Eğer gölge IT, karar vericileriyle birlikte bir problem ise, bu üst düzey güvenlik görevlisinin yeterince sorumlu şekilde ilgilenmediğinin bir işareti olabilir.
İş karar mercileri güvenlik kontrollerinin üstesinden gelmeye karar verdiklerinde, genel olarak kuruluşu risk altına sokmak yerine, operasyonel verimlilik kazanılması için çalışırlar. Ancak bu iyi niyetle yapılmaya çalışıldığında dahi risk oluşturur. Code42 tarafından yapılan bir araştırmada, bir risk olduğunu bilmelerine rağmen, Gölge IT’nin faillerinin CEO’lar olduğunu keşfetti. Araştırma, CEO’ların yüzde 75’inin ve iş karar vericilerin yarıdan fazlasının IT departmanı tarafından onaylanmamış uygulamaları ya da programları kullandıklarını ortaya koyuyor.
Code42’deki Başkan Yardımcısı ve CSO’su Rick Orloff, bunun için hem pastam dursun hem karnım doysun deyiminin en iyi örnek olduğunu söylüyor. Orloff, “Kendi bildikleri gibi yapmak istiyorlar. Ancak bu tutumun muhtemelen üst düzey güvenlik görevlilerinin organizasyonda yeterince sorumluluk almadığının bir işaret olduğu söylenebilir.”
Orloff, “Kıdemlı güvenlik görevlileri, CEO ya da COO’ya rapor verdiklerinde neler olduğunu daha iyi bilirler ve doğru bir şekilde kullanılabilecek araçların uygulanmasına izin vermek için ihtiyaç duyduğu şeyleri de sağlayabilir. Güvenlik karar mercii, C-seviyeye rapor veriyorsa, bu kolayca önlenebilir bir sorundur” diyor.
Elbette, bu güvenliği sağlama davranışlarında tek suçlu C-seviye yani üst yöneticiler değil. Orloff, bazı durumlarda bu güvenlik uzmanlarının da risk oluşturduklarını vurguluyor. “Bir araç indiriyorlar ve sonradan o aracın her türlü riski taşıdığı ortaya çıkıyor” diyor Orloff.
Bunun bir örneği, organizasyondaki şifrelerin zorluğunu test etmek için bir parola kırma aracı indiren iyi niyetli bilgisayar korsanları olabilir. Orloff, “Şifreyi çözmek, uyumluluk sorunları yaratıyor. Bunu riskten ödün vermeden yapmanın bir yolu var, ancak oldukça dikkatli bir şekilde düşünülmesi gerekiyor” diyor.
Orloff, gölge IT ile meşgul olan yöneticilerin güvenlik görevlileri ile iyi ilişkileri olmaması muhtemel görünüyor diyor. Ancak Bay Dynamics kurucu ortağı ve CTO Ryan Stolte, güvenlik profesyonelleri için kendini yenilgiye uğratan davranışların bilgi aşırı yükünün bir sorunu olduğunu söylüyor.
Stolte, işleri kısa yoldan çözmek gibi genel bir sorun olduğunu ve güvenlik uzmanlarından gelen çok fazla güvenliği açığı ve tehdit verisi olduğuna dikkat çekiyor. Organizasyonlar savunmasızdır ve her yerden saldırıya uğrarlar. Tüm bu uyarıların altında kalmak kolaydır ve yaptıklarında ” geçmişte onlar için çalışmış olan şeylere geri dönmeye başlıyorlar. Aşılmaz ihtimaller karşısında, bildiği şeylere başvururlar diyor Stolte. Soruna gark olan güvenlik görevlileri de avcı zihniyetinden vazgeçip kendi verilerini terk ederler. “Onun yerini kontrol ederler ve geçmişte başarılı olmuş özel modelleri ararlar” diyor Stolte. Sonrasında ise, adli tıp uzmanlarını gönderdiklerinde, delillerin aslında orada olduğunu, insanların onu görmediğini keşfederler.