Giải quyết khủng hoảng shadow IT trong du lịch doanh nghiệp

[Phi Vũ]

Việc nhân viên dùng công cụ không được phê duyệt, nhất là các ứng dụng AI tiêu dùng, đang tạo ra rủi ro lớn cho quản lý công tác. Bài viết nêu nguyên nhân, hệ quả và các giải pháp thực tế để giảm thiểu thiệt hại cho tổ chức.

Từ chuyển đổi số đến ứng dụng AI, công nghệ ngày càng ăn sâu vào hoạt động du lịch doanh nghiệp. Nhưng khi hệ sinh thái IT mở rộng, hiện tượng "shadow IT" — tức việc nhân viên sử dụng công cụ, ứng dụng hoặc dịch vụ ngoài danh sách cho phép — cũng tăng theo.

Hiện tượng này được khuếch đại bởi các công cụ AI tiêu dùng: khảo sát cho thấy khoảng 78% nhân viên thừa nhận dùng hệ thống AI không được phê duyệt tại nơi làm việc. Khi công cụ chính thức chậm, khó dùng hoặc không hỗ trợ phương thức thanh toán ưa thích, người dùng dễ chuyển sang nền tảng thay thế tiện lợi và quen thuộc.

Rủi ro chính​

• Rò rỉ dữ liệu: Nhân viên nhập thông tin nhạy cảm (lịch trình, chi tiết giao dịch, biên lai) vào ứng dụng không quản lý có thể dẫn tới lộ dữ liệu hoặc lưu trữ trên máy chủ bên thứ ba.
• Nguy cơ an toàn cho người đi công tác: Đặt chỗ bên ngoài hệ thống chính thức làm mất dấu vết số, khiến nhà quản lý không biết vị trí nhân viên khi xảy ra sự cố.
• Tổn thất tài chính: Đặt chỗ qua nền tảng không được kiểm soát có thể gây mua phải dịch vụ lừa đảo, chargeback, mất chiết khấu doanh nghiệp và tăng gánh nặng xử lý thủ công, gây tổn thất lớn.
• Phơi bày trước các cuộc tấn công: Công cụ bên ngoài thường thiếu biện pháp bảo vệ mạnh mẽ, trở thành điểm xâm nhập ưu tiên của kẻ tấn công (gây gian lận, đánh cắp danh tính, thiệt hại tài chính).
• Rủi ro tuân thủ: Vi phạm quy định như GDPR, SOX, PCI DSS về quản lý dữ liệu, lưu trữ và báo cáo có thể dẫn tới phạt nặng và tổn thất danh tiếng.

Giải pháp thực tế​

• Cập nhật chính sách an ninh và quản trị: Đưa shadow IT vào phạm vi quản lý, nêu rõ rủi ro với AI tiêu dùng và yêu cầu quy trình phê duyệt cho công cụ mới.
• Cải thiện trải nghiệm công cụ chính thức: Đơn giản hóa quy trình đặt chỗ, rút ngắn thời gian tải, hỗ trợ nhiều phương thức thanh toán để giảm động lực chuyển sang nền tảng bên ngoài.
• Cung cấp lựa chọn được phê duyệt thay thế: Nếu nhân viên cần tính năng từ công cụ tiêu dùng, cung cấp phiên bản được quản lý hoặc tích hợp API an toàn thay vì cấm đoán hoàn toàn.
• Giám sát và theo dõi giao dịch số: Thiết lập audit trail cho mọi giao dịch T&E, dùng DLP (ngăn rò rỉ dữ liệu) và CASB để kiểm soát luồng dữ liệu ra ngoài.
• Quản lý rủi ro nhà cung cấp: Đánh giá bảo mật và chính sách lưu trữ của các nền tảng đặt dịch vụ, yêu cầu hợp đồng đáp ứng tiêu chuẩn tuân thủ.
• Quy trình ngoại lệ có kiểm soát: Xây dựng cơ chế cho phép tạm thời dùng công cụ chưa phê duyệt trong các tình huống đặc thù kèm theo điều kiện bảo mật và thời hạn.
• Đào tạo và thay đổi hành vi: Ưu tiên truyền thông rõ ràng về rủi ro, huấn luyện sử dụng công cụ AI an toàn, và giải thích lợi ích khi dùng hệ thống chính thức để đổi lấy sự tuân thủ.
• Chính sách liên phòng ban: Tổ chức nhóm liên chức năng (IT, pháp chế, tài chính, vận hành, HR) để phối hợp chính sách, xử lý sự cố và rà soát định kỳ.
• Kế hoạch phản ứng và kiểm toán định kỳ: Chuẩn bị quy trình ứng phó sự cố liên quan tới dữ liệu du lịch và thực hiện kiểm toán thường xuyên để phát hiện shadow IT sớm.

Các tổ chức phải thừa nhận rằng cấm đoán hoàn toàn không có hiệu quả. Thay vào đó, kết hợp chính sách rõ ràng, cải tiến công cụ nội bộ, kiểm soát kỹ thuật và đào tạo nhân viên sẽ giúp giảm thiểu rủi ro, bảo vệ người đi công tác và duy trì tuân thủ quy định.

Nguồn: Techradar