;

Hledání pozitiv stínového IT

15. 6. 2020
Doba čtení: 6 minut

Sdílet

 Autor: Adobe Stock
Benefity a potenciál stínového IT rozpoznávají už i podnikoví informatici. V organizaci ale nesmějí chybět pravidla pro jeho integraci do provozu. Uživatelé potřebují více podpory a poučení. Pomyslný míč je spíše na straně organizace.

Stínové IT představuje pro podnikové manažery IT zdroj trvalých obav. Platí to zejména pro oblasti bezpečnosti, kontroly, správy nebo i datových formátů. Zaměstnanci s oblibou pracují se soukromými účty cloudových služeb, využívají vlastní zařízení a nezřídka dochází k situacím, kdy si některé organizační útvary najmou externí vývojáře na naprogramování mobilní aplikace nebo na lokalizaci určitého programu. Čas od času jsou podnikoví informatici povoláni, aby vyřešili problémy, jež předchozí nevázaný přístup vygeneroval. Překvapení často čeká také na finanční manažery, kteří s údivem sledují účty za odběr nejrůznějších on-line služeb.

Přes tato negativa se pohled na stínové IT mění. Přestává být považováno za explicitně špatnou věc. Také podnikoví informatici docházejí k názoru, že představuje zdroj inovací a růstu produktivity zaměstnanců. Nestali se z nich samozřejmě nadšení stoupenci a podporovatelé tohoto trendu. Namísto marného boje a snahy o restriktivní přístup ale většina z nich volí, či chce volit cestu spolupráce a partnerství s uživateli.

K těmto závěrům došli konzultanti společnosti Entrust Datacard, kteří se na problematiku stínového IT dotazovali jednoho tisíce IT profesionálů.

77 procent z nich má za to, že by jejich organizace integrací či akceptací tohoto historicky nežádoucího, ale vytrvalého trendu mohly získat jisté výhody.

Sami informatici zaznamenali vyšší kreativitu a snahu o inovativní přístupy k práci u zaměstnanců, kteří mohli využívat vlastní preferované nástroje. V dlouhodobém horizontu by formální ošetření stínového IT mělo podporovat strategické cíle organizací.

Pro pořádek dodejme, že stínové IT definují autoři studie jako provoz či přítomnost neřízených a neschválených řešení v interní infrastruktuře organizace. Z hlediska bezpečnosti a její správy představují v podstatě slepé místo. Podle predikce analytiků společnosti Gartner bude stínové IT zdrojem či původcem každého třetího bezpečnostního incidentu.

Přínosy, rizika a vlastní nedostatky

O zaměstnancích, kteří používají technologie podle vlastního výběru, informatici tvrdí, že jsou produktivnější (49 %), angažovanější (45 %), loajálnější (40 %) nebo ochotnější dodržovat bezpečnostní požadavky organizace (40 %). Hodnoty v závorkách indikují silný souhlas respondenta. Mezi uváděnými pozitivy se ale najdou výjimky. Čtvrtina dotazovaných informatiků, oproti očekáváním relativně malá množina, považuje zaměstnance využívající vlastní technologie za velké bezpečnostní riziko.

Na 77 procent respondentů průzkumu má za to, že se otázka stínového IT může do roku 2025 stát výrazně problematičtější, pokud se jí nezačnou organizace systematicky věnovat. A příslušné postupy nebo pravidla nezřídka chybějí.

Podniková IT oddělení v současnosti povětšinou nedisponují procesy a protokoly, které by zaměstnancům umožnily, aby preferované technologie vlastního výběru bezpečně používali. Podnikoví informatici a manažeři z ostatních útvarů by podle mínění autorů studie měli na návrhu a aplikaci bezpečnostních protokolů, postupů intenzivně spolupracovat. Jejich kooperace v důsledku omezí nebo značně redefinuje prostor pro existenci stínového IT.

Pouze 37 procent dotazovaných organizací jasně definovalo důsledky pro či dopady na zaměstnance, kteří využívají nové technologie bez povolení interního útvaru IT. Těmito interními ustanoveními je chtějí přivést k větší odpovědnosti. Mimo jiné si také uvědomují, že role informatiků se vyvíjí a historicky preferovaný striktně restriktivní přístup v moderně řízených organizacích neobstojí.

Pomalé schvalování žádostí o povolení nových technologií, případně jejich ignorování vede k frustraci zaměstnanců, kterou transformují do aktivit ze světa stínového IT. Zvyšují tak rizika, jimž organizace čelí. Ale jsou jedinými viníky této situace? Pouze 12 procent IT útvarů ze zkoumaného vzorku poctivě a zodpovědně prověří a reaguje na všechny požadavky zaměstnanců.

Pod svícnem bývá tma, což platí i pro vztah stínového IT a podnikových informatiků. Minimálně 40 procent se přiznalo k použití zařízení, aplikace nebo služby bez toho, že by obdrželo souhlas od svých nadřízených. Tímto přístupem získávají cenné zkušenosti z oblasti, kterou mají sami účinně ošetřit, ne-li potírat.

Čtyři pětiny dotazovaných informatiků bez obav o obavách ze stínového IT hovoří. Podle konzultantů firmy Digital Shadows jde o projev rostoucí priority tématu v organizacích. Pokud něco brání účinnému řešení souvisejících výzev, jsou to primárně rigidní interní procesy a nejasné důsledky případných pochybení.

Cesta změny

Na 80 procent dotazovaných podnikových informatiků věří, že by jejich organizace měla být při nasazování nových, zaměstnanci žádaných technologií agilnější. Pomoci by jim v tom měla primárně jasná definice pravidel a procesů pro zpracování těchto požadavků. S tímto tvrzením se ztotožňuje 36 procent respondentů. Více než dvě pětiny se současně domnívají, že jasná pravidla pro požadavky by pomohla při zavádění nových technologií v souladu s postupy, možnostmi a potřebami organizace.

ICTS24

Autoři studie nabádají organizace, potažmo jejich informatiky, aby vytvořily knihovny předschválených cloudových aplikací a služeb, jež zpřístupní v podnikovém obchodu. Ostatní požadavky, jež neprošly formální akceptací, lze řešit například s pomocí autentizačních platforem, jež využívají standardy, jako jsou SAML-Security Assertion Markup Language nebo OpenID. Jejich prostřednictvím lze rychle připojovat další služby, což samozřejmě neřeší všechna bezpečnostní úskalí.

Informatici by také měli implementovat pokročilá monitorovací řešení, která odhalí nestandardní a nežádoucí chování ve spravované infrastruktuře i ve využívaných vnějších systémech. Tyto nástroje mohou sledovat a vyhodnocovat celou řadu parametrů, například IP adresy, MAC adresy, plug-iny internetových prohlížečů nebo geografickou polohu, bez toho, že by zatěžovala uživatele povolených zařízení, aplikací a služeb.