Hele 90% av bedriftene i dag har bevisst valgt å bruke en form for skytjeneste. Webhotell, CRM-systemer, og ikke minst sikkerhetskopiering og Disaster Recovery er blant de mest populære skytjenestene som bedriftene benytter.
Det viser seg imidlertid at bedrifter som ikke ønsker å bruke skytjenester, allikevel til slutt sprer deler av forretningsinformasjonen sin til skytjenester via et fenomen som heter Shadow IT.
Shadow IT eller Shadow Cloud er en betegnelse på IT-prosjekter som håndteres utenfor selskapets IT-avdeling eller uten at IT-avdelingen vet hva som skjer. Selv den mest erfarne IT-avdelingen har vanskelig for hele tiden å ha kontroll over hva de ansatte gjør. Shadow IT oppstår vanligvis ikke på grunn av hackere eller ondsinnede angrep på selskapet. Det er bedriftens egne ansatte som skaper skyen, ofte helt ubevisst.
Hvordan gjøres det?
I dag er vi omgitt av et utall av tekniske hjelpemidler som alle kan kobles til en skytjeneste. Det gjelder for eksempel e-post, dokumenter, filer, musikk, datamaskiner, nettbrett, programvare og mobiltelefoner.
Teknologien for skytjenester er blitt så tilgjengelig, så enkel og av så høy kvalitet at det nesten er vanskelig å unngå å sende data til skyen. Mange av oss har absolutt bidratt til å sende data til en skytjeneste, selv om det ikke var meningen.
Har du for eksempel opplevd at bilder fra telefonen dukker opp på jobbdatamaskinen din uten å vite hvordan det skjedde? Å lade mobiltelefonen via jobbdatamaskinen og klikke bort en dialogboks på mobilskjermen er alt som trengs. Eller har du klikket på sky-knappen som har dukket opp i snarveimenyen til PDF-dokumenter? Gjett hvor målet til dokumentet ditt er da?
De fleste av oss har en privat e-postkonto hos en av de store leverandørene, for eksempel Google. Hvis du åpner et jobbdokument og lagrer det der, lagres det i Google Disks skytjeneste. Hvis du kjøper en Apple iPhone, må du opprette en iCloud-konto for å kunne bruke telefonen. Alle bilder kopieres automatisk til skyen, hvis den ikke er full. Hvis du tar et bilde av et jobbdokument, finnes det både i telefonen og hos Apple.
Hvem skaper Shadow IT?
Det viser seg at det er to grupper av ansatte som spesielt ofte legger ut data i uautoriserte nettskyer:
- Den ene gruppen er de mest ivrige og motiverte arbeidstakerne. Denne gruppen arbeider ofte utenfor kontoret og utenfor vanlig arbeidstid. De har ofte ikke tålmodighet til å vente når det oppstår et problem med tilkoblingen til bedriftens system, og da havner gjerne de ansattes informasjon i en ekstern sky.
- Den andre gruppen er paradoksalt nok ansatte i IT-avdelingen eller andre ansatte med gode IT-ferdigheter. Denne gruppen er så teknisk oppdatert at de kjenner til eller har opprettet alternative kontoer for lagring i sky. De er raskt ute med å ta i bruk ny teknologi, og på denne måten blir de syndere.
Dette medfører at det er viktigere enn noen gang å sørge for at dine ansatte er fornøyde med bedriftens IT-løsning. Ellers er det stor fare for at de ansatte raskt vil benytte seg av en uautorisert tjeneste så snart de ikke synes bedriftens løsning er god nok eller rask nok.
Shadow IT er et fenomen som stadig blir større. I en undersøkelse utført av McAfee, rapporterte 80% av respondentene (IT-ansatte og IT-sjefer) at de hadde benyttet seg av skylagringstjenester som ikke var godkjente av IT-avdelingen.
Risikoene med Shadow IT
Det sier seg selv at omfattende bruk av shadow cloud er en sikkerhetsrisiko for bedriften. For det første er det svært vanskelig å identifisere omfanget av data som er på avveier, samt hvilken informasjon som er lagret i fremmede skyer. Konsekvensene av lagring i ukjente skytjenester kan være tap av data, håndtering av konfidensielle data i strid med lover og forskrifter som GDPR, samt tap av bedriftshemmeligheter og bedrifters immaterielle rettigheter. Med strengere regler for håndtering av personopplysninger i EU, kan bøter for brudd på datasikkerhet utgjøre opptil fire prosent av selskapets brutto omsetning.
Hvilke tiltak mot Shadow IT bør IT-avdelingen iverksette?
Det er viktig å huske at bedriftene selv står i første forsvarslinje når det gjelder datasikkerhet. De bør ha klare retningslinjer for hvilke skytjenester de faktisk skal bruke, og sørge for at leverandøren oppfyller alle krav til datasikkerhet. IT-avdelingen bør også bygge opp en intern sikkerhetskultur som gjør de ansatte bevisste på hvor de lagrer dataene sine. Men ikke glem at det må være tjenester som de ansatte ønsker å bruke, ellers risikerer du at dette vil være tomme retningslinjer, og at de ansatte fremdeles bruker tjenester som ikke er godkjent.
Denne spesielle balansen er noe vi har arbeidet svært mye med i vår tjeneste Modern Workplace som leverer en omfattende løsning for at ansatte skal kunne arbeide praktisk uansett hvor de er, på en hvilken som helst enhet, men samtidig gjøre dette på en trygg måte som overholder selskapets sikkerhetspolicy.
Om valg av skyleverandør og sikkerhet
Når bedriften din skal velge en skyleverandør, er det en rekke hensyn som må tas. Noen viktige punkter du må tenke på når det gjelder informasjonssikkerhet:
- Hvor er dataene dine fysisk lagret? Lagres de lokalt eller i utlandet? Dette har konsekvenser for om lokal eller utenlandsk lov gjelder for utlevering av fortrolige data.
- Nasjonaliteten til selskapet som håndterer dataene dine. Hvilke lover må skyleverandøren følge? Amerikanske, europeiske eller lokale bestemmelser? I henhold til den nye europeiske databeskyttelsesloven, som trådte i kraft i mai 2018, stilles det strengere krav til håndtering av personopplysninger for norske bedrifter. En potensiell leverandør av skytjenester må kunne dokumentere at kravene blir fulgt.
- I hvilken grad kan leverandøren vise til rutiner og kultur for informasjonssikkerhet? Hvilke prosesser har de iverksatt for å sikre dine bedriftsdata? Er de sertifiserte i informasjonssikkerhet, har de for eksempel en ISO 27001-sertifisering?
I noen tilfeller kan det faktisk være bedre og enklere å velge en skyleverandør enn å lage din egen sikkerhetsløsning. Det er fordi profesjonelle leverandører av nettskytjenester er avhengige av compliance og overholdelse av regelverket for å være en seriøs aktør i markedet.
Vil du vite mer om hvordan Modern Workplace kan beskytte deg mot Shadow IT?
Akkurat nå tilbyr vi en workshop der vi besøker bedriften din og forteller mer om tjenesten. Den inkluderer strategiske og tekniske diskusjoner og etterpå får du et konkret forslag på en helhetsløsning skreddersydd for din bedrift. Den første workshopen er gratis og tar 1-2 timer.
Les mer om Modern Workplace her eller meld din interesse for workshop med en gang, så kontakter vi deg!