Shadow IT – vad är det och hur skyddar man sig?

Hela 90 % av företagen har idag medvetet valt att använda någon form av molntjänst. Web hosting, CRM-system och inte minst backup och Disaster Recovery är bland de populäraste molntjänsterna som företag använder sig av.

Det visar sig emellertid att företag som inte vill använda molntjänster ändå till slut sprider delar av sin företagsinformation till molntjänster via ett fenomen som kallas Shadow IT.

Shadow IT eller Shadow Cloud är en benämning på IT-projekt som hanteras utanför företagets IT-avdelning eller utan att IT-avdelningen vet vad som händer. Även den mest rutinerade IT-avdelning har svårt att hela tiden ha kontroll över vad de anställda gör. Shadow IT uppstår vanligtvis inte på grund av hackare eller illasinnade angrepp på företaget. Det är företagets anställda som skapar molnet, ofta helt omedvetet.

Hur går det till?

Vi är idag omgivna av ett otal tekniska hjälpmedel som alla kan kopplas till en molntjänst. Det gäller till exempel e-post, dokument, filer, musik, datorer, surfplattor, programvara och mobiltelefon.

Teknologin för molntjänster har blivit så tillgänglig, så enkel och av så hög kvalitet att det nästan är svårt att undvika att skicka data till molnet. Många av oss har säkert varit med om att skicka data till en molntjänst även om det varit oavsiktligt.

Har du till exempel upplevt att bilder från telefonen dyker upp på din arbetsdator utan att du vet hur det gick till? Att ladda mobilen via jobbdatorn och att klicka bort en dialogruta på mobilskärmen är allt som behövs. Eller har du klickat på moln-knappen som har dykt upp i snabbmenyn till PDF-dokument? Gissa var destinationen för ditt dokument är då?

De flesta av oss har ett privat mailkonto hos någon av de stora leverantörerna, till exempel Google. Öppnar du ett jobbdokument och sparar det där, så ligger det lagrat i Google Drives molntjänst. Köper du en Apple iPhone måste du skapa ett iCloud-konto för att använda telefonen. Alla dina bilder kopieras automatiskt till molnet, om det inte är fullt. Om du tar en bild av ett jobbdokument ligger det både i din telefon och hos Apple.

Vem skapar Shadow IT?

Det visar sig att det är två grupper av anställda som särskilt ofta lägger upp data i oauktoriserade nätmoln:

  • Den ena gruppen är de ivrigaste och mest motiverade arbetstagarna. Den gruppen jobbar ofta utanför kontoret och utanför normal arbetstid. De har ofta inte tålamod att vänta när det blir problem med uppkopplingen till företagets system, och då hamnar gärna arbetstagarens information ett externt moln.
  • Den andra gruppen är paradoxalt nog anställda på IT-avdelningen eller andra anställda med goda IT-kunskaper. Den gruppen är så tekniskt uppdaterad att de känner till eller har skaffat sig alternativa konton för molnlagring. De är snabba med att börja använda ny teknik, och på det sätt blir de syndare.

Detta har gjort det viktigare än någonsin att se till att ens anställda är nöjda med företagets IT-lösning. Annars är risken stor att de anställda snabbt vänder sig till en oauktoriserad tjänst så fort de inte tycker företagets lösning är bra, eller snabb, nog.

Shadow IT är ett fenomen blir allt större. I en undersökning av McAfee rapporterade 80 % av respondenterna (IT-anställda och IT-chefer) att de hade använt sig av molnlagringstjänster som inte var godkända av IT-avdelningen.

Riskerna med Shadow IT

Det säger sig självt att omfattande användning av Shadow IT är en säkerhetsrisk för företaget. För det första är det väldigt svårt att identifiera omfånget av data på avvägar samt vilken information som är lagrad i främmande moln. Konsekvenser av lagring i okända molntjänster kan vara dataförlust, hantering av konfidentiella data i strid med lagar och regler som GDPR samt förlust av företagshemligheter och företags immateriella rättigheter. Med strängare regler för hantering av personuppgifter i EU kan böter för brott mot datasäkerheten uppgå till fyra procent av ett företags bruttoomsättning.

Vilka åtgärder mot Shadow IT bör IT-avdelningen vidta?

Det är viktigt att komma ihåg att företagen själva står i första försvarslinjen när det gäller datasäkerhet. De bör ha en klar policy för vilka molntjänster de verkligen ska använda och se till att leverantören uppfyller alla krav på datasäkerhet. IT-avdelningen bör också bygga upp en intern säkerhetskultur som gör de anställda medvetna om var de lagrar sina data. Men glöm inte att det måste vara tjänster som medarbetarna vill använda för annars riskerar ni att detta blir tomma policys och att de anställa ändå använder sig av icke godkända tjänster.

Just denna balans är något vi jobbat extremt mycket med i vår tjänst Modern Workplace som levererar en helhetslösning för att medarbetare ska kunna jobba smidigt var de än är, på vilken enhet somhelst, men samtidigt göra detta på ett säkert sätt som efterlever företagets säkerhetspolicys.

Om val av molnleverantör och säkerhet

När ditt företag ska välja molnleverantör är det en mängd överväganden som ska göras. Några viktiga punkter att tänka på när det gäller informationssäkerhet:

  • Var lagras dina data fysiskt? Lagras de i lokalt eller i utlandet? Det har konsekvenser för om det är lokal eller utländsk lag som gäller för utlämnande av konfidentiella data.
  • Nationaliteten på företaget som hanterar dina data. Vilka lagar måste molnleverantören följa? Amerikanska, europeiska eller lokala bestämmelser? Enligt den nya europeiska dataskyddslagen som trädde i kraft i maj 2018 ställs det strängare krav på hantering av personuppgifter för svenska företag. En potentiell molnleverantör ska kunna visa upp att kraven efterföljs.
  • I vilken grad kan leverantören visa upp rutiner och kultur för informationssäkerhet? Vilka slags processer har de infört för att trygga ditt företags data? Är de certifierade inom informationssäkerhet, till exempel med en ISO 27001-certifiering?

I vissa fall kan det faktiskt vara bättre och enklare att välja en molnleverantör än att skapa sin egna säkerhetslösning. Det beror på att professionella molnleverantörer är beroende av compliance, efterlevnad av regelverket för att vara en seriös aktör på marknaden.

Vill du veta mer hur Modern Workplace kan skydda dig mot Shadow IT?

Just nu erbjuder vi en workshop där vi kommer ut till ditt företag och berättar mer om tjänsten. Den innefattar strategiska och tekniska diskussioner och efteråt får du ett konkret förslag på en helhetslösning skräddarsydd för ditt företag. En första workshop är kostnadsfri och tar ca 1-2 timmar.

Läs mer om Modern Workplace här eller anmäl ditt intresse för workshop direkt så hör vi av oss!

2 september 2019

Det här stör vi oss på mest när det gäller IT-säkerhet

Din IT-säkerhet är inte bättre än människorna som ska arbeta i den. “På vissa företag är det här en horror show.”

Så naiva är vi när det kommer till IT-säkerhet

Skillnaden mellan vad vi investerar i IT-säkerhet och de faktiska kostnaderna går att mäta i miljarder, och gapet bara växer.

Etisk hackning är viktigare än någonsin

Ditt IT-system har förmodligen minst en okänd bakdörr öppen för hackare. Det bästa sättet att hitta den innan det är för sent? Fråga hackarna själva.

Klienthantering – Viktig del av IT-säkerheten

Allt fler uppkopplade enheter som används både privat och i jobbet tvingar företagen att modernisera klienthanteringen. Annars riskerar man att IT-säkerheten blir lidande.

Så lägger du grunden till företagets IT-säkerhetsarbete

IT-säkerhetshoten blir allt fler när cyberbrottslingarna professionaliseras. Idag är frågan inte om ditt företag kommer att drabbas, utan när. Vi guidar dig till både tekniken och principerna bakom ett modernt IT-säkerhetssystem.

Guide: Så säkrar du upp företagets mobiltelefoner

Mobiltelefonen är ett minst lika vanligt arbetsredskap som datorn för de flesta. I den här guiden går vi igenom hur du ska göra för att inte telefonen ska bli den svaga länken i IT-säkerhetskedjan.

Få förtur till Black Friday