טכנולוגיית מידע צללים

מתוך המכלול, האנציקלופדיה היהודית
קפיצה לניווט קפיצה לחיפוש

טכנולוגיית מידע צלליםאנגלית: Shadow IT) הן מערכות מידע ופתרונות מידע שנבנו בארגון, או נרכשו ללא אישור הארגון, או שנעשה בהן שימוש במסגרת העבודה בארגון ללא אישור. במונח זה נעשה שימוש מקביל למושג "Stealth IT", המתאר מערכות מידע מחלקתיות שנבנו על ידי מחלקות עסקיות ללא מעורבות וללא ידיעה של מחלקת מערכות המידע של הארגון. מערכות אלה יוצרות בעיות של גישה לא עקבית, לא שיטתית ולא מקצועית לטיפול במערכות מידע בארגון.

סוגי המערכות

ברוב המקרים מדובר במערכות מחלקתיות ולא במערכות כלל-ארגוניות.

מערכות שפותחו

בתקופה הנוכחית יש לא מעט אנשים בעלי ידע במחשוב, למשל: עובדים צעירים, שלמדו לתכנת בבית הספר. בנוסף להם יש Power End Users (משתמשי קצה בעלי יכולות חלקיות לתכנת) שהארגון מאפשר להם פיתוח תוכנה עצמאי במגבלות מסוימות. משתמשים אלה חורגים לפעמים ממגבלות אלה ומפתחים מערכות נוספות שהארגון אינו מודע לקיומן.

בטכנולוגיית מידע צללים מפתחים במקרים רבים תוכנות לדווח בכלים כמו: Microsoft Access, מוצרי דיווח סטטיסטי כמו SaS ו SPSS ובכלי דווח של מערכות בינה עסקית. כלי נפוץ במיוחד לפיתוח טכנולוגיית מידע צללים הוא Microsoft Excel באמצעותו מפותחים דוחות ועיבודים סטטיסטיים, אך גם מאוחסנים נתונים, מופקים גרפים ומתבצעים חישובים מורכבים.

מערכות שנרכשו

  • חבילות תוכנה המותקנות בארגון.
  • מערכות SaaS
  • מערכות שפותחו מחוץ לארגון והובאו על ידי עובדים
  • תשתיות קוד פתוח שהוכנסו לארגון ללא תיאום.

דוגמה לכך הוא ארגון שבבחירת בסיס נתונים התחרו אורקל וי.ב.מ. תהליך הבחירה שארך כמה שנים הפך למיותר, משום שבמהלך אותן שנים הכניסו עובדים בארגון את בסיס הנתונים MySQL לארגון ללא ידיעת הנהלת הארגון או מחלקת טכנולוגיית המידע של הארגון.[1]

מערכות בשימוש

  • חומרה שנרכשה והותקנה ללא אישור
  • טלפונים חכמים ואביזרים ממוחשבים אחרים שהובאו כחלק מתפיסה המבוססת על BYOD, ללא אישור או הסכמת הארגון או מחלקת מערכות המידע של הארגון.
  • מערכות חיצוניות המתחברות למחשב באמצעות USB.
  • מערכות דואר אלקטרוני חיצוניות לארגון דוגמת gmail.

סיבות לשימוש

הסיבה העיקרית לשימוש במערכות מידע צללים היא, שאלה המכניסים אותן לשימוש בארגון, מעריכים שללא הכנסתן לארגון לא יוכלו לבצע את עבודתם באופן ראוי או באופן מיטבי. בין הגורמים הדוחפים הכנסת מערכות כאלה:

  • חוסר זמישות (זריזות+גמישות) הגורם להמתנה ארוכה לביצוע שינויים נדרשים.
  • סירוב של יחידת המחשוב לבצע את מה שהמשתמש העסקי חושב שנדרש לעשות.
  • התנגשות עם דרישות אבטחת מידע שלפעמים הן קשיחות מדי ולפעמים רק נתפסות כך על ידי מי שמכניס מערכות טכנולוגיית מידע צללים.
  • התנגשות עם מדיניות של החברה או עם רגולציה.
  • עלות גבוהה של הכנסת מערכות לארגון.

העלות חורגת לפעמים מהתקציב העומד לרשות המשתמש או שהתקציב נדרש למימוש מערכות אחרות שעומדות בסדר עדיפויות גבוה יותר.

משמעויות השימוש

קשיים בתחזוקה

מערכות טכנולוגיית מידע צללים קשות לתחזוקה מהסיבות הבאות:

  • אין תיעוד
  • הפיתוח עלול להתבצע בכלים שאינם כלים סטנדרטיים בארגון, ולכן הם אינם נתמכים על ידי מחלקת מערכות המידע ויצרנים וספקים חיצוניים.
  • לא תמיד ידוע מי פיתח אותם. כאשר המפתח עוזב את תפקידו או עוזב את הארגון לא מתמנה לו מחליף איתו הוא מבצע חפיפה.
  • הרמה הטכנית של המערכות עלולה להיות נמוכה יותר ממערכות רשמיות, משום שלא פותחו על ידי אנשי מקצוע, לא נעשה תהליך בדיקות מסודר ולא נבחנה התאמה לסטנדרטי פיתוח מקובלים בארגון.

גישה לא עקבית למערכות מידע בארגון

מערכות טכנולוגיית מידע צללים אינן תואמות את מתודולוגיות הניתוח והפיתוח של הארגון ואינן תואמות סטנדרטים ארגוניים.

סיכוני אבטחת מידע וסיכונים אחרים

בשונה ממערכות רשמיות בארגון, לא מתבצע במערכות כאלה ניהול סיכונים ולכן הן חשופות יותר לסיכונים. ארגונים מתמודדים עם סיכוני אבטחת מידע באמצעות תאימות לתקנים ובאמצעות הגדרת ואכיפת מדיניות אבטחת מידע ארגונית. בהיעדר ידע ארגוני על קיומן של מערכות טכנולוגיית מידע צללים, לא ננקטים צעדי אבטחת מידע בנוגע אליהן. כתוצאה מכך חשופות מערכות אלה לזליגת מידע ולשימוש על ידי אנשים שאינם מורשים להשתמש במערכות.
דוגמה נפוצה לכך היא שימוש במערכות דואר אלקטרוני חיצוניות כמו gmail, על מנת לעקוף מגבלות ובדיקות המתבצעות על הודעות הנשלחות באמצעות מערכת הדואר האלקטרוני הרשמית של הארגון.

אי תאימות לדרישות החוק ולדרישות רגולציה

ארגונים נוקטים בצעדים, שמטרתם לענות על דרישות רגולטוריות ולהימנע מעבירה על החוק. הצעדים פוסחים על מערכות טכנולוגיית מידע צללים. דוגמה: אי-תשלום עבור מוצרי תוכנה המשמשים לפיתוח מערכות כאלה.

בזבוז משאבים

שימוש בטכנולוגיית מידע צללים עלול לגרום לבזבוז משאבים מכמה זוויות ראייה:

  • בזבוז זמנם של עובדים במחלקות עסקיות

הזמן שמקדיש עובד במחלקה עסקית על מנת לפתח או לתחזק קוד של תוכניות מחשב הוא לרוב על חשבון זמן שבו היה מבצע מטלות במסגרת תפקידו העסקי

  • בזבוז משאבי מחשב

דוגמאות לכך הן כתיבה לא יעילה המבזבזת משאבי מחשב ועלולה לפגוע בביצועים והעמסת יתר של רשת התקשורת. [2]

  • עלויות תוכנה וחומרה תשתיתית המשמשת את טכנולוגיית מידע צללים

הארגון אינו יכול להפסיק לשלם עבור תוכנות תשתית המשמשות יישומי טכנולוגיית מידע צללים. הוא חייב לתחזק חומרה המשרתת רק יישומים כאלה. לפעמים הוא גם נאלץ לתמוך בתשתיות אלה על מנת לפתור בעיות.

משטר טכנולוגיית מידע לא תקין

משטר טכנולוגיית מידע מגדיר גם מי מוסמך לקבל החלטות בנושא שימוש בתכנה וחומרה בארגון בכלל, ובנושא הכנסת תוכנה או חומרה חדשה לשימוש בארגון. בטכנולוגיית מידע צללים מקבל ההחלטות אינו מי שמוסמך לכך. זה יכול להיות במקרים רבים מפתח תוכנה ביחידת מערכות מידע או משתמש עסקי.

גידול בלתי נשלט בכמות מוצרי ושירותי טכנולוגיית המידע

כאשר כל אחד בארגון, ולא רק מי שמוסמך לכך, יכול להכניס מוצר או שירות ממוחשב לארגון, גדל מספר השירותים והמוצרים בארגון בקצב אקספוננציאלי .[3]

הדילמה של מנהל מערכות מידע

הדילמה של מנהל מערכות מידע בארגון היא האם להילחם בחדירה הגדלה של והולכת של Shadow IT לארגון?
אם לא יילחם בחדירת Shadow IT לארגון, מחלקת מערכות המידע של הארגון עלולה לאבד שליטה במערכות המידע של הארגון, עם כל הבעיות הנובעות מכך, שצוינו בפסקה הקודמת.
אם יילחם, ייתכן שמדובר במלחמה אבודה מראש. על פי מחקרים של גרטנר ושל PWC, אחוז גבוה מההוצאות על מחשוב ואחוז גבוה מהמוצרים והשירותים אינם נבחרים וממיושמים על ידי מחלקת המחשוב. גרטנר, אף חוזה, המשך מגמה של ירידה באחוז מתקציב המחשוב שבשליטת מחלקת מערכות המידע.[3]
חלופה אפשרית היא לנסות לא להילחם בחדירת Shadow IT לארגון ולנסות לשמר שליטה מסוימת במערכות, במוצרים ובשירותים מסוג זה, באמצעות מיפויים, סיווגם ותמיכה בהם.

ראו גם

קישורים חיצוניים

הערות שוליים

הערך באדיבות ויקיפדיה העברית, קרדיט,
רשימת התורמים
רישיון cc-by-sa 3.0

27570349טכנולוגיית מידע צללים