Når det kommer til cybersikkerhed, er IT-afdelingerne ofte involveret, da det er deres ekspertise med IT. De ved, hvilke programmer vi har på vores enheder, og hvilke hjemmesider vi tilgår i forbindelse med vores arbejde - eller gør de?
Det IT-afdelingen ikke ved
Shadow IT er begrebet, der indbefatter IT-afdelingens manglende kendskab om en medarbejders brug af software, hardware og hjemmesider - endvidere uden IT-afdelingens godkendelse af brugen disse.
Det kan være alt fra at dele filer mellem cloud-lagre, online-møder på platforme jeres virksomhed ikke benytter, eller oprettelse af en Slack-gruppe uden IT’s godkendelse. Alt sammen virker måske harmløst, men det går under shadow IT-begrebet, da IT-afdelingen ikke er blevet gjort opmærksom på brugen.
Selvom det kan lyde som et sted hvor hackere befinder sig, så er shadow IT ikke forbundet med hacking og malware - det er udelukkende den ikke-oplyste færden og brug af software, hardware og browsere.
Grunden til, at shadow IT starter i en virksomhed, er ofte fordi medarbejderne ikke gider at vente på, at programmer, software og browsere bliver godkendt af IT-afdelingen - eller, at det program de selv har fundet fungerer bedre, end det der bliver stillet til rådighed fra IT-afdelingen.
Dog skal man huske, at shadow IT kan udgøre fatale risici for en virksomhed. Når en IT-afdeling ikke har indblik i hvilke software, hardware og browsere bruger, kan de ikke sikre, at det hele er opdateret og sikkert - dette er en god grobund for cyberangreb på virksomheder.
Nogle af årsagerne til shadow IT
Nogle af grundene til, at medarbejdere benytter shadow IT er eksempelvis hvis de foretrækker at bruge deres egne devices og software til arbejde - i stedet for det der bliver sat til rådighed fra arbejdspladsen.
Dette sker hyppigere med hybrid- og fjernarbejde - og brugen af SaaS og cloud-lagring. Det er nemmere at dele filer og dokumenter mellem enheder, og dette gælder mellem arbejdsenheder, men også mellem arbejde og hjem. Så hvis en medarbejder deler filer i f.eks. Google Drev mellem sin arbejdscomputer og privatcomputer for at gøre arbejdet mere bekvemt på hjemmearbejdspladsen, så er det altså shadow IT - og vel at mærke en meget bevidst form for det.
Hybridarbejde har medført koncepter som “bring your own device” (BYOD), hvilket tilgodeser at medarbejdere bruger deres egne enheder til professionelt og arbejdsmæssigt brug. Ved sådanne koncepter imødekommer virksomheder det som, måske mange, medarbejdere efterspørger - at bruge deres foretrukne enheder til arbejde. Dog er der en stor ulempe ved BYOD.
Essensen i IT-afdelingens arbejde er at sikre et godt flow for teknikken på arbejdspladsen, men i høj grad også cybersikkerheden på arbejdspladsen. Men der er grænser for, hvor meget de kan gøre for cybersikkerheden, hvis medarbejderne bruger shadow IT. Og hvis medarbejderne benytter private enheder til arbejdsmæssig brug, kan IT-afdelingen ikke sikre de enheder på samme måde, som hvis medarbejderne bruger de angivne arbejdsenheder og -computere.
Hvorfor skal det godkendes?
Man kan måske sidde og tænke, at det er begrænsende og indsnævret, at IT-afdelingen skal godkende den software, hardware og browsere, vi benytter på arbejdspladsen. Ifølge flere undersøgelser, er det omkring 80% af medarbejderne i en virksomhed, der bruger shadow IT - og det er dermed 80% af en virksomheds cybersikkerhed, der ikke er lige så stærk som den kunne være.
Kernen i cybersikkerhed er, at medarbejderne er det stærkeste forsvar mod cyberangreb. Det er de, fordi det er menneskene som begår størstedelen af sikkerhedsfejlene ved cybersikkerhed, hvilket IT-kriminelle udnytter.
Så hvis en virksomhed har et antal medarbejdere, der bruger shadow IT, og dermed ikke involverer IT-afdelingen i hvilke programmer og software, de bruger - samt hvilke filer de deler og downloader - så har IT-afdelingen ikke store chancer for at hjælpe i tilfælde af et cyberangreb.
IT-afdelingen skal godkende og verificere programmer og software, så man ikke risikerer, at der er malware eller andet ondsindet aktivitet på enhederne - ved at have styr på teknologien i en virksomhed, kan man dermed fokusere på awareness-træning af medarbejdere, så hele virksomheden står stærkt mod cybertruslen.
Fordele og ulemper ved shadow IT
Førhen blev shadow IT ofte fuldstændig bandlyst i virksomheder, fordi IT-afdelinger ikke kunne kontrollere og hjælpe medarbejdere med IT-problemer i disse tilfælde. Dog har man med tiden fundet ud af, at det er tæt på umuligt at sikre, at medarbejdere ikke bruger shadow IT, selvom det bliver bandlyst på arbejdspladsen.
Derfor er der flere virksomheder, der tager princippet til sig. På den måde kan de have lidt mere indflydelse på hvordan medarbejderne bruger shadow IT, i stedet for slet ikke at have indflydelse på medarbejdernes IT-vaner.
Der findes både fordele og ulemper ved brugen af shadow IT - begge er blevet belyst ovenfor. Yderligere fordele og ulemper ved shadow IT er:
Fordele ved shadow IT
- En virksomhed udviser tillid til sine medarbejdere ved at lade dem benytte egne enheder og programmer.
- Man kan finde ud af hvilke programmer, der er forældet, og hvilke der strømliner og optimerer arbejdet for medarbejderne, når de selv finder dem.
Mange virksomheder forsøger at forbinde IT-protokoller med shadow IT for at undgå at forbyde fænomenet helt. Nogle af de ting, som virksomheder indfører, som følge af dette er attack surface management, der inkluderer planer og overblik over den nye angrebsflade for virksomheden.
Ulemper ved shadow IT
- Mindre overblik over angrebsflader for virksomheden.
- Problemer med compliance i en virksomhed - En virksomhed kan få problemer med overfoldelse af bl.a. GDPR med shadow IT, da der ikke kan være lige så god kontrol med behandling af persondata ved shadow IT, som når medarbejdere arbejder udelukkende med hvad IT-afdelingen har stillet til rådighed.
Shadow IT er et fænomen, der splitter vandene på en arbejdsplads - medarbejderne ønsker mere fleksibilitet, og IT-afdelingerne ønsker sikker IT. Problemet ved shadow IT er, at det ofte efterlader IT-afdelinger uvidende om medarbejders færden på nettet og deres brug af software og hardware. Hvis en medarbejder kommer til at downloade ondsindet software, kan det ende med at kompromittere hele virksomhedens data.
Caroline Preisler
Caroline er copywriter for Moxso udover hendes daglige studie. Hun er i gang med sin kandidat i Engelsk og specialiserer sig i oversættelse og sprogpsykologi. Begge felter arbejder med kommunikationen mellem mennesker, og hvordan man skaber en fælles forståelse – disse elementer bliver inkorporeret i arbejdet, som hun laver her hos Moxso.
Se alle indlæg af Caroline Preisler