“Shadow IT”多年来一直是组织的挑战;然而,直到最近,它主要是令人讨厌的。但是,5月25日,当GDPR成为欧盟的法律时,阴影可能会花费高达2000万欧元或年度全球营业额的4%–以较高者为准。

通过向数据泄露引入这种综合罚款,GDPR已经帮助影子毕业于对潜在公司摧毁问题仅仅是滋扰。因此,每个人都必须认真地将其义务的组织作为其筹备工作的一部分调查。那些选择忽略阴影的人根本不符合GDPR。

它如何连接到gdpr?

阴影是越来越壮大的趋势,员工要么在未经IT部门的同意或知识的情况下在工作中购买自己的设备或在工作中使用自己的设备。这对IT部门来说是令人沮丧的,因为它将它们从循环中取出,这增加了对业务的风险(即将设备或软件引入DON的业务’t meet the company’S安全要求)并降低其充分支持环境的能力; IT部门不能支持他们没有的东西’T安装首先!

当它引入阴影时,与GDPR的连接介绍“未注册的数据源”到业务中,数据控制器未知的数据。这里的逻辑是,如果IT部门没有’知道它,那么数据控制器赢了’t2。几乎各种类型,无论是一件软件还是设备,在某种程度上存储或操纵数据。如果数据控制器没有’知道此数据,那么它不会符合其GDPR义务。商业函数如何尊重客户请求,以删除其所有数据如果不知道其一个帐户管理者在他的iPad上的应用程序上的文件副本?

只是一个阴影实例它在一个实例中破坏了GDPR的合规性,将组织暴露于上述余性罚款。

I’不担心,因为我不’t have any shadow IT

所以你不’认为你在你的组织中有任何影子吗?再想想。今天的大多数软件都通过云传递。想想Salesforce,Slack,Dropbox等,甚至Microsoft Office现在主要在订阅模型上购买。所有这些软件都可以由任何信用卡的任何人采购。 IT部门可以自信地说它知道这个软件的所有实例吗?如果来自营销的艾米决定她想要放松一下,她就没有’t need IT’批准这样做。她只是这样做。

也许你’RE少数少数人的组织之一,在其采购程序中充满信心100%,您知道没有它可以安装一块软件’知识或同意。对你有好处,那 ’非常壮举。但是你可以对可能连接到网络的设备说同样的事情吗?是每个iPad和智能手机连接到您的Wi-Fi审核和由它管理吗?

好的,我得到它,我’我刚把它关掉了。不是那么快

查找影子的所有实例只有解决问题的第一步。我们发现的挑战是,大多数阴影实例它不是外围的,偶然的软件–他们实际上经营了这项业务。使用近期客户作为示例,我们发现其33%的业务关键函数在非核心IT系统上运行(即阴影,它负责1/3的业务)。由于数据控制器无法在追求GDPR遵从性时关闭这些系统,因此必须进行计划以管理这些系统中的数据。

救援的配置管理

Once the data controller has found and documented all of the customer data residing in shadow IT, it is no longer shadow IT. Hooray. But the challenge then is about maintaining an accurate view of all non-core IT systems, since new instances of Shadow IT (and thus 未注册的数据源) can pop up at any time. This is where we believe a proactive and cooperative approach to configuration management must become part of the overall GDPR solution.

传统的配置管理是关于它的域名的所有权。但这种门卫的方法是首先导致它的阴影,所以它’最好的避免。如果它需要两周时间才能提供与Microsoft Office的新员工,那么停止将部门头部停止在信用卡上扔进信用卡?因此,我们建议它与商业头部更密切地工作,成为业务推动者,并经常与企业合作,以识别主动提供的需求和提供解决方案。

虽然这不是实现的简单或快速解决方案,但需要这种变化来解决第一位置的阴影的根本原因。随着GDPR提高了在阴影中持有的所有数据的赌注,这种雄心勃勃的变化的推动率从未如此。