Jestliže podnik neposkytne zaměstnancům potřebné IT nástroje, riskuje, že budou v jeho síti provozovány potenciálně nebezpečné aplikace, alternativní úložiště dat a další technologie zcela mimo kontrolu IT oddělení.
Oproti minulosti dochází dnes v některých firmách k výraznému uvolnění dříve striktních pravidel využívání IT. Zaměstnanci mohou často pracovat s firemními systémy a daty nejen z pracovních počítačů, ale i ve svých vlastních zařízeních a nemají nijak omezenou možnost využívat různé internetové (cloudové) služby. Tento trend má sice své nesporné výhody, mezi které patří například mobilita, jednodušší sdílení informací a dat v rámci týmů i snížení nákladů na IT, ovšem přináší i nezanedbatelná rizika. Ta se často projeví ve chvíli, kdy zaměstnanci nezískají oficiální cestou, tedy prostřednictvím firemního IT, aplikaci či nástroj, který ke své práci potřebují.
„Využívání veřejných cloudových služeb i mnoha dalších běžně dostupných technologií nevyžaduje žádné zvláštní znalosti ani investice. Aktivnější zaměstnanci jimi proto často nahrazují služby, které jim ve firemní síti chybějí,“ říká Vladimír Michálek, Business Unit Director společnosti Servodata, která se specializuje na konzultace, implementaci a integraci podnikových informačních systémů a aplikací. „Například umístění citlivých dat v nedostatečně zabezpečených cloudových úložištích nebo jejich přenášení na USB flash discích představuje pro každou firmu opravdu značné riziko.“
Potenciálně nebezpečné alternativy
Veřejně dostupné cloudové služby představují výkonnou, snadno dostupnou a často i velmi levnou či bezplatnou alternativu k tradičním podnikovým systémům. Zaměstnanci je proto, často bez vědomí firemního IT a svých nadřízených, začnou využívat například k ukládání a sdílení souborů v pracovních týmech, komunikaci s kolegy a zákazníky, ke správě kontaktů obchodních partnerů a klientů či k analýzám dat nebo testování. Výjimkou není ani využívání těchto služeb přímo pracovníky IT oddělení, kteří se domnívají, že dokážou případná rizika zvládnout lépe než ostatní zaměstnanci. „Používání veřejných cloudových služeb, které si zvolí sami zaměstnanci, je problematické především v tom, že zpravidla nesplňuje firemní politiky pro práci s citlivými daty, například pokud jde o tvorbu přístupových hesel k těmto systémům a zabezpečení dat na straně poskytovatele služby,“ vysvětluje Vladimír Michálek.
Vznik stínového IT ovšem nezpůsobuje primárně nedisciplinovanost zaměstnanců, kteří zpravidla jen hledají nástroje na efektivní plnění svých pracovních úkolů. Firmy se často nechtějí vzdát svých historických podnikových systémů, které již neodpovídají současným nárokům, a aktivně nehledají alternativy, které by byly bezpečné a zároveň flexibilní i méně nákladné než údržba či nahrazení současných řešení. Často také nejsou zaměstnancům jasně sdělena pravidla a politiky pro práci s firemními daty (jsou-li v podniku vůbec nastavena), takže si někdy ani hrozící rizika neuvědomují.
Zákazy nic neřeší
Některé firmy se snaží se stínovým IT bojovat prostřednictvím restrikcí a detailního sledování aktivity zaměstnanců při práci s firemními daty či internetovými službami. Komplexní bezpečnostní řešení hlásí jakékoli podezřelé aktivity a zároveň zablokuje vynášení dat mimo firemní síť.
„Z naší zkušenosti víme, že posílení zabezpečení a vynucování pravidel pro manipulaci s daty ve firemní síti sice ošetří hlavní rizika, ale neřeší samotnou příčinu vzniku stínového IT,“ doplňuje Vladimír Michálek. „Zároveň je totiž důležité poskytnout zaměstnancům nástroje, které jim pomohou v práci bez zvyšování bezpečnostních rizik, což je daleko efektivnější než se stínovým IT donekonečna bojovat.“
Efektivní řešení stínového IT by mělo zahrnovat především:
- Identifikaci problému – Zaměstnanci zpravidla nemají v úmyslu firmu poškodit, ale hledají službu či aplikaci, která jim pomůže v práci. Rizika si často neuvědomují a firemní politiky pro práci s daty jim nikdo nesdělil, nebo možná vůbec neexistují.
- Využití aktivity zaměstnanců – Zeptejte se zaměstnanců, jaké služby a proč k plnění svých úkolů využívají. Je pravděpodobné, že existují i jejich varianty či alternativy, vhodné pro nasazení v rámci firemního IT.
- Audit využívaných systémů – Služby využívané zaměstnanci v rámci stínového IT mohou často nahradit současné, historické IT systémy firmy. Výsledkem může být lepší funkcionalita, vyšší spokojenost zaměstnanců i snížení nákladů na IT.
- Podpora BYOD – Jestliže zaměstnanci chtějí pracovat s vlastními zařízeními, měla by jim to firma umožnit, ovšem při nastavení jasných pravidel a bezpečnostních mechanismů.
- Získání kontroly nad IT – Výsledkem realizace opatření proti stínovému IT musí být zpětné získání kontroly IT oddělení nad systémy a službami, které budou zaměstnanci využívat.
- Průběžná aktualizace – Cloudové služby se neustále vyvíjejí, stejně jako potřeby a nároky zaměstnanců. IT oddělení by proto mělo proaktivně hledat a posuzovat technologie na podporu podnikových procesů dříve, než je zaměstnanci sami začnou nekontrolovaně využívat.
„Posuzování nových technologií pro rozšíření služeb firemního IT musí být sice důkladné, ale zároveň by mělo být i rychlé, stejně jako jejich případné nasazení. Zaměstnanci dnes nechtějí čekat dlouhé měsíce na implementaci služby, kterou mohou zcela zdarma, nebo za mírný poplatek, okamžitě začít využívat sami. Zároveň je ale třeba stanovit jasná pravidla, jaké nakládání s firemními daty nebude v žádném případě tolerováno, aby se firma kvůli ztrátě nebo odcizení dat nedostala do vážných problémů,“ uzavírá Vladimír Michálek.
-of-