Shadow IT – En säkerhetsrisk eller en möjlighet?

Shadow IT avser IT-lösningar och IT-tjänster som nyttjas  inom organisationen, och som sker utanför IT-avdelningens vetskap och kontroll. Exempel på applikationer är olika typer av fildelningsprogram, verktyg för samarbete och kommunikation, samt diverse sociala medier konton etc.

Den snabba ökningen av Shadow IT beror bl.a. på tillgången till bra och enkla molntjänster, som ofta är mycket kostnadseffektiva, och eller gratis. En annan vanlig orsak kan också vara att IT-avdelningen inte hänger med i utvecklingen, och därför inte kan tillgodose användarnas behov på ett bra och snabbt sätt.

Utifrån många hänseenden så bidrar Shadow IT till att göra företagen mer konkurrenskraftiga och de anställda mer produktiva. Innovationen och kreativiteten bubblar underifrån, och utvecklingen drivs snabbare framåt, vilket är positivt. Men allt detta har också en baksida.

Shadow IT utgör en stor säkerhetsrisk för företagen då dessa riskerar att tappa kontrollen över affärskritiska data och applikationer, samt ökar risken för attacker och intrång.

Scenario 1 – Dropbox och liknande tjänster

En nyuppsatt projektgrupp bestående av 3 interna och 3 externa projektmedlemmar behöver en projektyta där de kan dela filer och anteckningar. Företagets interna lösning med lokal filserver och åtkomst med VPN blir då för krånglig att använda, plus att IT-avdelningen ej vill släppa in externa projektmedlemmar in i företagets IT-miljö.

Projektledaren rundar då IT avdelningen ”på ett kreativt sätt”, och sätter upp ett eget Dropbox-konto med sin privata hotmailadress. Och detta sker då helt utanför IT-avdelningens kontroll.

Risk: Företaget har ej kontroll på var sina data befinner sig, och riskerar att förlora affärskritiskt data om tex den anställde projektledaren slutar på företaget. I värsta fall skulle detta kunna röra värdefull data och viktig projektinformation som 6 personer arbetat med under flera månaders tid.

Lösning: Den bästa lösningen är självklart om företaget kan erbjuda en alternativ lösning för samma behov. Tex en projekt- och fildelningsyta i Office 365 Groups eller SharePoint Online. En annan lösning skulle kunna vara att IT-avdelningen tillåter Dropbox om dessa konton kontrolleras och styrs ifrån IT-avdelningen via Office 365 eller liknande tjänst.

Scenario 2 – Facebook och Sociala medier

Marknadsavdelningen har fått i uppgift att starta upp en ny Facebook-sida. En anställd fixar detta på ett snabbt och kreativt sätt genom att skapa en företagssida från sitt eget privata Facebook-konto. Alternativt skapar upp ett nytt admin-konto med hjälp av sin privata Hotmail-adress (som bara denne har tillgång till).

Och detta sker då helt utanför IT-avdelningens kontroll.

Sidan på Facebook blir snabbt framgångsrik, och inom 6 månader har denna 55 000 följare. Sidan har därmed snabbt blivit en viktig del av företagets varumärke och kommunikation med kunder.

Risk: Om personen som är ägare till Facebook-kontot slutar på företaget riskerar man då att tappa en hel Facebook-sida.

Lösning: Skapa upp en admin användare från en av företagets officiella e-post adresser (tex it@foretaget.se). Koppla sedan detta konto till företagets centrala kontohantering i Office 365 (Azure Ad), eller motsvarande. Därifrån kan då IT-avdelningen sedan enkelt styra vilka personer som ska kunna administrera och förfoga över företagets Facebook-sida.

Scenario 3 – Externa e-postkonton

I privat eller okänt annat syfte nyttjar den anställde externa e-postkonton (såsom Hotmail och liknande lösningar) inom företagets nätverk. Dessa e-postkonton saknar ofta vettiga skydd mot virus, Ransomware och liknande typer av hot.

Risk: Användaren klickar på en smittad fil eller länk i ett mail och drar in Ransomware i nätverket. Dvs filerna på dennes dator krypteras, och viruset sprider sig vidare och krypterar servern och eventuellt andra enheter i nätverket. Företaget riskerar då att förlora affärskritisk data.

Lösning: Tydliggör för de anställda att inom företagets nätverk får endast företagets officiella e-post nyttjas (om så är beslutat). Företagets officiella e-post är oftast av Enterprise-karaktär, är säker och erbjuder ofta ett bra skydd mot avancerade hot (Ransomware etc). Man kan dock aldrig gardera sig till 100 % mot fenomenet, men med bra information till användare, i kombination med en formell IT-policy så är man en bra bit på vägen.

Hur bör vi förhålla oss till Shadow IT?

Istället för att se Shadow IT som ett hot, ser vi det som en möjlighet att identifiera användarnas behov och försöka identifiera de program som används. Och istället erbjuda säkra Enterprise produkter och lösningar för samma ändamål.

Vi på Atrox IT-avdelning ser det som positivt att användarna söker lösningar på problem och nyttjar modern teknik, i syfte att bli mer produktiva, sälja mer och jobba smartare. Och vi tror på en IT-avdelning som alltid ligger ett steg före i utvecklingen, och ser som sin huvuduppgift att tillgodose användarnas behov. Därför bör den moderna IT-avdelningen gå från “blockera eller tillåta” till “hantera och övervaka”.

Det finns många bra programvaror som kan scanna av nätverket och användarnas beteende som identifierar alla dessa ej tillåtna eller okända applikationer. En av dessa är “Microsoft Cloud App Discovery” och ingår i Azure AD Premium. Här finns även möjlighet att samla upp och kontrollera företagets alla inloggningar som ofta utgör en stor del av problemet med Shadow IT.

För att bolla ovan punkter ta gärna kontakt med mig.

/Fredrik Nyberg

08-51 80 41 02

Fredrik.nyberg@atrox.se

Var tipsen till nytta?

Ta del av tips, nyheter och guider på mail. Våra prenumeranter får även tillgång till samtliga guider i Atrox supportportal!

Vi levererar moderna IT-lösningar till flera av Sveriges snabbast växande företag Våra kunder
Microsoft Partner