Co je to stínové IT a jak může ohrozit celou firmu

31. 8. 2015. (redaktor: František Doupal, zdroj: Servodata)
Jestliže podnik neposkytne zaměstnancům potřebné IT nástroje, riskuje, že budou v jeho síti provozovány potenciálně nebezpečné aplikace, alternativní úložiště dat a další technologie zcela mimo kontrolu IT oddělení.

Oproti minulosti dochází dnes v některých firmách k výraznému uvolnění dříve striktních pravidel využívání IT. Zaměstnanci mohou často pracovat s firemními systémy a daty nejen z pracovních počítačů, ale i ve svých vlastních zařízeních a nemají nijak omezenou možnost využívat různé internetové (cloudové) služby. Tento trend má sice své nesporné výhody, mezi které patří například mobilita, jednodušší sdílení informací a dat v týmu i snížení nákladů na IT, ovšem přináší i nezanedbatelná rizika. Ta se často projeví ve chvíli, kdy zaměstnanci nezískají oficiální cestou, tedy prostřednictvím firemního IT, aplikaci či nástroj, který ke své práci potřebují.

„Využívání veřejných cloudových služeb i mnoha dalších běžně dostupných technologií nevyžaduje žádné zvláštní znalosti ani investice. Aktivnější zaměstnanci jimi proto často nahrazují služby, které jim ve firemní síti chybějí,“ řekl Vladimír Michálek, business unit director společnosti Servodata. „Například umístění citlivých dat v nedostatečně zabezpečených cloudových úložištích nebo jejich přenášení na USB flash discích představuje pro každou firmu opravdu značné riziko.

Potenciálně nebezpečné alternativy

Veřejně dostupné cloudové služby představují výkonnou, snadno dostupnou a často i velmi levnou či bezplatnou alternativu k tradičním podnikovým systémům. Zaměstnanci je proto, často bez vědomí firemního IT a svých nadřízených, začnou využívat například k ukládání a sdílení souborů v pracovních týmech, komunikaci s kolegy a zákazníky, ke správě kontaktů obchodních partnerů a klientů či k analýzám dat nebo testování. Výjimkou není ani využívání těchto služeb přímo pracovníky IT oddělení, kteří se domnívají, že dokážou případná rizika zvládnout lépe než ostatní zaměstnanci. „Používání veřejných cloudových služeb, které si zvolí sami zaměstnanci, je problematické především v tom, že zpravidla nesplňuje firemní politiky pro práci s citlivými daty, například pokud jde o tvorbu přístupových hesel k těmto systémům a zabezpečení dat na straně poskytovatele služby,“ vysvětlil Vladimír Michálek.

Vznik stínového IT ovšem nezpůsobuje primárně nedisciplinovanost zaměstnanců, kteří zpravidla jen hledají nástroje na efektivní plnění svých pracovních úkolů. Firmy se často nechtějí vzdát svých historických podnikových systémů, které již neodpovídají současným nárokům, a aktivně nehledají alternativy, které by byly bezpečné a zároveň flexibilní i méně nákladné než údržba či nahrazení současných řešení. Často také nejsou zaměstnancům jasně sdělena pravidla a politiky pro práci s firemními daty (jsou-li v podniku vůbec nastavena), takže si někdy ani hrozící rizika neuvědomují.

Zákazy nic neřeší

Některé firmy se snaží se stínovým IT bojovat prostřednictvím restrikcí a detailního sledování aktivity zaměstnanců při práci s firemními daty či internetovými službami. Komplexní bezpečnostní řešení hlásí jakékoli podezřelé aktivity a zároveň zablokuje vynášení dat mimo firemní síť.

„Z naší zkušenosti víme, že posílení zabezpečení a vynucování pravidel pro manipulaci s daty ve firemní síti sice ošetří hlavní rizika, ale neřeší samotnou příčinu vzniku stínového IT,“ doplnil Vladimír Michálek. „Zároveň je totiž důležité poskytnout zaměstnancům nástroje, které jim pomohou v práci bez zvyšování bezpečnostních rizik, což je daleko efektivnější než se stínovým IT donekonečna bojovat.“

Efektivní řešení stínového IT by mělo zahrnovat především:

Identifikaci problému – zaměstnanci zpravidla nemají v úmyslu firmu poškodit, ale hledají službu či aplikaci, která jim pomůže v práci. Rizika si často neuvědomují a firemní politiky pro práci s daty jim nikdo nesdělil, nebo možná vůbec neexistují.

Využití aktivity zaměstnanců – zeptejte se zaměstnanců, jaké služby a proč k plnění svých úkolů využívají. Je pravděpodobné, že existují i jejich varianty či alternativy, vhodné pro nasazení ve  firemním IT.

Audit využívaných systémů – služby využívané zaměstnanci ve stínovém IT mohou často nahradit současné, historické IT systémy firmy. Výsledkem může být lepší funkcionalita, vyšší spokojenost zaměstnanců i snížení nákladů na IT.

Podpora BYOD – jestliže zaměstnanci chtějí pracovat s vlastními zařízeními, měla by jim to firma umožnit, ovšem při nastavení jasných pravidel a bezpečnostních mechanismů.

Získání kontroly nad IT – výsledkem opatření proti stínovému IT musí být zpětné získání kontroly IT oddělení nad systémy a službami, které budou zaměstnanci využívat.

Průběžná aktualizace – cloudové služby se neustále vyvíjejí, stejně jako potřeby a nároky zaměstnanců. IT oddělení by proto mělo proaktivně hledat a posuzovat technologie na podporu podnikových procesů dříve, než je zaměstnanci sami začnou nekontrolovaně využívat.

„Posuzování nových technologií pro rozšíření služeb firemního IT musí být sice důkladné, ale zároveň by mělo být i rychlé, stejně jako jejich případné nasazení. Zaměstnanci dnes nechtějí čekat dlouhé měsíce na implementaci služby, kterou mohou zcela zdarma, nebo za mírný poplatek, okamžitě začít využívat sami. Zároveň je ale třeba stanovit jasná pravidla, jaké nakládání s firemními daty nebude v žádném případě tolerováno, aby se firma kvůli ztrátě nebo odcizení dat nedostala do vážných problémů,“ uzavřel Vladimír Michálek.

Podobné články

Zuzana Švecová (Cisco): Dívejte se na bezpečnost očima koncového zákazníka

19. 11. 2024. (redaktor: Michala Benešovská, zdroj: DCD Publishing)
Zuzana Švecová je od září novou generální ředitelkou české pobočky společnosti Cisco. V rozhovoru jsme probrali nejen její jedenáctileté působení ve firmě, ale i priority v nové roli či technologické novinky v portfoliu Cisco. Čtěte více

Patrick Müller (Sophos): Budoucnost je ve spravovaných službách

10. 10. 2024. (redaktor: František Doupal, zdroj: DCD Publishing)
S Patrickem Müllerem, senior channel manažerem společnosti Sophos, jsme hovořili o aktuálním dění v oblasti kybernetické bezpečnosti. V rozhovoru se můžete dočíst nejen o aktuálních trendech v segmentu cyber security, ale také o příležitostech, které vám v kombinaci s produkty a službami společnosti Sophos přináší. Čtěte více

Prodej bezpečnostních zařízení ve 2. čtvrtletí 2024 meziročně vzrostl

16. 9. 2024. (redaktor: František Doupal, zdroj: IDC)
Celkové tržby z prodeje bezpečnostních zařízení ve druhém čtvrtletí roku 2024 meziročně vzrostly o 0,5 % na 4,2 miliardy dolarů, což představuje oproti druhému čtvrtletí roku 2023 nárůst o 20 milionů dolarů. V objemu prodej naopak meziročně klesl o 4,3 % na milion kusů. Čtěte více
Foto: Algotech

Tržby z prodeje bezpečnostních produktů vloni vzrostly o 15,6 %

8. 7. 2024. (redaktor: František Doupal, zdroj: IDC)
Celosvětové tržby za bezpečnostní produkty dosáhly v roce 2023 celkem 106,8 miliardy dolarů, což představuje nárůst o 15,6 % oproti roku 2022. Růst tržeb byl výrazný – podle IDC zaznamenalo dvouciferný meziroční nárůst všech šest sledovaných kategorií. Růst by měl navíc pokračovat přinejmenším do roku 2028. Čtěte více