Co Shadow IT skutečně znamená a proč vzniká
Shadow IT označuje používání aplikací, cloudových služeb, zařízení nebo skriptů, které nejsou schválené nebo spravované firemním IT oddělením. Typicky jde o sdílené soubory v osobním Google Drive, komunikaci přes neoficiální Slack workspace, přenos dat přes WhatsApp, nebo používání vlastních SaaS nástrojů pro projektové řízení, automatizaci či AI asistenty.
Nejčastěji nevzniká z nedbalosti, ale z frustrace. Zaměstnanec potřebuje rychle vyřešit úkol, schválený nástroj je pomalý, složitý nebo chybí úplně. Podle různých bezpečnostních průzkumů tvoří Shadow IT v organizacích často 20–40 % používaných cloudových aplikací, přičemž bezpečnostní týmy o části z nich vůbec nevědí. U větších firem s hybridní prací bývá situace ještě složitější, protože hranice mezi firemním a osobním prostředím se stírá.
Jaké jsou největší bezpečnostní a právní dopady
Problém Shadow IT není jen v tom, že někdo používá „nepovolený“ nástroj. Skutečné riziko nastává ve chvíli, kdy se přes tyto služby přenášejí citlivá data, přihlašovací údaje nebo interní dokumenty. Bez centrální správy není jasné, kdo má k datům přístup, kde jsou fyzicky uložená, jak dlouho se archivují a zda poskytovatel splňuje požadavky na GDPR, ISO 27001 nebo interní bezpečnostní standardy.
Mezi nejčastější dopady patří:
- Únik dat – například když zaměstnanec sdílí dokument přes osobní účet nebo veřejný odkaz.
- Slabé řízení přístupů – bez SSO, MFA a offboardingu zůstávají účty aktivní i po odchodu zaměstnance.
- Compliance rizika – neznámý zpracovatel dat, chybějící DPA nebo přenos mimo EU.
- Bezpečnostní slepá místa – IT nevidí logy, auditní stopu ani změny v datech.
- Provozní chaos – data jsou rozptýlená mezi desítkami aplikací, které nikdo nespravuje.
Například marketingový tým může bez konzultace začít používat AI nástroj pro generování textů a nahrát do něj interní briefy, produktové roadmapy nebo zákaznické podklady. Pokud poskytovatel nemá jasné podmínky pro trénování modelu nebo ukládání dat, firma může nechtěně předat citlivé informace třetí straně. To už není jen technický problém, ale i právní a reputační riziko.
Jak Shadow IT odhalit: od CASB po logy ze sítě
Bez měření se Shadow IT řeší jen pocitově. Dnes existuje několik praktických metod, jak jeho rozsah zjistit. Základní přístup je kombinace síťové viditelnosti, správy identit a analýzy cloudového provozu. Větší firmy často nasazují CASB (Cloud Access Security Broker), který dokáže identifikovat používané SaaS služby, vyhodnotit rizikovost a nastavit pravidla pro přístup k datům.
Užitečné nástroje a zdroje dat:
- Microsoft Defender for Cloud Apps – odhalí neautorizované cloudové aplikace a chování uživatelů.
- Netskope nebo Zscaler – sledují cloudový provoz a umožňují řízení politik.
- Google Workspace / Microsoft 365 audit logy – pomohou zjistit, kdo sdílí data mimo organizaci.
- Firewall a proxy logy – ukážou návštěvy neznámých SaaS služeb.
- SSO a IAM systémy – odhalí aplikace, které nejsou napojené na firemní identitu.
Praktický postup bývá jednoduchý: nejprve sesbírat seznam domén a aplikací, které zaměstnanci reálně používají, poté je rozdělit na schválené, tolerované a zakázané. Tato kategorizace je efektivnější než absolutní zákaz, protože většina firem stejně nemůže stoprocentně kontrolovat každý nástroj. U malých a středních firem často stačí i kombinace firewallu, DNS filtrace a pravidelného auditu SaaS účtů.
Jak nastavit pravidla, která lidé opravdu dodrží
Nejúčinnější obrana proti Shadow IT není restrikce, ale nabídka lepší alternativy. Pokud zaměstnanci dostanou bezpečný, rychlý a pohodlný nástroj, pravděpodobnost obcházení pravidel dramaticky klesá. V praxi se osvědčuje model „secure by default“: schválené aplikace jsou přednastavené, jednoduché na přihlášení a dostupné přes jednotnou identitu.
Dobré firemní zásady by měly obsahovat:
- jasný seznam povolených nástrojů pro konkrétní typ práce,
- proces rychlého schvalování nových aplikací, ideálně do 48–72 hodin,
- požadavek na SSO, MFA a auditní logy pro všechny klíčové SaaS služby,
- pravidla pro práci s citlivými daty, zejména zákaznickými a osobními údaji,
- postup pro výjimky, aby zaměstnanci nemuseli improvizovat.
Velmi dobře funguje jednoduchý formulář „Chci použít nový nástroj“. Zaměstnanec uvede účel, typ dat, která bude služba zpracovávat, a kontakt na vlastníka procesu. IT nebo bezpečnost pak posoudí riziko a rozhodne, zda aplikaci schválí, zamítne, nebo omezí jen na interní použití. Tím se z Shadow IT stane řízený proces místo nekontrolovaného chaosu.
Roli hraje i vzdělávání: zaměstnanci nejsou nepřítel
Ve firmách se často dělá chyba, že se Shadow IT komunikuje jako „porušení pravidel“ bez vysvětlení dopadů. To vede k obcházení kontroly ještě častěji. Lepší je ukázat konkrétní scénáře: co se stane, když se interní dokumenty nahrají do osobního cloudu, proč je problém sdílet přístup přes soukromý e-mail, nebo jak může neprověřený AI nástroj ukládat prompt history.
Účinné jsou krátké, cílené kampaně místo dlouhých školení jednou ročně. Například:
- 10minutový e-learning pro nové zaměstnance při onboardingu,
- měsíční bezpečnostní tip v interním newsletteru,
- praktické ukázky phishingu, sdílení dokumentů a práce s AI nástroji,
- simulace incidentu, kdy se ukáže, jak rychle se data z neoficiální aplikace šíří.
Pro manažery je důležité sledovat i kulturní stránku. Pokud tým potřebuje řešit úkoly mimo standardní proces, většinou to signalizuje problém v interních nástrojích nebo procesech. Shadow IT je tak často symptom, ne příčina. Když firma zlepší uživatelskou zkušenost svých schválených systémů, počet „tajně“ používaných aplikací obvykle klesne.
Jaké metriky sledovat a jak vyhodnocovat zlepšení
Bez metrik se bezpečnostní program nedá řídit. U Shadow IT se vyplatí sledovat několik konkrétních ukazatelů: počet detekovaných neautorizovaných aplikací, podíl aplikací s vysokým rizikem, počet výjimek schválených měsíčně, objem sdílených souborů mimo doménu firmy a počet účtů bez SSO nebo MFA. Tyto údaje lze kombinovat do jednoduchého interního dashboardu pro IT a management.
Praktický cílový stav může vypadat takto:
- do 30 dnů zmapovat top 20 nejpoužívanějších neoficiálních aplikací,
- do 60 dnů zavést klasifikaci aplikací podle rizika,
- do 90 dnů mít proces schvalování nových nástrojů a pravidelný audit přístupů,
- průběžně měřit pokles neautorizovaného sdílení dat a počet incidentů.
Pokud firma používá například Microsoft 365, Google Workspace, Slack, Jira nebo Notion, má velkou část potřebné telemetrie už k dispozici. Klíčové je data propojit a nepřistupovat k bezpečnosti izolovaně. Shadow IT totiž není problém jedné aplikace, ale celé digitální kultury firmy. Když se podaří spojit viditelnost, jednoduchá pravidla a rozumnou nabídku alternativ, z tajného používání nástrojů se stane řízený a výrazně méně rizikový proces.
