Nie walcz z Shadow IT, postaw na lepszą ochronę

Shadow IT stanowi duże ryzyko dla firmy. Aby zapewnić jej ochronę, warto wprowadzać technologie preferowane przez zatrudnionych lub zastosować bezpieczeństwo oparte na tożsamości.

Organizacje, zarówno w Polsce, jak i na świecie, coraz częściej podejmują inicjatywy związane z transformacją cyfrową. Z tego względu także pracownicy zaczynają korzystać z rozwiązań zwiększających ich produktywność po to, aby dogonić zmieniającą się w szybkim tempie firmę. Nierzadko w tym celu korzystają z własnych urządzeń – zaczynając od osobistych smartfonów czy tabletów, po narzędzia do udostępniania plików i współpracy. Nie wspominając o aplikacjach, które działają w oparciu o chmury obliczeniowe (jak podaje Cisco, duże przedsiębiorstwa korzystają średnio z ponad 1200 usług w chmurze, nawet 98% z nich może pochodzić z nieautoryzowanego źródła). Takie zjawisko otrzymało już swoją nazwę. Mowa o Shadow IT.

97% pracowników IT zgadza się, że zatrudnieni są bardziej produktywni, gdy mają możliwość korzystania z preferowanych technologii w pracy.

Jednak mimo swoich najszczerszych chęci pracownicy, którzy wprowadzają technologie bez zgody działów IT, mogą narazić przedsiębiorstwo na niebezpieczeństwo. Bo choć większość z nich wydaje się być nieszkodliwa, a nawet powszechna w użyciu, każda czynność polegająca na udostępnianiu plików poza kontrolą informatyków może skończyć się wyciekiem wrażliwych dla firmy danych. Jak przewiduje Gartner, Shadow IT w 2020 r. będzie przyczyną już co trzeciego naruszenia bezpieczeństwa firm.

Wykorzystaj Shadow IT i rośnij

Aby ograniczyć ryzyko związane z Shadow IT, firmy mogą zdecydować się na wprowadzenie rygorystycznych zasad bezpieczeństwa. Niestety, zazwyczaj kończy się to jednak frustracją, zarówno działu IT, jak i pozostałych pracowników. Eksperci z Entrust Datacard porównują próby całkowitego wyeliminowania Shadow IT do ściskania balonika – problem nie jest rozwiązany, a przemieszcza się w innym kierunku. Wniosek nasuwa się sam: czy pracodawcy tego chcą czy nie, pracownicy, którzy będą potrzebowali konkretnego rozwiązania technologicznego, i tak znajdą sposób, aby ominąć niewygodne procesy, powodując jeszcze większe zagrożenie dla firmy. Ostatecznie w „walce” z Shadow IT zwyciężą te organizacje, które wykorzystają ten trend.

37% pracowników IT twierdzi, że ich organizacje nie mają jasno sprecyzowanych wewnętrznych konsekwencji, gdy pracownicy wdrażają nowe technologie bez zgody IT.

Jak bowiem wynika z badania „The upside of Shadow IT”, przeprowadzonego przez Entrust Datacard, aż 77% pracowników IT zgadza się ze stwierdzeniem, że ich organizacje mogłyby zyskać przewagę nad konkurencją, gdyby liderzy firm w większym stopniu współpracowali przy poszukiwaniu rozwiązań dla potrzeb Shadow IT zarówno z pracownikami IT, jak i spoza tego działu. Co więcej, już 80% informatyków uważa, że ich firmy muszą być bardziej sprawne, jeśli chodzi o wdrażanie technologii sugerowanych przez zatrudnionych.

Shadow IT potrzebuje kontroli

W celu motywowania i zachęcania pracowników do przestrzegania pewnych zasad związanych z Shadow IT dział IT musi pod tym względem świecić przykładem. Jak jednak wynika z raportu Entrust Datacard, sami dość często łamią zasady. Co więcej, większość organizacji nie ma nawet wyznaczonego lidera odpowiedzialnego za znajdowanie rozwiązań dla Shadow IT. Na dodatek reguły i procesy wprowadzane obecnie przez większość działów IT są tak nieefektywne, że nawet sami informatycy ich nie respektują. Prawie połowa z nich korzystała bowiem z urządzania, aplikacji lub innej technologii, która nie była wcześniej wykorzystywana w organizacji i nie była zaakceptowana przez cały dział.

Specjaliści IT wiedzą, że Shadow IT stanowi duże ryzyko, ale do tej pory nie udało im się przejąć odpowiedzialności za rozwiązanie tej sytuacji. Jak wynika z analizy, już 77% respondentów zgadza się ze stwierdzeniem, że Shadow IT do 2025 r. stanie się jeszcze większym problemem, jeśli pozostanie bez kontroli. Jednak tylko połowa twierdzi, że ich firmy zidentyfikowały pracownika lub pracowników, którzy są odpowiedzialni za znalezienie rozwiązań dla Shadow IT.

Lider Shadow IT

Respondenci badania twierdzą, że to menedżerowie IT (43%) powinni być odpowiedzialni za znalezienie rozwiązań dla rozwoju Shadow IT w firmie. Nie jest to jednak rozwiązanie polegające na przerzucaniu tej odpowiedzialności na barki pracowników niskiego i średniego szczebla. Stawka jest zbyt wysoka, a nacisk na bezpieczeństwo musi pochodzić z góry. Im bardziej otwarte i zaangażowane jest przywództwo, jeśli chodzi o zagrożenia dla bezpieczeństwa, tym bardziej prawdopodobne jest, że będą one na niższym poziomie. Pracownicy IT mają zatem za zadanie eskalować problemy i dbać o bezpieczeństwo organizacji.

Sposoby na Shadow IT

Nie należy się spodziewać spowolnienia Shadow IT, wręcz przeciwnie. W miarę ewolucji związanych z tym zagrożeń i wzrostu liczby technologii w miejscu pracy bezpieczeństwo stanie się tylko bardziej krytyczne. Warto przy tym pamiętać, że jedno rozwiązanie czy kombinacja kilku nie pomoże każdemu działowi IT w ten sam sposób. Aby jednak lepiej chronić firmę przed zagrożeniami związanymi z Shadow IT, warto rozważyć kilka z poniższych rozwiązań:

  • Postaw na chmurę, ale zabezpiecz ją CASB. Chmura nadal będzie kluczowym czynnikiem warunkującym cyfrową transformację. Ale przepływ informacji przez zewnętrzne programy chmury może stanowić zagrożenie dla danych firmy. CASB (ang. Cloud Access Security Broker), które znajdują się pomiędzy infrastrukturą lokalną organizacji a infrastrukturą dostawcy chmury i zawierają funkcje takie jak zapory ogniowe i uwierzytelnianie, mogą rozszerzyć zasięg polityki bezpieczeństwa poza własną infrastrukturę firmy.
  • Korzystaj z bezpieczeństwa opartego na tożsamości (ang. identity-based security). Rozwiązania zabezpieczające oparte na tożsamości pozwalają pracownikom na bezpieczny dostęp do preferowanych narzędzi poprzez wyjście poza elementy uwierzytelniania, które mogą być łatwo podrobione (takie jak nazwy użytkowników i hasła), tworząc 360-stopniowy widok pracowników oparty na wzorcach zachowań.
  • Zainwestuj w zgodność z przepisami. Wiele organizacji postrzega zgodność z przepisami jako bolesną konieczność. Jednak spełnienie przepisów i standardów branżowych jest jednym z najlepszych sposobów na zabezpieczenie swojej działalności. Warto myśleć o zgodności z przepisami jak o inwestycji, a nie obowiązku.