Cloud-teknikens framväxt har gjort det lättare för IT-slutanvändare att kringgå traditionella procedurer för IT-anskaffning och få tillgång till de verktyg de behöver för sitt arbete. IT-övervakning och strikta standarder för styrning utvecklas vanligtvis med företagets säkerhet i åtanke, snarare än utifrån de enskilda användarnas behov. Som ett resultat har "Shadow IT" blivit en strategi för att få tillgång till nödvändiga IT-lösningar utanför den officiella IT-avdelningens kontroll. I den här artikeln går vi igenom allt du behöver veta om shadow IT.
Vad är shadow IT?
‘Shadow IT’ är när anställda använder programvara, hårdvara eller andra system och tjänster inom en organisation utan att IT-avdelningen har godkänt det – eller ens känner till det.
Till skillnad från den vanliga IT-infrastrukturen, som är noggrant övervakad och hanterad av organisationen, så flyger shadow IT lite under radarn.
Shadow IT kan smyga sig in i organisationen på olika sätt, men oftast enligt följande:
- Någon använder ett icke-godkänt verktyg för att komma åt, lagra eller dela företagsdata. Ett exempel är att en organisation bara har godkänt Google Workspace för fildelning, men en anställd bestämmer sig för att använda Microsoft 365 istället.
- Någon använder ett godkänt verktyg på ett otillåtet sätt. Till exempel, om IT-avdelningen har godkänt Google Workspace via företagskontrollerade konton, kan en anställd ändå välja att använda ett personligt Google-konto istället.
Oavsett om det är avsiktligt eller inte, kan shadow IT orsaka stora problem. Det ökar risken för dataintrång, stöld och andra cyberattacker, samtidigt som det försvårar IT-avdelningens arbete att skydda organisationen och minimera skadorna.
Varför använder sig anställda av shadow IT?
Med tanke på alla säkerhetsrisker som shadow IT medför, kan det verka konstigt att anställda ändå väljer att kringgå IT-godkännande när de testar nya verktyg. Men det finns några anledningar till varför de gör det:
- För det första kanske anställda inte ens är medvetna om de säkerhetsrisker som shadow IT innebär. De försöker inte medvetet undvika IT-avdelningens kontroller, utan vet helt enkelt inte att deras val kan utsätta känslig företagsdata för risk och öka risken för dataintrång och attacker.
- För det andra är anställda ofta mer fokuserade på fördelarna med att använda de verktyg de själva gillar, även om de inte är godkända. De bästa verktygen för jobbet är inte alltid de som IT-avdelningen har stämplat som säkra. Det här gör att företag ibland tar in extra tjänster som hjälper dem att nå målen snabbare, samarbeta bättre eller få ett försprång på marknaden.
- Slutligen finns det ett fåtal som använder icke-godkända verktyg för skadliga ändamål.
De flesta fall av shadow IT handlar inte om illvilja. Däremot förekommer det att anställda väljer att använda osanktionerade applikationer för att stjäla data, komma åt konfidentiell information eller skapa andra risker för företaget.
Vad är risken med shadow IT?
Även om shadow IT kan göra livet lite enklare för vissa anställda, väger nackdelarna tyngre än fördelarna. Om IT-teamet inte har koll på vilka verktyg och tjänster som används inom organisationen, kan de lätt missa hur utbrett shadow IT faktiskt är — och ha noll koll på hur företagsdata hanteras, lagras och delas.
Shadow IT gör också att IT-teamet tappar greppet om datahantering.
När anställda använder icke-godkända tjänster eller godkända tjänster på otillåtna sätt, kan de hantera och flytta känslig data utan att IT-avdelningen ens märker det.
Som ett resultat av denna brist på insyn och kontroll kan shadow IT skapa ytterligare risker, inklusive följande:
Känslig data kan hamna i fel händer eller bli stulen. Hackare kan dra nytta av misstag och svagheter i molnbaserade tjänster, vilket kan leda till dataintrång och andra cyberattacker. Dessa attacker kan ske utan att IT-avdelningen ens märker det. Särskilt om de riktar in sig på osanktionerade och kanske inte helt säkra appar och verktyg. Och det är inte billigt att hantera sådana attacker: enligt en studie från 2020 uppskattade IBM att dataintrång orsakade av fel i molnet kostade i snitt 4,41 miljoner dollar.
Företag kan också råka bryta mot dataskyddslagar utan att veta om det. För de som måste följa regler som GDPR är det superviktigt att kunna spåra och kontrollera hur data hanteras och delas. Om anställda använder obehöriga verktyg för att hantera känslig data kan de oavsiktligt sätta företaget i en situation där de bryter mot lagarna, vilket kan leda till rejäla böter och andra påföljder.
Hur kan organisationer upptäcka och åtgärda shadow IT?
Det finns några smarta sätt som IT-teamet kan ta till för att hålla shadow IT i schack:
Upptäcka shadow IT: Använd ett verktyg som hjälper IT-teamet att hitta och analysera alla system och tjänster som anställda använder – både de godkända och de som smugit sig in utan tillstånd. Därefter kan de bestämma vilka som ska tillåtas, begränsas eller blockeras.
Använd en Cloud-access security broker (CASB): En CASB är som en skyddande sköld för Cloud-baserade appar och tjänster, med allt från upptäckt av shadow IT till åtkomstkontroll, dataskydd (DLP), webbläsarskydd och mer.
Utbilda anställda om riskhantering: Många anställda vet kanske inte vilka säkerhetsrisker som kommer med shadow IT. Genom att lära sig best praxis – som att undvika personliga e-postadresser för företagsärenden, rapportera användning av osanktionerad hårdvara och programvara, och anmäla dataintrång – kan man minska risken för dataförlust eller stöld.
Prata med anställda om vilka verktyg de behöver: Anställda har ofta koll på vilka verktyg som funkar bäst för deras jobb, men tvekar ibland på om de ska be IT-avdelningen om godkännande på grund av budget eller andra skäl. Genom att öppna upp för de här samtalen och skapa en "ingen skuld"-kultur (för de som redan använt shadow IT) kan man skapa en tryggare och mer öppen arbetsmiljö.
Exempel på Shadow IT
Icke-godkänd programvara och tjänster från tredje part är några av de vanligaste exemplen på shadow IT. Här är några fler exempel:
- Produktivitetsappar som Trello och Asana.
- Molntjänster och dokumenthanteringsprogram som Dropbox, Google Docs, Google Drive och Microsoft OneDrive.
- Kommunikationsverktyg och appar som Skype, Slack, WhatsApp, Zoom, Signal och Telegram, samt personliga e-postkonton.
Anställda tycker ofta om att använda de här tjänsterna eftersom de är enkla, ofta gratis och billiga. De tar med sig de appar de använder hemma till jobbet. Det händer även att kunder och partners eller tjänsteleverantörer kan använda vissa verktyg, såsom produktivitetsappar för projektarbete.
Shadow IT dyker även upp via anställdas smartphones, bärbara datorer och lagringsenheter som USB-minnen och externa hårddiskar. Med ett BYOD-program (Bring Your Own Device) kan anställda använda sina egna enheter för att komma åt, lagra eller överföra företagsdata, både på distans och på kontoret. Traditionella system för tillgångshantering har ofta svårt att hålla koll på och hantera dessa enheter.
