Shadow IT handlar om applikationer och programvaror utanför IT-avdelningens kontroll

Utanför IT-avdelningens kontroll

Vad är shadow IT?

Kontakta oss

Vad är shadow IT?

Har du hört talas om begreppet SH(adow)IT happens?

I dagens digitala värld är hantering och kontroll av olika tekniska plattformar och digitala verktyg ibland utom kontroll. Många företag har svårt att förstå vad som har köpts in, vad som används och av vem och hur det säkrats. När användare installerar system, applikationer och verktyg på egen hand, utan godkännande från IT-avdelningen, uppkommer det som kallas just shadow IT (eller skugg-IT på svenska, även om det engelska begreppet är mer vedertaget).

Nu vet du – dags att agera

Varför är shadow-IT ett problem?

Shadow IT innefattar alla applikationer, programvaror och verktyg som används i arbetet och som inte har godkänts av eller beställs genom företagets IT-avdelning. Med största säkerhet har IT-avdelningen varken utvecklat verktygen, är medvetna om att de existerar inom företaget eller kan supportera dem. Detta är ett problem eftersom det sannolikt ökar flödet av inofficiell data vilket gör det svårt att följa krav kopplade till exempelvis GDPR and andra viktiga förordningar och föreskrifter.

Nästan 90 % av företagets installerade applikationer är okända för IT-avdelningen, vilket kallas för shadow IT.

Att ignorera shadow IT är inte längre ett alternativ.

Vi estimerar att ungefär 90% av alla installerade applikationer är okända för IT-avdelningar, även inom finansiella och politiska organisationer som är strikt reglerade. Med hänsyn till olika typer av globala dataskyddsförordningar är det viktigt att din organisation börjar agera kring shadow IT och inte bara låter det vara ”SH(adow) IT happens”. Shadow IT kan exempelvis medföra problem vid efterlevnad när en anställd lagrar företagsdata i ett personligt Dropbox- eller Google-konto.

Applikationer och programvaror som flyger under radarn och som hanteras utanför IT-avdelningens kontroll, ökar både juridiska risker och säkerhetsrisker då de inte omfattas av samma säkerhetsåtgärder som tillämpas på, för IT-avdelningen, kända applikationer.

 IT-avdelningen ansvarar för att säkerställa och upprätthålla säkerhet och efterlevnad för affärsdata

Vem deltar i detta?

Rådgivningsföretaget CEB uppskattar att , 40% av ett företags IT-kostnader uppkommer utanför IT-avdelningen. Den snabba ökningen av detta, beror på molnbaserade konsumentapplikationer så som fildelningsappar, sociala medier och samarbetsverktyg. På många sätt bidrar shadow IT till att göra företag mer smidiga och de anställda mer produktiva, och det är delvis förklaringen till att shadow IT är så vanligt. Dock är IT-avdelningen fortfarande ansvarig för att säkerställa och upprätthålla säkerhet och efterlevnad för den eventuella affärsdata som anställda laddar upp i externa applikationer eller programvaror. Det är därför denna fråga blir så komplex.

,

Vem är ansvarig för riskerna som shadow IT medför?

Kort och gott: IT-avdelningen och informationssäkerhetsavdelningen på ditt företag. Även om dessa avdelningar inte är ansvariga för den fysiska infrastrukturen i eller hanteringen av själva applikationen, så är de ansvariga för att säkerställa att all företagsdata är säker när det laddas upp i molnet. Detta ställer IT i en svår position. De kan överväga att helt säga nej till att medarbetare får använda externa applikationer i arbetet. De kan till och med blockera möjligheten genom exempelvis brandväggar. Det är dock inget vi rekommenderar. För varje ”förbjuden” eller blockerad applikation, kan de anställda alltid hitta andra vägar eller andra, ännu sämre alternativ. Hur som helst är det viktigt att förstå att känslorna kring shadow IT är tudelade.

Ladda ner vår e-bok som handlar om hur du bäst kan hantera alla utmaningar med shadow IT.


40 % av IT-kostnaderna för ett företag skapas utanför IT-avdelningen.

Vad kan du göra åt shadow IT?

Vår uppfattning är att du aldrig kan förstå den verkliga omfattningen av shadow IT i en viss organisation utan att inventera miljön genom att använda specifika skanningsverktyg. Det finns dock några åtgärder du kan göra:

Ikon samarbete

Arbeta tillsammans

De anställda vill vara produktiva och ibland måste IT-avdelningen erbjuda fler alternativ och vara en möjlighetsgörare istället för att neka förfrågningar till applikationer som inte är godkända av företaget.

Stäm istället av med medarbetarna regelbundet, hör vad de har för utmaningar och vilka verktyg eller program de tror skulle hjälpa dem att lösa utmaningar. IT-avdelningen måste uppmuntra en proaktiv servicekultur för att minska användandet av shadow IT, och måste förstå krav från och behov hos användarna.

Ikon olika plattformar

Managera programvarutill-gångarna

Att veta vid vilken tidpunkt en specifik teknik används eller vilken data som bearbetas, är grundläggande. IT-avdelningen måste ta fram en katalog med godkända och vitlistade programvarukatalog som användarna kan utgå från, för att undvika långa svarstider för godkännande av önskad programvara. Genom att samarbeta med användarna kan denna katalog ständigt hållas uppdaterad. Informationssäkerhetsteamet måste ha en automatisk detektionskontroll på plats, för att kunna spåra, övervaka och undersöka installerad programvara.

Ikon avtalssignering

Se över efterlevnaden

Efterlevnad är ett stort problem inom shadow IT i och med förordningar så som GDPR, som kräver att organisationer skyddar kundernas data. IT-avdelningen måste upprätthålla stränga kontroller över dataåtkomst för att säkerställa att all data är säker och korrekt. Likaså är säkerhetskopior, uppdateringar till de säkraste versionerna och upplysningar av eventuella sårbarheter, kritiska för att skydda data.

När användare installerar och använder icke godkända programvaror, bör de också göras medvetna om bästa praxis för att maximera säkerheten.

Med detta sagt, shadow IT är inte bara dåligt – tvärtom kan det till och bli en viktig innovationskälla, om det hanteras effektivt och korrekt. Exempelvis kan programvaror som nya och/eller yngre medarbetare föredrar, vara till nytta för företaget. Istället för att blockera alla delar av shadow IT, bör IT-teamet bygga en process för att kunna hantera det på ett så bra sätt som möjligt, genom t.ex. skanninsgsverktyg eller genom att köpa in tjänster från externa leverantörer.

Sex kontrollpunkter  i organisationen

Här är de sex främsta sakerna som bidrar till att shadow IT kryper in i organisationen.

#1 Software as a Service (SAAS)

Användare har ett obegränsat utbud av molnbaserade appar som de kan använda för att lösa sina arbetsrelaterade utmaningar. IT-avdelningen har sällan någon aning om vad som används och vad som skulle kunna leda till risker kopplade till säkerhet och efterlevnad. IT-avdelningen börjar inse att problemet uppstår inte när en användare registrerar sig för en tjänst här och där, utan när många människor gör detsamma.

#2 Publika moln

2019 innehåll 21% av alla filer i molnet känslig data, och delade känslig data med publikt tillgängliga länkar, enligt McAFees rapport ”Cloud Adoption and Risk Report”. Rapporten visar också att en genomsnittlig organisaion använder 1 935 olika molntjänster, en ökning med 15% jämfört med året innan. Enligt rapporten tror de flesta att de bara använder 30 olika.

#3 Lokala appar

I en lokal miljö kan det verka enkelt att blockera oönskade appar, men det räknas inte som en komplett lösning. Tänk exempelvis på mobilapplikationer som är ännu svårare att kontrollera, inte minst om BYOD (By Your Own Device) är ett alternativ för användarna.

#4 Säkerhet

Löner, projekt, säkerhetskopiering och affärsplanering som görs i molnet, har skapat ett utmanande säkerhetsproblem som många organisationer kämpar med att lösa: shadow IT i molnet. Även om fördelarna är många; kostnadsbesparingar, enkla installationer och flexibilitet, saknar ofta IT-avdelningen insikt i vad som används, vilket kan leda till säkerhetsproblem och utmaningar med efterlevnaden.

#5 GDPR

Precis som med SaaS kan användare själva välja att påbörja ett molnabonnemang. Dock är risken för sårbarhet betydligt större och den begränsade synligheten gör det omöjlighet för IT-avdelningen att stödja användarplattformen.

#6 Policyer

I en lokal miljö är det enkelt att blockera oönskade appar, men det ses sällan som en komplett lösning

Att sätta upp rätt processer och styrning för att förhindra shadow IT, har ofta sin grund i förändringsledning eftersom mycket handlar om att förändra medarbetarnas beteenden. Genom att utvärdera interna verktyg och den data som förbrukas, kan interna processer formges. I kombination med rätt kommunikationsinsatser, kan så småningom de anställda ta till sig nya riktlinjer.

Ingen process eller lösning fungerar 100% av tiden, är det viktigt att också analysera och förstå vad som gick fel. Genom att definiera en strategi som går i linje med infrastrukturen för säkerhet, SAM och molnet, kan en organisation bättre avgöra hur shadow IT påverkar hela mjukvaruegendomen. Med utgångspunkt i mobilappar, lokala lösningar, datacenter och XaaS (Anything as a Service, på svenska ungefär ”vad som helst som en service”) finns ingen universell lösning, utan snarare en uppsättning verktyg och processer.

Hur ser det ut i din organisation?

Ladda ner vår guide som beskriver hur du mest effektivt hanterar shadow IT och hur du bäst skyddar dina programvaror.

Ladda ner e-bok

Kontakta oss

Ange dina kontaktuppgifter nedan så tar någon av våra kunniga medarbetare kontakt med dig.

Kontaktformulàr