Hvad er Shadow IT og hvad går det ud på?

9 min read Skrevet af
Lær, hvorfor Shadow IT udgør en risiko for alle virksomheder. Få kontrol over de skjulte skygger i din IT-infrastruktur og beskyt dine data mod uventede trusler.
featured-image
Hvad er Shadow IT og hvad går det ud på?| Pleo Blog
13:34
Styrken ved bedre forretningsbeslutninger
H2_Report_Prismic_01 DK
Dugfriske data fra 2.650 økonomiske beslutningstagere i Europa

Har du nogensinde opdaget et mystisk abonnement på firmakortet eller snakket med en kollega, der “lige har installeret” et smart værktøj uden at spørge først? Så har du mødt Shadow IT. 

Kort fortalt er Shadow IT alle de apps, tjenester og systemer, som medarbejdere tager i brug uden om IT og uden for de officielle procedurer.

Hvorfor sker det? Fordi folk vil løse deres arbejde hurtigt. De finder et værktøj, der virker, og går i gang. Problemet er, at de gode intentioner kan give dårlige konsekvenser: datalæk, uklare rettigheder, dobbelte betalinger og rod i rapporterne. Og det helt store problem for dig er, at du ikke kan styre det, du ikke kan se.

I denne artikel pakker vi begrebet ud i øjenhøjde. Du får konkrete eksempler på Shadow IT i hverdagen, de vigtigste risici (både økonomiske og sikkerhedsmæssige) og de typiske årsager til, at det opstår. Vi viser også, hvordan du spotter det, og vigtigst, hvordan du får styr på det uden at kvæle innovationen.

  • Shadow IT er de apps og tjenester brugt til arbejde, som sker uden IT’s viden – og ja, det sker langt oftere, end man tror.
  • Shadow IT koster dyrt i form af skjulte licenser, manglende kontrol og compliance, højere sikkerhedsrisiko og spildtid, når data ligger spredt i forskellige systemer.
  • Shadow IT opstår typisk pga. tidspres, træge eller upraktiske officielle værktøjer, uklare regler, lange godkendelser og remote teams, der “finder en hurtig løsning”.

Hvad er Shadow IT?

Helt enkelt fortalt er Shadow IT enhver form for IT-hardware eller software, som medarbejdere bruger til deres arbejde, uden at IT- eller ledelsesafdelingen har godkendt, overvåget eller ensrettet det. 

Selvom det måske lyder harmløst, er Shadow IT et enormt problem for sikkerheden, budgetterne og compliance.

Og ja, det sker oftere end du tror.

Her er de mest almindelige eksempler på Shadow IT:

  • Cloud storage: Medarbejdere tilmelder sig Dropbox, Google Drive eller OneDrive, fordi de har brug for at dele filer hurtigt, selvom I måske allerede betaler for en virksomhedsløsning.

  • Kommunikationsværktøjer: Teams downloader Slack, Zoom eller Discord, fordi "det bare virker bedre til vores projekt" uden at tjekke om I allerede har licenser til Microsoft Teams.

  • Projektværktøjer: Nogen starter et Trello-board, et Asana-workspace eller en Monday.com-prøveperiode, fordi Excel føles gammeldags. Pludselig har I fem forskellige projektværktøjer på tværs af virksomheden.

  • AI-værktøjer: ChatGPT Plus, Midjourney, Jasper – folk tilmelder sig for at "teste" dem og glemmer at sige det til nogen. Eller værre: De uploader følsomme virksomhedsdata til værktøjer ingen har godkendt.

Selvom intentionen typisk er velmenende – folk prøver jo bare at være mere produktive – er det kritisk, fordi du mister kontrollen. Du ved ikke, hvilke data der ligger hvor, og du har ingen idé om, hvem der har adgang til hvad, når en medarbejder forlader virksomheden.

Det er kort sagt en sikker opskrift på problemer.

Hvad er konsekvenserne af Shadow IT?

Shadow IT er ikke bare et lille irritationsmoment for IT-afdelingen. Det er en reel trussel mod din virksomhed, som kan ende med at koste dyrt – både i kroner og øre, men også i tabte kundedata.

Lad os starte med det, der får CFO'er til at vågne op dække i sved midt om natten.

  • De økonomiske konsekvenser: Research fra Cisco viser noget ret vanvittigt. Den gennemsnitlige virksomhed tror, at de bruger 91 cloudprogrammer. Men når Cisco faktisk måler på deres netværk, viser det sig at tallet er 1.220 programmer. Det er ikke en lille fejlmargin. Det er en faktor 13. Samtidig viser studier fra Gartner, at Shadow IT typisk står for 30-40 % af IT-udgifterne i store virksomheder. Hvis dit IT-budget er på 10 millioner om året, betyder det at 3-4 millioner går til værktøjer, som ingen har godkendt eller har overblik over. Lad lige det bundfælde sig.

  • Sikkerhedsrisikoen: Når teams selv køber apps udenom IT, mister du kontrol over data, adgangsstyring og logning. Det øger sandsynligheden for læk, brud på persondataregler og et mangelfuldt revisionsspor. Hvorfor? Fordi disse værktøjer ikke er godkendt af din IT-afdeling. De har ikke to-faktor godkendelse sat op ordentligt. De gemmer måske data i lande uden ordentlig databeskyttelse. Og når der sker et databrud, opdages det måske først måneder senere, fordi ingen vidste, at værktøjet eksisterede. Det anslås, at næsten halvdelen af alle cyberangreb stammer fra Shadow IT, og omkostningerne ved at fikse dem er i gennemsnit over 4,2 millioner dollars ifølge IBM.

Læs mere: IT-sikkerhed: dit værn mod cyberkriminelle

  • Kontroltabet: Her kommer endnu et skræmmende tal fra Ciscos undersøgelser: 80% af slutbrugere bruger software, der ikke er godkendt af IT. Og 83% af IT-personale indrømmer selv at bruge ikke-godkendte services. Det betyder, at selv dine IT-folk – de mennesker der burde vide bedre – går uden om systemerne. Værre endnu: Kun 8% af alle virksomheder kender faktisk omfanget af Shadow IT i deres organisation. Da du ikke kan beskytte det, du ikke ved eksisterer, efterlader det dig utroligt sårbar over for de sikkerhedsbrud der kan komme.

  • Produktivitetstab: Ironisk nok – selvom folk typisk vælger Shadow IT for at være mere produktive – ender det ofte med at koste på produktiviteten. Når tre teams bruger tre forskellige projektværktøjer, skal de bruge tid på at synkronisere information mellem systemerne. Når data ligger spredt på tværs af et hav af forskellige cloud services, bruger folk timer på at lede efter den fil, de har brug for.

Bundlinjen er, at selvom Shadow IT for medarbejderen føles som en hurtig og effektiv genvej, kommer regningen i form af risiko, spild og friktion. Tallene fra Cisco og Gartner viser, at omfanget typisk er større, end du tror i dag, og større igen i morgen

Hvorfor og hvordan opstår Shadow IT?

Så hvorfor sker det egentlig, at medarbejdere går uden om de godkendte systemer?

Det er vigtigt at understrege, at Shadow IT typisk ikke opstår, fordi medarbejdere ønsker at bryde reglerne, men fordi de forsøger at være effektive og løse deres opgaver bedst muligt.

De ser det som en måde at optimere deres arbejde på, uden at være klar over de potentielle risici for virksomheden.

Lad os dykke ned i nogle af de mest almindelige årsager til, at Shadow IT opstår:

  • Behov for hurtige løsninger: Tiden er knap, og opgaverne skal løses her og nu. Hvis en medarbejder står med en udfordring, der kræver et specifikt værktøj, og det ikke er tilgængeligt gennem de officielle kanaler, kan det virke nemmere bare at finde noget online og komme videre.

    For eksempel kan en projektleder have brug for et særligt planlægningsværktøj, som virksomheden ikke tilbyder. Så de downloader en app for at holde styr på deadlines og opgaver.

  • Manglende kendskab til eksisterende værktøjer: Nogle gange ved medarbejdere simpelthen ikke, hvilke apps og tjenester virksomheden allerede har godkendt. Måske er det ikke blevet klart kommunikeret, hvilke værktøjer der er til rådighed, eller også er onboarding-processen ikke grundig nok. Det kan føre til, at folk bruger tid på at finde deres egne løsninger, fordi de ikke er klar over, at der allerede findes et godkendt værktøj, der kan hjælpe dem.

  • Utilfredshed med nuværende systemer: Hvis de officielle værktøjer er langsomme, besværlige eller ikke opfylder medarbejdernes behov, kan de blive fristet til at finde noget, der fungerer bedre. For eksempel kan et internt kommunikationsværktøj mangle funktioner som fildeling eller gruppechat, hvilket får teamet til at skifte til en anden app, der tilbyder disse muligheder.

  • Ønske om at være innovative: Medarbejdere, især dem der er teknologisk interesserede, elsker at prøve nye ting. De kan støde på et nyt værktøj eller en app, der lover at gøre arbejdet lettere eller mere effektivt, og uden at tænke over det begynder de at bruge det i deres daglige arbejde. Deres intention er ofte at forbedre processer, men uden godkendelse kan det skabe problemer.

  • Manglende IT-politikker eller fleksibilitet: Hvis virksomheden ikke har klare retningslinjer for, hvilke værktøjer der må bruges, eller hvis det er besværligt at få nye værktøjer godkendt, kan medarbejdere føle sig nødsaget til at tage sagen i egen hånd. Lange godkendelsesprocesser kan virke som en hindring i en travl hverdag, hvor tingene skal gå hurtigt.

  • Remote work og spredte teams: Med flere medarbejdere, der arbejder hjemmefra eller fra forskellige lokationer, kan det være sværere at holde styr på, hvilke værktøjer der bruges. Fjernarbejde kan øge behovet for fleksible og tilgængelige løsninger, og uden direkte kontakt med IT-afdelingen kan medarbejdere vælge det første og bedste værktøj, de finder.

  • Pres fra deadlines og kunder: Når der er travlt, og deadlines presser på, kan overholdelse af IT-politikker komme i anden række. Medarbejdere tænker måske, at det vigtigste er at få opgaven løst, og at de kan tage formaliteterne bagefter.

  • Personlige præferencer: Nogle medarbejdere har stærke præferencer for bestemte værktøjer, som de har gode erfaringer med fra tidligere jobs eller privat brug. De føler sig mere produktive med disse værktøjer og vælger derfor at bruge dem, selvom de ikke er godkendt af virksomheden.

Det er vigtigt at forstå disse årsager, så din virksomhed kan tage proaktive skridt til at imødekomme medarbejdernes behov på en sikker og kontrolleret måde.

Læs mere: Sådan udvikler du en effektiv IT-strategi

Sådan spotter du Shadow IT i din virksomhed

Det er umuligt at sikre sig mod noget, du ikke ved eksisterer. Den største udfordring ved Shadow IT er jo netop, at det gemmer sig. Du kan ikke bare tjekke serveren og få overblik. Du er nødt til at være proaktiv og lede efter de tydelige tegn på, at dine medarbejdere har fundet deres egne, uautoriserede løsninger.

Her er de tre største advarselslamper, du skal kigge efter.

1. Mærkelige transaktioner på firmakortet: Det er ofte den nemmeste og hurtigste måde at finde Shadow IT på. Kig på de tilbagevendende månedlige udgifter. Ser du abonnementer, som du ikke kan genkende, skal dine alarmklokker begynde at ringe.

2. Dårligt dataflow: Når Shadow IT eksisterer i din virksomhed, får du problemer med dataflowet. Så hvis dine medarbejdere begynder at brokke sig over, at de konstant skal copy-paste data mellem systemer, eller at de ikke kan trække samlede rapporter, er det et rødt flag.

3. Medarbejdere tøver med at bruge officielle systemer: Hvis dine medarbejdere konsekvent undgår at bruge de godkendte CRM- eller projektstyringsværktøjer, er det et stærkt signal om, at de har fundet en bedre, uofficiel løsning. Spørg dem direkte, hvorfor de foretrækker den anden løsning, og du finder hurtigt ud af, hvilke ukendte apps der er i spil.

Sådan får du styr på Shadow IT

Du fjerner ikke Shadow IT med en mail og et “stop så”. Du erstatter det med noget bedre: gennemsigtighed, simple regler og gode, godkendte alternativer. 

Her er en konkret plan, der virker i praksis.

  1. Som noget af det første bør du prøve at skabe en åben dialog omkring brugen af teknologi i virksomheden. Fortæl dine medarbejdere om de potentielle risici ved at bruge uautoriserede apps og tjenester. Når folk forstår konsekvenserne, er de mere tilbøjelige til at følge retningslinjerne. Du kan f.eks. holde workshops, hvor du gennemgår virksomhedens IT-politikker og diskuterer alternative løsninger.

  2. Ofte bruger medarbejdere uautoriserede apps, fordi det er besværligt eller tidskrævende at få nye værktøjer godkendt. Derfor bør du prøve at gøre det nemmere at få godkendt nye værktøjer. Ved at strømline processen og gøre det lettere at anmode om og implementere nye løsninger kan du reducere behovet for at gå uden om systemet. Overvej at oprette en intern portal, hvor medarbejdere kan foreslå nye værktøjer og få hurtig feedback fra IT-afdelingen.

  3. Sørg for, at din IT-politik er klar, opdateret og let at forstå. Retningslinjerne bør ikke kun fokusere på, hvad man ikke må, men også guide medarbejdere i, hvordan de kan få adgang til de værktøjer, de har brug for. Gør det tydeligt, hvilke konsekvenser der er ved at bryde politikken, men vær også åben for at justere den, så den passer til virksomhedens udvikling.

  4. Du bør også fokusere på at skabe en kultur baseret på tillid og samarbejde. Når folk oplever, at deres input værdsættes, er de mere tilbøjelige til at følge retningslinjerne og samarbejde om at finde de bedste løsninger. Efterspørg feedback og gør det til en del af virksomhedens kultur at diskutere teknologi og arbejdsprocesser åbent.

  5. Sidst, men ikke mindst, er det vigtigt med regelmæssige gennemgange og opfølgninger. Shadow IT er ikke noget, man løser én gang for alle – det kræver løbende opmærksomhed. Planlæg regelmæssige gennemgange for at sikre, at retningslinjerne overholdes, og at værktøjerne stadig lever op til medarbejdernes behov.

Husk, at målet ikke er at begrænse medarbejderne, men at støtte dem i at udføre deres arbejde bedst muligt, uden at gå på kompromis med sikkerheden.

 

Gå ikke glip af en artikel

Tilmeld dig i dag, så du kan modtage spændende opdateringer og de seneste nyheder fra Pleo.