vào mạng lưới nhạy cảm.

Điều mà nhiều nhà lãnh đạo không nhận ra là hành vi này thường chia thành hai thách thức có vẻ tương tự nhưng khác biệt với hai định nghĩa riêng biệt: Shadow IT (CNTT bóng tối) và BYOC (Bring Your Own Cloud – Mang đám mây của riêng bạn). Cả hai đều tồn tại trong vùng xám của công nghệ thông tin và an ninh doanh nghiệp. Hiểu rõ sự khác biệt là bước đầu tiên để giảm thiểu rủi ro thành công. Hãy cùng phân tích các khái niệm này và các chiến lược cần thiết để loại bỏ tác động của chúng trong một tổ chức.

Shadow IT là gì?

Shadow IT là bất kỳ tài nguyên công nghệ, phần cứng, phần mềm hoặc tài sản nào mà nhân viên sử dụng mà không có sự chấp thuận chính thức từ các nhóm CNTT hoặc an ninh của tổ chức. Trong lịch sử, Shadow IT thường đề cập đến các tài sản vật lý như thiết bị USB, mạng không dây trái phép hoặc thiết bị được sử dụng cho hoạt động kinh doanh nhưng không được ủy quyền hoặc bảo trì bởi cơ quan quản lý được phê duyệt trong một tổ chức. Phạm vi này đã thay đổi trong những năm gần đây để bao gồm cả các dịch vụ kỹ thuật số. Điều này bao gồm các ứng dụng cộng tác như Slack, dịch vụ lưu trữ đám mây như Dropbox hoặc thậm chí các nền tảng phát triển như GitHub, tồn tại bên ngoài CNTT và quản trị InfoSec.

Những rủi ro của Shadow IT:

• Rò rỉ dữ liệu: Các tập tin nhạy cảm được lưu trữ ở các vị trí không được giám sát trở thành mục tiêu hàng đầu cho các cuộc tấn công mạng.
• Thiếu tầm nhìn: Các nhóm quản trị, rủi ro và tuân thủ không thể ghi lại và bảo vệ các vị trí chưa biết của thông tin nhạy cảm.
• Vi phạm tuân thủ: Các quy định bắt buộc, chẳng hạn như GDPR hoặc HIPAA, có thể bị vi phạm nếu dữ liệu bí mật chảy vào các môi trường trái phép hoặc được sử dụng cho các chức năng kinh doanh không phù hợp.
• Khả năng vá lỗi và bảo mật kém: Các ứng dụng Shadow IT có thể không tuân theo quy trình quản lý cấu hình hoặc bản vá của tổ chức, tạo ra các lỗ hổng không cần thiết.

BYOC (Bring Your Own Cloud) là gì?

BYOC lấy các nguyên tắc của Shadow IT và gắn chúng trực tiếp vào các dịch vụ dựa trên đám mây và hệ thống lưu trữ. Đây có thể là bất kỳ loại giải pháp XaaS nào, trong đó “X” đề cập đến các giải pháp, nền tảng hoặc cơ sở hạ tầng như một dịch vụ (và không phải “X” như trong nền tảng truyền thông xã hội trước đây có tên là Twitter). Với BYOC, nhân viên triển khai các giải pháp đám mây ưa thích của họ và bỏ qua các rủi ro, quản lý và bảo mật cho bất kỳ thông tin nào được lưu trữ, chia sẻ hoặc xử lý — bao gồm cả thông tin nhạy cảm có thể tuân theo quy định tuân thủ cho tổ chức.

Trong khi Shadow IT bao gồm bất kỳ công nghệ trái phép nào, theo truyền thống từ góc độ tài sản, BYOC thu hẹp trọng tâm vào việc sử dụng đám mây XaaS. Nếu bạn xem xét ChatGPT, sổ tay điện tử như reMarkable hoặc thậm chí các dịch vụ đồng bộ hóa iCloud, thông tin công ty nhạy cảm có thể tồn tại hoặc thậm chí được xử lý bên ngoài phạm vi của các nhóm CNTT và InfoSec. Vấn đề với BYOC không chỉ là mất dữ liệu mà là quản trị và phân mảnh dữ liệu. Ví dụ: không biết dữ liệu nào tồn tại bên ngoài tổ chức, thông tin nhạy cảm đến mức nào và nếu sự kiện bảo mật xảy ra, liệu thông tin đó có thực sự là nguồn gốc hay không.

Những rủi ro của BYOC:

• Sự lan tràn dữ liệu trên nhiều môi trường: Dữ liệu nhạy cảm có thể di chuyển giữa các thiết bị cá nhân, dịch vụ đám mây không được quản lý và thậm chí cả những người cộng tác bên ngoài không an toàn, có khả năng ở các vị trí địa lý nước ngoài.
• Kiểm soát truy cập yếu: Các nền tảng đám mây cá nhân thường thiếu xác thực đa yếu tố (MFA) mạnh mẽ, các biện pháp kiểm soát bảo mật cấp doanh nghiệp và ghi nhật ký hoạt động để xác định hành vi không phù hợp.
• Hạn chế khả năng hiển thị các ứng dụng của bên thứ ba: Nhiều dịch vụ đám mây tích hợp với các plugin trình duyệt của bên thứ ba và công nghệ AI tác nhân, làm tăng bề mặt tấn công của tổ chức.

Tại sao Shadow IT và BYOC tương tự nhưng khác nhau

Shadow IT và BYOC đều xuất phát từ động lực làm việc hiệu quả của nhân viên, nhưng chúng không giống nhau. Shadow IT là một thuật ngữ bao trùm cho bất kỳ tài sản hoặc giải pháp trái phép nào, trong khi BYOC đặc biệt đề cập đến các tài nguyên và dịch vụ đám mây. Một số người có thể tranh luận rằng BYOC là một tập hợp con của Shadow IT, nhưng theo định nghĩa, BYOC có thể không được kết nối với các hệ thống của công ty như Shadow IT, nhưng vẫn chứa thông tin bên ngoài phạm vi tiếp cận của công ty. Một lần nữa, hãy xem xét một nhân viên sử dụng ChatGPT trên một hệ thống cá nhân để tạo nội dung hoặc phát triển mã cho doanh nghiệp và đưa thông tin đó trở lại tổ chức thông qua hầu hết mọi phương tiện, kể cả email.

Ngoài ra, nhiều tổ chức có thể tuyên bố đã giải quyết các vấn đề về Shadow IT bằng các công cụ và quản trị nghiêm ngặt. Tuy nhiên, BYOC có thể dễ dàng lách các chính sách của công ty và trở thành một vấn đề về công nghệ và chính sách mà không có giải pháp rõ ràng vì nó nằm ngoài phạm vi thực tiễn CNTT của tổ chức.

Chiến lược giảm thiểu

Thành thật mà nói, cả hai khái niệm đều tạo ra những điểm mù, thách thức các chính sách bảo mật dữ liệu và có thể gây rủi ro cho thông tin nhạy cảm. Nhưng các giải pháp cho mỗi loại hơi khác nhau do phạm vi kỹ thuật riêng biệt của chúng.

Về vấn đề chính sách, các tổ chức nên thận trọng khi tắt hoàn toàn quyền tự chủ của nhân viên. Điều này thường gây ra sự bất hòa và các vấn đề về lòng tin nếu một bàn tay nặng nề được thi hành. Điều quan trọng là phải đạt được sự cân bằng phù hợp giữa bảo mật, quản lý, rủi ro và khả năng sử dụng:

1. Triển khai các công cụ khám phá Shadow IT: Các giải pháp như CASB (Cloud Access Security Brokers), lọc nội dung web và công nghệ quản lý truy cập đặc quyền có thể giúp phát hiện và quản lý các ứng dụng và việc sử dụng đám mây không được phê duyệt dựa trên lưu lượng mạng và hoạt động đặc quyền.
2. Khuyến khích BYOC được phê duyệt dựa trên chính sách: Thay vì cấm tất cả các dịch vụ đám mây của bên thứ ba (bàn tay nặng nề), hãy cung cấp cho nhân viên danh sách các ứng dụng đã được kiểm tra trước mà họ có thể sử dụng một cách an toàn. Quan trọng nhất, hãy cung cấp một quy trình để phê duyệt, xem xét và loại bỏ các dịch vụ đám mây bên ngoài phạm vi CNTT.
3. Áp dụng các nguyên tắc zero-trust: Yêu cầu xác minh danh tính mạnh mẽ với độ tin cậy có thể đo lường được, mã hóa mạnh mẽ và kiểm soát điểm cuối để giảm thiểu mất dữ liệu, tình trạng tài sản và tự động hóa để cách ly tài sản.
4. Đào tạo nhân viên: Nhiều rủi ro BYOC và Shadow IT đến từ những nhân viên tìm kiếm các phím tắt năng suất, những người không biết cách phê duyệt một hệ thống mới hoặc không đồng ý với các quyết định của nhóm CNTT và bảo mật. Đào tạo họ để nhận biết các rủi ro bảo mật, đặt các câu hỏi quan trọng — chẳng hạn như liệu một ứng dụng có hỗ trợ MFA hay không — và cuối cùng là đề xuất các giải pháp thay thế an toàn.

Sự trỗi dậy của Shadow IT và BYOC không phải là một vấn đề mà bạn có thể loại bỏ trong một sớm một chiều, bạn cũng không nên cố gắng. Những hành vi này phản ánh mong muốn của nhân viên hiện đại về sự linh hoạt, tốc độ và cộng tác. Câu hỏi thực sự là liệu các tổ chức có thể tận dụng nhu cầu đó mà không ảnh hưởng đến an ninh hoặc vi phạm pháp luật hay không. Câu trả lời nằm ở khả năng hiển thị, các chính sách chủ động và sự hiểu biết rằng ngay cả những phím tắt năng suất nhất cũng có thể đi kèm với rủi ro cho tổ chức.

Hiểu sự khác biệt giữa Shadow IT và BYOC, mặc dù rất tế nhị, nhưng đòi hỏi các chính sách, quy trình và công nghệ khác nhau để giải quyết. Như với tất cả các vấn đề an ninh mạng, giáo dục là chìa khóa và giải quyết từng vấn đề này phải là ưu tiên hàng đầu đối với tất cả các giám đốc điều hành và các chuyên gia an ninh mạng.

Giải thích thuật ngữ

• Shadow IT (CNTT bóng tối): Các ứng dụng, hệ thống hoặc thiết bị CNTT được sử dụng trong một tổ chức mà không có sự chấp thuận của bộ phận CNTT. Điều này có thể dẫn đến các rủi ro bảo mật và tuân thủ.
• BYOC (Bring Your Own Cloud – Mang đám mây của riêng bạn): Việc sử dụng các dịch vụ đám mây cá nhân hoặc không được phê duyệt cho các mục đích kinh doanh. Điều này có thể gây ra các vấn đề về bảo mật dữ liệu và tuân thủ quy định.
• XaaS (Everything as a Service): Một thuật ngữ chung cho các dịch vụ được cung cấp qua internet, bao gồm phần mềm, nền tảng và cơ sở hạ tầng.
• GDPR (General Data Protection Regulation): Quy định bảo vệ dữ liệu và quyền riêng tư của Liên minh Châu Âu.
• HIPAA (Health Insurance Portability and Accountability Act): Luật của Hoa Kỳ về bảo mật và quyền riêng tư của thông tin sức khỏe.
• MFA (Multi-Factor Authentication): Một phương pháp xác thực yêu cầu người dùng cung cấp nhiều hơn một yếu tố để xác minh danh tính của họ.
• CASB (Cloud Access Security Broker): Một giải pháp bảo mật trung gian giữa người dùng và các dịch vụ đám mây, giúp kiểm soát và bảo vệ dữ liệu.
• Zero-trust (Không tin tưởng): Một mô hình bảo mật dựa trên nguyên tắc không tin tưởng bất kỳ người dùng hoặc thiết bị nào theo mặc định, mà yêu cầu xác minh liên tục.