סקירה מקיפה על האתגר הניהולי של Shadow IT כשימוש בטכנולוגיות לא מאושרות בארגון, גורמים ודוגמאות לכשלים ובחינת ההשלכות, השוואה בינלאומית, בחינת תפקידי ה-CIO, CISO, ההנהלה הבכירה והדירקטוריון וכן דרכי התמודדות ארגוניות עם Shadow IT: אכיפה, הכשרה, BYOD וניטור והצעת אסטרטגיה ניהולית להתמודדות עם Shadow IT בארגון.

לסקירה תמציתית, בקרו בקישור.

בעידן הנוכחי של טרנספורמציה דיגיטלית ועבודה היברידית, ארגונים מתמודדים עם תופעה רחבה של שימוש בכלים וטכנולוגיות דיגיטליות שאינן מאושרות על-ידי מחלקת ה-IT של הארגון. תופעה זו, המכונה "Shadow IT" (לעיתים בעברית: "מחשוב צללים"), זוכה לתשומת לב גוברת בשל השפעותיה המשמעותיות על ניהול הטכנולוגיה, אבטחת המידע, והתנהלות ארגונית. מחקרים מצביעים על כך שחלק ניכר מהעובדים בעולם משתמשים לפחות בכלי חיצוני אחד לצורכי עבודה מבלי שקיבלו אישור לכךsheffield.pressbooks.pub. למשל, דו"ח אחד מצא כי כמעט מחצית מהעובדים (42%) עושים שימוש בחשבונות דוא"ל פרטיים לעבודה, יותר משליש משתמשים בפלטפורמות מסרים מידיים או שירותי אחסון ענן אישיים לצרכים מקצועייםzluri.com. גם מגפת הקורונה ועבודה מרחוק תרמו להתרחבות התופעה: ארגונים דיווחו על האצה באימוץ כלים דיגיטליים ענניים וגידול בסיכוני אבטחה נלווים בתקופת המעבר לעבודה ההיברידיתitnews.co.il. לנוכח היקפה הרחב של התופעה והסיכונים הפוטנציאליים הנלווים אליה – החל מדליפת מידע רגיש ועד פגיעה בשליטה הניהולית – גובר הצורך בהבנה מעמיקה ובגיבוש מענה ארגוני הולם. במאמר זה נציג סקירה מקיפה של תופעת ה-Shadow IT מזוויות שונות: ניהול טכנולוגיה, אבטחת מידע, התנהגות ארגונית ותרבות דיגיטלית, תוך הישענות על ספרות אקדמית וממצאי מחקרים עדכניים מהעולם ומישראל. נסיים בהצעה לאסטרטגיה ניהולית להתמודדות אפקטיבית עם התופעה, לצד מסקנות והמלצות ישימות למנהלים.

הגדרת Shadow IT והקשר לעולם העבודה ההיברידי

Shadow IT הוא מונח המתייחס לשימוש במערכות, בתוכנות, ביישומים או בהתקני חומרה במסגרת ארגונית ללא אישור או פיקוח של מחלקת ה-IT הרשמיתsheffield.pressbooks.pub. למעשה, מדובר בכלי מחשוב המצויים "בצללים" של הארגון – חלקם אף משתלבים בתהליכי העבודה – אך אינם ידועים למערך ה-IT או שאינם נמצאים תחת ניהולם ותמיכתם. בהגדרה קלאסית: "Shadow IT הוא תוספת ל-IT הרשמי בדמות מערכות ויחידות אוטונומיות המפותחות ומופעלות במחלקות העסקיות, ללא ידיעת, תמיכת או אישור מחלקת ה-IT" sheffield.pressbooks.pub. תופעה זו משיקה למונחים נוספים כדוגמת "IT פרטי/חבוי" ו-"Feral IT", אם כי בעולם המחקר והפרקטיקה התבסס השימוש במונח Shadow IT בשל נייטרליותו היחסיתsheffield.pressbooks.pub.

המעבר לעבודה מרחוק והתרחבות המודל ההיברידי בשנים האחרונות העצים את תופעת ה-Shadow IT. כאשר עובדים פרוסים מחוץ למשרדי החברה, לעיתים קרובות בביתם, גדלה הנטייה להסתמך על כלים אישיים ועל שירותי ענן זמינים כדי למלא משימות יומיומיותsheffield.pressbooks.pub. עובדים הביאו עימם למרחב העבודה הדיגיטלי הרגלים וטכנולוגיות ששימשו אותם בחייהם הפרטיים, ובמקביל גם לקוחות ושותפים עסקיים החלו להזמין עובדים להשתמש בפלטפורמות המועדפות עליהםsheffield.pressbooks.pub. סביבת העבודה ההיברידית המאופיינת בגמישות מרחבית וזמינות גבוהה של אינטרנט מכל מקום, יצרה מציאות שבה עובדים יכולים בקלות לעקוף מגבלות ארגוניות: כל עובד בעל חיבור אינטרנט יכול להרשם באופן עצמאי לכל שירות SaaS (תוכנה כשירות) או להשתמש באפליקציה ללא קושי טכני מיוחדtechtarget.com. הזמינות הגבוהה של פתרונות ענן (SaaS, וכן תשתיות ופלטפורמות ענן) הפחיתה את התלות במחלקת ה-IT לפריסה והטמעה של כלי תוכנה, ובכך הנמיכה את הרף לחדירת Shadow IT לארגוןtechtarget.com. במילים אחרות, העולם ההיברידי והענני יצר כר פורה להתרחבות תופעת Shadow IT: עובדים מחוץ לטווח הפיקוח הישיר, נגישות גבוהה לטכנולוגיות, וצורך להתאים במהירות את כלי העבודה – כל אלו חברו יחד להגברת השימוש בכלים לא-מאושרים בתוך ארגונים.

חשוב להדגיש ש-Shadow IT יכול לכלול מגוון רחב של אמצעים: החל מתוכנות ענן ושירותי רשת, עבור באפליקציות מובייל, ועד מכשירי חומרה אישיים המחוברים לרשת הארגונית. הדגש המשותף הוא העקיפה של המנגנונים הרשמיים – אותם כלי Shadow IT אינם כפופים למדיניות ה-IT הארגונית, לעדכוני האבטחה השוטפים או לתהליכי בקרה ותמיכה שוטפת. בהמשך נבחן ממצאי מחקר עדכניים המדגימים עד כמה התופעה נפוצה, מה מניע אותה, ואילו סיכונים והשלכות היא מביאה עימה.

סקירת ספרות ומחקרים עדכניים

התופעה של Shadow IT זוכה למחקר אקדמי מזה למעלה מעשור, עם גידול משמעותי בהתעניינות החוקרים החל משנת 2010 ואילךsheffield.pressbooks.pub. סקירות ספרות מקיפות שהתפרסמו בשנים האחרונות מציירות תמונה עשירה של גוף הידע הנצבר. כך למשל, Klotz ועמיתיו (2019) סקרו 126 מאמרים שעסקו ב-Shadow IT עד 2017, והדגישו את המגוון הרחב של סוגי המערכות הלא-רשמיות, תוך הישענות על טקסונומיה שהציע Kopper (2016)sheffield.pressbooks.pub. סקירה שיטתית נוספת על-ידי Raković (2020) ניתחה כ-90 מאמרים, עם דגש מיוחד על הסוגיות הניהוליות שמעוררת התופעה ועל אסטרטגיות התמודדות שונותsheffield.pressbooks.pub. סקירות אלו ואחרות מעידות שהספרות האקדמית בוחנת את Shadow IT ממגוון היבטים: גורמי ההופעה והאימוץ של Shadow IT, הסיכונים והתועלות הפוטנציאליים, וגישות הממשל (governance) והמדיניות לטיפול בה.

היקף התופעה. מחקרים עדכניים מאשרים כי Shadow IT הוא תופעה נפוצה מאוד בארגונים. סקרים בינלאומיים מראים כי רוב העובדים מודים בשימוש מסוים בכלי IT חיצוני לצורכי עבודתם. לפי סקר של חברת Gigacom, 81% מהעובדים בכלל הארגונים (Line-of-business employees) דיווחו שהם משתמשים בשירותי SaaS ללא אישורblog.axway.com. נתון דומה עלה במחקר של חברת PMG בארה"ב, שדיווח כבר בשנת 2014 כי 53% מאנשי ה-IT סבורים שכל מחלקות הארגון "נשענות במידה רבה" על טכנולוגיות לא-מורשות כלשהןblog.axway.com. מחקר אחר מדווח כי כ-80% מהעובדים בעולם משתמשים בלפחות אפליקציה אחת שאינה באישור ה-ITsheffield.pressbooks.pub – אינדיקציה ברורה לכך שלא מדובר במקרי קיצון בודדים אלא בנורמה רווחת. גם בישראל הנתונים מצביעים על מגמה דומה. סקר מנהלי טכנולוגיה בארגונים (מחקר שבוצע עבור חברת הסטארטאפ הישראלית Torii בדצמבר 2021–ינואר 2022) מצא כי 69% ממנהלי הטכנולוגיה רואים ב-Shadow IT דאגת אבטחה בעדיפות עליונה בכל הנוגע לאימוץ יישומי ענן (SaaS)itnews.co.il. מרבית הנשאלים באותו סקר הודו כי נאלצו לבצע חריגות ממדיניות האבטחה של יישומי הענן בארגונם, כאשר ב-80% מהמקרים הסיבה לחריגה הייתה אימוץ יישומים על-ידי עובדים מחוץ למסגרת פעילות צוות ה-ITitnews.co.il. ממצאים אלה מראים ש-Shadow IT אינו תרחיש נדיר אלא מציאות יומיומית גם בארגונים מנוהלים היטב.

מגמות חדשות במחקר. המחקר האקדמי העדכני מתחיל להתייחס גם לתופעות משנה חדשות, כגון "Shadow AI" – שימוש בכלי בינה מלאכותית (לדוגמה, ממשקי ChatGPT) ללא פיקוח או אישור ארגוני. סקר גלובלי שנערך בשנת 2023 מצא כי 55% מהעובדים הודו שהשתמשו בכלי AI גנרטיביים בעבודה ללא אישורtanium.comtanium.com, עניין המעורר דאגה חדשה בקרב מנהלי אבטחת מידע בשל סיכון לדליפת מידע רגיש למערכות חיצוניות. ארגונים מובילים אף נקטו צעדים נגדיים: לדוגמה, בסמסונג התגלה שמפתחים הזינו קוד מקור סודי ל-ChatGPT, מה שאילץ את החברה להגביל מיד את הגישה לכלי זה מחשש לחשיפת סודות מסחרייםauvik.com. דוגמה זו ממחישה כיצד הנטייה ל"אימוץ צללים" מתרחבת גם לטכנולוגיות חדשות, ומדגישה את האתגר המתמיד של הארגון לעמוד בקצב ההתחדשות הטכנולוגית תוך הבטחת משטר בקרה נאות.

פרופיל המשתמשים ב-Shadow IT. מחקרים וסקרים מספקים תובנות לגבי אילו קבוצות עובדים נוטות במיוחד לאמץ Shadow IT. ממצא חוזר הוא שהדורות הצעירים יותר בכוח העבודה נוטים יותר לעקוף את מערכות ה-IT הרשמיות: למשל, סקר של Beezy משנת 2023 מצא ש-54% מהעובדים בני דור המילניום (ילידי שנות ה-80–90) דיווחו על שימוש בכלים לא-מאושרים, לעומת ~38% בדור ה-X ו-33% בדור ה-Zzluri.com. בני הדור המבוגר (בייבי בומרס) היו השמרנים ביותר – רק כ-15% מהם העידו על Shadow ITzluri.com. יחד עם זאת, ייתכן שהדורות הצעירים גם פשוט מודעים פחות למדיניות: סקר גלובלי עבור HP (2021) הראה ש-39% מהעובדים הצעירים (גילאי 18–24) אינם בטוחים מהי מדיניות אבטחת המידע בארגוןauvik.com, וכמחצית מהם סבורים ש"הקפדה על דדליינים חשובה יותר מציות למדיניות אבטחה"auvik.com. יתרה מכך, 31% מהעובדים הצעירים באותו סקר הודו שהם באופן אקטיבי ניסו לעקוף אמצעי אבטחה של החברה כדי להשיג את מטרות עבודתםauvik.com. נתונים אלה מחזקים את ההבנה שהתופעה מונעת לא רק מזמינות הטכנולוגיה אלא גם מעמדות והתנהגויות של עובדים, במיוחד צעירים, שרואים לא פעם בכללי אבטחה הכבדה שמעכבת את עבודתםauvik.com. בהתאם לכך, חלק מהמחקר האקדמי המתפתח מתמקד בהיבטי התנהגות ארגונית ותרבות: מהם המניעים הפסיכולוגיים והארגוניים לשימוש ב-Shadow IT, ואילו הצדקות נותנים עובדים לעצמם בבחירה לחרוג ממדיניות ה-IT (למשל, הצדקות של "צריך לסיים את המשימה בזמן, גם במחיר עקיפת הכללים")zluri.comzluri.com.

ישראל מול העולם. בארץ, תופעת ה-Shadow IT זוכה בשנים האחרונות להתייחסות גם בקרב קהיליית ה-IT והסייבר. לצד הסקר של Torii (2022) שהוזכר לעיל, המתייחס ברובו לשוק הגלובלי, ניתן לציין כי במגזר ההייטק הישראלי – הידוע בגישתו היזמית והזריזה – יש פתיחות מסוימת לאימוץ מהיר של כלים חדשים, שלעיתים מתרחשת מלמטה על-ידי עובדים עוד לפני שהכלי הוטמע רשמית. עם זאת, נכון לכתיבת שורות אלו לא פורסמו נתונים כמותיים ייעודיים לגבי ישראל מעבר לסקרים הגלובליים. ניתן לומר בזהירות שהתמונה בישראל דומה לזו שבארה"ב ובאירופה: Shadow IT נפוץ במיוחד בענפי טכנולוגיה, פיננסים ושירותים מקצועיים, בהם עובדים נוטים להתמצא בטכנולוגיה ולהרגיש בנוח לאלתר פתרונות באופן עצמאי. מנגד, במגזר הציבורי ובארגונים מסורתיים ייתכן שהשמרנות הארגונית מצמצמת במידת מה את היקף התופעה – אולם גם שם היא בהחלט קיימת, למשל שימוש נרחב ב-WhatsApp לתקשורת פנימית במשרדי ממשלה וחברות ממשלתיות, חרף הסיכונים והיעדר הפיקוחthemarker.com. מאמר ב-TheMarker ציין מקרה שבו עתירה משפטית דרשה לחשוף תכתובות עבודה שהתנהלו באפליקציית WhatsApp בין שר בממשלה לבין עובד מדינה, מה שהעלה שאלות משפטיות בנוגע לשקיפות ולשמירת רשומות רשמיות בעידן של ערוצי תקשורת לא פורמלייםthemarker.com. דוגמה זו ממחישה כיצד בישראל – כמו בעולם – שיקולים של נוחות וזמינות גוברים לעיתים על שיקולי רגולציה או אבטחה, והגבולות בין הכלים האישיים למקוּבלים מיטשטשים.

לסיכום סקירת הספרות, המחקרים העדכניים ממחישים את מרכזיות התופעה: Shadow IT הוא אתגר אמיתי ומתמשך, הנחקר הן על-ידי אקדמיה והן על-ידי גופי תעשייה. בחלק הבא נבחן דוגמאות קונקרטיות נפוצות של Shadow IT, על מנת להמחיש הלכה למעשה כיצד תופעה זו מתבטאת ביום-יום הארגוני.

דוגמאות נפוצות לתופעת Shadow IT

Shadow IT מתגלם במגוון רחב של כלים ופעולות יום-יומיות של עובדים. דוגמאות בולטות כוללות: שימוש בתיבות דואר אלקטרוני פרטיות (כגון Gmail, Yahoo) לצרכי עבודה במקום חשבון הדוא"ל הארגוני; אחסון ושיתוף קבצים דרך שירותי ענן אישיים כדוגמת Dropbox, Google Drive או OneDrive פרטי, במקום שימוש במערכת ניהול הקבצים המאושרת של החברה; שימוש בכלי ניהול משימות ופרויקטים חיצוניים כמו Trello או Asana ללא ידיעת ה-IT; ואימוץ פלטפורמות תקשורת והודעות פרטיות כגון WhatsApp, Telegram, Signal, Slack או Zoom בחשבונות פרטיים, לצורך תקשורת עם עמיתים ולקוחותsheffield.pressbooks.pub. למעשה, סקר אחד מצא כי 38% מהעובדים מתקשרים בענייני עבודה דרך אפליקציות מסרים מידיים אישיות לא מאושרות (כדוגמת WhatsApp), וכ-35% משתמשים בכלי ועידה וידאו או אחסון ענן שאינם ברשימת הכלים המאושרים של הארגוןzluri.com. גם כלי אופיס מקומיים יכולים להפוך ל-Shadow IT אם השימוש בהם חורג מהנהלים – דוגמה ידועה היא העובד שמשתמש בגיליון Excel אישי כמסד נתונים לניהול מידע עסקי במקום להשתמש במערכת הארגונית הייעודית, ובכך יוצר "אי" מידע פרטי.

בנוסף לתוכנות ושירותי ענן, יש לזכור ש-Shadow IT כולל גם התקנים פיזיים ואמצעי חומרה. דוגמה פשוטה היא שימוש ב-Disk-on-Key או בכונן USB אישי להעברת קבצים רגישים בין מחשבים, מחוץ למערכת הניטור הארגוניתsheffield.pressbooks.pub. בהיבט החומרה, Shadow IT יכול להתבטא גם בעובדים שמחברים לרשת החברה מכשירים פרטיים (כמו טאבלטים, מדפסות או מצלמות רשת) ללא תיאום – כל חומרה "זרה" כזו עלולה להיחשב כציוד Shadow IT משום שלא עברה בדיקות תאימות ואבטחה של ה-IT.

חשוב להדגיש שלא תמיד אימוץ הכלים הללו נעשה בכוונה תחילה להפרת הכללים. פעמים רבות Shadow IT מתחיל באופן "תמים" – עובד נתקל בצורך אמיתי ולא מוצא מענה מהיר או מספק במערכות הפורמליות, ולכן פונה לכלי זמין שמוכר לו מחוץ לעבודהblog.axway.com. לדוגמה, כאשר צריך לשלוח קובץ גדול ואין בהישג יד פתרון FTP מאובטח מטעם הארגון, העובד עשוי להעלות את הקובץ ל-Google Drive פרטי ולשתף לינק עם עמיתיו. מנקודת מבטו זו פעולה פרודוקטיבית לגיטימית – "הייתה לי משימה והייתי חייב לסיים אותה, זה היה הכי מהיר ונוח" – אך מבחינת הארגון זוהי חריגה המסכנת את שליטת החברה על הנתונים.

במקרים רבים כלי Shadow IT נטמעים בשגרת העבודה מבלי שמישהו "ירים דגל אדום". לדוגמה, צוות שיווק קטן עשוי להתחיל להשתמש בתוכנת עיצוב גרפי חינמית מהאינטרנט בשל נוחות שימוש, או מחלקת משאבי אנוש שמנהלת רשימות אקסל בענן פרטי כדי לעקוב אחר מועמדים, במקום במערכת הגיוס הרשמית. דפוסים כאלה יכולים להתקבע ולהפוך לחלק אינטגרלי מתהליכים עסקיים, ואז קשה עוד יותר לאתרם ולשרשם. כפי שמתאר זאת דו"ח אחד: יישומי Shadow IT "מהווים חלק מארגז הכלים הטכנולוגי של החברה אך אינם מוכרים לצוותי ה-IT והאבטחה, ולכן לא מאושרים על-ידם – ובכך חושפים את החברות לסיכונים משמעותיים" itnews.co.il. הדבר נכון במיוחד בסביבה שבה עובדים רוכשים בעצמם תוכנות ענן: באותו סקר של Pulse/Torii, 52% מהמשיבים דיווחו שעובדים בארגונם נוהגים לרכוש ולהתקין יישומי SaaS באופן עצמאי מבלי ליידע את מחלקת ה-IT, ו-36% ציינו שאפילו מנהלים עסקיים עושים זאת לעיתיםitnews.co.il. נתון זה מסביר מדוע בארגונים רבים, רשימת התוכנות שבשימוש בפועל ארוכה לאין שיעור מרשימת התוכנות שידועה רשמית למחלקת ה-IT.

לסיכום, דוגמאות Shadow IT מקיפות מנעד רחב: מחשבוני Google שמחליפים מערכות כספים, קבוצות וואטסאפ במקום דוא"ל או צ'אט מאובטח, מסמכי Google Docs אישיים במקום שרתי קבצים ארגוניים, ועוד כהנה וכהנה. בחלק הבא ננתח מדוע תופעות אלו מתרחשות – מהם הגורמים המניעים עובדים ויחידות עסקיות לעקוף את מערכות ה-IT הממוסדות.

גורמים מניעים לתופעת Shadow IT

ניתוח הסיבות והתמריצים לעליית Shadow IT מצביע על שילוב של גורמים טכנולוגיים, ארגוניים ותרבותיים. להלן הסיבות העיקריות, כפי שעולות ממחקרים וסקרים, שבעטיין עובדים פונים לכלים לא-מאושרים:

  • פערים טכנולוגיים וכלי IT בלתי מספקים: אחד המניעים המרכזיים הוא תחושת חוסר סיפוק מצי הכלים הטכנולוגיים שמספק הארגון. כאשר המערכות הרשמיות אינן עונות במלואן על צורכי המשתמש – למשל, איטיות, ממשק מיושן, פונקציות חסרות – העובדים מחפשים חלופות יעילות יותר. בסקר גלובלי שנערך ב-2023 נמצא שרק 42% מהעובדים מרוצים לחלוטין מכלי העבודה הדיגיטליים שהחברה מעמידה לרשותםzluri.com. למעשה, רוב העובדים (58%) דיווחו על אי-שביעות רצון מרמת הטכנולוגיה הקיימת, כאשר בני דור ה-Z וה-Y במיוחד מצאו את הכלים הארגוניים "מתסכלים, מקולקלים או בלתי אמינים"zluri.com. חוויית משתמש ירודה בכלי הפנים-ארגוניים דוחפת עובדים לאמץ כלים חיצוניים שבהם הם שולטים טוב יותר או הנתפסים כמודרניים ונוחים יותר. המחקר גם מלמד על כפילויות: במקרים רבים ארגונים סובלים מריבוי מערכות בעלות תפקיד דומה, בין היתר משום שעובדים אימצו ביוזמתם כלים חלופיים. למשל, הובחן ש-39% מאנשי השיווק בארגונים רואים חוסר יעילות בגלל "אפליקציות כפולות" – כלומר, שימוש במקביל ביותר מכלי אחד לאותה מטרה, לעיתים אחד רשמי ואחד "בצללים"auvik.com. כפילויות אלה מעידות שהכלי הרשמי לא תמיד מתאים בדיוק לצורכי כל המשתמשים, מה שגורם למחלקות שונות לחפש אלטרנטיבות.
  • מהירות וזמינות מול ביורוקרטיה (לחצי זמן): תרבות האינטרנט והתוכנה כשירות יצרה ציפייה לזמינות מיידית של פתרונות. בעולם עסקי תחרותי, לחץ לעמוד בלוחות זמנים ולהגיב במהירות עלול לגרום לעובדים לוותר על הפרוטוקול. לפי מחקר HP (2021), 91% מהצוותים בארגונים מרגישים לחץ להעדיף את רציפות ותפוקת העסק על פני שיקולי אבטחהzluri.com. כאשר משימה דחופה עומדת על הפרק, העובד ניצב בפני דילמה: להמתין (אולי ימים או שבועות) עד שיחידת ה-IT תאשר או תספק כלי מתאים – או למצוא פתרון עצמאי כאן ועכשיו. לא מפתיע שרובם בוחרים באפשרות השנייה. מעבר לכך, הליך הרשאה פורמלי לכלי חדש עלול לכלול בירוקרטיה ממושכת (טפסים, ועדות, בדיקות תאימות ואבטחה), בעוד שבהרשמה עצמאית לשירות אונליין ניתן לקבל פתרון בתוך דקות. עובדה זו הובילה לכך ש-38% מהעובדים שזוהו בסקר אחד הסבירו שהניע אותם לשימוש ב-Shadow IT זמן התגובה האיטי של מחלקת ה-IT – התמשכות תהליכי התמיכה והאישור, שיצרה תסכול ודחפה אותם לפתרונות מהירים יותרzluri.com.
  • תרבות ארגונית וסובלנות לסיכון: התרבות הארגונית משפיעה במידה ניכרת על היקף ה-Shadow IT. בארגונים המאופיינים בחדשנות ויזמות פנימית, בהם עובדים מעודדים "לעשות מה שצריך" כדי להשיג תוצאות, הנטייה לשימוש בכלים עצמאיים גבוהה יותר. לעומת זאת, בארגונים בעלי תרבות היררכית ושמרנית, ייתכן שעובדים יהססו יותר לחרוג מהנהלים. עם זאת, אפילו בארגונים עם מודעות גבוהה לאבטחה, המציאות מראה שקשה לעקור לחלוטין את התופעה. דוח של Capterra מ-2023 מצא שב-37% מהארגונים אין בהירות לגבי ההשלכות שיוטלו על עובדים אם יפרו מדיניות IT וישתמשו בכלים לא מאושריםauvik.com. העדר אכיפה ברורה או ענישה קונקרטית יוצר במשתמע סובלנות כלפי התופעה. בנוסף, כאשר הדרג הניהולי הבכיר עצמו אינו מקפיד – למשל, מנהלים בכירים המשתמשים באפליקציות פרטיות או עוקפים את ה-IT – נוצרת "לגיטימציה שקטה" שעוברת גם לדרגי הביניים.
  • אי-מודעות וחינוך לקוי: חלק מהעובדים פשוט אינם מודעים לכך שהם עוברים על מדיניות הארגון או מה הסיכונים הכרוכים בכך. כפי שהוזכר, שיעור ניכר מהעובדים הצעירים מודה שאינו מכיר לעומק את נהלי אבטחת המידע של החברהauvik.com. בהעדר הדרכה, ייתכן שעובד לא יבין, למשל, שלשימוש בשירות אחסון ענן חינמי עלולות להיות השלכות רגולטוריות (כמו הפרת תקנות הגנת פרטיות). בנוסף, יש הרואים במדיניות ה-IT כמדכאת חדשנות: בסקר אחד 48% מהעובדים הצעירים טענו שמדיניות אבטחת המידע הנוכחית "מפריעה להם לעבוד בצורה יעילה"auvik.com. כאשר תפיסה כזו רווחת, עובדים משכנעים את עצמם שהשימוש בכלי לא-מאושר הוא מעשה נסבל, אם לא לגמרי תקין. יש גם תופעה של הרגלים אישיים – עובדים המגיעים לארגון עם סט כלים מועדף שהם משתמשים בו בחייהם הפרטיים (למשל, אפליקציית רישום משימות בטלפון), ייטו להמשיך להשתמש בהם בעבודה מתוך נוחות והרגל, בלי לחשוב על אישורים.
  • עולם העבודה ההיברידי וריחוק מצוות ה-IT: כאמור, עבודה מרחוק מקשה על מתן תמיכה טכנית צמודה לכל עובד. בסקר שנערך בקרב מנהלי IT ב-2022, 39% מהם העידו שעבורם מתן תמיכה לעובדים מרוחקים הוא אתגר גדול ביותרzluri.com. המשמעות היא שעובד בבית שנתקל בבעיה או בצורך טכנולוגי, הרבה פעמים יעדיף "לפתור בעצמו" בכל דרך שנראית לו, מאשר לעבור דרך מוקד תמיכה מרוחק. בנוסף, חלק מעובדי המשרד-הביתי עובדים על מכשירים אישיים (BYOD) בהם יש להם חופש מלא להתקין אפליקציות. מודל ה-BYOD (Bring Your Own Device) מטשטש גבולות בין סביבת העבודה לסביבה הפרטית, וכשהמכשיר בידיו של העובד – השליטה של הארגון על הנעשה בו מצטמצמת. לחצי החיים האישיים והעבודה שמתערבבים במודל ההיברידי יכולים אף הם לתרום: למשל, עובד שמשתמש במחשב הביתי שלו גם לצרכי עבודה עלול להתקין תוכנה כדי לסייע לילדיו בלימודים, ולאחר מכן להשתמש בה גם למשימות הקשורות לעבודה, מבלי שעבר אישור כלשהו.

גורמים מניעים נוספים שזוהו במחקרים כוללים רצון לנצל גרסאות חינמיות או זולות של תוכנות (במקום לרכוש רישיון רשמי יקר דרך הארגון), וכן מקרים של התעלמות מכוונת בשל אמון מופרז. ישנם עובדים (ואף מנהלים) הסבורים ש"הסיכון לא גדול" או "לי זה לא יקרה", ולכן לא רואים בעיה בעקיפת הנחיות אבטחה. מעניין לציין שבהיבט החיובי, 77% מחברי צוותי IT עצמם הודו שהם רואים ערך פוטנציאלי בלאמץ Shadow IT באופן יזום – כלומר, להכיר בכלים שעובדים מביאים, ולהטמיע אותם אם הם משפרים פרודוקטיביותzluri.com. עמדה זו מרמזת שחלק ממובילי הטכנולוגיה מכירים בכך שהמוטיבציה ל-Shadow IT אינה זדונית אלא נובעת מהרצון להיות פרודוקטיביים וחדשניים, וש perhaps במקום רק להילחם בכך יש מקום ללמוד ממנו.

לאור מגוון המניעים הללו, אין פלא שהתופעה חוצת ארגונים וגבולות. עם זאת, מחקרים מצביעים על כך שישנם הבדלי התנהגות והבדלי מודעות בין אזורים גאוגרפיים שונים. בחלק הבא נשווה בקצרה בין התנהגויות נפוצות והתייחסות לתופעה במדינות ואזורים שונים בעולם – ישראל, ארה"ב, אירופה ואסיה.

השוואה בין מדינות ותרבויות: ישראל, ארה״ב, אירופה, אסיה

Shadow IT היא תופעה גלובלית, אך היקפה וצורת הופעתה משתנים בין תרבויות וארגונים שונים. סקרים בינלאומיים מאפשרים הצצה להבדלים אזוריים מעניינים:

  • אסיה: מספר מחקרים מצביעים על כך שבמדינות רבות באסיה קיימת שכיחות גבוהה במיוחד של שימוש בטכנולוגיות לא-מאושרות. לדוגמה, בדו"ח עולמי מ-2022 של חברת KnowBe4, שבחן התנהגויות סיכון של עובדים, נמצא שיותר ממחצית העובדים באזור אסיה (מעל 50%) דיווחו כי שימוש בשירותי שיתוף קבצים לא-מורשים הוא "נוהג מקובל" בארגונםknowbe4.com. נתון זה גבוה משמעותית משאר האזורים בעולם. מדינות באסיה מתועדות גם כמובילות בשימוש בכלי מסרים מידיים לצרכי עבודה – פלטפורמות כמו WeChat, LINE ו-WhatsApp משולבות בעסקים קטנים כגדולים, לעיתים קרובות בצורה לא רשמית. יתכן שהשילוב של תרבויות עסקיות ממוקדות-קשר אישי, יחד עם הזמינות העצומה של פתרונות טכנולוגיים מקומיים, מוביל לכך שעובדים מרגישים בנוח לאמץ באופן עצמאי אפליקציות לצרכי עבודה.
  • צפון אמריקה (ארה"ב): בארה"ב וקנדה המודעות לאבטחת מידע גבוהה באופן מסורתי, אך אין זה מונע את התופעה אלא רק מציב אותה בשיח פתוח. סקרים מצביעים שבצפון אמריקה שיעור העובדים המדווחים על שימוש ב-Shadow IT הוא בינוני – למשל, כ-28% מהעובדים בצפון אמריקה ענו שזה "נורמלי" בארגונם להשתמש בשירותי ענן לא-מאושריםknowbe4.comknowbe4.com. במילים אחרות, כשליש מהעובדים באמריקה הצפונית מעידים על נוהג כזה, אחוז נמוך מאסיה אך גבוה משמעותית מ"אפס סובלנות". הגישה בארה"ב לעיתים מפוצלת: מצד אחד, חברות רבות מאמצות מדיניות קפדנית (ישנן אף דוגמאות קיצוניות – למשל, בית הנבחרים האמריקאי אסר על עובדיו להשתמש באפליקציית WhatsApp על מכשירי העבודה שלהם, עקב חששות אבטחהgeektime.co.il). מצד שני, תרבות החדשנות בעמק הסיליקון ועוד מקומות מעודדת "לעשות מה שצריך", והיסטורית לא מעט פתרונות IT ארגוניים התחילו ככלי Shadow IT שהוכנסו על ידי עובדים ואומצו בדיעבד רשמית. בארגונים אמריקאיים רבים, במיוחד ב-Fortune 500, רווח כיום השימוש בכלים מתקדמים לניטור וניהול Shadow IT (כמו שירותי CASB – Cloud Access Security Brokers) מתוך הכרה שאי אפשר להסתמך רק על איסורים.
  • אירופה: באירופה קיים דגש רב על רגולציות פרטיות וציות לחוק (למשל GDPR), מה שמשפיע על יחסם של ארגונים ל-Shadow IT. מדינות אירופה המערבית (כמו גרמניה, צרפת ובריטניה) מושפעות גם מתרבות ארגונית שנוטה להיות מתוכננת וזהירה יותר בהשוואה לארה"ב. בסקרים, אירופה מציגה שיעורים נמוכים יחסית – כ-25% מהעובדים מדווחים על שימוש רגיל בענן לא-מורשהknowbe4.comknowbe4.com, דומה לצפון אמריקה. עם זאת, חשוב לציין את ההבדלים הפנים-אירופאיים: למשל, חברות בצפון אירופה ידועות כקפדניות יותר לגבי ציות (compliance) ולכן עשויות להשקיע מאמצים להקטין Shadow IT; לעומתן, בחברות בדרום אירופה עשויה להיות גמישות תרבותית מעט גבוהה יותר. באופן כללי, החקיקה המחמירה באירופה מאלצת ארגונים לנקוט צעדים – לדוגמה, אם עובד מכניס שירות ענן חיצוני שמעבד נתונים אישיים של לקוחות ללא הסכם עיבוד נתונים, החברה מסתכנת בהפרת GDPR. מודעות משפטית זו כנראה מגבילה היקף תופעות Shadow IT מסוימות באירופה, או לפחות מכניסה אותן במהירות למסלול רשמי. יחד עם זאת, אין אזור "נקי" לחלוטין מתופעה זו – אפילו במדינות בעלות תרבות צייתנית, עובדים מוצאים דרכים לעקוף כללים כאשר יש בכך תועלת מיידית לעבודה.
  • ישראל: ישראל, כ"Startup Nation", מציגה שילוב מעניין של מאפיינים. מצד אחד, כוח העבודה הטכנולוגי בארץ מורגל באימוץ מהיר של טכנולוגיות חדשות ובגישה יצירתית לפתרון בעיות. סביבה זו יכולה לעודד Shadow IT, במיוחד בחברות קטנות ובינוניות או בצוותי חדשנות בתוך ארגונים גדולים. אכן, בתצפית לא-רשמית, כמעט אין עובד הייטק ישראלי שלא משתמש בשלל אפליקציות SaaS ייעודיות (לניהול קוד, עיצוב, אנליטיקה וכו') שחלקן אולי לא הוטמעו רשמית על-ידי צוות ה-IT. מצד שני, בענפים מסוימים בישראל – כגון מוסדות פיננסיים, ביטוח ובריאות – יש מודעות סייבר גבוהה במיוחד (בהשפעת רגולציית בנק ישראל, רשות הסייבר וכד'), וייתכן ששם העובדים נזהרים יותר. דוגמה ישראלית ייחודית היא השימוש הנרחב ב-WhatsApp לתקשורת ארגונית: בישראל זוהי אפליקציית מסרים דומיננטית לא רק בחיים הפרטיים אלא גם בעסקים, עד כדי כך שקבוצות וואטסאפ משמשות לעיתים כתחליף לניוזלטר פנים-ארגוני, לעדכוני משימות ואפילו לתיאום פגישות. בעוד שחלק מהארגונים אימצו את WhatsApp ככלי רשמי (למשל, לטובת שירות לקוחות או קשרי קהילה), ברוב המקרים מדובר בשימוש ספונטני ולא מפוקח, המהווה Shadow IT מובהק. הדבר בולט גם במגזר הציבורי: היו מקרים מתוקשרים בהם מידע ממשלתי רגיש דלף כי נשלח בקבוצות WhatsApp, או שדיונים חשובים התרחשו שם ולא תועדו פורמלית. התפתחות זו מעלה כיום דיון בישראל לגבי הצורך בהנחיות רוחב לשימוש באמצעי תקשורת פרטיים בעבודה.
  • מדינות אחרות ואפריקה: מחקר KnowBe4 שצוטט לעיל הראה שאפריקה הציגה את השיעור הנמוך ביותר של עובדים המדווחים על שימוש נרחב בכלים לא-מורשים (כ-20% בלבד)knowbe4.com. ההערכות הן שאולי באפריקה, עקב פיגור יחסי בתשתיות IT ובאימוץ טכנולוגיות בענפים מסוימים, הצליחו "לדלג" ישירות לפתרונות יותר מאובטחים או שפשוט היקף הכלים הדיגיטליים בשימוש נמוך יותר. מנגד, אזור אוקיאניה (אוסטרליה/ניו זילנד) דומה לאסיה עם שיעורים גבוהים יחסית (כ-32% מהעובדים משתמשים בענן לא-מאושר)knowbe4.com. באוסטרליה דווח שעובדים נוטים במיוחד להשתמש בשירותי שיתוף קבצים אישיים, עד כדי כך שסקר אחד כינה את האוסטרלים "מהעבריינים הגרועים בעולם" בהקשר Shadow ITia.acs.org.au. כמובן, יש לקחת ביטויים כאלה בעירבון מוגבל, אך הם משקפים מודעות ציבורית לכך שהתופעה חוצה גבולות גאוגרפיים.

ניתן לסכם שקיימים דפוסים משותפים ברחבי העולם: בכל מקום שבו יש שילוב של לחץ עסקי, נגישות לטכנולוגיה, והיעדר מענה IT מושלם – נמצא Shadow IT. ההבדלים הם במינון ובאופן בו ארגונים בוחרים להגיב. בחלק הבא נדון בהשלכות של התופעה – מה המחיר שהארגון עלול לשלם בגין Shadow IT מבחינת אבטחה, אחריות משפטית, שליטה ניהולית וסיכוני דלף מידע.

ההשלכות: אבטחת מידע, אחריות משפטית, שליטה ניהולית ודליפות נתונים

השימוש הנרחב ב-Shadow IT מציב מגוון סיכונים והשלכות לארגון. חלק מהשלכות אלה מתממשות באופן מיידי וברור (כגון פרצת אבטחה ישירה), ואחרות נושאות אופי מצטבר וסמוי (כגון פגיעה ארוכת טווח בשליטה או בעלויות). נבחן את ההיבטים העיקריים:

1. סיכוני אבטחת מידע והגנת סייבר: זו אולי ההשלכה המדוברת ביותר. עצם קיומם של יישומים ומכשירים בלתי מפוקחים ברשת הארגונית או בשימוש עובדים, משמעו פרצות פוטנציאליות בהגנת הארגון. כאשר מידע עסקי זורם דרך ערוצים שאינם מנוטרים, צוות אבטחת המידע אינו מודע לסכנות ואינו יכול להגן כראוי על הנכסים הדיגיטלייםitnews.co.il. התקני Shadow IT אינם בהכרח עומדים בסטנדרטי האבטחה של החברה: ייתכן שלא הוקשחו (hardened), לא קיבלו עדכוני אבטחה, או שאין עליהם תוכנות אנטי-וירוס ובקרה. מעבר לכך, נתונים רגישים המאוכסנים מחוץ למאגרי החברה יוצאים למעשה מכלל שליטה – קבצים שמועלים לשירות ענן פרטי או נשלחים לדוא"ל אישי אינם נתונים יותר למדיניות ניהול הזהויות, ההצפנה או מנגנוני המניעה של דלף מידע (DLP) של הארגון. למשל, דו"ח אבטחה משנת 2023 הראה כי ב-58% מתקריות האבטחה הקשורות לשירותי SaaS בארגונים היה דלף נתונים כלשהוauvik.com. במילים אחרות, למעלה ממחצית האירועים שכללו שימוש לא ראוי בשירותי ענן הסתיימו בזליגת מידע, לעיתים מידע מסווג או קניין רוחני. ממצא נוסף מצביע על כך שכ-11% מכלל תקריות הסייבר בארגונים בעולם בשנים האחרונות היו תוצאה ישירה של Shadow IT – כלומר שימוש בלתי מורשה בכלים שהביא לפריצה, הדבקה או חשיפהzluri.com.

תשתיות Shadow IT עלולות להוות נקודת כניסה נוחה לתוקפים. כלי שלא נבדק ואושר על-ידי צוות אבטחה עשוי להכיל חולשות (למשל, יישום SaaS ללא אימות דו-שלבי, או מכשיר IoT פרטי עם סיסמת ברירת מחדל) שפורצים יכולים לנצל. יתרה מזאת, פריסת הגנה לא-אחידה עקב Shadow IT יוצרת "שטחים מתים" ברשת ההגנה: ייתכן שהארגון השקיע בפיירוול, SIEM ומנגנוני ניטור, אך אם העובד עובד מחוץ לתווך המפוקח (למשל, על לפטופ אישי ברשת ביתית) ומתחבר משם לכלי ענן חיצוני – כל מערכות ההגנה המסורתיות נעקפות. תוקפים מודעים לתופעה זו, ובשנים האחרונות החלו מתקפות שמנצלות חשבונות ענן אישיים של עובדים כדרך לזלול מידע. אירוע ידוע היה כשפורסם שעובדים בחברה גלובלית העבירו קבצים רגישים למחשבי בית דרך חשבונות Dropbox פרטיים, והאקרים הצליחו להשיג גישה לקבצים אלו באמצעות פריצה לחשבון הפרטי – מבלי לחדור כלל לרשת הארגונית המוגנת.

2. דליפות נתונים ואובדן מידע: Shadow IT מגביר את סכנת דליפת המידע הן באופן זדוני והן בשוגג. בתסריטים של Insider Threat (גורם פנימי זדוני), כלים חיצוניים מספקים לעובד ערוץ להעברת נתונים החוצה מתחת לרדאר. לדוגמה, עובד יכול בקלות לשתף לעצמו מסמכים סודיים לחשבון Gmail פרטי ולגשת אליהם לאחר סיום עבודתו. ואכן, סקר של Valence Security (2023) הראה ש-30% מהקבצים בארגונים משותפים בשלב כלשהו לחשבונות אישיים של עובדיםauvik.com. מעל שליש מהעובדים (35%) אף מודים שהם מעבירים באופן שגרתי מיילים עסקיים מהחשבון הארגוני שלהם לתיבת הדוא"ל הפרטית, אולי כדי לעבוד מהבית או לשמור גיבויauvik.com. פעולות כאלה פותחות פתח משמעותי לזליגת קניין רוחני, מידע על לקוחות ומידע רגיש – ללא יכולת של הארגון למנוע זאת או לעקוב מה נעשה במידע אחר-כך. גם כאשר עובד עוזב את החברה, Shadow IT מקשה על שלילת גישתו לנכסי החברה. נהלי Off-Boarding סטנדרטיים דואגים לבטל חשבונות במערכות הרשמיות, אך מה לגבי כל אותם יישומים שלא ידועים למחלקת IT? כמחצית מהמנהלים טוענים שעובדים שרכשו והשתמשו באפליקציות ענן עצמאיות לא בוצע להם סילוק גישה מלא עם עזיבתםitnews.co.il. המשמעות היא שעובד שעזב עשוי להמשיך ולהחזיק גישה לקבצי חברה דרך חשבונו הפרטי (למשל, תיקיית Google Drive ששיתפו איתו) אפילו זמן רב אחרי שסיים לעבוד – סיכון מובהק לדליפה או לניצול לרעה.

אפילו בלי כוונת זדון, Shadow IT מוביל לאובדן מידע עקב חוסר בגיבויים ורציפות עסקית. מערכות רשמיות מנוטרות ומגובות; לעומתן, כאשר צוות מטמיע פתרון ביוזמתו (נניח, בסיס נתונים בענן שלא דרך ה-IT), ייתכן שאין גיבוי תקופתי. אם השירות החיצוני קורס, או אם עובד שמחזיק בהרשאות המנהל של אותו שירות עוזב פתאום, הארגון עלול למצוא עצמו ללא גישה למידע חיוני. כפי שמציין מחקר, סוגיה של חוסר גיבוי ביישומי Shadow IT כמעט שאינה נדונה בפירוט בספרות, אך בפועל היא פצצה מתקתקת שיכולה לגרום לאובדן נתונים חשוביםsheffield.pressbooks.pub.

3. אחריות משפטית וציות לרגולציה: Shadow IT עלול להעמיד ארגונים בפני הפרות של חוקים ורגולציות, אפילו מבלי שידעו זאת. לדוגמה, תקנות הגנת מידע (כגון GDPR באירופה, חוק הגנת הפרטיות בישראל וכדומה) דורשות שליטה ובקרה על מאגרי מידע אישיים. אם עובדים מאחסנים מידע על לקוחות בשירות ענן לא מאושר הממוקם מחוץ למדינה, ייתכן שהארגון מפר בכך את החוק לגבי העברת מידע רגיש לחו"ל ללא הגנות נדרשות. יתרה מכך, במידה וקורה אירוע אבטחה מערוץ Shadow IT (למשל, דליפת מספרי כרטיסי אשראי של לקוחות שנשמרו בגיליון Excel פרטי בענן), הארגון יישא באחריות מלאה מול הרשויות והנפגעים, אף שלא הייתה לו בקרה על אותו כלי. במצב כזה גם חברות הביטוח עלולות לסרב לכסות נזקים, בטענה שהארגון התרשל באכיפת מדיניות אבטחה נאותה.

נושא נוסף הוא ציות לתקנים וסטנדרטים (Compliance). בארגונים רבים, במיוחד בתחומי פיננסים ובריאות, נדרשת עמידה בתקני אבטחת מידע (כגון ISO 27001, PCI-DSS וכו'). קיומם של מערכות צללים שאינן מתועדות ולא נבדקו עלול להביא לאי-עמידה בתקן. במקרה של ביקורת או אירוע, זה עלול להביא לקנסות ולפגיעה במוניטין. גם היבטים חוזיים נכנסים לכאן: ייתכן שלארגון יש חוזים עם לקוחות שמחייבים אותו לאכוף אמצעי אבטחה מסוימים. אם בפועל מידע הלקוח זרם דרך ערוץ לא-מאובטח (Shadow IT), הארגון חשוף לתביעות חוזיות.

לבסוף, סוגיית הקניין הרוחני: כאשר עובדים משתמשים בכלים חיצוניים, עולה השאלה מי הבעלים של התוכן. לדוגמה, עובד שמשתף קוד מקור של החברה בגיטהאב פרטי, או מעלה עיצוב גרפי לפלטפורמת עריכה חינמית – ייתכן שבתנאי השימוש של אותה פלטפורמה הוא למעשה נתן זכויות שימוש צד ג' לתוכן. מקרים כאלו, אף שאינם נפוצים, עלולים לסבך משפטית את הבעלות על פיתוחים של הארגון.

4. חוסר שליטה ניהולית, כפילויות ועלויות נסתרות: מעבר לאבטחה ולמשפט, Shadow IT פוגע בשליטה ובממשל הטכנולוגי של הארגון. מחלקות IT נדרשות לספק תשתית אמינה, יעילה ומשתלמת, אך כאשר בכל פינה צצים כלים עצמאיים, קשה לקבל תמונת מצב טכנולוגית מלאה. למשל, ארגון עשוי לגלות בדיעבד שמשלמים פעמיים על שני כלים דומים משתי מחלקות שונות, כשלכל אחד מספר רישיונות בודדים. מחקר שפורסם על-ידי Capterra ב-2022 העריך שחברות מבזבזות בממוצע מעל 40 אלף דולר בשנה על אפליקציות SaaS שנמצאות בצל ואינן בשימוש או חופפות לכלים רשמייםauvik.com. עלויות נסתרות אלה כוללות גם אובדן יעילות: עובדים שונים עשויים לעבוד על פלטפורמות שונות מבלי יכולת לשתף מידע בקלות. בדוגמה שתוארה על-ידי מנהל טכנולוגיה בחברה רב-לאומית, התברר שלאורך זמן שלושה אזורים גאוגרפיים בארגון אימצו שלוש פלטפורמות שיתוף קבצים שונות – אירופה השתמשה באחת, צפון אמריקה בשנייה, ואסיה בשלישיתblog.axway.com. התוצאה הייתה חוסר אחידות, קושי בעדכון מסמכים ארגוניים חשובים (עדכון שבוצע במערכת אחת לא הופץ לאחרות), ואף אובדן גישה לחומרים כאשר עובד עזב ולא היה תהליך מסודר להעברת בעלותblog.axway.com. מצב כזה יוצר סביבה תפעולית לא-יעילה ומכביד על שיתוף הפעולה.

בנוסף, Shadow IT פוגע ביכולת ה-IT לתמוך ולסייע: כאשר עובד משתמש בכלי שאיש ב-IT לא מכיר, הוא ממילא לא יקבל תמיכה טכנית אם הכלי יקרוס או אם יזדקק לאינטגרציה בינו לבין מערכות אחרות. הדבר עלול לגרום לעיכובים בעבודה ולתסכול כאשר כלי Shadow IT כושל. גם אינטגרציה בין מערכות היא אתגר – מערכות רשמיות לרוב נבחרות כדי להשתלב אחת עם השנייה (למשל, מערכת CRM שמתממשקת עם מערכת הפקת חשבוניות). אך כלי צללים אינם בהכרח תואמים, מה שעלול לגרום להזנת נתונים ידנית כפולה, טעויות אנוש, ופערי מידע.

בהיבט הניהולי הרחב, התפשטות Shadow IT עשויה לערער את תפקיד מחלקת ה-IT ולהוביל ל"כאוס מנוהל-למחצה". מנהלים חוששים, ובצדק, שבלי שליטה מרכזית, יפגעו הסטנדרטים הארגוניים. סקר בקרב CIOs מצא שהחששות הגדולים ביותר שלהם מ-Shadow IT הם פגיעה באבטחת הנתונים (75% ציינו זאת), סיכון לאבטחת תשתיות (73%), פגיעה בביצועי מערכות (71%) וכפילויות משאבים בין מחלקות (70%)cioinsight.com. יתרה מכך, 58% מהמנהלים הטכנולוגיים הבכירים חששו שמגמת Shadow IT עלולה להפוך את תפקיד ה-CIO למיושן או מיותרcioinsight.com, במובן שהיחידות העסקיות ינהלו לעצמן את הטכנולוגיה וה-IT יאבד מסמכותו. אמנם חשש זה לא בהכרח מתממש (להפך, בהרבה מקומות ה-CIOים הפכו שותפים אסטרטגיים וגיבשו דרכים חדשות לשלוט ב-Shadow IT), אך הוא מלמד על ההשלכה הניהולית: Shadow IT מחייב הגדרה מחדש של תפקידי ה-IT והבקרה בארגון.

5. הזדמנויות מול סיכונים (היבט תרבותי): יש לציין שלצד ההשלכות השליליות, חלק מהארגונים מזהים גם יתרונות שצומחים מתופעת Shadow IT. עובדים הנוקטים יוזמה כדי לשפר את עבודתם מאותתים על צורך אמיתי שבמקרים רבים ההנהלה לא הייתה מודעת לו. כך, Shadow IT עשוי לשמש כ"חממה" לחדשנות: כלי שמוכיח את עצמו ככלי צללים – למשל, צוות שמאמץ פתרון BI חדשני כדי להאיץ ניתוח נתונים – יכול בהמשך להפוך למועמד להטמעה רוחבית על-ידי מחלקת ה-IT. למעשה, 77% מאנשי ה-IT שנסקרו אמרו שהם רואים תועלת בכך שהארגון יאמץ חלק מכלי ה-Shadow IT, כי הם משפרים יעילות ומגבירים שביעות רצון משתמשיםzluri.com. גישה זו משקפת שינוי תרבותי: במקום להתייחס ל-Shadow IT כאויב, לראות בו הזדמנות ללמוד מהשטח אילו פתרונות עובדים צריכים באמת. כמובן, זאת בתנאי שניתן לאמץ אותם בצורה מבוקרת ומאובטחת.

אחרי שסקרנו את ההשלכות והסיכונים, עולה השאלה כיצד ארגונים יכולים וצריכים להגיב. האם הפתרון הוא יד קשה ואיסור גורף, או גישה גמישה יותר? בחלק הבא נדון באפשרויות התגובה הארגוניות – ממדיניות אכיפה והגבלות, דרך תוכניות חינוך והכשרה, ועד התאמות תרבותיות כמו מדיניות BYOD, ניטור וגמישות טכנולוגית.

דרכי התמודדות ארגוניות עם Shadow IT: אכיפה, הכשרה, BYOD וניטור

ההתמודדות עם Shadow IT מציבה דילמה: מחד, ארגון חייב להגן על נכסיו, לציית לנהלים ולשמור על סדר טכנולוגי; מאידך, איסורים נוקשים מדי עלולים לפגוע בפרודוקטיביות ובחדשנות, ואף לדחוף את התופעה עמוק יותר אל "המחשכים" במקום למגרה. על כן, ארגונים נוקטים שילוב של גישות – חלקן קפדניות ובעלות אופי משטרתי, ואחרות גמישות וחינוכיות יותר. נפרט את הדרכים העיקריות:

  • מדיניות ואכיפה טכנולוגית (חסימה ובקרה): הדרך הישירה ביותר היא קביעת מדיניות ברורה נגד שימוש לא-מורשה בכלים, וגיבויה באמצעים טכנולוגיים. ארגונים רבים מיישמים הגבלות ברמת הרשת והמערכות: חסימת גישה לאתרי שירותי ענן נפוצים (לדוגמה, מניעת גישה ל-Gmail או Dropbox מרשת החברה), נעילת אפשרות התקנת תוכנות חדשות על מחשבי החברה, או אי-פתיחת פורטים מסוימים בחומת האש. גישה זו יכולה להפחית באופן משמעותי תקריות Shadow IT – למשל, אם העובד לא יכול לגלוש לאתר אחסון חיצוני מהמחשב המשרדי, יקשה עליו להשתמש בו בעבודה. עם זאת, אכיפה טכנולוגית אגרסיבית עשויה לפגוע בעבודת העובדים: היא עלולה לחסום גם שימושים לגיטימיים (למשל, יועץ שמגיע לחברה ורוצה להציג מצגת מ-Google Drive) וליצור מרמור. כמו כן, העובדים מוצאים דרכים לעקוף – לדוגמה, שימוש בטלפון הנייד האישי (על רשת הסלולר) כדי לשלוח קבצים כשהרשת הארגונית חסומה. כלומר, חסימה טכנית לבדה לא מעלימה את הצורך, ולעיתים אף מעבירה את הבעיה למישור אחר שקשה יותר לנטר.
  • ניטור וזיהוי פרואקטיבי (זיהוי Shadow IT בפעולה): במקום (או בנוסף) לחסימות גורפות, ארגונים מובילים מאמצים כיום טכנולוגיות CASB (מתווכי אבטחת ענן) ומערכות ניטור רשת ייעודיות, שתכליתן לזהות תעבורה ופעילות חריגה המחשידה שימוש בכלים לא-מאושרים. מערכות כאלה מנטרות למשל תעבורה יוצאת לאתרי ענן, שימוש באפליקציות Web לא מוכרות, או התקנת תוכנות לא מאושרות על תחנות קצה. בדוח שצוטט קודם לכן, 64% ממנהלי הטכנולוגיה ציינו שהם מתכננים או שוקלים לפרוס כלים מיוחדים לניהול SaaS ו-Shadow IT כדי להתמודד עם ההתרחבות בשימוש ביישומים ללא פיקוחitnews.co.il. גישה זו מאפשרת לגלות מה כבר קורה בפועל בארגון – למשל, לקבל רשימה של כל שירותי הענן שהעובדים משתמשים בהם יחד עם נפח התעבורה. מידע כזה חיוני כדי למקד את מאמצי האבטחה והטיפול: הארגון יכול להחליט איזה כלים חיצוניים נפוצים יחסית ובאיזו מחלקה, ולנהל סיכונים בהתאם (Risk-based approach). למשל, אם מתגלה שכל מחלקת השיווק משתמשת באופן מסיבי בכלי אנליטיקה חיצוני, ניתן לשקול לאשר בדיעבד את הכלי הזה באופן רשמי תוך הטמעת בקרות, במקום לנסות ולחסום אותו לחלוטין – מה שקרוב לוודאי לא יצליח. ניטור פרואקטיבי אפקטיבי דורש גם שיטות טכניות (בדיקת לוגים, סריקת רשתות ל-Wi-Fi לא מאושר וכו') וגם מעורבות אקטיבית של צוותי אבטחה (למשל, תחקור משתמשים כאשר מזוהה פעילות בלתי שגרתית כדי לברר האם מדובר בכלי Shadow IT).
  • מדיניות BYOD והפרדת מידע: נושא ה-BYOD (הבא את המכשיר שלך) קשור באופן הדוק ל-Shadow IT. אם ארגון מאפשר לעובדים להשתמש בסמארטפונים/לפטופים אישיים לעבודתם, עליו לקבוע מדיניות ברורה מה מותר באותם מכשירים. פתרון נפוץ הוא שימוש בכלי MDM (Mobile Device Management) או תוכנות EMM (Enterprise Mobility Management) המותקנות על מכשיר אישי ויוצרות הפרדה בין מרחב עבודה למרחב פרטי. כך יכול הארגון לשלוט במידה מסוימת על האפליקציות שבשימוש במרחב העבודה במכשיר הפרטי. לדוגמה, חברה יכולה לחייב שכל גישה לדוא"ל הארגוני בטלפון תתבצע רק דרך אפליקציית ניהול מאובטחת, ולא דרך אפליקציית המייל הכללית של המשתמש. מדיניות BYOD צריכה להיות מאוזנת: הגבלות חמורות מדי יפגעו בנוחות העובד בשימוש במכשירו, אך גמישות רבה מדי תגרום למצב שכל מכשיר פרטי יהווה דלת אחורית. לכן, רבות מהחברות מאמצות BYOD יחד עם מדיניות Acceptable Use – רשימת כללים לגבי שימוש במכשירים אישיים (למשל, חובת דיווח אם מכשיר אבד, איסור על איחסון נתונים רגישים מקומית, וכן הלאה). בשורה התחתונה, BYOD הוא עובדה קיימת בארגונים, וההתמודדות עמו היא חלק חשוב מצמצום סיכוני Shadow IT, כיוון שרוב Shadow IT מתבצע דרך מכשירים אישיים או אפליקציות מובייל.
  • הכשרת עובדים והגברת מודעות (Education & Training): אמצעי מפתח ומשלים לאכיפה הוא חינוך המשתמשים. עובדים רבים פונים לכלי Shadow IT בתום לב, מבלי להבין את ההשלכות. על כן, מחלקות IT ואבטחת מידע משקיעות בהסברה: הדרכות ייעודיות המסבירות מהו Shadow IT, מדוע הוא מסוכן, ואילו חלופות ונהלים יש. עובדים צריכים להבין, למשל, שאם הם משתפים קובץ רגיש ב-Google Drive פרטי – איש לא מפקח מי עוד יקבל גישה, איך הקובץ מאובטח, והאם תהיה תעודת audit לעניין. עליהם לדעת שאם הם מתקינים תוכנה ללא אישור – ייתכן שהיא מכילה נוזקה או עלולה להתנגש עם מערכות אחרות. יצירת תרבות מודעות היא קריטית, כי כפי שראינו הרבה מהנזק נובע מחוסר ידיעה או מהערכת סיכון לקויה של העובדים. תוכניות מודעות אבטחה בארגונים מתקדמים כוללות כיום גם נושא Shadow IT, אך למרבה ההפתעה, בסקר שנערך על ידי חברת ניהול IT נמצא שכרבע מהארגונים כלל אינם מכסים התנהגויות Shadow IT במדיניות ההדרכה שלהםauvik.com. זהו פער שדורש תיקון – הכללת תרחישים ושיחות על Shadow IT בהדרכות (כולל הבאת דוגמאות מוחשיות מארגון החברה עצמה, אם אפשר, כדי להמחיש את הסיכון). חלק מהגישה החינוכית כולל עידוד עובדים לשתף פעולה: לעודד אווירה שבה עובד שנתקל בצורך טכנולוגי מרגיש בנוח לפנות למחלקת IT בבקשת פתרון (במקום ישר ללכת לחפש עצמאית). בנוסף, חשוב להבהיר שאם מישהו השתמש עד כה בכלי חיצוני ורוצה להעביר את הנתונים ממנו לכלי רשמי – לא תהיה "הענשה" אלא סיוע. עובדים צריכים לחוש שצוות IT הוא שותף ולא רק שוטר, כדי שיפתחו שקיפות ולא יסתירו.
  • גמישות ופתרונות חלופיים ("אימוץ מבוקר" וגשר על הפער): דרך נוספת להתמודד היא לספק לעובדים פתרונות מספקים במסגרת הרשמית, כדי שלא ירגישו צורך לפנות לחוץ. הדבר יכול להתבטא, למשל, ביצירת "חנות אפליקציות ארגונית" – פורטל שבו מחלקת IT מציעה מגוון רחב של כלים מאושרים שהעובדים יכולים לבחור ולהתקין לפי צרכיהם. אם המגוון רחב, יורדת ההיתכנות שהעובד יגיד "אין לי פתרון אז אלך להביא כלי משלי". כמו כן, ראוי ליישם תהליכי אישור מהירים לכלים חדשים: במקום ועדה שמתכנסת אחת לרבעון, לאפשר מסלול מזורז בו עובד או צוות יכולים לבקש לאשר שימוש באפליקציה X, כאשר ה-IT מבצע הערכת סיכון מהירה (נניח, תוך שבוע) ונותן תשובה – אולי אישור זמני בתנאים מסוימים. תהליך כזה מראה לעובדים שהארגון קשוב לצרכים שלהם, ובולם תסכול הגורם לעקיפת הכללים. במקביל, ארגונים מסוימים מאמצים גישה של "חיים עם Shadow IT בשלום": למשל, במקום לאסור באופן מוחלט שימוש בWhatsApp, לנסח הנחיות כיצד להשתמש בו בצורה אחראית – "מותר לתכתובות קצרות ולא רשמיות, אסור להעביר מסמכים רגישים", וכדומה. יש חברות שמגדילות לעשות ומשלבות כמה מכלי Shadow IT נפוצים לתוך סביבתן המנוהלת: לדוגמה, מתירות לעובדים להשתמש ב-Google Drive אך רק דרך חשבון ארגוני מנוהל, או מנהלות קבוצות WhatsApp רשמיות בפיקוח דוברות החברה.
  • תמריצים וענישה (אכיפה רכה וקשה): חלק מהמדיניות כוללת גם קביעת סנקציות על הפרות. למשל, ארגון יכול להבהיר שעובד שיתפס מעביר סודות מסחריים לכלי חיצוני צפוי להליך משמעתי. עם זאת, רוב הארגונים נזהרים מענישה חמורה מדי של שימוש "תמים" ב-Shadow IT, מחשש שזה ייצור תרבות של פחד והסתרה. במקום זאת, ניתן ליישם תמריצים חיוביים: למשל, לצ'פר צוות שזיהה צורך עסקי והגיע למערך ה-IT בבקשה רשמית (במקום ללכת מאחורי הגב). אפשרות אחרת היא תוכנית "צל"ש וביקורת" שבה מחלקת IT מפרסמת דוח תקופתי המציין הצלחות באימוץ כלים חדשים מצד אחד, ובצידן אזהרות על מקרים שהתגלו של Shadow IT והטיפול בהם – בגישה לימודית ולא מתחה אישית. המטרה היא בסופו של דבר לשנות את הנורמות הפנימיות: שיתוף פעולה עם ה-IT צריך להיתפס כראוי ומקובל, בעוד שעבודה מאחורי הקלעים ללא דיווח – כהתנהגות לא מקצועית.

לסיכום חלק זה, ארגון הרוצה להתמודד בצורה אפקטיבית עם Shadow IT יאמץ אסטרטגיה משולבת: גם יגדיר ויאכוף גבולות (טכנולוגיים וניהוליים), גם יעקוב וילמד על המתרחש בפועל (ניטור ודיאלוג), וגם יטפל בשורש הבעיה על-ידי שיפור היצע השירותים הפנימיים ורתימת העובדים כשותפים. כמובן, הצלחת כל הצעדים הללו תלויה לא מעט במעורבות ותמיכת ההנהלה הבכירה, ובמיוחד בתפקידים כמו ה-CIO וה-CISO. בפרק הבא נתמקד בתפקידי בעלי העניין המרכזיים – מנהלי מערכות מידע, מנהלי אבטחת מידע, הנהלה ודירקטוריון – בניהול תופעת Shadow IT.

תפקידי ה-CIO, CISO, ההנהלה הבכירה והדירקטוריון

התמודדות ארגונית מוצלחת עם Shadow IT תלויה בתמיכת דרגי הניהול הבכירים ובשילוב ידיים בין בעלי תפקידים שונים:

  • תפקיד ה-CIO (Chief Information Officer): ה-CIO, כמנהל הטכנולוגיות הראשי, נמצא בעין הסערה של תופעת Shadow IT. תפקידו עובר בשנים האחרונות שינוי מהותי – ממיקוד בצד הטכני בלבד לנקודת ממשק אסטרטגית בין טכנולוגיה לעסקcioinsight.com. ה-CIO המודרני נדרש להבין ש-Shadow IT נובע מצרכים עסקיים אמיתיים, ולכן עליו לנקוט גישה כפולה: לשלוט בסיכונים מצד אחד, אך גם לחבק את החדשנות שבאה מהשטח מצד שני. 85% מה-CIOים בסקר עולמי ציינו שתפקידם משתנה באופן מובהק על רקע מגמות כמו Shadow ITcioinsight.com. על ה-CIO להוביל את גיבוש המדיניות הארגונית בנושא – לקבוע אילו קטגוריות של כלים אסורים לחלוטין, אילו נסבלים באישור מיוחד, ואילו מאומצים באופן יזום. הוא גם אחראי לקדם פתרונות טכנולוגיים (למשל הטמעת מערכות לניהול נכסי תוכנה, רכישת פלטפורמת SaaS Management, או פריסת CASB) ולוודא שהתקצוב לכך קיים. בהיבט ארגוני, ה-CIO צריך לעבוד צמוד עם יחידות העסקיות כדי לזהות פערים בהיצע הטכנולוגי – ולהציע פתרונות לפני שהשטח "בורח קדימה". גישה מומלצת היא שה-CIO יהפוך את מחלקת ה-IT ממחסום בירוקרטי ל-"Service Broker" – מתווך שירותים – המציע תפריט טכנולוגיות מגוון ומסייע לעובדים לבחור בכלי המתאים במסגרת מאושרת. ה-CIO גם מהווה שגריר בהנהלה: עליו להסביר למנכ"ל ולסמנכ"לים את סיכוני Shadow IT, לדווח באופן שקוף על מצב הניטור (למשל, כמה אפליקציות צללים זוהו ברבעון), ולהציע דרכי פעולה.
  • תפקיד ה-CISO (Chief Information Security Officer): מנהל אבטחת המידע ממוקד בהיבטי הסיכון והבקרה. ה-CISO אמון על פיתוח מסגרת ניהול סיכוני סייבר הכוללת התייחסות מפורשת ל-Shadow IT. ראשית, עליו לעדכן את מפת סיכוני הארגון כך שתכלול את התרחישים הקשורים – למשל "דלף מידע דרך ערוץ לא מפוקח" – ולהעריך את רמת הסיכון וההשפעה. מעניין לציין שסקר IBM ב-2023 מצא כי 60% מהארגונים לא שילבו את Shadow IT בהערכת הסיכונים שלהםzluri.com, נתון המדגיש עד כמה חשוב שה-CISO יכניס נושא זה לתשומת הלב. שנית, ה-CISO מוביל בחירת טכנולוגיות ההגנה: הוא זה שבדרך כלל ימליץ על הטמעת CASB, על קונפיגורציה מתאימה ב-Firewall לזיהוי תעבורה חשודה, ועל שימוש בכלי DLP שיזהו יציאת מידע לערוצים חיצוניים. כמו כן, ה-CISO מארגן תוכניות המודעות וההדרכה שדובר בהן – עליו להבטיח שכל עובד יקבל הכשרה מתאימה ויהיה מודע למדיניות. במקרה של אירוע הנוגע ל-Shadow IT, ה-CISO וצוותו יובילו את החקירה, הפקת הלקחים והתיקון (למשל, סגירת גישה לשירות חיצוני שהתגלה כמקור לדליפה). ניתן לומר שה-CISO הוא "השוטר הטוב והרע" בסיפור: מצד אחד, עליו לאכוף, לבדוק, לבקר ולפעמים אף לעצור פרויקטי Shadow IT מסוכנים; מצד שני, הוא גם צריך לעבוד בשיתוף עם העובדים ולהציע פתרונות מאובטחים (למשל, אם מחלקה רוצה להשתמש באפליקציה חדשה, ה-CISO יבחן אותה, יבצע Penetration Testing, ויאשר עם קווי הגנה מתאימים במקום פשוט לפסול). על ה-CISO גם לשמור על ערוצי תקשורת פתוחים עם ה-CIO – לעיתים יש מתח ביניהם (ה-CIO רוצה לאפשר זריזות עסקית, ה-CISO רוצה לנעול), ולכן תיאום ועבודת צוות ביניהם חיוניים לאיזון הנכון.
  • ההנהלה הבכירה (מנכ"ל, סמנכ"לים עסקיים): הדרג הניהולי העליון קובע במידה רבה את האווירה והתרבות סביב Shadow IT. אם המנכ"ל וסמנכ"לים מאותתים שהדבר החשוב ביותר הוא "לסגור עסקאות ולספק תוצאות בכל מחיר", סביר שהעובדים יבינו בין השורות שאבטחת מידע וכללי IT הם משניים – מה שיוביל לשגשוג Shadow IT. לכן, הנהלה בכירה אחראית להציב את הטון הנכון: לתמוך פומבית בציות למדיניות, להשתתף בהכשרות (למשל, שדרג המנכ"ל בעצמו יקבל תדרוך על סיכוני אבטחה), ולא לשדר מסרים כפולים. יתרה מכך, ההנהלה הבכירה צריכה לתמוך תקציבית במאמצי ה-IT: למשל, להקצות תקציב לפרויקטי טרנספורמציה דיגיטלית שיחליפו מערכות מיושנות, כדי לצמצם את התמריץ של עובדים לפנות לכלים חיצוניים. סמנכ"לי יחידות עסקיות (כספים, שיווק, תפעול) מהווים מתווכים קריטיים – עליהם לוודא שביחידות שלהם מכבדים את נהלי ה-IT, אך גם להיות קשובים לצרכי עובדיהם ולהעלות אותם לדיון עם ה-CIO. בשנים האחרונות מתגברת המגמה של Business-led IT – טכנולוגיה המנוהלת על-ידי היחידות העסקיות עצמן – והמפתח להצלחתה הוא שיתוף פעולה מובנה עם מחלקת ה-IT. ההנהלה הבכירה יכולה למסד פורומים (כגון ועדת טכנולוגיה רוחבית) בה יושבים נציגי כל היחידות יחד עם ה-CIO/CISO, ודנים בצרכים חדשים ובסיכונים. כך, במקום שכל מחלקה תאמץ Shadow IT באלתור, תהיה שקיפות ותכנון.
  • הדירקטוריון: תפקיד הדירקטוריון הוא פיקוח-על על ניהול הסיכונים והאסטרטגיה. Shadow IT, בהיותו גורם סיכון מערכתי, צריך להיכלל בדיוני הדירקטוריון העוסקים בניהול סיכוני סייבר וטכנולוגיה. בעידן של היום, דירקטוריונים שאלו חברותיהן חוו מתקפות סייבר או הפרות רגולציה כבר מבינים שאבטחת מידע איננה נושא טכני גרידא אלא עניין של ממשל תאגידי תקין. על כן, על הדירקטוריון לוודא שהנהלת החברה נוקטת צעדים פרואקטיביים להתמודד עם Shadow IT. זה יכול להיעשות דרך ועדת משנה ייעודית (למשל ועדת טכנולוגיה או סייבר בדירקטוריון) שמקבלת דיווחים מה-CIO/CISO על היקף התופעה ומאמצי ההתמודדות. חברי דירקטוריון יכולים לשאול שאלות כמו: "כיצד אנו מוודאים שהעובדים לא מוציאים מידע לענן פרטי?", "האם יש לנו מדיניות ברורה ומתי עודכנה לאחרונה?", "כמה כלים לא-מאושרים זיהינו השנה ומה עשינו לגביהם?". גם סוגיות השקעה נבדקות – למשל, אם ה-CIO מבקש להשקיע בכלי CASB יקר, הדירקטוריון צריך להבין את ההצדקה דרך ניתוח סיכון-תועלת (ROI של מניעת דליפה למשל). במידה וחלילה מתרחש אירוע משמעותי הקשור ל-Shadow IT (כגון דליפת מידע רגיש דרך כלי לא רשמי שעלה לכותרות), הדירקטוריון עשוי לשאת באחריות פיקוחית ויצטרך לדווח לרגולטורים או לבעלי המניות כיצד הופקו לקחים. לכן האינטרס שלו לוודא מראש שהנושא בשליטה.

למעשה, המעורבות של הדרג הגבוה משדרת לכל הארגון את המסר שShadow IT הוא עניין של כולם: אין להותירו כבעיה "של ה-IT בלבד". ה-CIO ו-CISO לבדם לא יצליחו ללא גיבוי וסמכות מההנהלה, וההנהלה מצידה צריכה את המודעות והשקיפות שמביאים מומחי הטכנולוגיה כדי להבין את האתגר. לאחר שראינו את תפקידי המפתח, נעבור כעת לגיבוש אסטרטגיה ניהולית מפורטת להתמודדות עם Shadow IT, המשלבת את כל ההיבטים שדנו בהם לכדי תוכנית פעולה שלמה.

הצעת אסטרטגיה ניהולית להתמודדות עם Shadow IT בארגון

על בסיס התובנות שנידונו עד כה, ניתן לגבש אסטרטגיה סדורה שתסייע לארגון להתמודד עם Shadow IT באופן מקיף. האסטרטגיה המוצעת להלן מורכבת ממספר שלבים ופעולות משלימות:

1. מיפוי וגילוי (Discovery): בצעד ראשון, על הארגון לזהות ולהבין את היקף התופעה בתחומו. יש לבצע מיפוי ראשוני של כל יישומי התוכנה והשירותים בשימוש העובדים. ניתן להתחיל בסקרים פנימיים אנונימיים כדי לעודד עובדים לחשוף באילו כלים חיצוניים הם משתמשים לעבודתם. במקביל, מומלץ להפעיל כלי ניטור אוטומטיים (כאמור, CASB, סריקת רשת, סקירת לוגים) כדי לזהות תעבורת רשת חשודה ואפליקציות ענן בשימוש. התוצר של שלב זה הוא רשימת אפליקציות צללים – רשימה שמית עם תדירות שימוש, מחלקה משתמשת, וסוג הנתונים המעורב. פעמים רבות ארגונים מופתעים בשלב זה לגלות מאות יישומי SaaS שאיש לא ידע על קיומם: מחקר של Zluri משנת 2024 הראה שבממוצע, לארגונים גדולים יש כ-975 שירותי ענן לא מוכרים שהם בשימוש העובדים, לעומת ~108 שירותים בלבד שמנוהלים רשמיתzluri.com. נתון זה ממחיש עד כמה שלב הגילוי חשוב כדי לקבל תמונה ריאלית.

2. סיווג והערכת סיכונים: לאחר זיהוי הכלים, יש לסווג אותם לפי רמת סיכון וחשיבות. למשל, שירות שבו משתמשים להעלאת קבצים המכילים מידע רגיש יקבל עדיפות גבוהה לטיפול, לעומת אפליקציה לתכנון משימות שאינה נוגעת בנתונים סודיים. אפשר ליצור קטגוריות:

  • "גבוהה" (כלים המטפלים במידע רגיש מאוד או שיש להם גישה לרשת הארגון),
  • "בינונית" (כלים עסקיים ללא מידע רגיש, או כאלה עם שימוש נרחב מאוד בארגון),
  • "נמוכה" (כלי עזר שוליים, שימוש מועט, ללא מידע עסקי).
    כמו כן, רצוי לסווג לפי סוג השירות (אחסון קבצים, תקשורת, פיתוח תוכנה, וכו'), שכן לכל סוג אתגרים משלו. בשלב זה כדאי לערב גורמי ציות משפטי (יועץ משפטי) כדי לזהות אם חלק מהשימושים עלולים להפר רגולציות, וכן את מנהלי היחידות העסקיות הרלוונטיות כדי להבין את ההקשר – אולי חלק מהכלים אפילו נכנסו בידיעת מנהל היחידה.

3. גיבוש מדיניות ונהלים ברורים: על בסיס תוצאות המיפוי, יש לעדכן או לגבש מדיניות רשמית בנושא Shadow IT. המדיניות צריכה לכלול:

  • הגדרה של מה נחשב שימוש לא-מאושר (למשל, "כל תוכנה, יישום ענן או חומרה שאינה מאושרת ומנוהלת על-ידי מחלקת IT").
  • כללים מפורשים לגבי סוגי כלים אסורים בהחלט (כגון: "אין לאחסן נתונים רגישים בשירות אחסון חיצוני ללא הסכם עיבוד נתונים עם החברה", "אין להשתמש בחשבון אימייל אישי לצרכי עבודה" וכו').
  • מתן מענה לצרכים נפוצים: אם מחליטים שחסימת קטגוריה מסוימת הכרחית (נאמר, אחסון ענן אישי), המדיניות צריכה להצביע על האלטרנטיבה המאושרת (למשל "לשיתוף חיצוני של קבצים השתמשו בפלטפורמת הענן הארגונית המאובטחת שלנו").
  • הליך מבוקר לבקשת אישור כלי חדש: לתאר את התהליך בו עובד או מנהל יכולים לבקש אימות ואישור של כלי מסוים, כולל לוחות זמנים ותנאי סף (כך העובדים ידעו שיש דרך פורמלית, ולא ירגישו שאין ברירה אלא לפעול עצמאית).
  • אחריות וסמכות: מי במחלקת IT אחראי על ניהול המדיניות, למי העובדים יכולים לפנות בשאלות (ייתכן קביעת "אחראי Shadow IT" ייעודי).
  • השלכות והסנקציות: הבהרה מה יקרה אם יתגלה שימוש הפרתי. אין צורך להחמיר יתר על המידה בניסוח, אך כן ליידע שעובד החשוף לסודיות הלקוחות ומפר מדיניות עלול לעמוד להליך משמעתי. סקר שנערך בקרב מומחי IT הראה כאמור שחוסר בהירות בעניין זה הוא בעייתיauvik.com, ולכן יש להסיר עמימות.
    מדיניות זו צריכה לקבל אישור הנהלה רשמי כדי שתקבל תוקף ומשקל.

4. שדרוג תשתיות ומתן אלטרנטיבות מאושרות: במקביל לקביעת מה אסור, על הארגון להשקיע בלספק מה מותר ואפשרי. כלומר, שיפור שירותי ה-IT הפנימיים כדי לסגור פערי צרכים. אם זוהו תחומים שבהם Shadow IT נפוץ עקב חוסר בכלי ראוי, יש להעריך הכנסת פתרון רשמי. לדוגמה, אם עובדים משתמשים המון ב-Trello ו-Asana לניהול פרויקטים, אולי הארגון צריך לרכוש מערכת ניהול מטלות ארגונית מודרנית ולא להסתפק בכלי מיושן. אם זוהתה נהירה ל-Google Drive, אולי סימן שמערכת השיתוף הפנימית לא נוחה – אולי פתרונה הוא הדרכת משתמשים על הכלי הקיים או שדרוגו. הרעיון הוא להקשיב למסרים שמגיעים מהשטח: Shadow IT פעמים רבות מצביע היכן ה-IT הרשמי לא מספק מענה מושלם. בנוסף, רצוי לבנות קטלוג שירותים שבו רשימה של כלים מאושרים לפי קטגוריות (תקשורת, שיתוף, ניהול ידע, וכו') כך שעובד יידע במה עליו להשתמש. אפשר אף לפרסם מעין "השוואה" פנימית: "משתמש ב-X? עבור לצורך דומה מותר Y".

צעד משלים הוא ריכוז רישיונות והסכמי תוכנה: לנסות לאחד שימושים מפוצלים תחת רישיון ארגוני. לדוגמה, אם זוהו מספר מחלקות שמשלמות בנפרד על אותו שירות SaaS (באופן צללים), כדאי שה-IT ירכז זאת לרישיון חברה אחד עם מספר משתמשים, כדי להחזיר שליטה ולחסוך עלויותblog.axway.com.

5. הטמעת פתרונות ניטור והגנה טכנולוגיים: כפי שתואר קודם, יש לפרוס כלים מתאימים למעקב שוטף. אם עוד לא קיים, להטמיע CASB המסוגל לגלות אפליקציות ענן בשימוש (Shadow IT Discovery). להגדיר חוקים ב-Firewall/DLP: למשל, אם מזוהה כמות גדולה של נתונים יוצאת לאתר אחסון שאינו מאושר, להתריע. להפעיל ניהול התקנים: לבחון שימוש בתוכנות המאתרות חיבורי USB לא מורשים ומתריעות. ארגונים המחויבים לרמת בטחון גבוהה במיוחד עשויים אפילו ליישם סגמנטציה ברשת – כלומר, לבודד תנועת רשת של התקנים לא מזוהים לסגמנט מוגבל, כדי למנוע מהם גישה לנכסי ליבה. כמובן, צעדים כאלה מיועדים בעיקר למניעת סיכונים קריטיים. העיקרון המנחה בשלב זה: לוודא שגם אם עדיין יתרחש Shadow IT, הארגון יוכל לזהות ולבלום תרחישי סכנה לפני שיגרם נזק חמור.

6. חינוך, תקשורת ושיתוף העובדים: לאחר הכנת המדיניות והכלים, יש להשיק קמפיין מודעות פנימי. זה כולל:

  • הדרכות פרונטליות/וובינרים: להסביר לעובדים את המדיניות החדשה, לתת דוגמאות מה מותר ומה אסור, לעבור על מקרי עבר (בלי לחשוף שמות) ולדון איך היו צריכות להתנהל אחרת.
  • תקשורת כתובה: פרסום הנחיות בקצרה בדוא"ל לכלל החברה, הנגשת המסמך המלא בפורטל הפנימי, ואפילו שילוט משרדי (למשל, פוסטרים עם טיפים: "זכור – מידע החברה שייך רק למערכות החברה!").
  • ערוצי דיווח ושאלות: לעודד עובדים לפנות בשאלות או אם הם לא בטוחים לגבי כלי מסוים – להקים תיבת דוא"ל ייעודית או קבוצת צ'אט עם צוות ה-IT/אבטחה שזמינים לספק תשובות.
  • שיתוף הצלחות: כדאי לאחר תקופה ראשונה לפרסם עדכון: למשל, "X מחלקות ביקשו 5 כלים חדשים, מתוכם 4 כבר אושרו לאחר בדיקה". עדכון כזה מראה שהמערכת עובדת ועוזרת, וגורם לעובדים אחרים להבין שכדאי לבקש.
  • אימון ממוקד למנהלים: להדריך מנהלי ביניים לזהות תופעות Shadow IT בצוותיהם, ולתווך את המסרים מטה. מנהל צוות שמבחין שעובדיו משתמשים בכלי לא מאושר צריך לדעת איך להגיב: לא להתעלם, אבל גם לא רק לנזוף – אלא לעזור למצוא פתרון מוסדר.

7. שלב הטמעה ואכיפה הדרגתית: לאחר שכל המרכיבים הללו במקום, מתחיל שלב הביצוע השוטף. מומלץ לנקוט אכיפה מדורגת ולא מיד "יד ברזל". למשל, בחודש-חודשיים הראשונים לאמץ גישה סובלנית: אם מתגלה עובד שמפר, לתת אזהרה והסבר, לאו דווקא סנקציה. במקביל, לנטר אם יש ירידה בשימושים הלא מורשים. אחרי תקופת חסד, ניתן להגביר אכיפה: למשל, להתחיל ממש לחסום גישה לאתרים בעייתיים (אם הוחלט על כך), או לפנות אישית לעובדים שלא נשמעו להנחיות מספר פעמים. תיתכן גם אכיפה רוחבית ממוכנת: לדוגמה, כל 3 חודשים להריץ סריקה ולהפיק דו"ח אפליקציות, ולשלוח התראה אוטומטית לכל מנהל מחלקה עם רשימת Shadow IT שנמצאה בצוות שלו, כדי שיוודא טיפול.

מומלץ גם לערוך בדיקות תקופתיות: כמו מבחני חדירה (penetration test) שינסו "להוציא" מידע בערוצים חלופיים ולראות האם המנגנונים תופסים זאת. כך אפשר לוודא שפתרונות ההגנה עובדים, וכן לגלות ערוצים חדשים שלא טופלו (למשל, פורט חדש שהותר במקרה).

8. שיפור מתמיד והתאמה לשינויים: האסטרטגיה אינה חד-פעמית. העולם הטכנולוגי משתנה מהר – אפליקציות חדשות צצות, דפוסי עבודה מתחלפים (היום למשל סוגיית Shadow AI כבר עולה). לכן יש לקבוע מנגנון סקירה תקופתית: למשל, מידי שנה לעדכן את מדיניות ה-Shadow IT, מידי רבעון לסקור בדירקטוריון את סטטוס הסיכונים, מידי חודש לבחון עם צוות ה-IT אם צצו כלי Shadow IT חדשים שדורשים מענה. הארגון צריך להיות דינמי בהתמודדות – אם מזהים שלאחר זמן מה עובדים שוב מתחילים לעקוף (אולי כלי מאושר לא עמד בציפיות?), צריך להגיב בהתאם – אולי לשדרג את הכלי המאושר או להציע הכשרה נוספת לשימוש בו.

במסגרת השיפור המתמיד, כדאי לשמר ערוץ משוב מהשטח: לתת לעובדים אפשרות להציע שיפורים לכלי IT קיימים או לבקש כלים חדשים בצינור רשמי (כמו פורום רעיונות או שיתוף נציגי משתמשים בפגישות עם IT). כך ניתנת לעובדים תחושת שותפות ואחריות, המקטינה מראש את הדחף "לגנוב סוסים".

האסטרטגיה המפורטת לעיל שואפת לאזן בין הסיכון לתועלת. היא מכירה בכך שלא ניתן – וגם לא רצוי – פשוט למחוץ את Shadow IT באופן טוטאלי. תחת זאת, המטרה היא להפחית למינימום את השימוש הלא-מבוקר ולנתב את האנרגיה היצירתית של העובדים לכיוונים מועילים. ארגון שיישם צעדים כאלה יוכל לצמצם באופן דרמטי את סיכוני האבטחה והציות, לחסוך בעלויות מיותרות, ובו בזמן לשמור (ואף לשפר) את יעילות העבודה ושביעות רצון העובדים מהכלים העומדים לרשותם.

סיכום ומסקנות

Shadow IT איננו רק באג נקודתי שיש לתקן – זוהי מציאות מתמשכת בעולם הארגוני המודרני, הנולדת מליבת המתח בין צורך בחדשנות וזריזות לבין דרישות לבקרה ומשמעת טכנולוגית. במאמר זה בחנו בהרחבה את תופעת Shadow IT מזוויות שונות: הגדרנו אותה כתופעה של שימוש במערכות וכלים טכנולוגיים ללא אישור ה-IT, והצבענו על הקשר הישיר למעבר לעבודה היברידית ועננית. בסקירת הספרות התרשמנו שמדובר בתופעה נפוצה מאוד – רוב הארגונים חווים אותה ברמה כזו או אחרת, הן בעולם והן בישראל, למרות עלייה במודעות. ראינו דוגמאות רבות, החל בשימוש יומיומי ב-Gmail וב-WhatsApp ועד לפרויקטים חוצי-ארגון "מתחת לרדאר". ניתחנו את המניעים – מצרכים עסקיים לא מסופקים, דרך לחץ להשיג תוצאות מהר, ועד תרבות ארגונית המעריכה יוזמה או, לחלופין, לא מבהירה את כלליה. השווינו מגמות במדינות שונות, ומצאנו שבאסיה הנטייה ל-Shadow IT היא הגבוהה ביותר, בעוד אירופה וצפון אמריקה מעט מאופקות יותר (אם כי בהחלט לא מחוסנות). דנו בהרחבה בהשלכות: סיכוני אבטחה ופרטיות, חשיפות משפטיות ורגולטוריות, אובדן שליטה ניהולית, כפילויות ועלויות נסתרות, ואף פגיעה אפשרית בתפקידי ה-IT עצמם – אך גם הזדמנויות לחדשנות ארגונית.

בחלק המעשי של הדיון, סקרנו תגובות ארגוניות אפשריות: למדנו שאין פתרון קסם יחיד, אלא נדרש שילוב של אכיפה טכנית (חסימות, ניטור) עם מאמצי חינוך והטמעת תרבות, תוך מתן מענה גמיש לצרכי העובדים (BYOD מנוהל, הרשאות מבוקרות לכלים חדשים). תיארנו את תפקידי המפתח – ה-CIO כמאזן בין טכנולוגיה לעסק, ה-CISO כזקיף הסף לאבטחה, ההנהלה שנותנת את הטון והדירקטוריון שמוודא משילות. לבסוף, גיבשנו אסטרטגיה ניהולית מפורטת הכוללת מיפוי וגילוי יסודיים, קביעת מדיניות ברורה ותהליך אישורים, חיזוק כלי ה-IT הרשמיים, ניטור שוטף, הדרכת עובדים, אכיפה מדורגת ושיפור מתמשך. אסטרטגיה זו נועדה לצמצם משמעותית את הסיכונים תוך שמירה על סביבת עבודה יעילה וחדשנית.

מסקנה מרכזית העולה מכל האמור היא שהמטרה אינה "לחסל" כליל את Shadow IT – משימה שסביר שאינה אפשרית לחלוטין – אלא לנהל אותו בתבונה. ארגון שמכיר בתופעה, מודד אותה ולומד ממנה, יוכל להפוך אותה להזדמנות לשיפור. במקום לראות בכל עובד שמשתמש בכלי חיצוני כעבריין, עדיף לראות בכך משוב חשוב: אולי זה סימן שמשהו חסר או לא עובד כראוי בתשתית הקיימת. גישה מכילה זו, לצד נקיטת צעדים תקיפים היכן שנדרש (כשהסיכון גבוה), תמצב את הארגון כ**"ארגון קשוב ובטוח"** גם יחד.

בסופו של יום, מנהלים צריכים לאמץ המלצות יישומיות מספר:

  • מדידה ובקרה קבועה: להטמיע כלים ותהליכים למעקב רציף אחר שימושי IT בלתי מורשים, ולהציג דו"חות תקופתיים להנהלה כדי לשמור את הנושא על סדר היוםzluri.com.
  • שדרוג חוויית המשתמש בכלי ה-IT: לזהות ולתקן חולשות בהיצע הטכנולוגי הפנימי כך שפחות עובדים ירגישו צורך "לברוח" לפתרונות חוץzluri.com.
  • התוויית תרבות של שיתוף באחריות: לתקשר בבירור שכל עובד הוא שותף לאבטחת מידע ושהוא מצופה לדווח ולהתייעץ כאשר יש צורך בכלי חדש, במקום לפעול לבד.
  • יישום עקרונות Zero Trust: להניח שכל מערכת, פנימית או חיצונית, עשויה להיות פרוצה אם אינה מנוהלת – ולבנות את ההגנות בהתאם, כולל אימות זהות חזק לכל גישה למידע רגיש, גם אם היא מתרחשת ממכשיר או אפליקציה לא סטנדרטייםtechtarget.com.
  • מעורבות הנהלה בכירה ומתמשכת: נושא Shadow IT צריך חסות חזקה מלמעלה. כאשר עובדים יודעים שההנהלה לוקחת את זה ברצינות – הם יקחו זאת ברצינות. דירקטוריון שתובע דיווח על הנושא מסמן שזה חלק בלתי נפרד מניהול סיכונים כולל.

בהתאם להמלצות אלו, מנהלים יכולים להפוך את האתגר למסלול לחיזוק הארגון: להקטין את פער האמון בין עובדי הקו הראשון לבין מחלקת ה-IT, להגן טוב יותר על הנכסים הדיגיטליים, ובמקביל לעודד חדשנות במסגרת מבוקרת. Shadow IT כאן כדי להישאר, אך בגישה פרואקטיבית ונבונה – ניתן להאיר את ה"צללים" ולשלבם באור הזרקור הניהולי לתועלת הארגון כולו.

מקורות

  1. IT News (מאיר עשת, 2022)"מחקר חדש של Torii חושף: 69% ממנהלי הטכנולוגיה מודים כי תופעת ה-Shadow IT נמצאת בראש דאגות אבטחת המידע שלהם". דווח על סקר Pulse בקרב 100 מנהלי טכנולוגיה בסוף 2021: 69% מהם הציבו את Shadow IT כדאגת אבטחה עיקרית, 52% ציינו שעובדים רוכשים יישומי SaaS עצמאית ללא ידיעת ITitnews.co.ilitnews.co.il.
  2. Sheffield University (Pressbooks, 2022)"Workarounds and Shadow IT". פרק מתוך ספר אקדמי הסוקר את מושג Shadow IT והבדליו מ"פתרונות עוקפים" (workarounds). כולל הגדרת המונח (Rentrop & Zimmermann 2012) ומציין שכ-80% מהעובדים משתמשים באפליקציית Shadow IT כלשהיsheffield.pressbooks.pubsheffield.pressbooks.pub. מפרט דוגמאות נפוצות לכלים: Trello, Dropbox, Slack, WhatsApp, וכו'sheffield.pressbooks.pub, ומתאר את גידול התופעה בעידן העבודה מרחוקsheffield.pressbooks.pub.
  3. Auvik – "50 Shadow IT Statistics for 2024" (2023) – מאמר מרכז נתונים ממקורות שונים: למשל 39% מהמשתמשים הצעירים לא מודעים למדיניות אבטחה ו-31% מהם ניסו לעקוף נהלי אבטחהauvik.comauvik.com; 30% מהקבצים משותפים לחשבונות אישיים ו-35% מהעובדים מעבירים אימיילים מהעבודה למייל אישיauvik.comauvik.com; כ-11% מהנתונים שמוזנים לכלי AI (כגון ChatGPT) היו סודיים (מקרה Samsung)auvik.com; 42% מהעובדים משתמשים באימייל אישי לצורכי עבודה ו-35% בכלי וידאו לא מאושרים (נתוני Statista)auvik.com.
  4. Zluri – "Shadow IT Statistics: Key Facts 2025" (2024) – אוסף סטטיסטיקות עדכניות: 38% מהעובדים פונים ל-Shadow IT בשל תגובת IT איטיתzluri.com; 91% מהצוותים חשים לחץ לשים עסק לפני אבטחהzluri.com; 65% מהעובדים שעבדו מרחוק לפני המגפה משתמשים ב-Shadow IT (לעומת 31% מאלו שהחלו מרחוק רק לאחריה)zluri.com; 61% מהעובדים אינם מרוצים מהטכנולוגיות הקיימות בארגוןzluri.com; 77% מצוותי IT רואים ערך באימוץ חלק מכלי ה-Shadow IT לשיפור פרודוקטיביותzluri.com; 85% מהארגונים חוו אירועי סייבר בשנתיים האחרונות, ו-11% מהם בשל Shadow ITzluri.com. עוד נתונים: 65% מכלל יישומי ה-SaaS בארגון ממוצע הם בלתי מאושריםzluri.com; בארגונים גדולים בממוצע 975 שירותי ענן לא ידועים בשימוש לעומת 108 ידועיםzluri.com.
  5. KnowBe4 Research (Q1 2022) – דו"ח מחקר עולמי על התנהגות סיכון: מעל 50% מהעובדים באסיה דיווחו ששימוש בשירותי שיתוף קבצים לא מורשים הוא "נוהג רגיל", לעומת ~20% באפריקה ו-25% באירופהknowbe4.comknowbe4.com. הדו"ח מראה שונות אזורית גדולה ומדגיש שאפילו באזורים ה"טובים", כ-1 מתוך 5 עובדים רואים זאת כנורמהknowbe4.com. מזהה שגם באפריקה (הכי נמוך) עדיין 19.6% דיווחו על נוהג כזהknowbe4.com.
  6. CIO Insight (Dennis McCafferty, 2021)"How Shadow IT Transformed the Role of CIO". סקר מנהלי IT: ~75% מה-CIOים אמרו שרוב או חלק מהמחלקות בארגונם רוכשות טכנולוגיה ליבה ללא מעורבות ה-ITcioinsight.com; 75% חששו מהשפעת Shadow IT על אבטחת הנתונים, 70% מדאגה לכפילויות משאביםcioinsight.com; 58% חששו שתפקיד ה-CIO יהפוך ללא רלוונטי בשל Shadow ITcioinsight.com. עם זאת, 69% ראו בשינויים הזדמנות לחדשנות גדולה יותרcioinsight.com. נתונים אלה ממחישים את הצורך של CIOים להסתגל ולשתף פעולה עם היוזמות מהשטח ולא רק לדכא אותן.
  7. Axway Blog (Jean Claude Bellando, 2018)"Shadow IT: What is it and why is it a problem?". מציג סיפור מקרה על כפילות גלובלית: צוותים באירופה, צפון אמריקה ואסיה רכשו כל אחד כלי שיתוף קבצים שונה, וכתוצאה היו לארגון 3 פלטפורמות שונות, פגיעה בתיאום ואובדן גישה למידע כשאנשים עזבוblog.axway.com. מחדד את הבעיות של עלויות נסתרות, חוסר יעילות ואובדן ידע ארגוני כאשר Shadow IT נפוץ. כמו כן מציין סקרים מוקדמים: 53% מאנשי IT אמרו (ב-2014) שכל המחלקות נשענות על Shadow IT, ו-81% מהעובדים הודו בכך (Gigacom)blog.axway.comblog.axway.com – עדות מוקדמת להיקף.
  8. Zylo (2023) – דו"חות של Zylo ואחרים (דרך Auvik/Zluri): מראים שמעל מחצית הארגונים חוו תקרית אבטחה הקשורה ל-SaaSauvik.com; 58% ממנהלי אבטחה סבורים שפתרונותיהם מכסים רק מחצית או פחות מאפליקציות ה-SaaS בארגוןauvik.com; 37% מאנשי IT אמרו שאין בהירות בענישה בגין Shadow IT בארגונםauvik.com. מדגישים את הצורך במדיניות ובהשקעה בכלי אבטחה ייעודיים.
  9. Beezy "Digital Workplace Report" (2023) – סקר טרנדים דיגיטליים: צוטט בזלורי, מראה פער דורות בשימוש Shadow IT (מילניאלז 54% מול בומרס 15%)zluri.com; רק 42% מכלל העובדים מרוצים מכלי מקום העבודהzluri.com; 85% מהעובדים מאמינים שהארגון מנטר את פעילותם, אך רבים מהם עדיין משתמשים בכלים לא מאושרים – סימן שנכונות העובדים לקחת סיכון גבוה לטובת יעילותzluri.com.
  10. מחקרי אבטחה שונים (2022–2025) – מקורות נוספים כוללים דוחות של IBM, CSA, Gartner: צופים עלייה ב-Shadow IT (למשל הערכה שהוא יגדל ל-75% מהשימוש עד 2027)federaltimes.com; קובעים שכ-65% מכלל האפליקציות בענן נמצאות "בצל"zluri.com; מציעים שגישות Zero Trust וגידול בהשקעות באבטחת SaaS הן התגובה המתפתחת (10% מהארגונים הגדולים יאמצו Zero Trust עד 2026)auvik.com.

כל המקורות לעיל שולבו בתוכן המאמר, ומראים תמונה עדכנית ועשירה של תופעת Shadow IT: הן בהיבט מחקרי-אקדמי, הן בדיווחי תעשייה וסקרים, והן בדוגמאות מעשיות מארגונים. הם מדגישים את הצורך בגישה מאוזנת – המשלבת משמעת טכנולוגית עם הבנה אנושית – כדי להתמודד עם האתגר בהצלחה.