Az árnyék IT az, amit nem látunk vezetőként: random megoldások százai, amik egy-egy kollégának talán segítenek egy konkrét problémát megoldani, de ezzel együtt konkrét veszélybe sodorják a teljes szervezetet. Persze, mindezzel együtt élni drága is, pláne, hogy talán közvetlenül is fizet a vállalat ilyen megoldásokért – de az igazi veszélye nem ebben keresendő…
A shadow IT-t korábban így határoztunk meg röviden:
„Ezzel az ernyőfogalommal azokat az alkalmazásokat és szoftvereket jelöljük, amiket az alkalmazottaink, a céges csapat a céges munkához használ, viszont úgy, hogy arról nincs tudomása a cégnek.”
Kitértünk arra, hogy ez miért problémás a mindennapokban, és arra is, hogy a problémát feloldani hivatott céges policy kidolgozásának hogyan álljunk neki és az mit tartalmazzon nagy vonalakban.
Amiről nem beszéltünk még, az az, hogy pontosan hogyan sodorja végveszélybe a vállalkozást az, ha nem kezdünk semmit az árnyékmegoldások felszámolásával.
Árnyékban élni drága mulatság
A shadow IT eleve nem egy olcsó probléma…
- Miközben egy sor szoftverért fizet a cég, ha a kollégák a saját megoldásaikat használva nem egyszerűen kockázati tényezőket hoznak be, de közben el is pazarlódik az a ráfordítás, amit a saját infrastruktúra kiépítésére különítünk el.
- Eközben egyes csapatok vagy részlegek saját maguk akár fizetős árnyékmegoldásokat hozhatnak be – vagyis lehet, hogy a cég úgy fizet ilyen kockázatos megoldásokért, hogy arról alig tud valaki.
- A kompatibilitás hiánya, a rengeteg különféle szoftver, ami nem tud együttműködni, elpazarolt munkaórák százaihoz vezet, amíg a megfelelő formátumokat keresik a kollégák, importálnak-exportálnak, új és új alkalmazásokat telepítenek.
És ez mind még csak az elhanyagolható veszélyforrások egy része.
Mert ennél sokkal komolyabb veszély fenyeget minden céges rendszert, ahol nincsen komolyan vett és ellenőrzött policy az árnyékmegoldások ellen…
Bizalmas cégadatok a nagyvilágba szórva
Az árnyékmegoldásokkal az az egyik legnagyobb gond, hogy nincs ellenőrzésünk afelett, pontosan milyen környezetben, milyen biztonsági megoldásokkal védve kezelik a céges adatokat.
Ide tartozhatnak teljes ügyféllisták, bizalmas levelezések, számlázási adatok, üzleti tervek, és egy sor olyan nagyon érzékeny adat, amiken szó szerint a vállalat léte áll vagy bukik.
Mindezeket az adatokat nem ritkán kezelik a munkatársak – egészen magas, vezetői szinten is – olyan környezetben, ami egyáltalán nem védett. Személyes mobilon, találomra letöltött klienseken bonyolítva a levelezést, a nyílt wifin használt családi laptopra töltve le céges dokumentumokat. A példák hétköznapiak – és épp ez mutatja, mennyire veszélyesek.
Aztán ott van annak a problematikája, hogy ellenőrizetlen eszközök sora csatlakozhat a céges, belső hálózatra, ki tudja milyen zsarolóprogramokat vagy kémszoftvereket hozva magával. Egyetlen fertőzött laptop, amire egy supportos kolléga kisfia egy hétvégén véletlenül ráfertőzött egy zsarolóprogrammal, a teljes ügyféladatbázist pillanatok alatt lenullázhatja még egy multinál is.
És mi történik, ha valaki elhagyja a szervezetet? A céges laptopot és telefont nyilván leadja – de a privát mobiljára telepített kliensben ugyanúgy viszi magával a levelezést, megy vele minden letöltött dokumentum. A széles védetlen nagyvilágnak hozzáférhetően nyilvános hálókra csatlakozva, vagy épp a konkurenciának, ahol új helyet talál egy kolléga…
A fentieken a policy kidolgozás önmagában még nem segít – a bertatása, különösen, ha IT szakember végzi azt, viszont már igen. Ezért érdemes a problémamegoldást egy átfogó céges audittal indítani. Azután pedig a szakemberrel közösen megoldani a valóban létező problémákat.