Blogginlägg -
Skugg-IT är här för att stanna.
Enligt McAfee och Frost & Sullivans rapport: The Hidden Truth Behind Shadow IT (November 2013) använder sig 80% av skugg-IT för att utföra sina arbetsuppgifter. Skugg-IT definieras i de allra flesta fall som programvara i formen Software as a Service (SaaS), vilken medarbetare använder i sitt arbete, men som inte är inköpt eller godkänd att användas av den egna organisationen.
- Över 80 % a procent svarar att måste utnyttja program
som inte är godkända av den egna organisationen för att kunna utföra sina
arbetsuppgifter.
- Medarbetare anställda inom IT är mer benägna än
andra medarbetare att använda program som inte är godkända.
- Medarbetare
som använder skugg-IT är väl medvetna om riskerna! Riskmedvetenheten kommer
främst från egna erfarenheter. Ca 15 % har upplevt en
eller flera incidenter.
Rapporten avslutas med konstaterandet: Att försöka begränsa SaaS är som att stänga dörren till stallet efter att hästen rymt – det hjälper helt enkelt inte! Om över 80 % av medarbetarna använder skugg-IT så är både behov och nytta uppenbar. Jag kan inte annat än att hålla med.
En intressant avvägning mellan medarbetarnas produktivitet och informationens skydd. Hur många organisationer har en tydlig strategi och ett uppdaterat regelverk – som verkligen går att följa och som också t ex ledningsgrupper och IT-avdelning följer – avseende skugg-IT? Gissningsvis inte särskilt många. Skugg-IT måste betraktas som både ett hot och en möjlighet.
Även BYOD (bring your own device) blir ju en tydlig ingång till skugg-IT när smartphones och andra enheter levereras med molntjänster som är så väl integrerade att de knappt märks.
Ovanstående i kombination med vad som kan konstateras i Punkt SEs undersökning av Hälsoläget på Internet (2013) blir än mer intressant.
- Endast 54 % procent som ens har stöd för
användning av TLS (Transport Layer Security).
- Av undersökta certifikat är endast 8 % så kallade EV-certifikat
(Extended validation).
- Endast 64 % av certifikaten gick att verifiera mot
en publik certifikatutfärdare.
- 23 % av certifikaten var
självsignerade
- 13 % av certifikaten hade antingen gått ut (det
vill säga passerat sista användningsdag) eller hade andra typer av fel.
Rekommenderad läsning är Anne-Marie Eklund Löwinders artikel publicerad på Säkerhet 24, IDG. Dags att börja använda kryptering.
Organisationer som omfattas av undersökningen, var bland andra:
- 57 affärsdrivande verk och
statliga bolag
- 81 banker, finansinstitut och
försäkringsbolag
- 21 Internetoperatörer (ISP)
- 290 kommuner
- 20 landsting
- 36 medieföretag
- 229 statliga
myndigheter, inklusive länsstyrelser (exklusive myndigheter under Riksdagen)
Man kan ju fundera på hur det ser ut hos alla de företag som tillhandahåller den skugg-IT som redan 80 % av oss använder…? Är affärsinformationen som sparas krypterad vid lagring respektive överföring?
Skugg-IT är här för att stanna och vi måste alla anpassa oss oavsett roll. En strategi och ett funkis regelverk runt SaaS-tjänsterna är några konkreta exempel som möjliggör ökad produktivitet och frihet för medarbetare utan att man helt tappar kontrollen över informationen.
Är du ansvarig för en verksamhet eller jobbar med informationssäkerhet kanske det är dags att fundera över:
- Vilken
information är känslig? (informationsklassificering)
- Var finns informationen
(är den synkroniserad till flera olika tjänster)? Vilket skydd har den? Vilka
risker finns runt informationen? (arkitektur & riskhantering)
- Vilken
strategi och styrning ska vi ha vad gäller skugg-IT? (governance)
- Är våra
interna regelverk uppdaterade, så att de faktiskt går att använda? (governance)
- Hur fungerar
vår kontinuitetshantering 2014? Kan skugg-IT till och med vara en del av
planen? (verksamhetens kontinuitetshantering)
// Annika Biberg
Informationssäkerhetskonsult på SAFESIDE SOLUTIONS AB
Länkar:
http://www.mcafee.com/us/resources/reports/rp-six-trends-security.pdf
https://www.iis.se/docs/Halsolaget_i_se_2013.pdf
http://sakerhet24.idg.se/2.29373/1.549946/dags-att-borja-anvanda-kryptering
Relaterade länkar
Ämnen
- Datasäkerhet
Kategorier
- shadow it
- annika biberg
- saas
- informationssäkerhet
- it-säkerhet
- skugg it