Kaspersky’nin “İş Yerinde Siber Güvenlik: Çalışan Bilgi ve Davranışları” başlıklı araştırmasına göre Türkiye’deki profesyonellerin yüzde 52’si şirketindeki siber güvenlik kurallarını ya fazla kısıtlayıcı ya da işine uygun bulmuyor. Katılımcıların yüzde 6’sı ise kurumunda böyle bir kuralın olmadığını ya da varsa bile kendisinin haberdar olmadığını söylüyor. Tablo, yazılı politikalarla çalışan davranışları arasındaki makasın ne kadar açıldığını gösteriyor. Aynı zamanda BT biriminin radarına girmeyen yazılım, cihaz ve hizmetlerin, yani Shadow IT’nin neden kurumsal gündemin üst sıralarına yerleştiğini açıklıyor.
Hibrit çalışma, bulut araçlarına bağımlılık ve yapay zekâ uygulamalarının ofis rutinine girmesiyle hızlanan Shadow IT, çalışan tarafında çoğu zaman verimlilik kaygısıyla başlıyor; kurum tarafında ise fidye yazılımı saldırıları, veri sızıntıları ve regülasyon yaptırımları olarak geri dönüyor. 
Türkiye verileri bu alanda belirgin bir boşluğa işaret ediyor. Katılımcıların yüzde 17’si, kurumsal olmayan cihazların iş amaçlı kullanımına dair hiçbir politika olmadığını söylüyor. Yüzde 35,5’i, kendi cihazlarıyla iş verilerine erişebildiklerini, bunun için de bireysel düzeyde bir güvenlik yazılımının yeterli sayıldığını belirtiyor. Yalnızca yüzde 16, kişisel cihazını sıkı bir BT denetiminden geçirdikten sonra kullanabiliyor; yüzde 31,5’lik kesim ise iş için sadece BT biriminin tahsis ettiği cihazları kullanıyor.
Yazılım yükleme yetkisinde durum görece daha disiplinli. Katılımcıların yüzde 48’i yazılım kurma yetkisinin yalnızca BT uzmanlarında olduğunu, yüzde 37’si bu yetkinin üst yönetim veya yetkilendirilmiş kullanıcılarla sınırlandığını aktarıyor. Yüzde 11 yalnızca onaylı yazılımları kurabiliyor; yüzde 4 ise herhangi bir onay aramadan istediği yazılımı yükleyebildiğini söylüyor. Buna karşılık profesyonellerin yüzde 13’ü, son bir yılda iş cihazına BT onayı almadan yazılım yüklediğini kabul ediyor.
