Теневые SaaS-подписки: управленческий риск, который растёт незаметно

Три года назад подключить новый сервис в компании означало обратиться в ИТ-отдел, пройти согласование, дождаться установки. Это было медленно, но контролируемо. Сегодня сотрудник может зарегистрироваться на новом облачном сервисе, оплатить подписку корпоративной картой и начать работу за пятнадцать минут - не сказав никому ни слова.

Это удобно для сотрудника. Это системный риск для компании.

Что именно происходит

По оценкам аналитиков, реальное число облачных сервисов, используемых в средних и крупных компаниях, превышает официально зарегистрированное в несколько раз. Часть этого - полноценный теневой ИТ: Dropbox для обмена файлами, Trello для управления задачами, различные инструменты для коммуникаций, сервисы хранения паролей, маркетинговые платформы.

Проблема не в том, что эти инструменты плохие. Многие из них хорошие. Проблема в том, что они используются без понимания того, какие данные туда уходят, на каких условиях хранятся, что происходит при уходе сотрудника и что произойдёт, если сервис изменит условия или закроется.

Три реальных риска

Первый - утечка данных. Сотрудник загружает клиентскую базу в облачный сервис для удобства работы. Сервис хранит данные на серверах в неизвестной юрисдикции с неизвестной политикой безопасности. Если произойдёт утечка, компания несёт ответственность - но не знала о том, что данные там находились.

Второй - зависимость без плана выхода. Отдел выстраивает процессы вокруг неофициального инструмента. Через год инструмент меняет ценовую политику или закрывается. Данные оказываются заперты, процессы нарушены, и всё это открывается неожиданно.

Третий - разрыв при уходе сотрудника. Человек, который пользовался теневым сервисом, уходит. Доступ к аккаунту остаётся на его личном email. Данные, наработанные для компании, технически принадлежат его аккаунту. Этот сценарий разыгрывается регулярно.

Почему запреты не работают

Стандартная реакция ИТ-отдела - запретить. Но запрет без альтернативы не решает задачу: сотрудники будут пользоваться инструментами, которые помогают им работать, независимо от политики. Просто станут аккуратнее это скрывать.

Рабочий подход другой: понять, какие задачи сотрудники решают через теневые инструменты, и предложить легальные альтернативы. Иногда оказывается, что люди используют Dropbox, потому что официальный файловый сервер неудобен или работает медленно. Это ИТ-проблема, а не проблема дисциплины.

Что стоит сделать сейчас

Начать стоит с инвентаризации, а не с ограничений. Несколько практических шагов:

1. Проверить список транзакций по корпоративным картам - там видны подписки на облачные сервисы.
2. Спросить руководителей подразделений, какими инструментами пользуются их команды помимо официальных.
3. Оценить, какие данные обрабатываются в этих инструментах - клиентские, финансовые, персональные.
4. Для каждого найденного сервиса принять осознанное решение: легализовать с контролем, заменить официальной альтернативой, или запретить с объяснением.

Теневые ИТ не исчезнут - они естественное следствие того, что бизнес-инструменты развиваются быстрее корпоративных регламентов. Но управляемое теневое ИТ значительно менее рискованно, чем неизвестное.