Do niedawna Shadow IT było uznawane przede wszystkim za trend, który należy eliminować, jednak w dobie transformacji cyfrowej zaczęło się to zmieniać. Obecnie jest coraz bardziej powszechne. To zjawisko używania w miejscu pracy niezatwierdzonych i nieprzetestowanych przez centralny dział IT programów lub usług uruchamianych na komputerach podłączonych do firmowej sieci. Z jednej strony stwarza to zagrożenia, ale z drugiej strony umożliwia zwiększenie efektywności biznesu, bo pracownicy lub działy firmy wyszukują aplikacje, które pomagają im sprawniej realizować codzienne zadania.

Ostatnio wiele osób z powodu kryzysu związanego z COVID-19 zaczęło pracować zdalnie, często wykorzystując prywatne komputery do komunikacji z firmowymi systemami IT. Pojawiła się potrzeba szybkiego wdrożenia systemów pozwalających na sprawną komunikację i wymianę dokumentów.

Zobacz również:

• 6 trendów wzmacniających rozwój samoobsługowego IT
• Już wkrótce z samochodu będziemy mogli pracować jak z domu

W czasach takiego kryzysu niewiele było czasu na planowanie, testowanie i wdrażanie nowych rozwiązań pozwalających na podtrzymanie działania biznesu w nieprzewidywanej sytuacji i wiele firm zaczęło funkcjonować na zasadzie Shadow IT.

Ciemne strony Shadow IT

Zaletą Shadow IT jest to, że w niektórych przypadkach wdrażanie nowych aplikacji, np. opartych na chmurze usług ułatwiających współpracę, może istotnie zwiększyć wydajność i pozwolić na osiągnięcie celów biznesowych. Ale czasami zwiększa to ryzyko naruszenia danych, zgodności z firmową polityką bezpieczeństwa i prawnymi regulacjami, a także może oznaczać pojawienie się nieprzewidzianych wcześniej kosztów. Dlatego warto też znać związane z tym trendem ryzyka.

Zwiększone ryzyko wycieku danych. Tworząc strategię cyberbezpieczeństwa, należy wiedzieć, jakie dane firma posiada i gdzie są one przechowywane, a Shadow IT to utrudnia. Oprócz tego niektórzy producenci oprogramowania lub dostawcy usług mają odpowiedzialne podejście do aktualizacji i łatania luk wykrytych w ich produktach, starając się reagować najszybciej jak to możliwe. Ale nie wszystkie firmy mają tak rygorystyczne zasady dotyczące problemów związanych z bezpieczeństwem.

A jeśli dział IT odpowiedzialny za bezpieczeństwo nie jest świadomy, jakie aplikacje są używane przez pracowników, nie tylko nie jest w stanie wymuszać niezbędnych aktualizacji, ale również może w znacznym stopniu utracić kontrolę nad danymi, które należą do przedsiębiorstwa i powinny być chronione. Brak kontroli nad oprogramowaniem wdrażanym w firmie oznacza, że dział IT nie jest w stanie rejestrować, kto ma dostęp do firmowych zasobów, i w efekcie stają się one podatne na wszelkiego rodzaju naruszenia i wycieki.

Problemy ze zgodnością i prawnymi regulacjami. W przypadku, gdy pracownicy lub działy firmy kupują aplikacje lub usługi bez akceptacji centralnego działu IT, typowe oceny ryzyka oraz wdrożenie odpowiednich środków ochrony zwykle nie są wykonywane przed ich uruchomieniem. Często prowadzi to do naruszenia istniejących wytycznych dotyczących zgodności z firmową polityką bezpieczeństwa lub regulacjami prawnymi.

Shadow IT naraża firmy na możliwość naruszenia przepisów takich jak RODO, które dotyczą zasad przepływu i przechowywania danych. Gdy pracownicy korzystają z aplikacji Shadow IT, często przechowują dane w nieznanych i nienadzorowanych lokalizacjach.

Ukryte koszty. Według analityków Gartnera, w dużych korporacjach Shadow IT ma udział w całkowitych kosztach IT sięgający nawet 30-40%. Niestety, użytkownicy lub działy firm często kupują rozwiązania podobne do produktów, które są już dostępne w ramach zawartych wcześniej umów korporacyjnych obejmujących całą firmę. Oprócz tego pojawiają się dodatkowe niepotrzebne koszty związane z wdrażaniem i audytem oprogramowania powodującego redundancję już dostępnych funkcji. W efekcie rzeczywisty budżet na wydatki związane z IT rośnie, a ich rozproszenie między różnymi działami firmy często powoduje, że raporty finansowe dotyczące systemów IT stają się mniej jasne i wiarygodne.

Jak ograniczyć ryzyko

W pierwszej kolejności firmy powinny zadbać o dostarczenie pracownikom odpowiednich narzędzi pracy, tak aby nie musieli poszukiwać dodatkowych aplikacji, które lepiej odpowiadają na ich potrzeby.

Warto też zadbać o uproszczenie i przyspieszenie procesów zatwierdzania aplikacji lub usług, o które wnioskują użytkownicy czy działy firmy, bo to zmniejsza tendencję do samodzielnego, niekontrolowanego przez dział IT ich wdrażania. Jeśli jednak jakaś usługa lub aplikacja nie może być zaakceptowana, należy wyjaśnić, dlaczego tak jest, i zaproponować inne rozwiązanie. Trzeba jednak pamiętać, że nadmiar regulacji nierzadko może zablokować dobre pomysły i skutecznie demotywować ludzi do działania. Konieczność zatwierdzania przez dział IT wszystkich wdrażanych aplikacji powinna zostać wpisana do zasad firmowej polityki.

Kolejna sprawa to szkolenia pracowników i podnoszenie ich świadomości. Pracownicy z reguły nie chcą szkodzić organizacji, ale często nie zdają sobie sprawy z zagrożeń i tego, że zainstalowany program może obniżać bezpieczeństwo firmy. Dlatego warto przeprowadzić szkolenia uświadamiające, jakie są zagrożenia związane z wdrażaniem i korzystaniem z rozwiązań niezatwierdzonych i niekontrolowanych przez dział IT.

Należy pamiętać, że eliminacja Shadow IT jest trudna, a nawet niemożliwa. W centralnie zarządzanych komputerach firmowych dość łatwo jest zablokować opcję instalowania oprogramowania, ale trudniej nie dopuścić do korzystania z aplikacji dostępnych w chmurze. A jeśli pracownik używa prywatnych urządzeń, kontrolowanie ich stanu przy nawiązywaniu połączeń z siecią firmową, choć możliwe, wymaga zainstalowania odpowiednich narzędzi.