"Skygge-it" truer it-avdelingen

Offentlige skytjenester på nettet, som leverer ferdige programvaretjenester (SaaS - Software as a Service) representerer en klar og økende risiko når bedriftenes it-avdeling mister styringen over bruken. Dette er budskapet i en rapport som det amerikanske konsulentfirmaet PricewaterhouseCoopers (PwC) nylig har publisert.

Risikoene omfatter en rekke elementer som datasikkerheten, transaksjonsintegriteten, kontinuerlig forretningsdrift og brudd på regulatoriske krav til databehandlingen, advarer selskapet.

«Skygge-it»

Fenomenet omtales ofte som «skygge-it», og er en direkte følge av en av de store it-trendene de siste årene: Brukerstyringen, den såkalte «konsumeriseringen», av it. Som privatpersoner er vi vant til å ta i bruk it-tjenester på nettet etter eget forgodtbefinnende, akkurat når det passer oss selv. Dette går svært raskt, som regel holder det å klikke på en «aksept-knapp» eller oppgi kredittkortinformasjon for betalingstjenester, og så er tjenesten umiddelbart tilgjengelig.

Dette er en leveringstid som de færreste it-avdelinger kan konkurrere med, og som er helt umulig for helt nye tjenester som bedriften ikke allerede har i porteføljen sin.

Problemet oppstår når personer eller avdelinger gjør det samme på jobben, og tar i bruk nettjenester på eget initiativ, for bruk i jobben. Det er når dette skjer uten at it-avdelingen er involvert, eller i det hele tatt er kjent med at tjenesten anskaffes, at vi snakker om skygge-it.

Det finnes mange forskjellige typer tjenester som passer for bedriftsbruk, og tilbys og leveres på denne måten i dag: Typiske eksempler er CRM-systemer, lagringsløsninger, samhandlingsløsninger og systemer for administrasjon av ansatte.

- Under radaren

PwC-rapporten forteller at skygge-it er en økende tendens i bedriftene. Tilbudet av skytjenester for profesjonell bruk øker stadig, og i dag tilbys det slike SaaS-tjenester innenfor nær sagt alle forretningsområder og funksjoner som bedrifter trenger, og tilgjengeligheten er bare et tastetrykk unna.

- Skygge-it i skyen kommer inn i bedriftene under radaren, sa Cara Beston, risikoanalytiker hos PwC, til vår søsterpublikasjon computerworld.com. – Bruken av slike tjenester er samtidig vanskelige å finne, fordi den enkelte tjenesten skaffes for en relativt billig penge som ikke eksisterer som en anskaffelseskostnad i bedriftens regnskap, i tillegg til at tjenesten ikke opererer innenfor bedriftens grenser, la hun til.

Sikkerhetsrisiko

Det er på informasjonssikkerhetssiden at de største risikoene finnes. Siden it-avdelingen ikke kjenner til at de enkelte tjenestene tas i bruk, gjøres vanligvis heller ingen sikkerhetsvurderinger i forbindelse med anskaffelsen. Dermed blir ingen it-faglige vurderinger av tjenestens sikkerhetsnivå og –risiko gjennomført, ei heller blir noen sikkerhetstiltak for å bruke tjenesten trygt satt i drift.

Den «praktiske tjenesten som var nesten gratis» som et par personer i en eller annen avdeling bare kjapt tok i bruk for å gjøre jobben sin raskere og bedre, har plutselig blitt en vidåpen dør til bedriftsintern informasjon.

Det er galt nok å miste kontrollen over intern, sensitiv forretningsinformasjon, men det kan bli direkte kriminelt dersom det handler om å miste kontrollen over informasjon som er underlagt myndighetspålagte, regulatoriske krav til håndtering, bruk og oppbevaring.

Det vanligste eksemplet på slik informasjonen er data som reguleres av Personopplysningsloven. I tillegg vil finnes det en rekke andre lover og forskrifter som regulerer bedrifters forpliktelser til trygg databehandling.

Ledelsesansvar

- Ansvaret for få kontroll over skygge-it ligger hos ledelsen i bedriften. Det er enten it-sjefen eller finanssjefen som har det overordnete ansvaret, men det er it-avdelingen som må ta de første konkrete grepene, sier Beston.

Å skaffe oversikten over alle eksterne tjenester som faktisk er i bruk er første steg, og det kan være en utfordring i seg selv. Det kan kreve en kombinasjon av databaserte verktøy og manuelle teknikker for å oppdage applikasjonene, og hvilke data disse faktisk håndterer.

Deretter må bedriften forholde seg til hver enkelt tjeneste, og identifisere de som av en eller annen grunn må stenges eller begrenses, og hvilke som skal inngå i bedriftens portefølje av verktøy i bruk. Først da har bedriften sikret seg mot utilsiktete problemer som følge av ukritisk bruk av eksterne skytjenester.