;

Stínové IT může ohrozit celou firmu

26. 8. 2015
Doba čtení: 4 minuty

Sdílet

 Autor: Fotolia © ktsdesign
Jestliže podnik neposkytne zaměstnancům potřebné IT nástroje, riskuje, že budou v jeho síti provozovány potenciálně nebezpečné aplikace, alternativní úložiště dat a další technologie zcela mimo kontrolu IT oddělení.

Oproti minulosti dochází dnes v některých firmách k výraznému uvolnění dříve striktních pravidel využívání IT. Zaměstnanci mohou často pracovat s firemními systémy a daty nejen z pracovních počítačů, ale i ve svých vlastních zařízeních a nemají nijak omezenou možnost využívat různé internetové (cloudové) služby. Tento trend má sice své nesporné výhody, mezi které patří například mobilita, jednodušší sdílení informací a dat v rámci týmů i snížení nákladů na IT, ovšem přináší i nezanedbatelná rizika. Ta se často projeví ve chvíli, kdy zaměstnanci nezískají oficiální cestou, tedy prostřednictvím firemního IT, aplikaci či nástroj, který ke své práci potřebují.

„Využívání veřejných cloudových služeb i mnoha dalších běžně dostupných technologií nevyžaduje žádné zvláštní znalosti ani investice. Aktivnější zaměstnanci jimi proto často nahrazují služby, které jim ve firemní síti chybějí,“ říká Vladimír Michálek, Business Unit Director společnosti Servodata. „Například umístění citlivých dat v nedostatečně zabezpečených cloudových úložištích nebo jejich přenášení na USB flash discích představuje pro každou firmu opravdu značné riziko.“

Potenciální nebezpečí

Veřejně dostupné cloudové služby představují výkonnou, snadno dostupnou a často i velmi levnou či bezplatnou alternativu k tradičním podnikovým systémům. Zaměstnanci je proto, často bez vědomí firemního IT a svých nadřízených, začnou využívat například k ukládání a sdílení souborů v pracovních týmech, komunikaci s kolegy a zákazníky, ke správě kontaktů obchodních partnerů a klientů či k analýzám dat nebo testování. Výjimkou není ani využívání těchto služeb přímo pracovníky IT oddělení, kteří se domnívají, že dokážou případná rizika zvládnout lépe než ostatní zaměstnanci. „Používání veřejných cloudových služeb, které si zvolí sami zaměstnanci, je problematické především v tom, že zpravidla nesplňuje firemní politiky pro práci s citlivými daty, například pokud jde o tvorbu přístupových hesel k těmto systémům a zabezpečení dat na straně poskytovatele služby,“ vysvětluje Vladimír Michálek.

Vznik stínového IT ovšem nezpůsobuje primárně nedisciplinovanost zaměstnanců, kteří zpravidla jen hledají nástroje na efektivní plnění svých pracovních úkolů. Firmy se často nechtějí vzdát svých historických podnikových systémů, které již neodpovídají současným nárokům, a aktivně nehledají alternativy, které by byly bezpečné a zároveň flexibilní i méně nákladné než údržba či nahrazení současných řešení. Často také nejsou zaměstnancům jasně sdělena pravidla a politiky pro práci s firemními daty (jsou-li v podniku vůbec nastavena), takže si někdy ani hrozící rizika neuvědomují.

Samotné zákazy nestačí

Některé firmy se snaží se stínovým IT bojovat prostřednictvím restrikcí a detailního sledování aktivity zaměstnanců při práci s firemními daty či internetovými službami. Komplexní bezpečnostní řešení hlásí jakékoli podezřelé aktivity a zároveň zablokuje vynášení dat mimo firemní síť.

bitcoin_skoleni

„Z naší zkušenosti víme, že posílení zabezpečení a vynucování pravidel pro manipulaci s daty ve firemní síti sice ošetří hlavní rizika, ale neřeší samotnou příčinu vzniku stínového IT,“ doplňuje Vladimír Michálek. „Zároveň je totiž důležité poskytnout zaměstnancům nástroje, které jim pomohou v práci bez zvyšování bezpečnostních rizik, což je daleko efektivnější než se stínovým IT donekonečna bojovat.“

Od služeb firemního IT se očekává rychlost. Zaměstnanci dnes nechtějí ček