Artikel top billede

Denne it-type kan ødelægge din virksomhed: Men næsten ingen er på sporet af den

Selv om anvendelsen af farlig skygge-it er meget udbredt i de fleste virksomheder, aner de fleste it-afdelinger ikke en døjt om, hvad medarbejderne anvender. Eller hvornår. Eller hvor meget. Det er en farlig cocktail, der hurtigt kan få tingene til at køre af sporet.

Kun hver 12. virksomhed er i stand til at tracke brugen af såkaldt shadow it i organisationen, selv om netop skygge it er en alvorlig trussel mod virksomhedens bestræbelser på at beskytte følsom data.

'Skygge it' dækker over de mange forskellige løsninger, applikationer og systemer, som en virksomheds medarbejdere anvender, uden at it-chefen eller it-afdelingen ved noget om det.

Du kan læse mere om det her: Den frygtede skygge-it: Når it kommer ud af kontrol

Det gør de fleste, da vi generelt er blevet så dygtige til it, at vi som regel ikke venter længe, hvis vi falder over en eller anden smart løsning eller en smart device, som vi mener kan være til gavn i løsningen af arbejdsopgaver.

Det kan eksempelvis være private mail-konti, fildelings-tjenester som Dropbox og OneDrive og lignende samt eksempelvis sociale tjenester.

Brugen af denne type 'skygge it' er helt ude af it-afdelingens kontrol og udgør derfor en akut sikkerhedsrisiko for virksomheden, hvor data kan forsvinde eller blive hacket, ligesom løsningerne kan fungere som adgangsvej for malware til virksomhedens 'rigtige' systemer.

Alligevel aner it-cheferne reelt ikke, hvor stor brugen af 'skygge it' er i deres organisation, viser undersøgelsen fra Cloud Security Alliance med deltagelse af 200 CIO'er fra hele verden.

Den viser, at blot otte procent af virksomheder kender til omfanget af anvendte tredjeparts-løsninger i organisationen. De pågældende løsninger er stort set altid internetbaserede cloud-løsninger.

"Vi har alle været i gang med at gøre os klar til cloud'en i årevis, men der mangler åbenlys stadig en del uddannelse," siger Jim Reavis, der er direktør i Cloud Security Alliance, til CSO.

For CIO'en kan alene sikre, at tredjeparts-løsningerne bliver anvendt på en forsvarlig måde via uddannelse og opdragelse af medarbejderne.

Der skal med andre ord formuleres klart og tydelige regler om nøjagtigt hvilke tredjeparts-løsninger, der må anvendes til hvad, ligesom alle medarbejderne skal overbevises om, at de også selv skal tænke kritisk, når de vælger en løsning fra 'skyggerne,' der er uden for it-afdelingens synsvinkel.

Ifølge Cloud Security Alliance falder kæden ofte af på grund af begrebs-forvirring.

Organisationen peger på, at ordet 'cloud' ofte betyder noget andet for it-afdelingen end den gør for medarbejderne.

It-afdelingen mener, at 'cloud' dækker over eksempelvis Amazon AWS eller en bestemt virtualiserings-teknologi eller lignende, mens det for medarbejderne også dækker over Dropbox, GoogleDocs, LinkedIn og lignende internet-løsninger.

Hertil kommer, at det i dag er blevet meget nemt for medarbejderne og de enkelte afdelinger i virksomheden at købe og åbne nye cloud-løsninger i eksempelvis Amazon AWS og Microsofts Azure-sky.

Jim Reavis fra Cloud Security Alliance peger på, at kan løses ved at installere monitorerings-software.

"It-afdelingen skal have en 'governance'-rolle i virksomheden og sikre, at brugerne anvender den nødvendige teknologi til at løse forretningens problemer, mens forretningens og kundernes oplysninger skal sikres," siger han.

Det betyder, at virksomheden skal undgå, at enkelte medarbejdere i enkelte afdelinger begynder at opfatte sig selv om deres egne it-administratorer - selv hvis det sker med den enkelte afdelings-leders velsignelse.

Læs også:

Disse ting holder din it-chef vågen om natten

Der investeres flere penge i it - men ikke i it-afdelingen

Holdes udenfor: Firmaer køber massivt ind af it uden om CIO'en

Her er de farligste data-huller for CIO'en - vær ekstra forsigtig her

Tvang: Skal dit firma ansætte en databeskyttelses-chef eller smutter du under søgelyset?




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Højer og Lauritzen ApS
Distributør af pc- og printertilbehør.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Undgå cyberkatastrofen med automatiseret kontrol over sensitive data

Når cyberkriminelle gennemtrænger din sikkerhedsinfrastruktur, bruger de i snit 48 dage til at danne sig et overblik over sensitive data, før de lukker dine systemer og data ned med ransomware. På dette seminar får du derfor et solidt grundlag for at sikre dig overblik over sensitive, virksomhedskritiske informationer. Derudover vil du få et praktisk indblik i, hvordan du beskytter dine informationer, så du er er mindre sårbar når cyberkriminelle trænger ind på dit netværk, samt et overblik over typiske angrebsformer og viden om, hvordan et ransomwareangreb foregår i praksis.

07. februar 2023 | Læs mere


Status og erfaringer fra fem år med GDPR

Vi samler nogle af Danmarks fremmeste GDPR-eksperter trådene efter knapt fem år. Dette giver dig et solidt overblik over de hidtidige erfaringer og sikker viden at basere din indsats på, når du skal planlægge og tilpasse din organisations indsats for at sikre compliance med det omfattende regelkompleks.

07. februar 2023 | Læs mere


ERP-trends 2023

Vi sætter også fokus på, hvordan udviklingen kommer til at påvirke din organisation, hvordan du bedst forbereder og planlægger ERP-indsatsen og om, hvilke faldgruber du skal være opmærksom på. Herunder hvordan den stadig mere udbredte – og uomgængelige – anvendelse af cloudservices vil påvirke dine muligheder for at få mest muligt ud af dine investeringer.

08. februar 2023 | Læs mere