Vad är skugg-IT och behöver du oroa dig?

skugg-IT

När Corona-pandemin slog till i våras var det många organisationer som blev tagna på sängen. Plötsligt måste man tillhandahålla verktyg för säkert distansarbete för alla samtidigt. I en sådan situation är det stor risk att skugg-IT ökar kraftigt med bland annat säkerhetsrisker som följd.

I den här artikeln tar vi upp skugg-IT, vilka konsekvenser det kan få och vem som kan behöva vidta åtgärder för att minimera riskerna.

Vad är skugg-IT?

Skugg-IT uppkommer när avdelningar eller individer i en organisation använder IT-relaterad hård- eller mjukvara, utan IT-avdelningens vetskap.

Skugg-IT har vuxit dramatiskt på senare år i takt med att användare har blivit bekväma med att ladda ner appar och tjänster från molnet.

Enligt en undersökning (Stratecast) uppger hela 80% av medarbetare att de använder SaaS-applikationer på jobbet, många gånger utan organisationens och IT-avdelningens godkännande.

Även om det är svårt att mäta den egentliga omfattningen av skugg-IT, eftersom den i sin natur är dold, så är det troligt att skugg-IT ökat dramatiskt under den senaste tidens sociala distansiering.

Några exempel

Skugg-IT uppkommer inte av illvilja utan snarare av praktiska skäl. Medarbetare använder vad de anser lämpligt för att spara tid och nå sina mål.

Man kanske delar filer via Dropbox, konverserar via Slack, laddar ner anteckningsappen Evernote eller kör ett videomöte via Zoom.

Andra exempel på inofficiellt använd IT är när anställda sätter in bärbara datorer, surfplattor och telefoner i företagets nätverk, använder osäkra enheter och nätverk (publikt wifi) utanför arbetsplatsen eller köper en icke-godkänd trådlös router eftersom den behövs omedelbart.

Det är inte heller ovanligt att en avdelning skaffar egna IT-resurser för att lösa specifika och brådskande behov, anlitar en extern IT-utvecklare eller till och med utvecklar egen mjukvara.

Varför uppkommer skugg-IT?

Skugg-IT uppkommer alltså oftast på grund av medarbetarnas vilja att göra ett bra jobb, vilket är positivt.

Orsakerna till att man går vid sidan av de verktyg och strukturer som tillhandhålls av IT är flera.

I stora organisationer är det relativt vanligt att medarbetarna upplever den befintliga IT-miljön som allt för rigid; IT-lösningarna är för begränsande och det tar för lång tid att gå via IT-avdelningen för att få på plats något nytt.

Andra anledningar kan vara brist på struktur, att man har kontor med olika praxis på olika platser eller att man från ledningens håll inte tydliggjort och utbildat kring vad som gäller.

Vilka är konsekvenserna?

Det finns fördelar med skugg-IT. Den största är snabbhet och flexibilitet. Tillgängligheten till skuggresurser är hög och man kan undvika tidskrävande samordning mellan avdelningar.

Därför kan skugg-IT vara en viktig källa för innovation och skugg-systemen kan bli prototyper för framtida centrala IT-lösningar.

Samtidigt har agiliteten ett pris, oavsett om det är för innovationens skull eller för ren överlevnad. En fragmenterad karta av applikationer gör att man måste kompromissa med säkerhet, kontroll och ”governance”.

En av de största riskerna med skugg-IT är säkerhet. IT har inte kontroll över applikationerna som används och kan inte vidta nödvändiga säkerhetsåtgärder. Risken för dataförlust och läckor ökar liksom risken att inte efterleva lagar.

Behöver du bry dig om skugg-IT?

För enmans- och fåmansföretag behöver inte skugg-IT vara något stort problem. Det är vanligt att man har en flora av olika applikationer som man kommer överens om att använda. Här blir det viktigt att säkra back-up och se till att inte göra onödiga säkerhetsmissar i sin användning.

När organisationen kommer upp i storlek finns det mer att ta hänsyn till. I vissa branscher blir också frågor som säkerhet och tillgänglighet extra viktigt.

Vi arbetar till exempel med juridikföretag som behandlar stora mängder konfidentiell information. För dem är det kritiskt att säkra efterlevnad av exempelvis GDPR och se till att data inte kommer i orätta händer.

Ju större organisation desto viktigare att hantera

Ju större organisation desto mer accelererar både skada och kostnader från skugg-IT. Attackytan blir större när många individer och enheter kan bidra till uppkomsten av skugg-IT.

Tre av fyra tillfrågade organisationer med över 500 anställda uppger att de drabbats av dataintrång, enligt en undersökning av Telenor och Sifo. Det skriver Industristorget i en artikel om IT-säkerhet.

Enligt samma undersökning kostade ett dataintrång i snitt 30 miljoner kronor att åtgärda 2019, vilket var tre gånger så mycket som 2018.

Verksamhetens ansvar

Så skugg-IT uppkommer av medarbetarnas användning av IT men studsar tillbaka på verksamheten. Ju fler idéer, som uppkommer för att kringgå ett problem som verksamheten inte beaktat, desto större lapptäcke av applikationer och desto fler hål i säkerheten.

IT-avdelningen behöver därför tillhandahålla en miljö och verktyg som fungerar. En utmaning är att erbjuda tillräckligt hög tillgänglighet utan att offra säkerheten.

Om du är kund till oss på IT-Partner så tar vi hand om mycket som uppstår på grund av skugg-IT. Vi hjälper också kunder att designa en IT-miljö som kombinerar tillgänglighet och säkerhet med en plan för den säkerhetsteknik de behöver.

Sedan finns det andra aspekter som verksamheten behöver agera på. Information och utbildning av personalen är ett exempel på åtgärd för att minska de negativa konsekvenserna av skugg-IT. Tydlighet kring organisationens IT- och säkerhetspolicy är en annan.

Slutligen

Skugg-IT kan ge upphov till produktivitetsökningar och innovation. Men det kan också orsaka en mängd säkerhetsproblem.

Det går inte att få bort skugg-IT eller helt skydda sig mot incidenter. Men med hjälp av förberedande arbete är det möjligt att kontrollera riskerna och hantera incidenter snabbt för att undvika skada.

/av
IT förr och nuIT förr och nuhantera riskerna med skugg-ITFem sätt att hantera riskerna med skugg-IT