Hvordan leve opp til nye krav om datasikkerhet?
Skygge IT er et samlebegrep for programvare og (sky)tjenester utenfor bedriftens eierskap og kontroll, noe som utgjør en stor sikkerhetstrussel. Bruk av skygge IT har hatt en enorm økning de siste årene som følge av utbredelsen av smarttelefoner, skytjenester og konsumeriseringen av IT, og kan gi virksomheter store problemer med å overholde de nye personvernreglene (GDPR) som blir norsk lov 25.mai 2018. I lys av GDPR er det ekstra viktig å avdekke og håndtere bruk av skygge IT.
Konsumeriseringen av IT
Konsumerisieringen av IT, også kalt brukerstyrt IT, er en trend hvor forbrukeren står i fokus når det utvikles nye produkter og tjenester. Vi har blitt vant med sømløse brukeropplevelser for alle apper og tjenester vi bruker privat, og vi forventer nå det samme på jobb.
Enterprise-løsninger er derimot ikke kjent for gode brukeropplevelser. De er ofte veldig komplekse, tungvinte og lite brukervennlige. Hva skjer når ansatte ikke er fornøyd med løsningene de har tilgang til på jobb? De begynner å se etter alternativer. Konsumeriseringen av IT har gjort det superenkelt å ta i bruk nye tjenester og applikasjoner, og er en av de store driverne bak utbredelsen av skygge IT.
Eksempler på skygge IT
Typiske eksempler på skygge IT er ulike Software-as-a- Service (SaaS) tjenester som produktivitetsverktøy, CRM-systemer, lagringsløsninger og samhandlingsverktøy.
Flere av disse verktøyene kan i seg selv være trygge å bruke, men når ansatte lager private kontoer for å bruke i jobbsammenheng så har ikke IT-avdelingen verken eierskap til eller kontroll på dataen som lagres der. Konkrete eksempler inkluderer å bruke sin private Dropbox eller Google Drive til jobbdokumenter, eller å bruke sin personlige email i jobbsammenheng.
I slike situasjoner er det kun den enkelte brukeren som har tilgang på dataene, og kan egentlig ta med seg disse når de slutter. Private kontoer i jobbsammenheng er derfor en stor sikkerhetsrisiko. Det sier seg kanskje selv at man ikke bør bruke personlige kontoer på jobb, men til og med Hillary Clinton var skyldig i å opprette et privat email system for både privat og jobbrelatert mail for å slippe å bruke to mobiler.
I enkelte tilfeller kjøper avdelinger i organisasjonen inn verktøy til de ansatte uten å klarere det med IT. I slike tilfeller har man mest sannsynlig en admin i avdelingen som har kontroll over data og kan administrere brukerne, men også slike tilfeller er problematiske.
Når IT-avdelingen ikke har vært med i beslutningsprosessen, har det heller ikke blitt gjort en grundig risikovurdering av tredjepartstjenesten eller blitt inngått avtale om databehandling. Det er organisasjonen som kjøper inn skytjenesten som har ansvar for at lovens krav følges. En slik databehandleravtale bør blant annet dekke momenter som sikkerhetskopiering, tilgangsstyring, sletting og segmentering av informasjon.
Farene ved bruk av skygge IT
Når IT avdelingen ikke vet om tjenester som blir tatt i bruk, blir det heller ikke gjort noen sikkerhetsvurderinger. De største risikoene knyttet til bruk av skygge IT er tap av data og datamisbruk, brudd på regulatoriske krav og økonomiske konsekvenser knyttet til betaling for flere tjenester som dekker samme behov eller bøter.
1. Datasikkerhet
Når de ansatte bruker skygge IT på jobb deler de intern data med uautoriserte tredjeparter. Slike uatoriserte tjenester har ofte langt lavere sikkerhet enn enterprise-løsninger, og er dermed mye lettere å hacke. I tillegg, er det mye lettere for ansatte og ta med seg bedriftshemmeligheter videre til en eventuell ny arbeidsgiver. I slike situasjoner vil ikke IT-avdelingen ha mulighet til å avdekke eventuelle datatap eller datamisbruk, noe som gjør det veldig vanskelig å vite hvor mye og hvilken type data som er på avveie.
2. Brudd på regulatoriske krav
At sensitiv, intern forretningsinformasjon kommer på avveie er en stor risiko i seg selv, men dersom man mister kontroll over informasjon som er underlagt lovfestede krav til håndtering, bruk og oppbevaring, blir det faktisk kriminelt. Mangelen på sikkerhetsfunksjoner i de fleste tjenester som går under kategorien “skygge IT” øker risikoen for brudd på regulatoriske krav, som GDPR. Brudd på personvernreglene kan resultere i massive bøter opp mot 20 millioner euro eller 4 % av omsetning.
3. Økonomisk risiko
Dersom avdelinger kjøper inn eksterne verktøy uten å avklare med IT-avdelingen, ender man opp med å betale for flere tjenester som skal dekke samme behov. I tillegg står man som nevnt i fare for å få svære bøter dersom verktøyene som brukes ikke oppfyller GDPR reglene.
Hvordan håndtere bruk av skygge IT?
For å eliminere problemene som oppstår ved bruk av skygge IT, må man starte med å forstå hvorfor skygge IT er så utbredt. I bunn og grunn handler det om at enterprise-løsninger ikke oppfyller brukernes behov. Derfor vil det være helt feil strategi å forby alle uautoriserte applikasjoner i et forsøkt på å stoppe videre bruk. Skygge IT er bare et symptom på det underliggende problemet; ansatte ønsker den samme sømløse brukeropplevelsen på jobb, som de har privat.
1. Identifiser hvilke eksterne tjenester som blir brukt i organisasjonen
Start med å avdekke omfanget av skygge IT. Bruk en kombinasjon av automatiserte og manuelle metoder for å identifisere hvilke skyløsninger som blir brukt og hvor de blir brukt i organisasjonen.
2. Finn ut hvilke av de eksterne tjenestene som bør bli godkjent og hvilke som bør forbys
Gjør en grundig risikovurdering av de ulike eksterne tjenestene som blir brukt og kategoriser tjenestene basert på dette. Dersom tjenester oppfyller kravene til datasikkerhet og har høy adopsjon innad i organisasjonen, bør det inngås en formell databehandleravtale med tredjepartstjenesten. Dersom de ikke oppfyller kravene bør tjenestene forbys, og det bør formidles klart til de ansatte hvorfor disse tjenestene forbys og konsekvensene fortsatt bruk vil innebære.
3. Lær av de ansatte og kom opp med trygge alternativer til tjenester som forbys
Når man har funnet ut hvilke tjenester som brukes og hvilke som eventuelt kan godkjennes, så blir neste steg å finne alternativer til de tjenestene som må forbys. Her bør man snakke med de ansatte for å finne ut hvilke spesifikke behov disse programmene oppfyller som bedriftens interne verktøy ikke gjør. Oppmuntre de ansatte til å dele hvilke tjenester de foretrekker og hvorfor. Man bør ikke forby verktøy uten å komme opp med trygge, alternative løsninger som oppfyller de ansattes behov, ettersom ansatte alltid vil finne en måte å bruke verktøyene de liker best.
Kort oppsummert
- Hva er skygge IT? Et samlebegrep for programvare og (sky)tjenester utenfor bedriftens eierskap og kontroll.
- Hva er GDPR? The General Data Protection Regulation er EUs forordning for personvern som blir norsk lov 25.mai 2018.
- Hva innebærer konsumeriseringen av IT? Konsumeriseringen av IT, også kalt brukerstyrt IT, er en trend hvor forbrukeren står i fokus når det utvikles nye produkter og tjenester.
- Hva er farene ved bruk av skygge IT? De største risikoene knyttet til skygge IT er tap av data og datamisbruk, brudd på regulatoriske krav og økonomiske konskvenser knyttet til betaling for flere tjenester som dekker samme behov eller bøter.
- Hvordan håndtere bruk av skygge IT? For å løse problemet med bruk av skygge IT er det viktig å forstå hvorfor ansatte velger å bruke andre verktøy enn de bedriften har investert i. Få oversikt over hvilke uatuoriserte applikasjoner om brukes, godkjenn app’er som oppfyller krav til datasikkerhet og finn gode alternativer til de som ikke gjør det.
Kilder:
Datatilsynet (2014). Skytjenester — en veiledning.
Kaneshige, Tom (2015). Hillary Clinton is now the face of shadow IT. ICO
PwC (2015). Managing the shadow cloud.
Veggerby, Kristoffer, (2017). “Skygge-it gør det vanskeligt at leve op til krav om datasikkerhed. IT watch
Øyvann, Stig. (2014). “Skygge-it” truer it-avdelingen. Computerworld
Ønsker du et trygt verktøy dine ansatte vil elske å bruke? Prøv Upwave Gratis
Originally published at https://www.linkedin.com on April 13, 2018.
