Shadow Cloud – vad är det och hur går det till?

Vad är Shadow Cloud? Är du tveksam till att lägga ditt företags data i molnet? Hela 90 % av företagen har idag medvetet valt att använda någon form av molntjänst. Web hosting, CRM-system och inte minst backup och Disaster Recovery är bland de populäraste molntjänsterna som företag använder sig av.

Det visar sig emellertid att företag som inte vill använda molntjänster ändå till slut sprider delar av sin företagsinformation till molntjänster via ett fenomen som kallas Shadow Cloud.

Shadow Cloud eller Shadow IT är en benämning på IT-projekt som hanteras utanför företagets IT-avdelning eller utan att IT-avdelningen vet vad som händer. Även den mest rutinerade IT-avdelning har svårt att hela tiden ha kontroll över vad de anställda gör. Shadow Cloud uppstår vanligtvis inte på grund av hackare eller illasinnade angrepp på företaget. Det är företagets anställda som skapar molnet, ofta helt omedvetet.

Hur går det till?

Vi är idag omgivna av ett otal tekniska hjälpmedel som alla kan kopplas till en molntjänst. Det gäller till exempel e-post, dokument, filer, musik, datorer, surfplattor, programvara och mobiltelefon.

Teknologin för molntjänster har blivit så tillgänglig, så enkel och av så hög kvalitet att det nästan är svårt att undvika att skicka data till molnet. Många av oss har säkert varit med om att skicka data till en molntjänst även om det varit oavsiktligt.

Har du till exempel upplevt att bilder från telefonen dyker upp på din arbetsdator utan att du vet hur det gick till? Att ladda mobilen via jobbdatorn och att klicka bort en dialogruta på mobilskärmen är allt som behövs. Eller har du klickat på moln-knappen som har dykt upp i snabbmenyn till PDF-dokument? Gissa var destinationen för ditt dokument är då?

De flesta av oss har ett privat mailkonto hos någon av de stora leverantörerna, till exempel Google. Öppnar du ett jobbdokument och sparar det där, så ligger det lagrat i Google Drives molntjänst. Köper du en Apple iPhone måste du skapa ett iCloud-konto för att använda telefonen. Alla dina bilder kopieras automatiskt till molnet, om det inte är fullt. Om du tar en bild av ett jobbdokument ligger det både i din telefon och hos Apple.

Vem skapar Shadow Cloud?

Det visar sig att det är två grupper av anställda som särskilt ofta lägger upp data i oauktoriserade nätmoln. Den ena gruppen är de ivrigaste och mest motiverade arbetstagarna. Den gruppen jobbar ofta utanför kontoret och utanför normal arbetstid. De har ofta inte tålamod att vänta när det blir problem med uppkopplingen till företagets system, och då hamnar gärna arbetstagarens information ett externt moln.

Den andra gruppen är paradoxalt nog anställda på IT-avdelningen eller andra anställda med goda IT-kunskaper. Den gruppen är så tekniskt uppdaterad att de känner till eller har skaffat sig alternativa konton för molnlagring. De är snabba med att börja använda ny teknik, och på det sätt blir de syndare.

Shadow Cloud är ett fenomen blir allt större. I en undersökning av McAfee rapporterade 80 % av respondenterna (IT-anställda och IT-chefer) att de hade använt sig av molnlagringstjänster som inte var godkända av IT-avdelningen.

Är Shadow Cloud bra eller dåligt?

Det säger sig självt att omfattande användning av Shadow Cloud är en säkerhetsrisk för företaget. För det första är det väldigt svårt att identifiera omfånget av data på avvägar samt vilken information som är lagrad i främmande moln. Konsekvenser av lagring i okända molntjänster kan vara dataförlust, hantering av konfidentiella data i strid med lagar och regler samt förlust av företagshemligheter och företags immateriella rättigheter. Med strängare regler för hantering av personuppgifter i EU kan böter för brott mot datasäkerheten uppgå till fyra procent av ett företags bruttoomsättning.

Det är ett problem för IT-avdelningen när de mister kontrollen över företagets data, eftersom användningen av shadow cloud sker under radarn. Men Shadow Cloud saknar ändå inte fördelar. När tekniken för molnlagring är tillgänglig, enkel och billig bidrar det till att lösa problem för IT-avdelningen. De anställda blir mer oberoende av hjälp från avdelningen och löser problemen själva genom att använda sig av tillgängliga tjänster. Den lättillgängliga, enkla och billiga möjligheten att lagra data gör också att många anställda blir mer effektiva i sitt arbete, eftersom de mer sällan hindras av kapacitetsbegränsningar.

Vilka åtgärder mot Shadow Cloud bör IT-avdelningen vidta?

Även om Shadow Cloud kan lätta pressen på IT-avdelningen med färre supportförfrågningar och mindre administration av teknisk infrastruktur, måste man komma ihåg att IT fortsatt är ansvariga för säkerheten för företagets information och för att upprätthålla lagar och regler för datahantering.

Det är viktigt att komma ihåg att företagen själva står i första försvarslinjen när det gäller datasäkerhet. De bör ha en klar policy för vilka molntjänster de verkligen ska använda och se till att leverantören uppfyller alla krav på datasäkerhet. IT-avdelningen bör också bygga upp en intern säkerhetskultur som gör de anställda medvetna om var de lagrar sina data.

Om val av molnleverantör och säkerhet

När ditt företag ska välja molnleverantör är det en mängd överväganden som ska göras. Några viktiga punkter att tänka på när det gäller informationssäkerhet:

  • Var lagras dina data fysiskt? Lagras de i lokalt eller i utlandet? Det har konsekvenser för om det är lokal eller utländsk lag som gäller för utlämnande av konfidentiella data.
  • Nationaliteten på företaget som hanterar dina data. Vilka lagar måste molnleverantören följa? Amerikanska, europeiska eller lokala bestämmelser? Enligt den nya europeiska dataskyddslagen som trädde i kraft i maj 2018 ställs det strängare krav på hantering av personuppgifter för svenska företag. En potentiell molnleverantör ska kunna visa upp att kraven efterföljs.
  • I vilken grad kan leverantören visa upp rutiner och kultur för informationssäkerhet? Vilka slags processer har de infört för att trygga ditt företags data? Är de certifierade inom informationssäkerhet, till exempel med en ISO 27001-certifiering?

I vissa fall kan det faktiskt vara bättre och enklare att välja en molnleverantör än en mindre bra säkerhetslösning i det egna företaget. Det beror på att professionella molnleverantörer är beroende av compliance, efterlevnad av regelverket för att vara en seriös aktör på marknaden.

Läs mer om våra IT-tjänster och lösningar

Läs även:
4 Molntrender för 2018
Molnbaserade samarbetsverktyg ökar inom svenska företag

29 juni 2018

Orsakerna till ökända IT-misstag

Patientsamtal lades ut på nätet och utländska aktörer fick tillgång till viktiga styrsystem. Det är bara två av de stora säkerhetsmissar som har uppmärksammats nyligen. Bakom många av dem finns – ja just det, den mänskliga faktorn.

10 juni 2019

Vilka är fördelarna med molnmanagerat nätverk?

Molnmanagerat nätverk innebär massor av fördelar jämfört med traditionella lösningar. Har du bytt ut ditt gamla nätverk än?

23 maj 2019

Edge – det här behöver du tänka på för att stå rustad för framtiden

Just nu sker ett skifte för att hitta en bra balans mellan vad som bör läggas i molnet vs lokalt för att på bästa sätt stötta affärsmodeller och företagens behov.

25 april 2019

Cyberbrott kostar mer än naturkatastrofer

Den kraftigt ökande cyberbrottsligheten kostar individer, organisationer och samhället enorma belopp varje år. Undersökningar visar att nordiska företag ofta saknar grundläggande försvar mot dessa attacker.

14 april 2019

Enkla, säkra och prisvärda IT-lösningar för små och medelstora företag

Med färdigpaketerade lösningar som fungerar direkt ur lådan vill HPE, Dustin och Aruba göra det lättare att skapa en smart och säker IT-miljö.

5 april 2019

Dustin designar IT-infrastruktur för vården

PatientSky är en öppen plattform som underlättar livet för vårdgivare och deras kunder, tack vare en robust infrastruktur som garanterar drift- och datasäkerhet.

13 mars 2019