Zanim poruszę temat i przejdę do sedna, pozwolę sobie zadać Wam kilka pytań. Czy kiedykolwiek będąc w pracy zastanawialiście się dlaczego część Waszych aplikacji czy stron internetowych nie działa na służbowym laptopie? Ile razy czuliście poirytowanie, gdy będąc w biurze, nie mogliście się zalogować do portalu social media lub puścić w słuchawkach ulubionej internetowej playlisty? Żadne z nich nie działały i wciąż pojawiał się ten denerwujący komunikat „dostęp zabroniony”. Idąc dalej…
Czym jest Shadow IT?
Polityka w firmie zwykle jasno określa z jakiego typu zasobów sieciowych możesz korzystać w pracy. Jednak ilu z Was zdarzyło się instalować niezatwierdzone przez dział IT programy? Odwiedzać nieautoryzowane strony internetowe, czy co gorsza ściągać z internetu filmy poprzez torrent? Skoro internetowy dostęp do aplikacji był zabroniony, to może ktoś z Was był na tyle kreatywny, by oszukać system i do urządzenia podłączyć swój prywatny pendrive z potrzebnymi danymi?
Zadając powyższe pytania zamierzam uzmysłowić Ci czym jest zjawisko shadow IT. Omówię skąd bierze się problem, dlaczego jest tak istotny dla stabilnego funkcjonowania organizacji oraz jakie kroki warto podjąć, aby niwelować ryzyko optymalizując procesy w firmie.
Shadow IT, to zjawisko zachodzące w funkcjonowaniu przedsiębiorstw, gdzie pracownicy, bez wyraźnej zgody, korzystają z nieautoryzowanych i potencjalnie niebezpiecznych zasobów sieci np. stron internetowych, instalacji programów, komunikatorów lub trwałych nośników danych. Niewiadome pochodzenie takich zasobów generuje ryzyko infekcji systemu, co może narażać firmę na niebezpieczeństwo stania się ofiarą ataku cyberprzestępców.
Zdarza się, że pracownicy często w dobrej wierze, pobierają z internetu aplikacje, których celem jest usprawnienie wykonywanej pracy. Choć idea z pozoru wydaję się być słuszna, w praktyce może dojść do sytuacji, gdy pracownik wykorzysta źródło zainfekowane złośliwym oprogramowaniem. Niestety bywają też przypadki, gdy pracownicy pobierają i instalują programy w nielegalnych wersjach pirackich.
Dlaczego jest tak niebezpieczne?
Utrata przez organizację kontroli nad przepływem i dostępem do oprogramowania, może przynieść bardzo przykre, a nawet niebezpieczne reperkusje. Firmowy system może zostać zainfekowany, utracie ulegną poufne zasoby przedsiębiorstwa lub ktoś wykradnie wewnętrzne bazy danych klientów. Z kolei pirackie oprogramowanie, które przez nierozwagę pracownika i bez wiedzy administracji systemów, znalazło się na firmowych dyskach, w razie kontroli może skutkować postępowaniem karnym i wysoką grzywną. Konsekwencje finansowe, administracyjne i prawne w każdym z tych przypadków mogą być bardzo poważne.
W tym momencie pojawia się kwestia sporna, gdzie na froncie ścierają się dwie siły. Z jednej strony polityka bezpieczeństwa firmy wraz z administracją IT, którym zależy na pełnej kontroli i ustrukturyzowaniu przepływu danych w firmie. W idealnym założeniu posiadające nadzór nad całością danych cyfrowych i każdym komputerem.
Z drugiej strony funkcjonują zespoły pracowników liniowych, ludzi którym zależy, by w sposób płynny i niezakłócony często absurdalnymi procedurami wykonywać swoją codzienną pracę. Czas to pieniądz, a nadmiar regulacji nierzadko potrafi zablokować projekt i skutecznie demotywować ludzi do działania.
Załóżmy, że wszyscy kierują się współną nadrzędną zasadą – chodzi przecież o dobro organizacji.
Jak skutecznie sobie z nim radzić?
Rozwiązanie, którego szukamy musi spełniać dwa zadania. Po pierwsze unikać potencjalnych niedogodności związanych ze zjawiskiem shadow IT. Po drugie, pozwoli zachować pełną efektywność pracy.
Pośród środków zaradczych warto wprowadzić podział na elementy proaktywne, gdzie organizacja w sposób miękki wychodzi na przeciw potencjalnym zagrożeniom oraz reaktywne, gdzie zastosowane rozwiązania informatyczne automatycznie przeciwdziałają i wychwytują nieprawidłowości.
Proaktywne:
- edukacja pracowników;
- tworzenie białych i czarnych list zasobów;
- kontrola i ograniczenie przywilejów dostępu do zasobów;
- wewnętrzne procedury bezpieczeństwa
Reaktywne:
- połączenia typu proxy (VPN);
- firewall;
- skanery sieci;
- programy antywirusowe
Pomimo dostęności rozwiązań zmierzających do minimalizacji zjawiska shadow IT w przedsiębiorstwach, uważam, że pod wieloma względami najlepszy efekt przynosi edukacja personelu. To często brak świadomości jest nadrzędnym problemem. Tak jak wspomniałem – pracownik wykonując swoją pracę, tworzy wartość dodaną organizacji. Nie chce czynić źle, nawet nieumyślnie. Po prostu często nie zdaje sobie sprawy z tworzonego zagrożenia.
Odpowiednio przeszkolona kadra to klucz do sukcesu. Jest świadoma w jakim obrębie infrastruktury może się poruszać. Wie kto w firmie odpowiedzialny jest za administrację urządzeń i przydzielanie pozwoleń na użytkowanie nieautoryzowanych aplikacji. Rozumie dlaczego nie wolno podłączać zewnętrznych nośników danych i w końcu, dlaczego instalowanie nielegalnych licencji programów jest tak niebezpieczne.
Z kolei działom administracyjnym, którym również powinno zależeć na płynności pracy, warto uzmysławiać, jak kreowanie nowej procedury na każdy pojawiający się zasób może przyczyniać się do powstawania wąskich gardeł i blokować inne procesy wewnętrzne. Warto zadbać, by organizacja wewnętrzna w firmie była przystępna dla każdego pracownika. Dzięki temu każdy może w przejrzysty sposób, samodzielnie zapoznać się z polityką bezpieczeństwa.
Edukacja, uświadamianie i szkolenia pracowników mogą okazać się jednocześnie najprostszym i najtańszym rozwiązaniem pozwalającym uniknąć potencjalnych zagrożeń.
Jeśli jeszcze nie zdecydowałeś się na określenie szczegółowej polityki bezpieczeństwa, lub chcesz ją uaktualnić, możemy Ci pomóc. Zobacz naszą usługę Program Cyberbezpieczeństwa.