Fem sätt att hantera riskerna med skugg-IT

hantera riskerna med skugg-IT

Skugg-IT uppkommer när individer i en organisation använder IT-relaterad hård- eller mjukvara, utan IT-avdelningens vetskap. Tillsammans med andra vanliga användarbeteenden kan skugg-IT medföra allvarliga säkerhetsrisker – som medarbetarna ofta inte är medvetna om. Här är fem sätt att hantera riskerna för dig som är beslutsfattare.


Skugg-IT ökar i omfattning i takt med att användningen av molntjänster ökar. Medarbetare har blivit allt mer bekväma med att ladda ner appar från molnet för att spara tid och nå sina mål.

Ett annat exempel på skugg-IT är när individer eller avdelningar medvetet kringgår IT-avdelningen för att snabbt lösa ett problem som verksamheten inte ger stöd för eller för att få till en snabbare utveckling.

Här kan du läsa mer: Vad är skugg-IT och behöver du oroa dig?

Handlingskraft som kan ge problem

Därmed kan man säga att skugg-IT egentligen är ett tecken på handlingskraft. Men skugg-IT, tillsammans med andra vanliga användarbeteenden, kan leda till en mängd problem bland annat med säkerheten.

IT har inte kontroll över alla applikationer som används och kan inte vidta nödvändiga säkerhetsåtgärder. Risken för dataförlust och läckor ökar liksom risken att inte efterleva lagar.

Det faktum att vi numera kommer åt information från olika enheter (eftersom informationen lagras i molnet) ger en sårbarhet som tidigare inte fanns.

Användarbeteenden som äventyrar säkerheten

Skugg-IT är inte någon brottslig handling utan sker snarare på grund av okunskap eller i vissa fall ignorans. Ofta är medarbetarna inte medvetna om att deras agerande strider mot organisationens riktlinjer och vet inte vilka konsekvenserna kan bli.

Det finns en rad vanliga användarbeteenden som innebär säkerhetsrisker (även om inte alla är skugg-IT i egentlig mening).

Enligt en undersökning av Telenor och Sifo har hela 92 procent av anställda någon form av beteende som kan klassas som riskabelt ur IT-säkerhetssynpunkt (Källa: Artikel på Industritorget)

De vanligaste är att man:

  • använder allt fler tjänster och enheter för att utföra arbetssysslor
  • använder svaga lösenord och samma lösenord till flera olika tjänster
  • delar gemensamma inloggningsuppgifter till vissa tjänster på arbetsplatsen
  • använder sin jobbdator eller mobil på ett osäkert sätt utanför arbetsplatsen (dvs att använda publikt wifi eller att lämna sin enhet obevakad utanför arbetsplatsen)
  • slarvar med uppdateringar
  • laddar ner osäker programvara

Så här kan du hantera skugg-IT och andra osäkra användarbeteenden

Skugg-IT och osäkra användarbeteenden kan leda till allvarliga incidenter som exempelvis dataintrång och kosta väldigt mycket pengar. Ju större organisationen är desto större attackyta och desto större skäl till att ta skugg-IT på allvar.

Det går inte att få bort detta och helt skydda sig mot incidenter. Men med hjälp av bra förberedande arbete kan du kontrollera riskerna.

Om du är kund till oss på IT-Partner så tar vi hand om mycket som uppstår på grund av skugg-IT och andra osäkra användarbeteenden.

Här är några exempel på vad vi gör för att säkra en bra IT-miljö och minimera riskerna.

1. IT-miljö som kombinerar tillgänglighet och säkerhet

Ofta hjälper vi kunder att designa en IT-miljö som möter användarnas krav på flexibilitet utan att kompromissa med säkerheten. I en sådan plan tar vi hänsyn till riskerna och vilken säkerhetsteknik man behöver ha.

Ibland behövs en verksamhetsomfattande lösning för hela IT-miljön, andra gånger för ett specifikt behov.

2. Övervakning och incidenthantering

Inom ramen för våra löpande engagemang som förvaltare övervakar vi kundens IT-miljö för att identifiera risker och avvikelser, hantera incidenter och vidta åtgärder som exempelvis spärrning och återställning av innehåll.

3. Förberedelser som minimerar risk

Vi sätter också upp system och datorer åt kunderna på så sätt att utrustningen är förberedd för att minimera risk och skada, se exempel nedan.

Jurist tappade datorn men inte innehållet

För inte så länge sedan hade vi till exempel ett fall med en tappad dator. Det var en medarbetare på en advokatbyrå som cyklade hem med sin dator i en väska på pakethållaren. När han parkerade cykeln var väskan och datorn med en massa konfidentiell information borta.

I detta fall var datorn uppsatt med krypterad disk, tvåfaktorsinloggning och enhetshantering. Det gjorde att vi snabbt kunde spärra enheten för att skydda innehållet.

Själva datorn fick han aldrig tillbaka men innehållet hade han kvar och ingen information kom i orätta händer.

Det här behöver organisationen göra

När vi arbetar med kunder kan vi som sagt göra en hel del för att minska riskerna för incidenter, dataintrång och andra komplikationer, men vi kan inte göra allt.

Vid sidan av design, teknik, förberedande arbete och övervakning så finns det en dimension som organisationen behöver ta hand om (även om vi i många fall hjälper till även med dessa delar).

Här är fem saker du som beslutsfattare kan göra för att hantera riskerna med skugg-IT:

1. Ta fram en IT- och säkerhetspolicy

Hur är IT miljön uppsatt, vilka säkerhetsåtgärder används, vilka regler och policys gäller?

2. Dokumentera

Dokumentera för att skapa tydlighet och komma ihåg vilka beslut som fattats och varför.

3. Informera

Informera internt om tillgänglighet VS säkerhet. Om personalen vet anledningen till att vissa trösklar finns så kan de ofta acceptera dem.

4. Utbilda

Utbilda personalen om vilka regler och riktlinjer som gäller för er organisation samt om allmänna ”do’s and dont´s” för att undvika onödiga säkerhetsrisker. Till exempel hur de ska hantera sina lösenord, hur de kopplar upp sig säkert på distans, hur de delar känslig information, vad som får lagras var och vad som gäller för nedladdning av appar och verktyg.

5. Sätt upp en återkopplingsloop

Etablera strukturerade sätt att få återkoppling från medarbetarna vad gäller IT-system och verktyg. Vad fungerar bra? Vad kan bli bättre? Då kan ni nyttja det positiva driv som finns i skugg-IT vad gäller att hitta nya effektiva arbetssätt.

Om ni inte har någon IT-säkerhetsansvarig

På många organisationer, speciellt mindre och mellanstora, finns det sällan någon som är ansvarig för IT-säkerhet. Rent krasst tycker många att det här med säkerhet är rätt tråkigt så det finns en risk att man gör minsta möjliga.

Om ni inte har någon ansvarig, tycker att det är tråkigt eller att det tar för mycket tid så kan du överlåta arbetet till oss.

Vi kan hjälpa till med att dokumentera IT-policies och ta fram handböcker. Vi gör också säkerhetsworkshops och utbildningar för personalen.

Om du redan är kund hos oss och vill vara säker på att ni har full kontroll på hur ni hanterar IT-säkerhet så är det bara att ta upp frågan med oss nästa gång vi ses och hörs.

/av