Temná stránka IT: 5 tipů, jak se vypořádat se stínovým IT

Martin Jurča
cloud bezpečnost

„Shadow IT”, neboli stínové IT. Sousloví, které zní temně, až zlověstně. Bohužel se s ním musí podniky potýkat stále častěji. Zaměstnanci čím dál více instalují aplikace, řešení nebo software, aniž by s tím souhlasilo IT oddělení jejich firmy. Nebo o tom dokonce vůbec vědělo.

Stínové IT tak představuje obrovské riziko, protože kvůli němu nedokáže IT oddělení zajistit bezpečné pracovní prostředí. V ohrožení se tak ocitají firemní data a byznys procesy. Co ale vězí za nárůstem stínového IT a co mají vedoucí pracovníci IT oddělení dělat, aby měli situaci pod kontrolou?

Stínové IT se obvykle definuje jako neznámé a neautorizované užívání IT aplikací v byznysu. Spotřebitelské technologie jsou stále přátelštější k uživatelům a mají stále více funkcí. Proto musí podniky čelit nárůstu stínového IT, což znamená, že uživatelé:

• při plnění pracovních úkolů využívají vlastní zařízení, spravují vlastní aplikace a data,

• libovolně stahují software a při práci užívají osobní nástroje spolupráce se třetími stranami.

Pro firemní IT oddělení je pak často nemožné konkurovat takovému obsahu a snadnosti, s jakým ho lze využívat. Nemohou čelit ani spolehlivosti spotřebitelských technologií, které si na pracoviště zaměstnanci přinášejí. Přiznejme si upřímně: nestáhli jsme si někdy sami vlastní software, aniž by o tom vědělo firemní IT?

Z výzkumu Institutu 451 Group vyplývá, že 44 % podniků po celém světě se dnes musí se stínovým IT potýkat. Díky cloudu a oblíbenosti modelu SaaS (software jako služba) se aplikace instalují velmi snadno, protože firemní infrastrukturu a její systém kontroly lze obejít jediným kliknutím.

V průzkumu společnosti McAfee na konci roku 2013 přiznalo více než 80 % respondentů, že v práci využívají nepovolené SaaS aplikace. Není pochyb, že fenomén stínového IT dále poroste. Jak se s ním co nejlépe vypořádat?

Pět tipů, jak se vypořádat se stínovým IT

Monitorujte sítě ve firmě

Pokud chtějí společnosti účinně reagovat na stínové IT, musí pochopit, s jak velkým problémem vlastně mají tu čest a jak velký dopad může mít. Je proto potřeba monitorovat firemní sítě a vyhledávat nová a neznámá zařízení.

Tento monitoring můžete začlenit mezi každodenně prováděné úkoly, mezi které patří i zjišťování zranitelnosti. Jedná se o rozšířenou praxi, díky níž dostáváte podrobné informace o tom, kde se v rámci sítě nacházejí nová zařízení a jakého jsou druhu. Díky tomu zjistíte, jak velký problém ve vaší firmě stínové IT představuje.

Zjistěte, co vaši zaměstnanci potřebují

Pomocí monitoringu firemní sítě získáte cenné informace o tom, jaké aplikace vaši zaměstnanci k práci potřebují. Na základě těchto informací pak můžete stavět budoucí strategické plánování. Musíte ovšem být připraveni na to, že vývoj nelze zastavit, a zároveň musíte zajistit, aby budoucí implementace nebyly řízené technologiemi, ale potřebami vašeho podnikání.

Přizpůsobte se požadavkům svých zaměstnanců

Zaměstnanci dnes chtějí sledovat a využívat svoje data na různých zařízeních i mimo pracoviště. Pokud vaše firma neposkytuje možnost bezpečného přístupu k firemním datům na dálku, najdou si k nim zaměstnanci cestu sami a budou při tom využívat spotřebitelské produkty, které by mohly firmu ohrozit.

Co kdybyste poskytovali bezpečný a kontrolovaný přístup k informacím na dálku? Díky tomu se sníží riziko, že budou zaměstnanci využívat vnější produkty, aniž by o tom IT oddělení vědělo, mělo situaci pod kontrolou, případně mělo možnost tuto činnost vůbec odhalit. Vaši zaměstnanci v osobním životě pravděpodobně využívají technologie, které jsou pokročilejší a snáze využitelné než technologie, k nimž mají přístup v práci.

Proto jim aplikace a řešení užívaná v práci připadají příliš těžkopádná a jejich využití příliš časově náročné. Pokud má naopak zaměstnanec pozitivní zkušenost se zařízeními na pracovišti, nemá potřebu obcházet IT oddělení při hledání řešení, díky nimž může odvádět lepší práci.

Zrychlete proces schvalování

Velmi často stínové IT prostě znamená, že se zaměstnanci snaží svou práci udělat rychle a efektivně. Pokud na ně klient tlačí, protože okamžitě potřebuje nějaký velký soubor, a při tom neexistuje firmou schválená alternativa, kdo by mohl zaměstnance vinit, že využije spotřebitelskou službu jako například Dropbox?

Když zaměstnanci na firemní IT oddělení vznášejí požadavky ohledně nových technologií, bývá jednou z jejich nejčastějších stížností fakt, že proces schvalování trvá příliš dlouho. Pokuste se optimalizovat procesy schvalování tak, aby odpovídaly množství práce vašich zaměstnanců.

Vytvořte jasná pravidla

Bylo možné rizika lépe vysvětlit? IT oddělení musí umět lépe naslouchat, ale také lépe vysvětlovat svůj postoj. Bylo by například možné sestavit jasná pravidla pro využívání vlastních zařízení na pracovišti? IT oddělení by také mohlo vytvořit a sdílet seznam schválených aplikací nad rámec standardního užívaného softwaru, které by odpovídaly potřebám jednotlivých oddělení.

V dnešní době uživatelé využívají cloudové platformy, které jim umožňují vytvářet vlastní upravené aplikace, ačkoli mají pouze omezené znalosti kódování. Na první pohled by se mohlo zdát, že to vede k rozšiřování stínového IT. Ovšem podpora těchto tzv. „low-code” vývojářů je pro firemní IT oddělení příležitost. Urychlí se vývoj software, který se v rámci firmy dostane k uživatelům rychleji, aniž by bylo nutné v zájmu rychlosti obětovat jeho bezpečnost.