員工明知故犯 影子SaaS提升效率但風險大
編譯/戴偉丞
如果企業內部人員使用非公司許可的SaaS服務進行作業程序,以加速工作效率,即所謂的「影子SaaS(shadow SaaS)」,該行為增加正危及到企業內部資料安全,同時也吸引安全專家的關注。
逾七成受訪者承認用影子SaaS
根據Next DLP在RSA Conference 2024和Infosecurity Europe 2024上對全球250多名安全專業人士進行的一項調查,其中73%的人承認在過去一年中使用了未經其公司資訊團隊批准的SaaS應用程式。
儘管事實上他們似乎高度意識到這些風險,其中仍有65%的受訪者指出資料遺失的經驗,62%的受訪者指出公司員工使用SaaS缺乏可見性和控制,52%的受訪者認為資料外洩是使用未經授權工具的最大風險。
更多新聞:注意「影子AI」風險 6成員工自行用AI工具成隱憂
員工對影子SaaS認知不健全
在調查中也有40名安全專業人士認為,公司員工對於影子SaaS與影子AI之於資料安全風險的認知,並非完整與正確。但是值得注意的是,僅37%受訪者表示已經制定內部工具使用政策,對於使用經過批准的替代方案以解決當前問題的政策推動為28%。
影子SaaS有問題卻明知故犯
Next DLP首席安全長Chris Denbigh-White表示,該調查凸顯公司員工對於未經授權或批准的工具使用認知,與降低組織風險能力之間存在明顯差異。甚至有1/10的受訪者表示其內部資料的外洩或遺失,與使用影子SaaS有直接關係。
Denbigh-White認為,有鑑於此,安全團隊必須實施嚴格的措施,或至少研擬出替代方案,以面對使用影子SaaS帶來的高風險。
資料來源:ITPro
瀏覽 249 次