Mi az az árnyékinformatika?

Az árnyékinformatika fogalmába tartozik minden olyan, üzleti folyamatokhoz használt alkalmazás, amelyet a központi IT- vagy IT-biztonsági részleg nem hagyott jóvá – azaz az IT nagy valószínűséggel nem vett részt a fejlesztésükben, nem tud róluk, és nem nyújt hozzájuk támogatást. Ez azért jelent problémát, mert nő az illetéktelenül továbbított adatok veszélye, ami megnehezíti például a következő adatvédelmi szabályozások betartását:

• Sarbanes–Oxley-törvény
• Basel II
• GLBA (Gramm–Leach–Bliley-törvény)
• COBIT (az informatikára és a kapcsolódó technológiára vonatkozó ellenőrzési célkitűzések)
• FISMA (az USA szövetségi információbiztonsági törvénye, 2002)
• DFARS (az USA szövetségi védelmi beszerzési szabályzatának kiegészítése)
• GAAP (az USA-ban általánosan elfogadott számviteli elvek)
• HIPAA (az USA egészségbiztosítás hordozhatóságáról és elszámoltathatóságáról szóló törvénye)
• IFRS (nemzetközi pénzügyi beszámolási standardok)
• ITIL (informatikai infrastruktúra-könyvtár)
• PCI DSS (fizetőkártyákra vonatkozó adatbiztonsági szabvány)
• TQM (teljes körű minőségirányítás)
• GDPR (az EU általános adatvédelmi rendelete)

A CEB tanácsadócég becslése szerint a vállalatok informatikai költéseinek 40%-a az IT-részlegen kívül történik. A gyors növekedés mögött általában a kiváló minőségű fogyasztói kategóriájú felhőalkalmazások, például fájlmegosztó alkalmazások, a közösségi média és az együttműködési eszközök állnak, és egyre gyakrabban fordulnak elő a különböző üzleti területek által bevezetett nagyvállalati kategóriájú SaaS-alkalmazások is. Az árnyékinformatika sok tekintetben segít, hogy a vállalatok agilisabbá, a munkatársak pedig hatékonyabbá váljanak – ezért is olyan elterjedt. Ennek ellenére az IT- és az IT-biztonsági csapat így is felelős a dolgozók által a fogyasztói szolgáltatásokba feltöltött üzleti adatok biztonságáért és megfelelőségéért.

Az IT- és az IT-biztonsági csapat. Bár az IT nem felelős a fizikai infrastruktúráért és az alkalmazás felügyeletéért, azért azonban igen, hogy a felhőbe feltöltött vállalati adatok biztonságban maradjanak. Emiatt az IT nehéz helyzetbe kerül. Lehet, hogy fontolóra veszik, hogy megtiltják a dolgozóknak a felhőalkalmazások munkacélú használatát, amihez akár le is tilthatják a felhőalkalmazások elérését a vállalati tűzfalon vagy webes proxyn keresztül. Ezt azonban nem javasoljuk. Sajnos a dolgozók minden egyes blokkolt alkalmazás helyett más, kevésbé ismert és adott esetben kockázatosabb szolgáltatást találhatnak.

Olvassa el „Az árnyékinformatika krónikája” című e-könyvünket arról, hogyan lehet a leghatékonyabban kezelni ezt a helyzetet.

Fontos megjegyezni, hogy az árnyékinformatika megosztó kérdés az érintettek körében. Egyes IT-vezetők attól tartanak, hogy ha teret adnak az árnyékinformatikának, a felhasználók elszigetelt adatsilókat hoznak létre, ami gátat szab a szabad információáramlásnak a szervezetben.

A SoftwareONE szerint kizárólag akkor mérhető fel az árnyékinformatika tényleges kiterjedése egy szervezetnél, ha a megfelelő eszközökkel leltárt készítünk a környezetről. A következő lépések ugyanakkor bármikor megvalósíthatók:

A felhasználók szeretnének hatékonyan dolgozni, az IT-nak pedig a jóváhagyott üzleti alkalmazásokon túlmutató kérések elutasítása helyett időnként több választási lehetőséget kell kínálnia, és aktívan segítenie kell az üzletet.

Ezért az árnyékinformatikával járó kockázatok kiküszöböléséhez rendszeresen egyeztessen a felhasználókkal, és hallgassa meg a problémáikat, illetve azt, hogy szerintük milyen technológiák adhatnának rájuk választ. Az IT-nak az árnyékinformatika visszaszorításához a proaktív szolgáltatási kultúrát kell támogatnia, és meg kell értenie a részlegek és a felhasználók hatékonyságnövelési elvárásait.

Alapvetően fontos folyamatosan ellenőrzés alatt tartani, hogy milyen technológiákat használnak és milyen adatokat dolgoznak fel a szervezetnél. Az IT-nak katalógust kell vezetnie az előre jóváhagyott szoftverekről, amelyeket a felhasználók külön jóváhagyás nélkül bármikor választhatnak. A felhasználókkal való együttműködés révén az IT rendszeresen frissítheti a katalógust a megfelelő szoftverekkel. Az IT-biztonsági csapatnak olyan automatikus megoldással kell követnie és figyelnie a szoftverek telepítését, amely lehetőséget nyújt az események naplózására és utólagos kivizsgálására.

Az árnyékinformatika jelentős megfelelőségi aggályokat vet fel, hiszen a GDPR és más szabályozások kötelezővé teszik a szervezeteknek az ügyfelek adatainak védelmét. Az IT-nak az adatok biztonsága és pontossága érdekében szigorú kontrollokat kell alkalmaznia az adatok elérésére. A hozzáférés kezelése és a kiemelt jogosultságok figyelése alapvető fontosságú. Az adatok védelme szempontjából más kritikus szempontokat is figyelembe kell venni, többek között az adatok biztonsági mentését, a legújabb szoftververziók használatát és a biztonsági rések kiküszöbölését. Ha a felhasználók nem jóváhagyott szoftvereket telepítenek és használnak, fel kell hívni a figyelmüket a bevált biztonsági gyakorlatokra és tetteik komolyságára.

Mindent összevetve az árnyékinformatika nem eredendően rossz – ha jól kezeljük, akár az innováció forrása is lehet. Az új és a fiatalabb munkatársaknak lehetnek olyan kedvelt szoftvereik, amelyek előnyösek lehetnek a vállalat számára. Az árnyékinformatika teljes felszámolása helyett ezért az IT-csapatnak célszerű kialakítania az árnyék IT kezelésére szolgáló folyamatot az ellenőrző eszközök folyamatos használatával és a SoftwareONE menedzselt szolgáltatásaival.

Íme az a 6 belépési pont, ahonnan az árnyékinformatika a leggyakrabban bejut a szervezetbe.

A felhasználóknak számos ingyenes felhőalkalmazás áll rendelkezésére munkahelyi feladataik elvégzéséhez. Az IT-részlegnek ritkán van fogalma arról, hogy mit használnak, illetve mi okozhat biztonsági és megfelelőségi problémákat. Az IT-részlegek kezdik felismerni, hogy nem az a probléma, amikor egy-egy felhasználó időnként regisztrál egy-egy szolgáltatásra, hanem az, amikor sokan teszik ezt.

A McAfee felhőmegoldások használatáról és kockázatairól szóló jelentése szerint 2019-ben a felhőben tárolt fájlok 21%-a tartalmazott bizalmas adatokat; a bizalmas adatok nyilvánosan elérhető hivatkozással való megosztása pedig 23%-kal nőtt az elmúlt két évben. A jelentés szerint továbbá az AWS S3-tárolók 5,5%-a nyilvánosan elérhető a globális olvasási jogosultság révén. Egy átlagos szervezet 1935 különböző felhőszolgáltatást használ, ez a szám pedig évente 15%-kal növekszik. A jelentés szerint azonban a legtöbb szervezetnél úgy gondolják, hogy csupán 30 felhőszolgáltatást használnak.

Helyi környezetben egyszerűnek tűnhet a nem kívánt alkalmazások letiltása, ez azonban nem tekinthető teljes körű megoldásnak. Például akár a dolgozók által az Excelben vagy a FileMaker Próban használt makrók is fenyegetést jelenthetnek a szervezetre nézve.

Vagy gondoljunk csak a még nehezebben ellenőrizhető mobilalkalmazásokra – különösen, ha a felhasználók saját eszközöket is használhatnak munkájukhoz.

A különböző tevékenységek, például a bérszámfejtés, a projektmenedzsment, a biztonsági mentés és az üzleti tervezés felhőbe költöztetése komoly biztonsági kihívás elé állítja a legtöbb szervezetet: ez a felhőalapú árnyékinformatika problémája. A jelentős előnyök – költségmegtakarítás, egyszerű beállítás, rugalmasság és mobilitás – ellenére az IT-részlegnek ritkán van fogalma arról, pontosan mit is használnak a felhasználók, ami biztonsági és megfelelőségi problémákhoz vezethet.

A szoftverszolgáltatásokhoz (SaaS) hasonlóan a felhasználók maguk is indíthatnak felhős előfizetést, ám a biztonsági kockázat jóval nagyobb, és a korlátozott láthatóság lehetetlenné teszi az IT-részleg számára a felhasználói platform támogatását.

Helyi környezetben egyszerűen letilthatók a nem kívánt alkalmazások, ez azonban nem tekinthető teljes körű megoldásnak. Mi a helyzet például a munkatársak által készített Excel- vagy FileMaker Pro-makrókkal?

A SoftwareONE szakemberei jól felkészültek az ügyfelek támogatására az árnyékinformatika felszámolása – vagy legalábbis visszaszorítása – érdekében.

Lehetővé tesszük az IT-szervezetek számára a szoftverek engedély nélküli telepítésének és használatának megakadályozását a megfelelő folyamatokkal, szabályzatokkal és a szabálysértések azonosításával.

Az árnyékinformatika megakadályozására szolgáló megfelelő folyamatok és irányítás kialakításának mindig fontos eleme a változáskezelés, hiszen végső soron a munkatársak szokásainak megváltoztatásáról van szó. Tanácsadóink segítenek megtervezni a folyamatokat, amelyekkel kényelmes szoftverigénylést lehet biztosítani a felhasználóknak. Az eszközpark és a szoftverköltések értékelésével olyan folyamatokat tudunk tervezni, amelyek jelentősen lerövidítik a bevezetési időt. A megfelelő kommunikációs kampánnyal elérhető, hogy a felhasználók betartsák az előírt folyamatokat, irányított egyeztetés kezdődik a használni kívánt eszközökről, végső soron pedig elkerülhető az árnyékinformatika terjedése.

Nincs olyan folyamat és irányítási módszer, amely 100%-os hatékonysággal működik, ezért a SoftwareONE a problémák azonosításában és mérésében is segít az ügyfeleknek. A biztonsági csapattal közösen kidolgozott stratégia mentén a szoftvergazdálkodásért (SAM) és az IT-infrastruktúráért felelős szervezetek könnyebben megállapíthatják, milyen hatással van az árnyékinformatika a vállalat szoftvervagyonára. A mobilalkalmazásokat, a helyi szoftvereket, az IaaS-, PaaS-, SaaS- és egyéb szolgáltatásokat, valamint az adatközpontot is számításba véve egyetlen megoldás helyett inkább olyan folyamat- és eszköztárról beszélhetünk, amely a teljes szoftverkörnyezetet képes lefedni. Végül a környezet vizsgálatát követően a kockázatok felmérésében és a kockázatcsökkentési stratégiák kidolgozásában is segíthetünk Önnek. Szakértőink különböző adatforrások segítségével azonosítják az informatikai vagyont fenyegető tényezőket, legyen szó megfelelőségi, kiberbiztonsági vagy a GDPR-rel kapcsolatos kockázatokról.