SAFESIDE SOLUTIONS AB

Skugg-IT är här för att stanna.

Blogginlägg   •   Mar 14, 2014 15:43 CET

Enligt McAfee och Frost & Sullivans rapport: The Hidden Truth Behind Shadow IT (November 2013) använder sig 80% av skugg-IT för att utföra sina arbetsuppgifter. Skugg-IT definieras i de allra flesta fall som programvara i formen Software as a Service (SaaS), vilken medarbetare använder i sitt arbete, men som inte är inköpt eller godkänd att användas av den egna organisationen. 

Några av de mest intressanta iakttagelserna i rapporten tycker jag är: 
  • Över 80 % a procent svarar att måste utnyttja program som inte är godkända av den egna organisationen för att kunna utföra sina arbetsuppgifter.
  • Medarbetare anställda inom IT är mer benägna än andra medarbetare att använda program som inte är godkända.
  • Medarbetare som använder skugg-IT är väl medvetna om riskerna! Riskmedvetenheten kommer främst från egna erfarenheter. Ca 15 % har upplevt en eller flera incidenter.

Rapporten avslutas med konstaterandet: Att försöka begränsa SaaS är som att stänga dörren till stallet efter att hästen rymt – det hjälper helt enkelt inte! Om över 80 % av medarbetarna använder skugg-IT så är både behov och nytta uppenbar. Jag kan inte annat än att hålla med.

En intressant avvägning mellan medarbetarnas produktivitet och informationens skydd. Hur många organisationer har en tydlig strategi och ett uppdaterat regelverk – som verkligen går att följa och som också t ex ledningsgrupper och IT-avdelning följer – avseende skugg-IT? Gissningsvis inte särskilt många. Skugg-IT måste betraktas som både ett hot och en möjlighet.

Även BYOD (bring your own device) blir ju en tydlig ingång till skugg-IT när smartphones och andra enheter levereras med molntjänster som är så väl integrerade att de knappt märks.

Ovanstående i kombination med vad som kan konstateras i Punkt SEs undersökning av Hälsoläget på Internet (2013) blir än mer intressant.

  • Endast 54 % procent som ens har stöd för användning av TLS (Transport Layer Security). 
  • Av undersökta certifikat är endast 8 % så kallade EV-certifikat (Extended validation).
  • Endast 64 % av certifikaten gick att verifiera mot en publik certifikatutfärdare.
  • 23 % av certifikaten var självsignerade
  • 13 % av certifikaten hade antingen gått ut (det vill säga passerat sista användningsdag) eller hade andra typer av fel.

Rekommenderad läsning är Anne-Marie Eklund Löwinders artikel publicerad på Säkerhet 24, IDG. Dags att börja använda kryptering.

Organisationer som omfattas av undersökningen, var bland andra:

  • 57 affärsdrivande verk och statliga bolag
  • 81 banker, finansinstitut och försäkringsbolag
  • 21 Internetoperatörer (ISP)
  • 290 kommuner
  • 20 landsting
  • 36 medieföretag
  • 229 statliga myndigheter, inklusive länsstyrelser (exklusive myndigheter under Riksdagen)

Man kan ju fundera på hur det ser ut hos alla de företag som tillhandahåller den skugg-IT som redan 80 % av oss använder…? Är affärsinformationen som sparas krypterad vid lagring respektive överföring?

Skugg-IT är här för att stanna och vi måste alla anpassa oss oavsett roll. En strategi och ett funkis regelverk runt SaaS-tjänsterna är några konkreta exempel som möjliggör ökad produktivitet och frihet för medarbetare utan att man helt tappar kontrollen över informationen.

Är du ansvarig för en verksamhet eller jobbar med informationssäkerhet kanske det är dags att fundera över:

  • Vilken information är känslig? (informationsklassificering)
  • Var finns informationen (är den synkroniserad till flera olika tjänster)? Vilket skydd har den? Vilka risker finns runt informationen? (arkitektur & riskhantering)
  • Vilken strategi och styrning ska vi ha vad gäller skugg-IT? (governance)  
  • Är våra interna regelverk uppdaterade, så att de faktiskt går att använda? (governance)
  • Hur fungerar vår kontinuitetshantering 2014? Kan skugg-IT till och med vara en del av planen? (verksamhetens kontinuitetshantering)

// Annika Biberg

Informationssäkerhetskonsult på SAFESIDE SOLUTIONS AB


Länkar:

http://www.mcafee.com/us/resources/reports/rp-six-trends-security.pdf

https://www.iis.se/docs/Halsolaget_i_se_2013.pdf

http://sakerhet24.idg.se/2.29373/1.549946/dags-att-borja-anvanda-kryptering