Co je to stínové IT a jak může ohrozit celou firmu

31. 8. 2015. (redaktor: František Doupal, zdroj: Servodata)
Jestliže podnik neposkytne zaměstnancům potřebné IT nástroje, riskuje, že budou v jeho síti provozovány potenciálně nebezpečné aplikace, alternativní úložiště dat a další technologie zcela mimo kontrolu IT oddělení.

Oproti minulosti dochází dnes v některých firmách k výraznému uvolnění dříve striktních pravidel využívání IT. Zaměstnanci mohou často pracovat s firemními systémy a daty nejen z pracovních počítačů, ale i ve svých vlastních zařízeních a nemají nijak omezenou možnost využívat různé internetové (cloudové) služby. Tento trend má sice své nesporné výhody, mezi které patří například mobilita, jednodušší sdílení informací a dat v týmu i snížení nákladů na IT, ovšem přináší i nezanedbatelná rizika. Ta se často projeví ve chvíli, kdy zaměstnanci nezískají oficiální cestou, tedy prostřednictvím firemního IT, aplikaci či nástroj, který ke své práci potřebují.

„Využívání veřejných cloudových služeb i mnoha dalších běžně dostupných technologií nevyžaduje žádné zvláštní znalosti ani investice. Aktivnější zaměstnanci jimi proto často nahrazují služby, které jim ve firemní síti chybějí,“ řekl Vladimír Michálek, business unit director společnosti Servodata. „Například umístění citlivých dat v nedostatečně zabezpečených cloudových úložištích nebo jejich přenášení na USB flash discích představuje pro každou firmu opravdu značné riziko.

Potenciálně nebezpečné alternativy

Veřejně dostupné cloudové služby představují výkonnou, snadno dostupnou a často i velmi levnou či bezplatnou alternativu k tradičním podnikovým systémům. Zaměstnanci je proto, často bez vědomí firemního IT a svých nadřízených, začnou využívat například k ukládání a sdílení souborů v pracovních týmech, komunikaci s kolegy a zákazníky, ke správě kontaktů obchodních partnerů a klientů či k analýzám dat nebo testování. Výjimkou není ani využívání těchto služeb přímo pracovníky IT oddělení, kteří se domnívají, že dokážou případná rizika zvládnout lépe než ostatní zaměstnanci. „Používání veřejných cloudových služeb, které si zvolí sami zaměstnanci, je problematické především v tom, že zpravidla nesplňuje firemní politiky pro práci s citlivými daty, například pokud jde o tvorbu přístupových hesel k těmto systémům a zabezpečení dat na straně poskytovatele služby,“ vysvětlil Vladimír Michálek.

Vznik stínového IT ovšem nezpůsobuje primárně nedisciplinovanost zaměstnanců, kteří zpravidla jen hledají nástroje na efektivní plnění svých pracovních úkolů. Firmy se často nechtějí vzdát svých historických podnikových systémů, které již neodpovídají současným nárokům, a aktivně nehledají alternativy, které by byly bezpečné a zároveň flexibilní i méně nákladné než údržba či nahrazení současných řešení. Často také nejsou zaměstnancům jasně sdělena pravidla a politiky pro práci s firemními daty (jsou-li v podniku vůbec nastavena), takže si někdy ani hrozící rizika neuvědomují.

Zákazy nic neřeší

Některé firmy se snaží se stínovým IT bojovat prostřednictvím restrikcí a detailního sledování aktivity zaměstnanců při práci s firemními daty či internetovými službami. Komplexní bezpečnostní řešení hlásí jakékoli podezřelé aktivity a zároveň zablokuje vynášení dat mimo firemní síť.

„Z naší zkušenosti víme, že posílení zabezpečení a vynucování pravidel pro manipulaci s daty ve firemní síti sice ošetří hlavní rizika, ale neřeší samotnou příčinu vzniku stínového IT,“ doplnil Vladimír Michálek. „Zároveň je totiž důležité poskytnout zaměstnancům nástroje, které jim pomohou v práci bez zvyšování bezpečnostních rizik, což je daleko efektivnější než se stínovým IT donekonečna bojovat.“

Efektivní řešení stínového IT by mělo zahrnovat především:

Identifikaci problému – zaměstnanci zpravidla nemají v úmyslu firmu poškodit, ale hledají službu či aplikaci, která jim pomůže v práci. Rizika si často neuvědomují a firemní politiky pro práci s daty jim nikdo nesdělil, nebo možná vůbec neexistují.

Využití aktivity zaměstnanců – zeptejte se zaměstnanců, jaké služby a proč k plnění svých úkolů využívají. Je pravděpodobné, že existují i jejich varianty či alternativy, vhodné pro nasazení ve  firemním IT.

Audit využívaných systémů – služby využívané zaměstnanci ve stínovém IT mohou často nahradit současné, historické IT systémy firmy. Výsledkem může být lepší funkcionalita, vyšší spokojenost zaměstnanců i snížení nákladů na IT.

Podpora BYOD – jestliže zaměstnanci chtějí pracovat s vlastními zařízeními, měla by jim to firma umožnit, ovšem při nastavení jasných pravidel a bezpečnostních mechanismů.

Získání kontroly nad IT – výsledkem opatření proti stínovému IT musí být zpětné získání kontroly IT oddělení nad systémy a službami, které budou zaměstnanci využívat.

Průběžná aktualizace – cloudové služby se neustále vyvíjejí, stejně jako potřeby a nároky zaměstnanců. IT oddělení by proto mělo proaktivně hledat a posuzovat technologie na podporu podnikových procesů dříve, než je zaměstnanci sami začnou nekontrolovaně využívat.

„Posuzování nových technologií pro rozšíření služeb firemního IT musí být sice důkladné, ale zároveň by mělo být i rychlé, stejně jako jejich případné nasazení. Zaměstnanci dnes nechtějí čekat dlouhé měsíce na implementaci služby, kterou mohou zcela zdarma, nebo za mírný poplatek, okamžitě začít využívat sami. Zároveň je ale třeba stanovit jasná pravidla, jaké nakládání s firemními daty nebude v žádném případě tolerováno, aby se firma kvůli ztrátě nebo odcizení dat nedostala do vážných problémů,“ uzavřel Vladimír Michálek.

Štítky: 
Bezpečnost, Servodata
Vytisknout Poslat e-mailem Sdílet na LinkedIn

Podobné články

Zyxel posiluje kybernetickou bezpečnost v souladu s požadavky směrnice NIS2

2. 5. 2024. (redaktor: František Doupal, zdroj: Zyxel)
Směrnice EU o bezpečnosti sítí a informačních systémů NIS1, která platí od roku 2016, přestala v důsledku rostoucí četnosti a složitosti kybernetických hrozeb vyhovovat nárokům dnešní doby. Její novela, která nabude účinnosti 18. října 2024, představuje příležitost k posílení kybernetické bezpečnosti. Čtěte více

České podniky čelí většímu počtu kyberútoků než organizace v okolních zemích

26. 4. 2024. (redaktor: František Doupal, zdroj: Check Point)
První čtvrtletí roku 2024 přineslo další posun v kybernetických válkách. Kyberbezpečnostní společnost Check Point Software Technologies zaznamenala výrazný nárůst kyberútoků, kdy v 1. čtvrtletí 2024 došlo k 28% nárůstu průměrného počtu kybernetických útoků na jednu organizaci v porovnání s posledním čtvrtletím roku 2023. Největší nápor směřuje na vzdělávací a výzkumné organizace. Čtěte více

Eviden monitoruje na dark webu ukradená data a pomáhá tak firmám předvídat kybernetické hrozby

25. 4. 2024. (redaktor: František Doupal, zdroj: Eviden)
Eviden svým zákazníkům poskytuje službu prediktivní bezpečnosti založenou na řešení LUMINAR monitorující únik citlivých informací do prostředí dark webu. Jde o službu, která firmám na základě kontinuálního monitoringu umožňuje vyhledávat a sledovat data a informace, které by útočníci mohli zneužít pro kybernetický útok a proaktivně tak přijímat preventivní opatření. Čtěte více
Scott Tyson, ředitel prodejního kanálu MSP pro oblast EMEA ve společnosti Sophos

Scott Tyson (Sophos): Pojďte s námi udávat trendy v kybernetické bezpečnosti

24. 4. 2024. (redaktor: František Doupal, zdroj: DCD Publishing)
Při příležitosti pražského setkání MSP partnerů jsme měli možnost hovořit se Scottem Tysonem, ředitelem prodejního kanálu MSP pro oblast EMEA ve společnosti Sophos. Mluvili jsme o spravovaných službách, řízené detekci a reakci na hrozby, budování vztahů s obchodními partnery a mnoha dalších aspektech oboru, které budou podle společnosti Sophos udávat směr vývoje celého odvětví. Čtěte více