Shadow IT: data dnes často unikají úplně mimo IT

06.04.2026

Ve firmě bylo po auditu nezvykle ticho. Ne kvůli ransomwaru, ne kvůli hackerům. Audit jen ukázal něco mnohem nepříjemnějšího.

Obchodní tým sdílel smlouvy přes soukromé Google Drivy. Projektové řízení běželo v osobních Trello účtech. Jeden bývalý zaměstnanec měl po odchodu stále přístup k části klientské dokumentace přes svůj Dropbox.

A IT o tom většinu času vůbec nevědělo.

Tohle je dnes realita desítek malých a středních firem. Nejde o sofistikovaný útok. Nejde o zero-day exploit. Jde o běžný provoz firmy, který se postupně vymkl kontrole.

Největší bezpečnostní problém dnes často vůbec nevypadá jako bezpečnostní problém

Ve většině SMB firem Shadow IT nevzniká z rebelie proti IT oddělení - Vzniká z frustrace.

Lidé potřebují rychle sdílet soubory. Poslat velkou přílohu klientovi. Rozběhnout projekt. Napojit AI nástroj. Vyřešit home office. Udělat něco "jen dočasně".

A protože interní proces bývá pomalý nebo neexistuje vůbec, zaměstnanci si pomůžou sami.

Dropbox, Notion, Canva, WhatsApp skupiny, Soukromý Google účet, AI nástroje napojené na firemní data...

V jednu chvíli to vypadá jako drobnost. Pak ale přijde audit, incident nebo odchod zaměstnance - a firma najednou zjišťuje, že část kritických dat běží úplně mimo její kontrolu.

Většina managementu netuší, jak snadné dnes je obejít firemní IT

Dřív bylo těžké zavést nový software bez vědomí IT. Dnes stačí kreditní karta a pět minut času. To je zásadní změna, kterou si mnoho firem stále neuvědomuje.

Cloudové služby odstranily téměř všechny technické bariéry. Zaměstnanec už nepotřebuje server, VPN ani administrátora. Stačí registrace přes firemní e-mail.

Právě proto dnes Shadow IT často nevypadá jako "porušení pravidel". Naopak. Vypadá jako iniciativa a produktivita.

Marketing si koupí AI nástroj pro generování obsahu. Obchod používá vlastní CRM tabulku v cloudu. HR sdílí CV kandidátů přes osobní úložiště, protože "to bylo nejrychlejší".

Každé jednotlivé rozhodnutí dává lokálně smysl. Globálně ale vzniká prostředí, které nikdo reálně nespravuje.

SMB firmy jsou ideální prostředí pro nekontrolovaný chaos

Velké korporace mají procesy. Compliance týmy. Asset management. CASB nástroje. Interní governance. Menší firmy většinou ne. To není kritika. To je realita provozu.

Ve firmě o 30 lidech často:

IT řeší zároveň support, onboarding i infrastrukturu,
neexistuje katalog schválených aplikací,
onboarding a offboarding zaměstnanců není centralizovaný,
nikdo pravidelně nekontroluje externí SaaS služby,
management řeší hlavně provoz a obchod.

Výsledkem je prostředí, kde se Shadow IT šíří prakticky samo. A čím rychleji firma roste, tím rychleji problém eskaluje.

AI nástroje otevřely úplně novou kategorii rizika

Před pár lety šlo hlavně o cloudová úložiště. Dnes firmy často ani netuší, jaká data zaměstnanci kopírují do AI nástrojů.

Zdrojové kódy.
Smlouvy.
Interní dokumentace.
Klientské nabídky.
Citlivé HR informace.

Z pohledu zaměstnance jde často o snahu pracovat efektivněji. Z pohledu bezpečnosti ale firma může nechtěně odesílat citlivá data do externích systémů mimo vlastní kontrolu. A problém je ještě horší: Ve spoustě firem dnes neexistují žádná pravidla, která by používání AI nástrojů vůbec řešila.

Nejčastější chyba? Firmy řeší až technologie. Ne provozní realitu

Mnoho firem začne řešit Shadow IT až ve chvíli, kdy chtějí koupit další bezpečnostní nástroj. Jenže problém většinou není primárně technický.

Pokud zaměstnanci obcházejí firemní procesy, obvykle to znamená, že:

proces nefunguje,
je příliš pomalý,
nikdo ho nevysvětlil,
nebo firma vůbec nenabízí bezpečnou alternativu.

Zákazy samotné většinou nepomohou. Pokud firma zaměstnancům neumožní jednoduše a bezpečně pracovat, lidé si cestu najdou sami.

Co má smysl zkontrolovat okamžitě

Ne jako compliance cvičení.
Ale jako realistickou kontrolu toho, co se ve firmě skutečně děje.

Začněte otázkou, kterou většina firem nikdy nepoložila

Kolik cloudových služeb dnes zaměstnanci používají mimo schválené IT? Ve spoustě SMB firem nikdo nezná odpověď.

Pak dává smysl prověřit hlavně:

externí SaaS aplikace připojené k Microsoft 365 nebo Google Workspace,
účty bývalých zaměstnanců,
veřejně sdílené odkazy,
používání osobních cloudových úložišť,
AI nástroje pracující s firemními daty,
MFA pokrytí,
audit logy a přístupy třetích stran.

Firmy obvykle nepotřebují "enterprise security". Potřebují získat zpět kontrolu

To je důležitý rozdíl. Ve většině SMB prostředí není realistické budovat korporátní governance.

Ale realistické je:

vědět, kde končí firemní data,
mít přehled o používaných cloudových službách,
kontrolovat identity a přístupy,
nastavit základní pravidla pro AI a sdílení dat,
pravidelně revidovat externí aplikace,
mít funkční onboarding a offboarding.

Právě tady bývá největší rozdíl mezi firmou, která incident zvládne a firmou, která při prvním větším problému zjistí, že vlastně nikdy neměla prostředí pod kontrolou.

Shadow IT není selhání zaměstnanců. Je to vedlejší efekt moderní firmy

Tohle je důležité pochopit správně. Většina lidí nechce firmě škodit. Jen potřebují pracovat rychle. A moderní cloudové služby dnes umožňují obejít interní IT během několika minut. Proto firmy, které chtějí Shadow IT reálně omezit, musí řešit nejen bezpečnost, ale i použitelnost a provozní realitu. Jinak bude neoficiální infrastruktura vznikat dál. Jen méně viditelně.

Kdy už dává smysl řešit Shadow IT profesionálně

Ve chvíli, kdy firma:

neví, jaké cloudové služby zaměstnanci používají,
nemá přehled o sdílení dat,
řeší rychlý růst,
používá Microsoft 365 nebo Google Workspace bez pravidelných auditů,
začíná řešit NIS2, GDPR nebo požadavky klientů,
měla incident spojený s únikem dat nebo kompromitací účtu.

První krok proto často není nový security nástroj.

Ale obyčejné zjištění, kde dnes skutečně končí firemní data, kdo k nim má přístup a jaké externí služby zaměstnanci používají mimo schválené IT.

Právě při revizích Microsoft 365, Google Workspace nebo SaaS aplikací firmy často poprvé zjistí, jak velká část provozu už běží mimo jejich kontrolu.