Ta kontroll över skugg-IT genom LIS

Kan man använda ett enkelt och pragmatiskt ledningssystem för att möjliggöra, styra och riskhantera även det som hamnat i skuggan?

För en tid sedan skrev jag om skugg-IT (Shadow IT) i ett av mina blogginlägg, Skugg-IT är här för att stanna. Då ledningssystem för informationssäkerhet (LIS) blir alltmer i fokus för många organisationer skulle jag nu vilja göra en koppling från det lite vilda-västern-lika skugg-IT till det systematiska och strukturerade säkerhetsarbete som ett ledningssystem innebär.

Skugg-IT utvecklas och breddas i takt med att:

• ökning av antalet okända enheter
• bring your own device
• bring your own cloud
• fler personer ägnar sig åt programmering
• allmänt teknikkunniga medarbetare

Antalet uppkopplade enheter ökar lavinartat. Gartner nämner i november 2014 att antalet uppkopplade konsumentenheter under 2015 förväntas uppgå till ca 2,9 miljarder och under 2020 till drygt 13 miljarder enheter. Till detta kommer ju förstås alla olika molntjänster som går att använda från mobiltelefoner och plattor.

Hobby-programmerarna som utvecklar appar med hjälp av ”macro-programmering” kan generera värdefulla tillämpningar som blir verksamhetskritiska utan att dokumenteras.

De tekniskt kunniga medarbetarna och även de med mindre tekniskt kunnande tar med konsumentteknik till kontoret antingen som del av bring-your-own-device-konceptet eller som för organisationen helt okända enheter. Enheterna kan medföra nya sårbarheter och angreppssätt. Ett exempel är när anställda använder Google Chrome Remote Desktop eller andra liknande lösningar för att tillåta fjärråtkomst till sin arbetsplats och därmed bli mer produktiva på kontoret, men inte är medvetna om den nu tillgängliga kanalen för fjärråtkomst in i organisationens IT-miljö.

Jag arbetar för tillfället i ett projekt där kraven på mobilitet och flexibilitet är höga. Vid ett flertal tillfällen har vi kunnat konstatera att medarbetarna snabbt löser sina problem själva om IT-avdelningen inte kan tillhandahålla motsvarande IT-lösningar. Vips så finns skugg-IT-lösningar på plats!

Exempel på allvarliga risker med skugg-IT skulle t ex kunna vara:

• Ingen koppling till verksamhetens mål.
• Ingen styrning (governance) på området.
• Brist på säkerhetsmedvetande.
• Ökad risk för läckage av information.
• Ökad riskexponering genom ökad attackyta.
• Beroende av okända och okontrollerade applikationer för att utföra arbetsuppgifter.

De flesta medarbetare jag träffar gör förstås inte detta av illvilja utan för att de snabbt och effektivt vill klara av sina arbetsuppgifter.

Ledningssystemet är ett utmärkt verktyg för att arbeta enkelt, pragmatiskt och effektivt med informationssäkerhet. Det finns utmärkta möjligheter att genom mätning, egenkontroller, revision med mera upptäcka när säkerhetsarbetet inte fungerar som organisationens ledning tänkt sig, exempelvis när verksamhetskritiska aktiviteter blivit beroende av odokumenterade IT-lösningar som inte levereras av IT-avdelningen.

Ett systematiskt angreppssätt även när det gäller att förvalta ledningssystemets processer säkerställer att dessa alltid är uppdaterade och fungerar oavsett vad som händer i omvärlden. Det enda vi kan vara säkra på är att allt kommer att förändras, nya företeelser och hot (som cybersecurity, darknet och cybercrime as a service) ska kunna hanteras med samma effektivitet som sådant vi känt till länge.

I senaste versionen av ISO 27001 är ledningssystemet än mer riskbaserat än tidigare. Förflyttningen från statiska kontrollramverk mot ökad flexibilitet i kontroller och skyddsåtgärder hjälper oss att sakta men säkert nå målet – rätt informationssäkerhet.

När vi identifierat risker (som i exemplet ovan) är det smidigt att inom ramen för ledningssystemet arbeta med ständiga förbättringar och vidareutveckla metoder och modeller. Awareness skulle i detta fall kunna vara ett av flera kontrollområden där nytänkande behövs och där det också finns forskning att stödja sig på. Hur ändrar vi bäst medarbetarna beteende om de själva skapar lösningar som bygger på skugg-IT?

Jag skulle därför vilja avsluta inlägget med att själv besvara frågan i inledningen med ett JA. Om du har ett ledningssystem på plats - använd det för att möjliggöra, styra och riskhantera även det som hamnat i skuggan!

// Annika Biberg

Informationssäkerhetskonsult på SAFESIDE SOLUTIONS AB