SKYGGE-IT: Det viser seg at de færreste bedrifter har kontroll over skytjenester de ansatte har tatt i bruk på eget initiativ. Foto: iStock

Vanskelig å se skygger i mørket

It-avdelingene famler i mørket etter skytjenester som skaffes utenfor normale anskaffelsesrutiner.

Publisert Sist oppdatert

I en helt ny rapport som er publisert at non-profit bransjeorganisasjonen Cloud Security Alliance (CSA), kommer det frem at de færreste bedrifter har noen som helst kjennskap til hvor mye «skygge-it» bedriften faktisk bruker.

Av 212 spurte fra bedrifter av alle størrelser fra hele verden, oppgav kun 8 prosent at de visste hvor mange skygge-it-applikasjoner som var i bruk i bedriften. Europeerne kom litt bedre ut på dette spørsmålet, i vår verdensdel svarte 10 prosent at de hadde kontroll over de uoffisielle eksterne tjenestene.

Samtidig svarte hele 72 prosent av alle spurte at de ikke hadde kjennskap til omfanget av skygge-it i egen bedrift, men at de ønsket å få det.

Hva er en «skytjeneste»?

Ett av problemene kan være at forskjellige personer har forskjellig innhold i begrepet «skytjeneste». I it-avdelinger tenkes det kanskje først og fremst på infrastruktur- og plattformtjenester som for eksempel Microsoft Azure, når det er snakk om skytjenester. Software as a Service-tjenester, som Dropbox, Google Docs eller selv Linkedin, havner ikke like ofte inn i det samme begrepet. Og det er her de fleste skyggetjenestene finnes.

- Om jeg bare hadde fått en dollar for hver gang jeg hørte noen si «Vi bruker ikke skytjenester hos oss, men vi elsker Salesforce», sa Jim Reavis, toppsjef i CSA, til vår amerikanske søsterpublikasjon Infoworld.com.

Hvordan finne skygge-it

Et annet problem med å få kontroll over skygge-it, er at it-avdelingen ikke på noe tidspunkt er involvert i anskaffelsen – dette skjer som regel når en ansatt går lei av interne tjenester, og derfor tar snarveien ut i verden for å kjøpe en ekstern tjeneste.

Dette er hun vant med fra sin private it-bruk, og dermed blir kanskje den eneste dokumentasjonen av at tjenesten er tatt i bruk, en linje og et bilag på den ansattes reiseregning eller annen utleggsrefusjon. Reavis mener derfor at bedrifter som ønsker å oppnå full kontroll over skygge-it, bør overvåke slike utgiftsposter. Velger den ansatte derimot å betale dette fra egen lomme, vil ikke engang dette sporet eksistere.

Reavis råder derfor it-avdelingene å overvåke utgående nettverkstrafikk fra bedriftens nettverk nøyere. Trafikk som går i denne retningen har tradisjonelt blitt behandlet mer lemfeldig enn innkommende trafikk, men dette kan være en metode for å oppdage at skygge-it er i bruk i bedriften.

Om den ansatte ikke kommuniserer over bedriftens internett-tilkobling, men i stedet kommuniserer over mobilnettverkene, vil bruken av skygge-it igjen være fullstendig mørklagt. Da gjenstår det bare for it-avdelingen å snakke med folk, og informere om bedriftens politikk på dette området.

Voksende trend

Denne rapporten er ikke den eneste i sitt slag. Like før jul omtalte vi en annen rapport med lignende innhold, den hadde sin opprinnelse fra analyseselskapet Frost & Sullivan. Litt tidligere på høsten var også konsulenthuset PricewaterhouseCoopers på banen med en advarsel om voksende bruk skygge-it, med særlig fokus på sikkerhetssiden av saken. Computerworld omtalte også denne rapporten.

Summen av dette er at det er åpenbart at skygge-it er voksende, og at de tradisjonelle mekanismene i bedriftene ikke kan brukes på dette området.

Rapporten «Cloud adoption practices and priorities survey report» fra CSA kan du laste ned i sin helhet her. Det er en 13-siders PDF-fil som krever registrering før du får tilgang til nedlastingen.