En ny type IT har sneget sig ind på arbejdspladsen, og den udgør en stigende trussel mod sikkerheden. Partner i Deloitte Jesper Helbrandt giver tre gode råd til at dæmme op for problemet.

 

Tiden hvor IT-afdelingen havde hånd i hanke med, hvilke systemer, applikationer og enheder der blev brugt i virksomheden, er definitivt ovre. Såkaldt shadow IT lever i bedste velgående i det skjulte. Medarbejdere finder i stigende grad digitale løsninger online, såsom dropbox, og benytter sig af deres private tablets, smarture, bærbare computere og andre enheder til at læse mails og løse deres arbejdsopgaver – uden IT-afdelingen ved besked.

Det er både nemt og bekvemt for medarbejderne, forklarer partner i Deloitte Jesper Helbrandt, men det udgør samtidigt en stigende trussel for virksomheden:

”Hvis man skal passe på sine data, er det jo en forudsætning, at man ved, hvor de er. Og det gør man ikke med shadow IT, som eksploderer mellem hænderne på virksomhederne i øjeblikket.”

Han understreger, at selvom der findes mange sikre digitale løsninger og enheder, findes der også mange usikre. Og når IT-afdelingen ikke har mulighed for at implementere de fornødne sikkerhedsmekanismer på dem, åbner der sig en brist i IT-sikkerheden. Den type brister kan få konsekvenser. Analysefirmaet Gartner forudsiger eksempelvis, at 33 procent af alle succesfulde angreb på virksomheder i 2020 vil være på eller via deres shadow IT.

”Selv på virksomhedernes eget netværk kan der gå lang tid, før de opdager et angreb. Sker det på en fremmed cloudløsning eller enhed, IT-afdelingen ikke kender til, er der kun en minimal chance for, at angrebet bliver opdaget. Det gør shadow IT alvorligt.”

Derfor opstår shadow IT

Shadow IT er opstået af flere årsager, vurderer Jesper Helbrandt. I nogle tilfælde bunder det i, at IT-afdelingen ikke er tilstrækkeligt serviceorienterede eller kan følge med efterspørgslen. I andre tilfælde fremskyndes udviklingen af, at en større del af medarbejderne har IT-kompetencer og derfor ikke har et teknisk behov for at involvere IT, hvis de mangler en ny IT-løsning.

”Hvis en medarbejder er vant til at bruge sin dropbox i privaten eksempelvis, virker det naturligt også at bruge den, når han eller hun lige vil tage noget arbejde med hjem over weekenden,” siger han.

Jesper Helbrandt oplever også, at hele afdelinger autonomt implementerer lokale løsninger uden at involvere IT.

”Nogle afdelinger har en stor magt og eksekverer hurtigere, end IT kan følge med. Hvis de eksempelvis har behov for et givent samarbejdsværktøj, der ligger gratis på nettet, går de bare i gang. For det er hurtigere end at involvere IT.”

Sådan beskytter du din virksomhed

Foruden bristerne i IT-sikkerheden giver shadow IT også virksomhederne en højere fleksibilitet og medarbejdereffektivitet. Og da arbejdsstyrken for hvert år bliver mere og mere digital og hjemmevante med de tilgængelige løsninger, er det ikke ligetil for virksomhederne at lukke ned for den uautoriserede IT.

”Både medarbejdere og ledere ønsker fleksibiliteten, og udbredelsen af shadow IT er allerede så stor, at virksomhederne hverken kan eller skal forsøge at stoppe det. Men de må lægge en strategi for det,” siger Jesper Helbrandt.

Den bør, ifølge partneren, som minimum bestå af tre elementer:

1. Det hurtigste og mest omkostningseffektive er at højne medarbejdernes cyber-awareness. Shadow IT skal italesættes for medarbejderne. De er det svageste led i al IT-sikkerhed, og kan virksomheden gøre dem bevidste om at vælge visse sikrere leverandører frem for andre, er de nået et langt stykke ad vejen.

2. Sideløbende må IT-afdelingen få skabt sig et overblik over mængden og typen af shadow IT, der er i virksomheden. Det kan kræve en række forskellige indsatser, eksempelvis kan de forsøge sig med en frit lejde-ordning, hvor medarbejdere og afdelinger fortæller om deres brug af shadow IT. Dertil må de analysere og monitorere netværkstrafikken, eventuelt ved hjælp af en SIEM-løsning, så de ved hvor stort omfanget er.

3. Dernæst må virksomheden anerkende behovet for flere digitale løsninger og få lavet et katalog over tilladte programmer og enheder. Ved at formalisere det kan virksomhedens afdelinger og medarbejdere melde deres behov ind, så IT-afdelingen har mulighed for at undersøge markedet og finde de leverandører, der har den rette sikkerhed. Kataloget vil givetvis vokse, men det giver dels transparens, og dels IT-afdelingen mulighed for at få fat i tøjlerne på udviklingen.