[KRÖNIKA] Under årens lopp har Shadow IT varit lite som en modetrend – från att fånga uppmärksamheten hos säkerhetsmedvetna organisationer runt om i världen till att accepteras som en del i att göra affärer.
Men i och med skiftet till distansarbete har cybersäkerhet generellt sett blivit ett av företagens största bekymmer idag vilket bland annat lett till att fenomenet Shadow IT återuppstått.
Denna trend verkar vara ett svar på det större grundläggande skifte som vi har sett under de senaste åren: med IT-team som förflyttar sig från rollen som” gatekeeper” för det tekniska till att istället ta på sig rollen som rådgivare internt. Att avgöra hur man hanterar Shadow IT i dagens era med distansarbete och hybrida arbetsmiljöer – och under en fortsatt utveckling av IT- och säkerhetsteam – kräver lite eftertanke.
Det handlar om er data
IT-chefer har tillsammans med säkerhetsteam genom åren kämpat med att hantera Shadow IT, och de vittnar om att det aldrig går att uppnå fullständig kontroll över den igen. Metoder som att helt blockera nedladdning eller installation av specifika applikationer kan vara utmanande med tanke på det antal nya applikationer som finns tillgängliga för företag idag. Det är oundvikligt att många nya applikationer passerar genom systemen – tillsammans med information om kostnad, prenumerationsvillkor, bandbreddskrav och till och med potentiella sårbarheter. Trots det höga berget av potentiella ”blind spots” som organisationer står inför, är den största frågan som IT- och säkerhetsavdelningar bör ställa: vad händer med vår data?
Med ett växande fokus på digital transformation fortsätter data som en strategisk tillgång att utvecklas inom de flesta organisationer. När värdet på data stiger, ökar också säkerhetsbehoven. Föreställ dig bara vad som kan hända om ert företags IP hamnar i fel händer – antingen som ett resultat av en avancerad cyberattack eller som en följd av oavsiktliga händelser, så som sårbarheter eller felkonfigurerad S3-lagring.
Hur bör då IT-chefer hantera Shadow IT?
Många cybersäkerhetsramverk som NIST eller CIS rekommenderar att organisationer har IT- eller licenshanteringssmetoder för att ge den insikt som krävs för att stärka den övergripande säkerheten. Identifierings- och inventeringsfunktioner inom dessa program ger ytterligare transparens och svarar på viktiga frågor som vad ni har, vem som har tillgång till det och hur det används. Dessutom kan dessa program ta med detaljer om dubbletter eller verktyg för underlicenser för att optimera budgetar och resurser, minimera avgifter i samband med leverantörsrevisioner och varna för eventuella risker med er data.
Det är här samarbetet med exempelvis en CDO (Chief Data Officer) kan vara till nytta. Enligt Gartner kommer tre av fyra större organisationer ha en CDO 2021. Genom att arbeta sida vid sida med en CDO kan en IT-chef och dennes team skapa en struktur och genomdriva lämplig styrning och användning av befintlig data men också tillsammans skapa sig en förståelse för den data som finns och hur den fungerar i organisationen.
Hur kan IT-avdelningen utbilda övriga organisationen?
Även IT-avdelningen har en viktig roll att fylla. Nu, mer än någonsin, försöker IT-avdelningen hitta rätt balans för att effektivt kunna hantera – men inte kontrollera – teknik, budget och säkerhetsåtgärder. När det gäller affärsstyrd IT finns det sällan en IT-veteran eller upphandlingsproffs som erbjuder råd till team när de överväger att köpa in nya tjänster, applikationer eller molntjänster. Även om det inte längre är realistiskt att prata om att eliminera Shadow IT finns det saker IT-avdelningen kan göra för att bättre hantera den teknik som används av avdelningar och individer.
En bra start är att börja utbilda de anställda, som i slutändan ska leda till att IT-avdelningen ses som en betrodd rådgivare internt. Målet är att göra det möjligt för teknikanvändarna att göra smarta val kring teknik och samtidigt sätta in styrning och skyddsräcken för att säkerställa att IT-avdelningen inte tappar sikte över vad som finns i organisationens miljö om något skulle gå fel. Eftersom Shadow IT har utvecklats och blivit en oundviklig del av organisationer, bör organisationens IT-chef och CDO regelbundet föra en dialog med de anställda om deras behov och förståelse för de resurser som finns tillgängliga. Med mer insikt i medarbetarnas behov kommer IT-avdelningen lättare kunna skapa möjligheter för sin personal och samtidigt skydda dem.
Av Rob Price, Senior Specialist Solutions Consultant och Global Lead för Risk & Compliance på Snow Software