Stínové IT: Když technologie ve firmě žijí vlastním životem
Ne, v tomto případě se nutně nebavíme o AI nástrojích. Ačkoli je to pravděpodobně první nástroj, který přijde na mysl, když se bavíme o sebe řídících systémech, stínové IT je ještě zákeřnější.
O lidech víme, že jsou velmi křehkou součástí bezpečnostního řetězce. Na co už se ale méně myslí, je vliv zaměstnanců na vybavení firmy. Spousta firem ve svých HR materiálech láká na notebooky a telefony a další hardware. To ale neznamená, že je všechno tak krásné a čisté.
IT, o kterém IT neví
Z bezpečnostního pohledu víme, že firma pracuje na procesech a pak potřebuje spolupráci zaměstnanců, aby všechno bylo v pořádku. Když stejnou myšlenku aplikujeme na vybavení, pak firma poskytuje hardware a software potřebný k práci, ale zaměstnanci na to mohou mít jiný názor.
Ačkoli strategie firmy pro práci s vybavením je dost klíčovou oblastí bezpečnosti, nebývá zaměstnanci úplně doceněna. Nastává tedy situace, kdy se zaměstnanec rozhodne využít vlastní hardware nebo aplikace pro aktivity, za které je zodpovědný.
Definice: zařízení, nástroje a služby, které zaměstnanci používají bez vědomí nebo schválení IT oddělení.
Docela logická reakce. Mám svoji práci, chápu svoji práci lépe, než třeba IT oddělení, takže si dokážu najít ty nejlepší nástroje. Jenže v tu chvíli uniká jeden základní pohled – o čem IT oddělení neví, to nemůže chránit.
Proč vzniká?
Dokážeme najít mnohem logičtější důvody, než že chce zaměstnanec své firmě uškodit. Spíše je důvod přesně opačný – dělat svoji práci efektivně a dobře.
Může se totiž stát, že oficiální seznam, který je schválený interním IT oddělením, nesedí skutečným potřebám zaměstnanců. Ruku na srdce, která firma zvládá držet krok s rychle se měnícím trhem s IT vybavením a nástroji.
Pokud se ale zamyslíme nad tím skutečným důvodem, pak je to nedostatečná komunikace ohledně potřeb zaměstnanců. A to bývá chyba obou stran.
Rizika stínového IT
Mohou být skutečně velká. Bezpečnost už v dnešní době skutečně není legrace, a to na žádné úrovni (osobní ani firemní). Pokud tedy odborníci na bezpečnost ve firmě o některém nástroji neví, otevírá se firma potenciální kyberkatastrofě.
Bezpečnostní hrozba
Na toto riziko narážíme od začátku tohoto článku. Čím jednolitější firemní kyberbezpečnost je, tím bezpečnější její fungování je. To neznamená, že veškeré vybavení je od jednoho poskytovatele.
Jednolitost se projevuje jednotnou správou a dohledem IT oddělení, které má pod palcem každý aspekt fungování. Pak může nastavit strategii, procesy a postupy tak, aby bezpečnostní opatření obepínala firmu jako ochranná vrstva.
Pokud ale zaměstnanec využívá stínového IT, pak do této dokonalé vrstvy dělá díry, které umožňují jednodušší průniky a útoky.
Právní problémy
Útok ale nemusí směřovat pouze na vnitřní fungování. Další nástrahou stínového IT jsou úniky informací. A to je v dnešní době GDPR a dalších regulací velkým problémem.
Tohle je oblast, kde pravděpodobně zaměstnanci úplně nepřemýšlí o následcích, které využívání vlastních nástrojů může přinést. GDPR stále zanechává hořkou pachuť. Když se má stát podkladem pro nepoužívání „potřebného“ IT, není úplně pádným důvodem.
Pokud ale dáme své názory a nechuť stranou, je logické, že aby IT oddělení dokázalo správně ochránit veškerá firemní data, musí vědět, kde jsou a jak jsou používána.
Komplikace pro IT oddělení
Ajťáci mají na starost páteř celé firmy – a jinak už to nikdy nebude. Takže pokud neví o zařízeních a nástrojích, která zaměstnanci používají, nemají přehled o tom, o co se mají starat a co mají chránit.
Navíc je pro ně pak mnohem těžší odhalit jádro problémů, které se objeví, protože zdrojem mohou být právě zaměstnanci využívající stínové IT. Je to pro IT oddělení tak trochu boj s větrnými mlýny, protože i když se snaží na maximum, tak jim vlastně ostatní hází klacky pod nohy.
Zbytečné náklady
V neposlední řadě se pak díváme na náklady, které firma vynakládá na vybavení, které nikdo nepoužívá. Takže kromě IT oddělení to budou i manažeři, kdo nebude úplně šťastný z využívání stínového IT.
Jak se stínovým IT naložit?
Jednou možností je určitě tvrdý zákaz a postihy. Když se nad tím ale zamyslíme, není to úplně to nejlepší řešení. Protože na konci dne je zákaz pouze hromada slov, které se dají ignorovat a obejít.
Mnohem lepším řešením je neignorovat růžového slona v místnosti a otevřeně o stínovém IT ve firmě komunikovat.
Jedním z kroků je nastavení přístupu ke stínovému IT a procesům, které ho ohlídají. Některé firmy využívají BYOD (Bring Your Own Device – přineste vlastní zařízení), takže si musí nastavit, kde jsou hranice tohoto přístupu, aby byla zachována bezpečnost.
Zároveň pak ale také přichází nutnost dělat pravidelné audity, aby se ve firmě nerozběhl nějaký nešvar. A hlavně je potřeba získat na svou stranu zaměstnance samotné. Jejich spolupráce je klíčová.
Do pravidelného vzdělávání a školení zaměstnanců je tak fajn zapojit informace o stínovém IT a postoji, který k němu vedení firmy a IT oddělení mají.
Transparentnost místo zákazů
Reakce „zakázat“ nestačí. Pokud firma stínové IT ignoruje, problém roste. Tak jako u ostatních oblastí bezpečnosti, i u stínového IT je potřeba otevřeně ve firmě komunikovat o rizicích a ideálním přístupu celého týmu. Zákazy mohou fungovat, ale mnohem větší sílu mají osvěta a spolupráce.
Pokud vedení jasně komunikuje důležitost společného postoje ke stínovému IT, zaměstnanci komunikují o svých potřebách a obě strany vzájemně slyší své potřeby, pak má firma skvěle nakročeno k tomu, aby si stínové IT nezačalo žít vlastním životem.
