Rogue applications fly under-the-radar and are unaffected by IT policies – often called shadow IT.

Mi az az árnyékinformatika?

Derítse fel az árnyékban rejtőző szoftvereszközöket!

Mi az az árnyékinformatika?

Önnek is ismerősen hangzik az „árnyékinformatika” kifejezés?

A mai informatikai világban nem mindig sikerül szervezetten megoldani a technológiai eszközök felügyeletét és ellenőrzését. A szervezetek sokszor nehezen tudják felmérni, milyen szoftvereket vásároltak és telepítettek, és hogy megfelelően történik-e azok felhasználása és védelme. Ennek az az oka, hogy a felhasználók az IT-részleg kifejezett jóváhagyása nélkül is telepítenek különböző rendszereket és alkalmazásokat a szervezetnél – ezt nevezzük árnyékinformatikának.

Most, hogy tisztáztuk a jelenséget, tegyünk ellene valamit!

Miért probléma?

Az árnyékinformatika fogalmába tartozik minden olyan, üzleti folyamatokhoz használt alkalmazás, amelyet a központi IT- vagy IT-biztonsági részleg nem hagyott jóvá – azaz az IT nagy valószínűséggel nem vett részt a fejlesztésükben, nem tud róluk, és nem nyújt hozzájuk támogatást. Ez azért jelent problémát, mert nő az illetéktelenül továbbított adatok veszélye, ami megnehezíti például a következő adatvédelmi szabályozások betartását:

  • Sarbanes–Oxley-törvény
  • Basel II
  • GLBA (Gramm–Leach–Bliley-törvény)
  • COBIT (az informatikára és a kapcsolódó technológiára vonatkozó ellenőrzési célkitűzések)
  • FISMA (az USA szövetségi információbiztonsági törvénye, 2002)
  • DFARS (az USA szövetségi védelmi beszerzési szabályzatának kiegészítése)
  • GAAP (az USA-ban általánosan elfogadott számviteli elvek)
  • HIPAA (az USA egészségbiztosítás hordozhatóságáról és elszámoltathatóságáról szóló törvénye)
  • IFRS (nemzetközi pénzügyi beszámolási standardok)
  • ITIL (informatikai infrastruktúra-könyvtár)
  • PCI DSS (fizetőkártyákra vonatkozó adatbiztonsági szabvány)
  • TQM (teljes körű minőségirányítás)
  • GDPR (az EU általános adatvédelmi rendelete)
Roughly 90% of all installed applications are unknown to IT departments.

Az árnyék IT problémáját már nem lehet a szőnyeg alá söpörni.

A SoftwareONE becslése szerint az összes telepített alkalmazás közel 90%-a ismeretlen az IT-részlegek számára – még a szigorúan szabályozott pénzügyi, politikai és egészségügyi szervezeteknél is. A világszerte érvényben lévő adatmegfelelőségi előírások fényében igen fontos, hogy vállalata ne csupán tisztában legyen az árnyékinformatika jelenségével, hanem fel is lépjen ellene. Az árnyékinformatika akkor válhat a megfelelőséget veszélyeztető tényezővé, ha például egy dolgozó vállalati adatokat tárol személyes Dropbox- vagy Google Drive-fiókjában.

Az IT- és információbiztonsági szabályzatok által nem szabályozott, rejtve maradó alkalmazások különböző jogi és biztonsági kockázatokat okoznak a szervezetnél, hiszen a támogatott technológiákra vonatkozó biztonsági intézkedések rájuk nem érvényesek.

IT and Information Security team are responsible for the risks involved from Shadow IT.

Ki érintett benne?

A CEB tanácsadócég becslése szerint a vállalatok informatikai költéseinek 40%-a az IT-részlegen kívül történik. A gyors növekedés mögött általában a kiváló minőségű fogyasztói kategóriájú felhőalkalmazások, például fájlmegosztó alkalmazások, a közösségi média és az együttműködési eszközök állnak, és egyre gyakrabban fordulnak elő a különböző üzleti területek által bevezetett nagyvállalati kategóriájú SaaS-alkalmazások is. Az árnyékinformatika sok tekintetben segít, hogy a vállalatok agilisabbá, a munkatársak pedig hatékonyabbá váljanak – ezért is olyan elterjedt. Ennek ellenére az IT- és az IT-biztonsági csapat így is felelős a dolgozók által a fogyasztói szolgáltatásokba feltöltött üzleti adatok biztonságáért és megfelelőségéért.

Ki a felelős az árnyék IT-ból eredő kockázatokért?

Az IT- és az IT-biztonsági csapat. Bár az IT nem felelős a fizikai infrastruktúráért és az alkalmazás felügyeletéért, azért azonban igen, hogy a felhőbe feltöltött vállalati adatok biztonságban maradjanak. Emiatt az IT nehéz helyzetbe kerül. Lehet, hogy fontolóra veszik, hogy megtiltják a dolgozóknak a felhőalkalmazások munkacélú használatát, amihez akár le is tilthatják a felhőalkalmazások elérését a vállalati tűzfalon vagy webes proxyn keresztül. Ezt azonban nem javasoljuk. Sajnos a dolgozók minden egyes blokkolt alkalmazás helyett más, kevésbé ismert és adott esetben kockázatosabb szolgáltatást találhatnak.

Olvassa el „Az árnyékinformatika krónikája” című e-könyvünket arról, hogyan lehet a leghatékonyabban kezelni ezt a helyzetet.

Fontos megjegyezni, hogy az árnyékinformatika megosztó kérdés az érintettek körében. Egyes IT-vezetők attól tartanak, hogy ha teret adnak az árnyékinformatikának, a felhasználók elszigetelt adatsilókat hoznak létre, ami gátat szab a szabad információáramlásnak a szervezetben.

40% of IT spending at a company occurs outside the IT department.

Mit lehet tenni az árnyékinformatika ellen?

A SoftwareONE szerint kizárólag akkor mérhető fel az árnyékinformatika tényleges kiterjedése egy szervezetnél, ha a megfelelő eszközökkel leltárt készítünk a környezetről. A következő lépések ugyanakkor bármikor megvalósíthatók:

Együttműködés

A felhasználók szeretnének hatékonyan dolgozni, az IT-nak pedig a jóváhagyott üzleti alkalmazásokon túlmutató kérések elutasítása helyett időnként több választási lehetőséget kell kínálnia, és aktívan segítenie kell az üzletet.

Ezért az árnyékinformatikával járó kockázatok kiküszöböléséhez rendszeresen egyeztessen a felhasználókkal, és hallgassa meg a problémáikat, illetve azt, hogy szerintük milyen technológiák adhatnának rájuk választ. Az IT-nak az árnyékinformatika visszaszorításához a proaktív szolgáltatási kultúrát kell támogatnia, és meg kell értenie a részlegek és a felhasználók hatékonyságnövelési elvárásait.

Szoftvereszközök kezelése

Alapvetően fontos folyamatosan ellenőrzés alatt tartani, hogy milyen technológiákat használnak és milyen adatokat dolgoznak fel a szervezetnél. Az IT-nak katalógust kell vezetnie az előre jóváhagyott szoftverekről, amelyeket a felhasználók külön jóváhagyás nélkül bármikor választhatnak. A felhasználókkal való együttműködés révén az IT rendszeresen frissítheti a katalógust a megfelelő szoftverekkel. Az IT-biztonsági csapatnak olyan automatikus megoldással kell követnie és figyelnie a szoftverek telepítését, amely lehetőséget nyújt az események naplózására és utólagos kivizsgálására.

A megfelelőség fenntartása

Az árnyékinformatika jelentős megfelelőségi aggályokat vet fel, hiszen a GDPR és más szabályozások kötelezővé teszik a szervezeteknek az ügyfelek adatainak védelmét. Az IT-nak az adatok biztonsága és pontossága érdekében szigorú kontrollokat kell alkalmaznia az adatok elérésére. A hozzáférés kezelése és a kiemelt jogosultságok figyelése alapvető fontosságú. Az adatok védelme szempontjából más kritikus szempontokat is figyelembe kell venni, többek között az adatok biztonsági mentését, a legújabb szoftververziók használatát és a biztonsági rések kiküszöbölését. Ha a felhasználók nem jóváhagyott szoftvereket telepítenek és használnak, fel kell hívni a figyelmüket a bevált biztonsági gyakorlatokra és tetteik komolyságára.

Mindent összevetve az árnyékinformatika nem eredendően rossz – ha jól kezeljük, akár az innováció forrása is lehet. Az új és a fiatalabb munkatársaknak lehetnek olyan kedvelt szoftvereik, amelyek előnyösek lehetnek a vállalat számára. Az árnyékinformatika teljes felszámolása helyett ezért az IT-csapatnak célszerű kialakítania az árnyék IT kezelésére szolgáló folyamatot az ellenőrző eszközök folyamatos használatával és a SoftwareONE menedzselt szolgáltatásaival.

Az árnyékinformatika 6 fő belépési pontja

Íme az a 6 belépési pont, ahonnan az árnyékinformatika a leggyakrabban bejut a szervezetbe.

1. Szoftverszolgáltatások (SaaS)

A felhasználóknak számos ingyenes felhőalkalmazás áll rendelkezésére munkahelyi feladataik elvégzéséhez. Az IT-részlegnek ritkán van fogalma arról, hogy mit használnak, illetve mi okozhat biztonsági és megfelelőségi problémákat. Az IT-részlegek kezdik felismerni, hogy nem az a probléma, amikor egy-egy felhasználó időnként regisztrál egy-egy szolgáltatásra, hanem az, amikor sokan teszik ezt.

2. Nyilvános felhő

A McAfee felhőmegoldások használatáról és kockázatairól szóló jelentése szerint 2019-ben a felhőben tárolt fájlok 21%-a tartalmazott bizalmas adatokat; a bizalmas adatok nyilvánosan elérhető hivatkozással való megosztása pedig 23%-kal nőtt az elmúlt két évben. A jelentés szerint továbbá az AWS S3-tárolók 5,5%-a nyilvánosan elérhető a globális olvasási jogosultság révén. Egy átlagos szervezet 1935 különböző felhőszolgáltatást használ, ez a szám pedig évente 15%-kal növekszik. A jelentés szerint azonban a legtöbb szervezetnél úgy gondolják, hogy csupán 30 felhőszolgáltatást használnak.

3. Helyi alkalmazások

Helyi környezetben egyszerűnek tűnhet a nem kívánt alkalmazások letiltása, ez azonban nem tekinthető teljes körű megoldásnak. Például akár a dolgozók által az Excelben vagy a FileMaker Próban használt makrók is fenyegetést jelenthetnek a szervezetre nézve.

Vagy gondoljunk csak a még nehezebben ellenőrizhető mobilalkalmazásokra – különösen, ha a felhasználók saját eszközöket is használhatnak munkájukhoz.

4. Biztonság

A különböző tevékenységek, például a bérszámfejtés, a projektmenedzsment, a biztonsági mentés és az üzleti tervezés felhőbe költöztetése komoly biztonsági kihívás elé állítja a legtöbb szervezetet: ez a felhőalapú árnyékinformatika problémája. A jelentős előnyök – költségmegtakarítás, egyszerű beállítás, rugalmasság és mobilitás – ellenére az IT-részlegnek ritkán van fogalma arról, pontosan mit is használnak a felhasználók, ami biztonsági és megfelelőségi problémákhoz vezethet.

5. GDPR

A szoftverszolgáltatásokhoz (SaaS) hasonlóan a felhasználók maguk is indíthatnak felhős előfizetést, ám a biztonsági kockázat jóval nagyobb, és a korlátozott láthatóság lehetetlenné teszi az IT-részleg számára a felhasználói platform támogatását.

6. Szabályzatok

Helyi környezetben egyszerűen letilthatók a nem kívánt alkalmazások, ez azonban nem tekinthető teljes körű megoldásnak. Mi a helyzet például a munkatársak által készített Excel- vagy FileMaker Pro-makrókkal?

A SoftwareONE szakemberei jól felkészültek az ügyfelek támogatására az árnyékinformatika felszámolása – vagy legalábbis visszaszorítása – érdekében.

Lehetővé tesszük az IT-szervezetek számára a szoftverek engedély nélküli telepítésének és használatának megakadályozását a megfelelő folyamatokkal, szabályzatokkal és a szabálysértések azonosításával.

Az árnyékinformatika megakadályozására szolgáló megfelelő folyamatok és irányítás kialakításának mindig fontos eleme a változáskezelés, hiszen végső soron a munkatársak szokásainak megváltoztatásáról van szó. Tanácsadóink segítenek megtervezni a folyamatokat, amelyekkel kényelmes szoftverigénylést lehet biztosítani a felhasználóknak. Az eszközpark és a szoftverköltések értékelésével olyan folyamatokat tudunk tervezni, amelyek jelentősen lerövidítik a bevezetési időt. A megfelelő kommunikációs kampánnyal elérhető, hogy a felhasználók betartsák az előírt folyamatokat, irányított egyeztetés kezdődik a használni kívánt eszközökről, végső soron pedig elkerülhető az árnyékinformatika terjedése.

Nincs olyan folyamat és irányítási módszer, amely 100%-os hatékonysággal működik, ezért a SoftwareONE a problémák azonosításában és mérésében is segít az ügyfeleknek. A biztonsági csapattal közösen kidolgozott stratégia mentén a szoftvergazdálkodásért (SAM) és az IT-infrastruktúráért felelős szervezetek könnyebben megállapíthatják, milyen hatással van az árnyékinformatika a vállalat szoftvervagyonára. A mobilalkalmazásokat, a helyi szoftvereket, az IaaS-, PaaS-, SaaS- és egyéb szolgáltatásokat, valamint az adatközpontot is számításba véve egyetlen megoldás helyett inkább olyan folyamat- és eszköztárról beszélhetünk, amely a teljes szoftverkörnyezetet képes lefedni. Végül a környezet vizsgálatát követően a kockázatok felmérésében és a kockázatcsökkentési stratégiák kidolgozásában is segíthetünk Önnek. Szakértőink különböző adatforrások segítségével azonosítják az informatikai vagyont fenyegető tényezőket, legyen szó megfelelőségi, kiberbiztonsági vagy a GDPR-rel kapcsolatos kockázatokról.

A TELJES SZOFTVERVAGYON ÁTLÁTHATÓSÁGA

Töltse le legújabb útmutatónkat az árnyékinformatika eredményes kezeléséről és a szoftvereszközök hatékonyabb védelméről!

E-könyv letöltése

Az árnyékinformatika krónikája

Related Articles

5 Key Business Benefits of SLM

The 5 Key Business Benefits of SLM

The key to reducing common software estate complexities is SLM. Let’s break down the five key business benefits of SLM that you need to know now.

the-top-5-benefits-of-reducing-shadow-it

The Benefits of Reducing Shadow IT

Once you understand where to look for Shadow IT, you’ll be able to start your journey towards reduction. Keep reading as we break down the deeper causes and the benefits to reducing Shadow IT.

Helping Your Business Remove Software Cost During Turbulent Times

Helping Your Business Remove Software Cost During Turbulent Times

Now that your employees and customers are safe and working remotely, the critical next step is to keep cash flowing. This article provides a few tips on how to do this.

Lépjen kapcsolatba velünk!

Töltse ki az alábbi adatokat, és szakértőink hamarosan felveszik Önnel a kapcsolatot.

Kapcsolatfelvétel