Kiedy byłem nastolatkiem dorastającym w Rio de Janeiro, tata zawsze martwił się o moje bezpieczeństwo. Jego sposobem na chronienie mnie w naszym niebezpiecznym mieście było mówienie „nie” za każdym razem, kiedy prosiłem o wyjście do centrum handlowego lub na imprezę ze znajomymi. Jak większość nastolatków znajdowałem sposób, aby wymknąć się z domu i przez chwilę cieszyć się życiem, gdy tata był w pracy. Oczywiście kilka razy złapał mnie na gorącym uczynku, ale mnie to nie powstrzymało. Wydawało mi się, że nie robię nic złego, a gdyby wiedział, co chodzi mi po głowie, znalazłby sposób, żeby mnie powstrzymać.
Pewnie kręcisz głową, czytając o moich nastoletnich wybrykach lub wspominając własne, ale podobnie zachowuje się wiele firm będących polem niekończącej się bitwy między użytkownikami a działem IT. Tak właśnie zaczyna się „shadow IT”.
Wielu specjalistów w dziedzinie IT i zabezpieczeń, obawiając się o bezpieczeństwo sieci, ogranicza to, co użytkownicy mogą robić oraz z jakich urządzeń i aplikacji korzystać. Niektóre firmy sięgają tak daleko, że zakazują tego, co obecnie stało się powszechną praktyką, czyli BYOD lub pracy zdalnej.
Użytkownicy natomiast chcą nadal korzystać w pracy z prywatnych urządzeń i ulubionych aplikacji. Chcą mieć możliwość łączenia się z lotniska lub z kawiarni w oczekiwaniu na spotkanie z klientem. Nie zamierzają wyrządzić żadnej szkody — wręcz przeciwnie, starają się po prostu być bardziej produktywni. Mogliby uzyskiwać dostęp do wszystkiego, od nieszkodliwych aplikacji po te bardziej złożone, wiążące się na przykład z udostępnianiem danych. Wraz ze wzrostem liczby dostępnych aplikacji chmurowych jest to prawdopodobnie główny element „shadow IT” w obecnych czasach.
Problem „shadow IT” składa się z dwóch elementów: jeden dotyczy wiedzy na temat tego, co aktualnie dzieje się w sieci, a drugi wiąże się ze zmianą zachowań pracowników, aby nie instalowali za Twoimi plecami rzeczy, których nie powinni.
Pierwsza część to kwestia technologiczna. Firmy mogą inwestować w narzędzia do wglądu w informacje i kontroli, które pomogą im odkryć, co robią pracownicy. Rozwiązania w rodzaju Cloudlock ułatwiają organizacjom wykrywanie ryzykownych aplikacji podłączonych do ich sieci.
Druga część problemu wiąże się z jeszcze większymi trudnościami. W jaki sposób firma ma przekonać użytkowników, że ryzyko, które wprowadzają, może być większe niż korzyści płynące z zastosowania danej aplikacji? Wgląd w informacje i kontrola z pewnością się przydadzą, ale nie rozwiążą głównej przyczyny. Z pewnością pewną rolę odgrywa kultura bezpieczeństwa: użytkownicy potrzebują szkolenia, ale także prostoty. Jeśli jest to zbyt trudne, pracownicy mogą odczuwać pokusę obejścia reguł.
Po pierwsze dział IT nie powinien postrzegać użytkowników jako zagrożenia dla bezpieczeństwa. Zamiast ich karać lub zakazywać ryzykownych zachowań należy dążyć do uproszczenia procesów w przypadku, gdy użytkownik chce wdrożyć nową technologię. Do kogo użytkownicy powinni zwrócić się na przykład o pozwolenie i pomoc? Czy jest dostępny zestaw zatwierdzonych rozwiązań?
Firmy powinny zacząć od analizy ujawnionych aplikacji składających się na „shadow IT”, rozmawiając ze użytkownikami, starając się zrozumieć przyczyny ich zastosowania i proponując bezpieczne alternatywy. Należy nie tylko jasno formułować zasady i powstrzymywać złe zachowania, ale także szukać sposobów na bezpieczne umożliwienie użytkownikom zwiększenia produktywności. Chcesz pracować z lotniska? Jasne, ale podłącz się do VPN. Wolisz czytać służbowe e-maile na własnym telefonie? Dobrze, pod warunkiem, że przestrzegasz pewnych zasad.
Zaoferowanie bezpiecznych i realnych rozwiązań problemów użytkowników powinno w czasem doprowadzić do zmniejszenia częstotliwości występowania „shadow IT”. To trudne, ale możliwe.
Ten blog opowiada o doświadczeniach dyrektora ds. IT z „shadow IT” i o tym, jak poradził sobie z tym wyzwaniem: https://blogs.cisco.com/cloud/qa-1-cto-sheds-light-on-his-battle-with-shadow-it