Pracownicy zaangażowani w życie firmy, starają się maksymalnie wykorzystać czas, by realizować wyznaczone cele biznesowe, m.in poprzez zwiększenie swojej produktywności. Z racji coraz powszechniejszego dostępu do rozwiązań chmurowych, jesteśmy przyzwyczajeni do regularnego poszukiwania nowych aplikacji i narzędzi. Często nabywamy je pod wpływem impulsu lub pod pretekstem testów, nie uwzględniając zgody i ich weryfikacji ze strony organizacji. Takie zjawisko znane jest pod nazwą Shadow IT. Dlaczego decydujemy się na oprogramowanie, którego nasza firma nie zatwierdziła? W jakim stopniu utrudnia to zarządzanie zasobami i zapewnienie bezpieczeństwa w organizacji?
Co to jest Shadow IT
Shadow IT jest zjawiskiem, którego w opinii Gartnera (firma badawczo-doradcza) głównymi elementami są “oprogramowanie i usługi poza własnością lub kontrolą organizacji”. Dotyczy to zarówno technologii, oprogramowania czy aplikacji. Do najbardziej obrazowych przykładów należą zasoby pracowników, zgromadzone w chmurze (np. dysk Google, Dropbox), prywatne konta e-mail wykorzystywane do kontaktów firmowych, oprogramowanie SaaS oraz urządzenia BYOD (ang. Bring-Your-Own-Device, m.in. wykorzystywanie prywatnych pendrive’ów do przenoszenia danych organizacji).
Dlaczego Shadow IT to problem
Większość firm działających w sieci przetwarza jakieś dane. Ich bezpieczeństwo od strony prawnej normuje ustawa RODO. Dodatkowe obostrzenia dotyczą tzw. branż regulowanych (np. sektor bankowy i służba zdrowia), które przetwarzają dane szczególnie wrażliwe, a ich wyciek może spowodować ogromne straty. Odpowiednia ochrona tych danych wymaga, by pracownicy przechowywali informacje tylko w formie kontrolowanej przez ich organizacje. Bezpieczeństwo klientów i ich zasobów może być zapewnione tylko w momencie, gdy dział IT wie, w jaki sposób i w którym miejscu gromadzone są te dane.
Odrębny problem stanowi sytuacja, gdy pracownik część materiałów dotyczących pracy przechowuje w strefie cienia i nie udostępnia ich po swoim odejściu. W ten sposób może przyczynić się do zmniejszenia płynności oraz wydajności działu lub całej firmy. Shadow IT to poważna luka w strategiach cyberbezpieczeństwa – m.in poprzez brak dostępu do aktualnych danych lub plików niezgodnie z bieżącymi procedurami bezpieczeństwa zgromadzonymi w strefie cienia.
Jak sobie radzić z Shadow IT
Podobnie jak w przypadku innych zjawisk IT, odpowiedź będzie się różnić w zależności od profilu działalności organizacji oraz zakresu przetwarzanych danych wrażliwych. Możemy się spodziewać, że banki podejdą do tego zagadnienia bardzo rygorystycznie, a mikro i małe przedsiębiorstwa wypracują swoje procedury – adekwatne do potrzeb bezpieczeństwa firmy. Poniżej znajduje się kilka zasad, od których powinna zacząć każda organizacja, by zabezpieczyć się przed zjawiskiem Shadow IT.
- Stworzenie systematyki informacji
Chodzi o podstawowy podział danych na publiczne (ogólnodostępne) i poufne. Proces tworzenia takiego rozróżnienia, wymaga opracowania zbioru wytycznych na temat tego, kto i kiedy może użytkować dane. Przykład – dostęp do numerów identyfikacyjnych jest ściśle określony procedurą, a dostępy przyznaje kierownictwo. Jednocześnie nieformalne notatki ze spotkań, pracownicy mogą wymieniać między sobą poprzez rozwiązania chmurowe.
- Sprawdzenie stanu Shadow IT w organizacji
Działy IT powinny kontrolować to, w jaki sposób dane wrażliwe są przetwarzane w organizacji oraz jak można nimi bezpiecznie zarządzać. W gromadzeniu informacji, mogą pomóc dostępne na rynku narzędzia, zarówno technologiczne (dedykowane oprogramowanie), jak i rozwiązania miękkie, np. ankieta pracownicza.
- Edukacja i szkolenia
Technologia nieustannie się rozwija i będzie powodować kolejne komplikacje dotyczące bezpieczeństwa. Dlatego należy edukować pracowników na temat ewentualnych konsekwencji prywatnych, firmowych, finansowych i prawnych z perspektywy organizacji i personelu. Ważne, by przedstawić jasne zasady i wytyczne, w jaki sposób powinny być przetwarzane dane.
- Dostarczenie odpowiednich narzędzi
Jeżeli Shadow IT w firmie wynika z operacyjnych potrzeb pracowników, należy rozważyć dostarczenie odpowiednich narzędzi dostosowanych do ich potrzeb (np. platformy / narzędzia do przetwarzania danych firmowych i dostępów). Wyjście naprzeciw ich oczekiwaniom może okazać się istotnym krokiem w poprawie cyberbezpieczeństwa firmy.
- Oprogramowanie monitorujące
Jednym z rozwiązań, które umożliwią opanowanie Shadow IT, jest wdrożenie oprogramowania, które pozwala na zabezpieczenie danych przed negatywnym wpływem zjawiska. Pomoże utrzymać bezpieczeństwo organizacji i dotrzeć do źródeł nieautoryzowanego użycia sprzętu/ oprogramowania.
Podsumowanie
Organizacje IT są na etapie uczenia się i przyjmowania spójnej perspektywy na zjawisko Shadow IT w firmach. Kluczową rolę odgrywa tutaj praca u podstaw i systematyczne budowanie świadomości bezpieczeństwa wśród pracowników. Zrozumienie występowania zjawiska pozwala na jednoczesne zachowanie najwyższych standardów ochrony i zwiększenie wydajności operacyjnej. Należy również zrozumieć, że pracownicy zwykle stosują Shadow IT w celu zwiększenia wydajności pracy, a nie zwiększenia zagrożenia wobec firmy.
Z perspektywy działów IT oraz zespołów ds. cyberbepieczeństwa, skalę zjawiska Shadow IT można zmniejszyć poprzez regularną aktualizację zabezpieczeń, wprowadzenie odpowiedniego sprzętu oraz oprogramowania, określenie procedur dostępowych, czy weryfikacji ruchu sieciowego w firmie. Jednocześnie istnieją rozwiązania, które kompleksowo pomagają sprawdzać i nadzorować nieautoryzowane użycie sprzętu i oprogramowania w organizacji.