W każdej firmie jest ktoś, kto "zna się na komputerach" albo tak go postrzegają współpracownicy. Gdy pojawia się problem, a zgłoszenie do zewnętrznego IT wiąże się z kosztem lub czekaniem, ten ktoś po prostu go rozwiązuje. Brzmi niewinnie. W praktyce to poważny problem, z jakimi spotykamy się w firmach.
Czym jest shadow IT
Shadow IT to wszystkie narzędzia, systemy i rozwiązania informatyczne używane w firmie bez wiedzy i kontroli działu IT. Nazwa nie jest przypadkowa - to infrastruktura, która istnieje "w cieniu", poza oficjalnym środowiskiem.
Może to być pracownik, który zainstalował na służbowym komputerze własne oprogramowanie, bo firmowe wydało mu się za wolne. Może to być zespół, który zaczął używać prywatnego Dropboxa do wymiany plików projektowych, bo tak było wygodniej. Może ktoś używa prywatnego konta pocztowego, bo niewiele trzeba było zrobić, maile da się wysłać. A może to osoba, która po prostu "ogarnia IT" w firmie - rozwiązuje problemy kolegów, konfiguruje nowe urządzenia, ustawia dostępy - bo tak wyszło i wszyscy są zadowoleni.
Każdy z tych scenariuszy ma jedno wspólne: firma traci kontrolę nad tym, co dzieje się z jej danymi i infrastrukturą.
Skąd się bierze shadow IT
Shadow IT rzadko powstaje ze złej woli. Najczęściej jest odpowiedzią na realne potrzeby, które oficjalne IT z jakiegoś powodu nie zaspokaja.
Gdy wsparcie informatyczne jest rozliczane godzinowo, każde zgłoszenie to koszt. Pracownicy zaczynają więc filtrować problemy - te "nieważne" rozwiązują sami albo proszą kogoś z zespołu. Z czasem ten ktoś staje się nieformalnym informatykiem firmy.
Podobny efekt pojawia się gdy oficjalne narzędzia są nieporęczne, procesy zbyt wolne albo gdy IT nie jest dostępne wtedy, gdy pracownicy go potrzebują. Ludzie szukają drogi na skróty - i zwykle ją znajdują.
Dlaczego to jest problem
Nieformalne rozwiązania IT mogą działać sprawnie przez miesiące, a nawet lata. To sprawia, że problem jest trudny do zauważenia - i tym groźniejszy.
1
Brak kontroli nad danymi. Jeśli pracownicy przechowują pliki firmowe na prywatnych dyskach, synchronizują dokumenty przez prywatne konta w chmurze albo wysyłają dane przez niezatwierdzone komunikatory, firma nie wie, gdzie jej dane się znajdują. Nie może ich zabezpieczyć, nie może ich odzyskać w razie awarii i nie może udowodnić ich bezpieczeństwa w razie audytu lub incydentu.
2
Luki w bezpieczeństwie. Oprogramowanie zainstalowane bez wiedzy IT nie jest monitorowane, nie jest aktualizowane zgodnie z procedurami patch managementu i może zawierać luki bezpieczeństwa. Jedna niezałatana podatność w nieoficjalnym narzędziu może stać się punktem wejścia do całej sieci firmowej.
3
Zależność od osoby, nie od procesu. Gdy nieformalny "firmowy informatyk" odchodzi z pracy, zostawia po sobie środowisko, którego nikt inny nie rozumie. Brak dokumentacji, brak procedur, brak przekazania wiedzy
4
Zgodność z regulacjami. Firmy przetwarzające dane osobowe mają obowiązek wiedzieć, gdzie te dane się znajdują i jak są chronione. Shadow IT sprawia, że część danych wymyka się spod tej kontroli - co może prowadzić do naruszenia RODO i poważnych konsekwencji prawnych.
5
Jakość działań bez weryfikacji. Pracownik, który "ogarnia IT", działa w dobrej wierze, ale bez weryfikacji, bez znajomości standardów bezpieczeństwa i bez świadomości konsekwencji. Błędna konfiguracja sieci, nieodpowiednio ustawione uprawnienia, źle skonfigurowane konto - to zagrożenia, które nie powstają z czasem, lecz istnieją od razu, od momentu wykonania. Profesjonalne wsparcie informatyczne opiera się na sprawdzonych procedurach i wiedzy, której nie zastąpi nawet najlepsza wola i pewna doza technicznego ogarnięcia.
Jak wykryć shadow IT w swojej firmie
Shadow IT jest z definicji niewidoczne - ale pozostawia ślady.
Warto zwrócić uwagę na kilka sygnałów: pracownicy korzystają z prywatnych kont do celów służbowych, w firmie funkcjonują narzędzia i aplikacje, których nikt oficjalnie nie wdrożył, jedna osoba "wie wszystko" o jakimś systemie i tylko ona potrafi go obsługiwać, a dane projektowe trafiają do różnych miejsc w zależności od tego, kto akurat pracuje nad projektem
Audyt pozwala zidentyfikować takie sytuacje. To jeden z pierwszych kroków, które wykonujemy obejmując opieką nowego klienta.
Codzienne monitorowanie środowiska zapobiega pojawianiu się tego zjawiska na bieżąco.
Jak zapobiegać shadow IT
Samo zakazanie używania nieoficjalnych narzędzi rzadko działa. Pracownicy omijają zakazy, jeśli oficjalne rozwiązania nie spełniają ich potrzeb.
Skuteczniejsze podejście to zrozumienie, dlaczego shadow IT w ogóle się pojawia, i usunięcie przyczyn. Jeśli pracownicy używają prywatnego Dropboxa, bo firmowy system do przechowywania plików jest niewygodny - problem leży w narzędziu, nie w pracownikach. Jeśli ktoś samodzielnie konfiguruje sprzęt, bo zgłoszenie do IT trwa za długo - problem leży w dostępności wsparcia.
Podstawowym warunkiem jest łatwy, stały i szybki dostęp do wsparcia IT - takiego, do którego można zgłosić wszystko: zarówno poważną awarię, jak i drobną nieprawidłowość, która "może sama przejdzie". Dlaczego zgłaszanie każdej, nawet najmniejszej sprawy do IT jest ważne - wyjaśniamy w artykule Dlaczego Twoje IT powinno o wszystkim wiedzieć.
Pracownicy powinni wiedzieć, do kogo się zgłosić z każdym problemem i mieć pewność, że zostaną obsłużeni bez zbędnych komplikacji. Tylko wtedy shadow IT przestaje mieć rację bytu.
Jak wygląda to w Helpwise
Obejmując opieką nową firmę, jednym z pierwszych kroków jest rozpoznanie środowiska - w tym zidentyfikowanie narzędzi i rozwiązań, które funkcjonują poza oficjalną infrastrukturą. Nie po to, żeby kogoś rozliczać, ale żeby wiedzieć, z czym faktycznie mamy do czynienia.
Staramy się też tworzyć środowisko, w którym shadow IT po prostu nie ma powodów powstawać: wsparcie jest dostępne, procesy działają sprawnie, a pracownicy wiedzą, że każde zgłoszenie - nawet drobne - jest mile widziane. Odpowiedzialne IT chce wiedzieć o wszystkim. To jedyna droga do utrzymania rzeczywistej kontroli nad bezpieczeństwem firmy.