Shadow IT – związane z nim ryzyka i jak się przed nimi chronić
Blog

Shadow IT – związane z nim ryzyka i jak się przed nimi chronić

Shadow IT – związane z nim ryzyka i jak się przed nimi chronić
Marcin Lisowski
05 września 2023
5 min read

Nowe aplikacje, pluginy do aplikacji, Software as a Service (SaaS), narzędzia oparte o AI - rozwój technologii wciąż nabiera tempa. Firmy próbują znaleźć sposób na efektywne wykorzystanie możliwości, jakie daje technologia i to samo robią jej odbiorcy indywidualni, którzy poszukują narzędzi do wykorzystania dla własnych celów. Miejsce pracy to potencjalny punkt styku w tej sferze obu grup: firmy, jako pracodawcy i indywidualnych odbiorców technologii, jako pracowników. Często zdarza się tak, że przyjęty w danej organizacji sposób funkcjonowania sfery IT nie jest do końca respektowany przez pracowników, którzy bez wiedzy pracodawcy samodzielnie wprowadzają i wykorzystują w pracy różne narzędzia IT. Ponieważ dostęp do technologii wydaje się łatwiejszy niż kiedykolwiek, a praca zdalna zyskuje na popularności tak bardzo, że została nawet uregulowana w Kodeksie pracy, powoduje to, że kontrola nad działaniami pracowników w sferze IT jest jeszcze trudniejsza. W rezultacie związane z tym ryzyka, takie jak nieuprawnione wykorzystanie danych, rosną.

Czym dokładnie jest zjawisko shadow IT?

Shadow IT nie jest ani nowym zjawiskiem, ani świeżo ukutym określeniem. Jest to sytuacja, w której pracownicy na własną rękę ingerują w sferę IT firmy zazwyczaj poprzez samodzielne zainstalowanie oprogramowania czy coraz popularniejsze obecnie korzystanie z aplikacji online, nie angażując osób odpowiedzialnych za ten obszar (np. dział bezpieczeństwa IT) lub obchodząc w ten sposób inne wytyczne przyjęte w danej organizacji. Tego rodzaju nieautoryzowane działanie pracowników, którzy nie posiadają na nie zgody, ale też odpowiedniej wiedzy czy umiejętności, naraża organizację na kłopoty - w tym prawne.

Kiedy w praktyce możemy mieć do czynienia ze zjawiskiem shadow IT?

Michał jest pracownikiem niedużej firmy działającej w branży e-commerce. Pracując na stanowisku specjalisty ds. e-commerce w firmie takich rozmiarów, ma sporo na głowie. Firma jest ambitna - chce się rozwijać i rosnąć, dlatego kładzie coraz większy nacisk na marketing. Z tego powodu również od Michała oczekuje się podejmowania coraz większej ilości działań marketingowych.

Sytuację, w jakiej się znalazł i wymagania rosnące proporcjonalnie do ambicji wzrostu firmy, Michał skonsultował z chatbotem działającym z wykorzystaniem sztucznej inteligencji. Wśród wielu linijek odpowiedzi chatbot wygenerował jedno słowo, mające stać się kluczem do sukcesu i wydajności pracy Michała: automatyzacja.

Dalej było już z górki, kilka kolejnych promptów w ramach rozmowy z chatbotem, kilka haseł wpisanych do wyszukiwarki internetowej i jeden cel - Michał liczy na to, że znajdzie bezpłatne i profesjonalne narzędzie automatyzacji działań marketingowych (kolejność cech narzędzia nieprzypadkowa).

Pracy jest dużo, oczekiwań rezultatów od Michała również. Co prawda w firmie nie funkcjonuje dział IT, ale pracodawca polecił Michałowi, aby sprawy z tego zakresu (np. konfiguracja sprzętu IT, czy instalacja potrzebnego oprogramowania na firmowym komputerze), załatwiał ze wskazanym zewnętrznym dostawcą takich usług, które w firmie zostały outsourcowane.

Jak dotąd Michał nawet sumiennie kierował tematy IT do wskazanej zewnętrznej firmy, ale do czasu. Co prawda pracownicy firmy IT zawsze sprawnie i zdalnie radzili sobie z wszelkimi kwestiami dotyczącymi komputera Michała, tyle że procedura potrafiła zająć nawet kilka godzin - od przesłania e-mailem zgłoszenia, poprzez ustalenie terminu działania i pracę nad zgłoszeniem - czasem rozłożoną na kilka zdalnych połączeń z komputerem Michała - do sprawdzenia, czy wszystko działa jak trzeba i dopiero zamknięcia danego taska.

Dla Michała czas jest jednak na wagę złota bardziej niż kiedykolwiek, a kto obecnie nie potrafi instalować programu komputerowego, czy zarejestrować się na platformie online, aby skorzystać z narzędzi działających w chmurze? Wystarczy zaakceptować wyskakujące okienka z informacją o wyrażeniu zgody na instalację albo po prostu zarejestrować się na danej platformie (co do właściwego postępowania w odniesieniu do treści warunków korzystania z narzędzi tego rodzaju - na przykładzie narzędzi opartych o sztuczną inteligencję - przeczytaj nasz wpis tutaj). Michał potrafi i tak też zrobił - zainstalował na komputerze nowe oprogramowanie, zarejestrował się też do aplikacji działającej w ramach cloud services. Teraz marketing będzie robił się sam dzięki automatyzacji. Mimo że osoby odpowiadające za IT w firmie Michała powinny wiedzieć co Michał zamierza, zanim jeszcze podjął swoje działanie. Z punktu widzenia jego pracodawcy nie jest pozbawione znaczenia z jakich aplikacji i innych narzędzi pracy IT pracownicy tacy jak Michał korzystają...

Przedstawiony powyżej scenariusz to przykładowe zobrazowanie sytuacji, w której mamy do czynienia z shadow IT. Wykorzystywanie oprogramowania innego niż odpowiednio zatwierdzone przez pracodawcę, ignorowanie wytycznych co do tego, jakie aplikacje mogą być w danej organizacji używane, korzystanie z innej niż firmowej sieci, lub uzyskiwanie dostępu do firmowych zasobów poprzez logowanie się do nich z wykorzystaniem prywatnego adresu e-mail (np. do Google Drive) - shadow IT może przybrać wiele różnych formy.

Każdy przypadek sprowadza się jednak do braku kontroli nad sferą IT przez osoby odpowiadające za nią albo naruszenia innych przyjętych w danej organizacji dla tej sfery wytycznych, będące konsekwencją samowolnego działania pracownika.

Złego dobre początki - skąd bierze się shadow IT?

Zjawisko shadow IT często nie wynika ze złej woli pracownika, lecz motywowane jest chęcią szybkiego i samodzielnego uporania się z zaistniałym w przestrzeni IT zagadnieniem. Jeśli jednak pracownik wykorzystuje firmowy sprzęt lub inne zasoby pracodawcy w taki niewłaściwy sposób, skutki mogą być różne.

Mimo że shadow IT nie zawsze musi prowadzić do negatywnych konsekwencji i może nawet usprawnić działanie pracownika - zwiększyć szybkość jego pracy, to pójście na skróty i pominięcie właściwej ścieżki działania oraz korzystanie z oprogramowania/aplikacji nieautoryzowanych, czy inne niewłaściwe działanie pracownika w tej sferze, powoduje, że zagrożone staje się firmowe bezpieczeństwo IT. Powstaje tym samym ryzyko wystąpienia negatywnych skutków zarówno po stronie pracodawcy, jak i pracownika. Korzyści mogą być krótkotrwałe i niewielkie w porównaniu z potencjalny ryzykiem, jakie przy okazji wygeneruje shadow IT.

Konsekwencje prawne shadow IT

Zagrożenia związane z Shadow IT to nie tylko narażanie się na zakłócenia wewnętrznych procesów danej organizacji, ale też naruszenia przepisów prawa i wynikająca z tego odpowiedzialność. Związane z shadow IT ryzyka prawne można podzielić ze względu na podmiot, który ponosi za nie odpowiedzialność.

Odpowiedzialność pracownika za działanie w ramach shadow IT

W przypadku zarówno pracownika w rozumieniu Kodeksu pracy, jak i pracownika współpracującego na podstawie umowy cywilnoprawnej, z reguły odpowiedzialność za ich działanie w pierwszej kolejności będzie ponosić firma zatrudniająca tych pracowników.

Taka firmowa odpowiedzialność może powstać na różnych płaszczyznach. Przykładowo, jeśli wskutek zjawiska shadow IT wyciekłyby objęte poufnością krytyczne dane kontrahenta, wówczas ta odpowiedzialność dotyczyłaby sfery odszkodowawczej firmy. Jeżeli jednak wyciek danych obejmowałby dane osobowe, firma naraziłaby się na kary finansowe ze strony Prezesa Urzędu Ochrony Danych Osobowych.

Niebezpieczne zjawisko shadow IT dotyczy każdej organizacji

Warto zdać sobie sprawę z tego, że obecnie niemal każdy przedsiębiorca w zakresie swojej działalności pozostaje zdany na korzystanie z różnego rodzaju oprogramowania, aplikacji czy urządzeń IT.

Jeśli okoliczności prowadzenia danej działalności są takie, że przedsiębiorca może nie mieć pełnej kontroli nad aspektami IT w swojej firmie - bo przykładowo nie jest jednoosobowym przedsiębiorcą niezatrudniającym żadnych pracowników - to wówczas różnice sprowadzają się głównie do skali uzależnienia od różnych urządzeń i oprogramowania, a w konsekwencji rozmiarów ewentualnych szkód, jakie shadow IT może danej organizacji wyrządzić.

Jak chronić się przed shadow IT?

Całkowite wyeliminowanie ryzyka związanego z shadow IT jest niemożliwe. Niemniej pracodawca powinien wiedzieć z jakich narzędzi IT jego pracownicy korzystają, aby móc dbać o zachowanie nad tą sferą odpowiedniej kontroli i tym samym zminimalizować zagrożenia związane z shadow IT.

Rozwiązania jakie w tej mierze można przyjąć, to przykładowo odpowiednie zarządzanie uprawnieniami użytkowników firmowych komputerów. Pomóc mogą również regularne szkolenia z zakresu bezpieczeństwa IT. Z technicznego punktu widzenia warto skonsultować ten temat ze specjalistami z dziedziny bezpieczeństwa IT.

Punktem wyjścia pozostaje jednak profilaktyka - tworzenie jasnych wytycznych i zasad dotyczących funkcjonowania IT w danej organizacji, ale w szczególności budowanie wśród pracowników świadomości istnienia zjawiska shadow IT. Z jednej strony chodzi o spójność i niezakłócone działanie ekosystemu IT w danej firmie, z drugiej zaś jej bezpieczeństwo prawne.

Zgodnie z zasadą "lepiej zapobiegać niż leczyć", zamiast martwić się ryzykiem wypłaty potencjalnego odszkodowania, warto z wyprzedzeniem podjąć odpowiednie kroki, aby zminimalizować ryzyko powstania szkody.

{{widget6}}

Źle podpisana umowa online może być nieważna

Ryzykujesz czy wolisz mieć pewność? Skontaktuj się z nami i sprawdź jak poprawnie podpisywać umowy online

Nie wiesz jak wdrożyć przepisy o ochronie sygnalistów?

Nasi specjaliści są gotowi, żeby: 1. przygotować procedurę wewnętrzną obsługi zgłoszeń; 2. wdrożyć przepisy o ochronie sygnalistów 3. przeprowadzić szkolenie 4. pełnić funkcję osoby odpowiedzialnej za przyjmowanie i obsługę zgłoszeń

Nie wiesz jak napisać umowę NDA, która zabezpieczy interesy Twojej firmy?

Dlatego zajmiemy się tym za Ciebie. Skontaktuj się z nami i przekonaj się:)

Nie wiesz jak dostosować się do DSA?

skontaktuj się z naszymi specjalistami. Powiemy Ci co zrobić, żeby być zgodnym z DSA.

Wiemy, że nie masz czasu ani ochoty zajmować się likwidacją spółki

Dlatego zajmiemy się tym za Ciebie. Skontaktuj się z nami i sprawdź jak bezpiecznie i szybko zlikwidować spółkę zoo.

Nie wiesz jak dobrze udzielić licencji albo przenieść prawa autorskie?

Skorzystaj z naszego wieloletniego doświadczenia. Pomożemy Ci przygotować albo wynegocjować korzystną umowę licencyjną albo umowę przenoszącą majątkowe prawa autorskie.

Chcesz zarejestrować znak towarowy z dofinansowaniem SME Fund?

skontaktuj się nami! Nasz rzecznik patentowy odpowie na Twoje pytania, wyjaśni w jaki sposób skorzystać z dofinansowania oraz przeprowadzi Cię przez cały proces rejestracji znaku towarowego.

chcesz reklamować alkohol w Internecie ale nie wiesz jak?

skontaktuj się nami! odpowiemy na Twoje pytania, m.in. - jeżeli jesteś agencją digital i chcesz reklamować markę alkoholową w SoMe - jesteś e-commerce i nie wiesz jak prezentować alkohol w swojej ofercie - jesteś marketplace i nie wiesz jak wprowadzać merchantów alkoholowych do portalu i jak prezentować ich ofertę

chcesz wiedzieć więcej o odpowiedzialności członka zarządu?

skontaktuj się nami! odpowiemy na Twoje pytania, doradzimy jak możesz się zabezpieczyć

Potrzebujesz wsparcia przy checkboxach w swoim sklepie internetowym?

dla nas to piece of cake :) skontaktuj się nami!

Potrzebujesz wsparcia przy tworzeniu regulaminu na Twoją stronę internetową?

Stać Cię na profesjonalne wsparcie naszych prawników. Wykorzystamy nasze najlepsze doświadczenie i stworzymy regulamin dopasowany do twoich potrzeb oraz specyfiki strony.

Potrzebujesz term sheet i nie wiesz jak się do tego zabrać?

Stać Cię na profesjonalne wsparcie naszych prawników. Wykorzystamy naszej najlepsze doświadczenie transkacyjne, żeby przygotować term sheet, który będzie dopasowany do Twoich potrzeb i do Twojej transakcji.

Planujesz ekspansję Twojego biznesu do Polski i potrzebujesz zaufanego partnera?

Skorzystaj z naszego doświadczenia we wprowadzaniu zagranicznych za Polski rynek. Zyskaj sprawdzonego i doświadczonego partnera w rozwoju Twojego biznesu w Polsce

Potrzebujesz wsparcia w umową przeniesienia praw autorskich?

Skontaktuj się z nami jeżeli: - masz już umowę, ale nie wiesz czy zabezpiecza ona Twoje interesy; - chcesz zbyć / nabyć prawa autorskie ale nie masz umowy;

SHADOW IT dotyczy Twojej firmy?

Skontaktuj się z nami i odzyskaj kontrolę nad tym, w jaki sposób Twoi pracownicy korzystają z narzędzi AI.

potrzebujesz wsparcia przy tworzeniu regulaminu SaaS?

Skontaktuj się z nami. odpowiemy na Twoje pytania i zaproponujemy wsparcie.

Zastanawiasz się, czy narzędzia AI, z których korzystasz w firmie są bezpieczne?

Skontaktuj się z nami. odpowiemy na Twoje pytania albo zaproponujemy szkolenie z bezpieczeństwa korzystania z AI

Nie wiesz jak reklamować wyroby medyczne zgodnie z przepisami?

Skontaktuj się z nami. Odpowiemy na Twoje pytania, doradzimy jak reklamować wyroby medyczne zgodnie z nowymi wymogami

Zastanawiasz się jak legalnie wykorzystać treści stworzone z pomocą AI?

Nie tylko doradzamy w kwestiach prawnych związanych z AI, ale sami korzystamy z narzędzi wykorzystującej sztuczną inteligencję w codziennej działalności kancelarii. Chętnie podzielimy się swoimi doświadczeniami.

Nie wiesz jak prawidłowo informować klientów o obniżkach cen?

Przebrnięcie przez wytyczne UOKiK dot. informowania o obniżkach cen to nie lada wyczyn. Nawet dla nas, prawników. Oszczędź swój czas i miej pewność, że działasz zgodnie z przepisami. Skontaktuj się ze mną! Umówienie spotkania zajmie Ci mniej niż 2 minuty! Wspólnie znajdziemy najlepsze rozwiązanie dla Ciebie i Twojego biznesu

Skonsultuj się z ekspertem

Mierzysz się z zagadnieniem, o którym piszemy w tym artykule? Chcesz wiedzieć więcej? Skontaktuj się ze mną! Umówienie spotkania zajmie Ci mniej niż 2 minuty! Wspólnie znajdziemy najlepsze rozwiązanie dla Ciebie i Twojego biznesu

Udostępnij ten post

Zobacz także

Regulaminy korzystania z narzędzi AI - po co je czytać?

Regulaminy korzystania z narzędzi AI - po co je czytać?

Dlaczego powinieneś przeczytać regulamin narzędzia AI z którego korzystasz? Jakie to ma znaczenie dla bezpieczeństwa Twojego, Twojej firmy albo Twoich pracowników? Ten artykuł odpowiada na te pytania.
Marcin Lisowski
Marcin Lisowski
7 sierpnia 2023
Co powinien zawierać regulamin SaaS (Software as a Service)? 15 niezbędnych elementów

Co powinien zawierać regulamin SaaS (Software as a Service)? 15 niezbędnych elementów

Jeżeli tworzysz lub posiadasz aplikację w modelu SaaS i zastanawiasz się co powinien zawierać Twój regulamin, ten artykuł jest dla Ciebie.
Aleksandra Rojek
Aleksandra Rojek
01.09.2023
Spółka z o.o. – kompendium wiedzy

Spółka z o.o. – kompendium wiedzy

Wszystko, co musisz wiedzieć o spółce z ograniczoną odpowiedzialnością zebrane w jednym miejscu!
Justyna Chmielińska
Justyna Chmielińska
07 września 2023

Let's work together

Dziękujemy! Twoje zgłoszenie zostało wysłane!
Ups! Coś poszło nie tak podczas przesyłania formularza.