It-fagfolk: Drop den løftede pegefinger i kampen mod skygge-it

Jeg vil faktisk vove den påstand at Sharepoint kan opfylde alle dine krav du lister op, men da du specifik nævner nogen af de ting man også kan kritisere Sharepoint for, så tror jeg bare jeres er sat tosset op :)

Jeg tror ikke at det du gerne vil er i strid med hvad en IT afdeling gerne vil. Jeg har endnu ikke mødt en IT person der ikke ville gøre leverancen bedre og mere nyskabende.

Problemet bundet ofte i budget. I min erfaring er det ganske ofte at IT organisatorisk ligger i finans istedet for at have sin egen stemme i ledelsen.

I bedre IT organisationer har IT en stemme og mulighed for at ikke kun vedligeholde hvad de har, men også udvikle det videre.

Opsummering kort: SkyggeIT er et problem forårsaget af at IT-afdelingen ikke har tilstrækkelig styr på sagerne

Når man skriver sådan, så glemmer man at mange virksomheder har interne magtkampe som forskyder problem stillingen. Når afdeling A vælger produkt X på egen hånd så er det måske ikke fordi det er bedst i helheden men kun at afdelingen kan opnå en eller anden politisk magtbase enten i forhold til ledelsen eller IT afdelingen.

Den magtkamp fandtes for 20 år siden og findes den dag i dag. I dag er det så ikke kun mellem afdelinger men også mellem enkelt brugere. Nogen sværger til Microsoft andre sværger til Appel. Den part hvis "valgte" system ikke passer sammen med resten af virksomhedens IT vil altid give IT afdelingen skylden for at være uduelige, gammeldags, stivnakket o.s.v.

I sidste ende må det være ledelsens opgave at vægte de forskellige krav. De fleste større virksomheder har jo også en IT revision som stiller krav til datasikkerheden og det er IT afdelingen der står med aben når virksomheden får en påtegning i revisionsrapporten.

Meget tit er brugere også for sent ude med ønsker til IT afdelingerne. Igen med det resultat at påstanden bliver at det er IT afdelingen skyld uanset brugerne har vist at de skulle se på opgaven i måneder men først kontakter IT afdelingen 2 min. før det hele skal ud af døren. "Kan du ikke lige installere..." - Der findes vist ikke en systemadministrator i verden der ikke har hørt den sætning 2 min. før et projekt skal fremvises for bestyrelsen e.l.

Fortalt i korte sætninger: IT chef ved at hans karriere og positiv taletid hos hans chef er afhængig af en ting: styr på driften.

IT chef ruller ITIL og stram portefølje styring ud, så alle ressourcer er fokuseret på de af direktionen valgte prioriter.

Forretningen brokker sig over manglende fokus på udviklingsprojekter som ikke lige har højst prioritering.

Skygge IT opstår og næres af at samme direktion måler forretnings-chefer på leverancer der ikke nødvendigvis er aligned med prioritering som IT skal følge.

IT folk bliver bitre og forretning bander IT væk. Konsulent bureau hentes ind. Ekstra fokus på portefølje styring med flere stakeholders ssmt performance management system implementeres. Det misser dog pointen, at direktionen ikke forstår det organiske aspekt i organisationen samt udvikling kontra stabilitet og derved suboptimerer igennem forkerte ledelsesbeslutninger, kultur, KPIer, CSF'er,... Sikkerhedsmæssige issues som at masteren for alle kritiske forretningsprocesser er Dropbox eller tilsvarende er blot et eksempel på sygdommen.

Jeg er kun alm. bruger og arbejder ikke i en IT-afdeling - så jeg håber ikke at mit indlæg virker for naivt.

Igennem mit arbejdsliv har jeg mødt utallige IT-systemer som virker som om de er opfundet/udtænkt i en anden tidsalder - og som er meget forskellige fra det jeg bruger derhjemme. IT-systemer i virksomheder minder på mange måder om klassiske biblioteker fra middelalderen, krydret med efterretningstjenesternes behov for hemmelighed/adgangskontrol. I løbet af en arbejdsdag kræves indtastet enorme mængder af metadata/søgekriterier og adgangskoder, og alligevel kan man ofte ikke finde alle de informationer man har brug for - og slet ikke nemt nok.

Min store drøm var vis IT-folk kunne give mig:

1. Et stort sted til at gemme alle dokumenter sammen med mine kollegaer - det gælder både Office-dokumenter og andre datafiler på samme måde som jeg gemmer dokumenter på en alm. PC. (Og det skal ikke være sharepoint eller et eller andet struktureret fil-system som er for rigidt/bøvlet/langsomt). Derud at man ikke kunne slette data og at man gemte alle versioner som ny nye filer. Og når jeg så gemmer et dokument så er det som default altid de samme brugergruppe som har adgang til at tilgå dokumentet.
2. At jeg kunne søge i alle de dokumenter/datafiler som jeg og mine kollegaer har adgang til via en Google-agtig tilgang - og få response indenfor millisekunder. (Så man er fri for at tænke Meta-data m.v.)
3. At jeg kunne lave mit arbejde på computeren uden at jeg skal bekræfte hundrede gange om dagen - disse typer af tåbeligheder:

• "Vil du kun læse - eller vil du åbne dokumentet"
• "Er du sikker på at du vil åbne dokumentet - dette kan være farligt hvis du fortsætter - klik OK"
• "Vil du uploade dokumentet eller gemme dokumentet lokalt"
• "Vil du checke dokumentet ind nu Ja/nej/fortryd"
• "Husk at indtaste metadata i felt ..."
• "Du kan ikke sende filer større end 10 MB"
• "Du har ikke adgang til ..."
• "Vent venligst" Derudover er det enorm træls at blive spurgt om login/password 30 gange om dagen på alle mulige systemer.

En artikel baseret på noget skriv jeg lavede til dm :)http://www.dm.dk/FagligtForum/AdmOrgPol/Artikler/Skyggeit

Opsummering kort: SkyggeIT er et problem forårsaget af at IT-afdelingen ikke har tilstrækkelig styr på sagerne

Det kræver faktisk dialog og en løsningsorienteret tilgang - for at undgå skygge-it..

at i ingen banker har så åben adgang til data, som du fortæller.

Hvor mange af bankkoncernens ansatte kan (op-)finde en begrundelse, som giver dem adgang til at tjekke om datterens nye kæreste har en sund økonomi ?

Nu er de så "fortrolige" indenfor de 8000 af ansatte i hele koncernen inklusive de 300 mand i afdelingen i Bangalore.

Jeg er enig i at IT afdelingen bør være en service organisation, men den er også en kontrol instans på samme tid, fordi afdelingen samtidig skal sikre blandt andet data, men også f.eks. licenser, som kan have en meget stor omkostning forbundet med sig.

Så den bedste løsning er i min optik grundet i kommunikation. Hvis forretningen ikke samarbejder med IT om deres behov og ønsker (med rettidig omhu), så har IT ikke en mulighed for at omstille sig og det undskylder på ingen måde at forretningen så vælger at gøre tingene på deres egen måde og med de problemer der følger med. En grov sammenligningen er at retfærdigøre tyveri fordi der ikke stod nogen klar til at sælge en det produkt med nu gerne ville have...

IT skal agere som både sælger og politi...

@Gert Madsen Nu har jeg gennem flere år arbejdet som it-konsulent (der var den igen :) ) indenfor den finansielle verden, og jeg må desværre meddele dig, at i ingen banker har så åben adgang til data, som du fortæller. Dernæst, så har jeg valgt en bank, der IKKE anvender datacentre i udlandet. Men jeg er enig med dig i, at de banker, som anvender low-cost lande (i særdeleshed Danske Bank, som burde ændre navn til Non-Danske Bank) kan og bør man være agtpågivende overfor. Det er ikke nogen hemmelighed, at data fra disse lande er til fals. Ligeledes sker der også en stor udskiftning af disse medarbejdere, som måske kunne tage information med sig. Men jeg tror, at du ville blive forundret hvor lidt mennesker er involveret i dine banksager, medmindre du handler med værdipapirer i stor stil. Og her må jeg nok sige, at jeg er fuldstændig uinteressant. :)

"1900-tals forestillinger"!!! Ikke alt hvad der foregik i det forrige århundrede var idiotisk (!!!). F.eks. er det stadig en god ide at agere indenfor lovens rammer, at opføre sig ansvarligt og bruge den sunde fornuft. Iøvrigt mener jeg din sammenligning mellem privat- og erhvervslivet har en forkert vinkel - det er netop pga. vores lemfældige private udskejelser, at virksomheder er nødt til at sætte nogle regler og rammer op.

som kan holde mine oplysninger fortrolige

Der mangler helt enkelt en erkendelse af, at i visse tilfælde er bekvemmelighed ikke en fordel.

De fleste brugere af IT sysemer aner ikke hvor deres data er henne, ej heller hvad "data" er. De ved der er noget der hedder dokumenter, billeder, regneark mm. spørger man hvor deres dokument er, så vil mange åbne en liste og pege på skærmen og sige der er det!

Dem der kan bruge cloud tjenester, kan jo lidt mere IT men de mangler forståelse for hvor deres data egentligt er henne, og hvad konsekvenserne er af de stort set er blivet publiceret offentligt.

Alt for mange kan heller ikke skelne mellem en browser, et program eller den app de bruger til at behandle data med og de data de behandler.

Jeg mener det er basale ting som brugerne burde have en bedre forståelse af, når de forstå det, så kan man begynde at forklare noget om data sikkerhed.

Noget af ovenståede forklarer vel også hvorfor der bliver lagt data offentligt tilgængeligt på nettet.

Når den slags brugere begynder at være kreative med skygge-it så bliver det for alvor farligt, de aner nemlig ikke hvad de gør.

IT afdelinger har ikke resourcer til at håndtere dette, det vel heller ikke deres problem, det er ledelsen der skal på banen.

/Henning

Disse problemstillinger har som sådan ikke noget at gøre med IT. De omhandler vel i sidste ende at der er nogen politikker/retningslinjer/aftaler internt i firmaet som ikke bliver overholdt, ikke er ordenligt gennemarbejdet eller ikke har tilstrækkelig opbakning af ledelsen.

Hvis en afdelingsleder føler sig nødsaget til at omgå en intern politik, bør problemstillingen rejses på relevante lederniveau.

@PHK Jeg må nok sige, at din opfattelse er lidt firkantet. Jeg kan ihvertfald fortælle dig, at jeg kun vil være kunde i den bank, som kan holde mine oplysninger fortrolige. Også min netbank adgang skal heller ikke være public domain, men det er du måske ligeglad med? Din påstand om at alle virksomheder, hvor 12 eller flere personer med skrivebord er en it-virksomhed, virker også noget påtaget. At man som virksomhed bruger IT som værktøj, gør ikke en virksomhed til en IT-virksomhed. Samme argumentation kan man så anvende om virksomheder og biler? Hvis 12 eller flere personer i en virksomhed bruger biler, så er det en bil-virksomhed? Eller hvad med telefoni? Er de så telefoni-virksomheder? At bruge IT som et redskab på samme måde som at anvende telefoni, som et redskab gør hverken virksomheden til en IT-virksomhed eller en telefoni-virksomhed. Men det kunne selvfølgelig være en sjov analogi.

Eller sagt på en anden måde, kig på hvordan Apple har løst mange af disse problem;

Alt lukket software må have fraskriven sig brug, hvis det har mulighed for at gå på nettet. Det fraskrive også alle (jeg keder) løsninger i skyen.

Hvis man altså har vigtige og foretningskritiske data, så bør de kun tilgåes via VPN til en Terminal server, på en sikkert client ude fra.

Data og Samtaler på telefoner må være udlukket, men PHK var hvis ved at prøve en telefon som måske var en løsning ?

MS har aldrig været i retten og blivet bedt om at åbne op for deres kryptering :-(

Ude i privatlivet kan man tage et billede og dele det med alle vennerne på Instagram og finde bedste dato for en fætter-kusine fest med en doodle.

Ovre i firmaet kan man ikke få et regneark med kunderne og hvor mange penge de har købt for og ingen i ITafdelingen vil røre exchange med en ildtang.

Forskellen er i bund og grund at i privatlivet har de fleste opgivet alt hvad der ligner et forsøg på privatliv, mens firmaet holder krampagtigt fast i nogle 1900-tals forestillinger om "konfidentiel" information og forretningshemmeligheder.

Forsøgene med at være "lidt gravid" med "Bring Your Own Device" gøre bare impedansspringet endnu mere uoverstigeligt.

Og så længe firmaets ledelse stadig tro at "IT er en stabsfunktion" på linie med kantinedrift, viceværten og receptionen bliver det ikke bedre.

Der er nogle få undtagelser, men ud over dem er alle firmaer hvor 12 eller flere medarbejdere har hver sit skrivebord et IT firma.

De fleste af dem har bare ikke erkendt det endnu.

Jeg ser flere problemstillinger i dette. For det første er der, som beskrevet i artiklen - datasikkerhed, men også en mangel på forståelse eller adskillelse af privatliv og arbejdsliv.

Hvis vi tager det første, manglen på forståelse for datasikkerhed. Det er vigtigt, at en virksomhed har en politik omkring beskyttelse af data, og det medfører allerede her en afgrænsning af brugen af cloud-services. Selvom dele af en virksomhed har et udækket it-behov, så er det altså ikke per automatik IT-afdelingens opgave, at løse det. IT-afdelingen skal være en "partner" for den del af virksomheden, hvor det udækkede behov eksisterer, og være med til at løfte problemstillingen internt i virksomheden. IT-afdelingen kan være med til at opbygge et katalog af forskellige godkendte cloud-services, som virksomhedens forskellige afdelinger kan gøre brug af. Selve politikken omkring datasikkerheden og dets indhold, det anser jeg ikke, som en opgave for it-afdelingen, tværtimod er det virksomhedens øverste ledelse, der skal definere og informere om virksomhedens politikker på området. IT-afdelingen, er som nævnt i artiklen, et service-organ, der kan bistå virksomheden med it-relaterede opgaver og være behjælpelig med at udforme politikkerne. Det ER IT-afdelingens opgave at løfte pegefingre, HVIS de er blevet det pålagt af virksomhedens ledelse, men de skal ikke selv påtage sig en politi-mæssig rolle. Jeg er en klar fortaler for obligatorisk uddannelse af medarbejdere indenfor datasikkerhed, herunder brug af cloud-services og andre mere-eller-mindre sikre it-værktøj (USB-nøgler, tilkobling af mobil-telefoner, etc.). Når medarbejdere har forståelse for datasikkerhed, så er det enklere at få etableret en god kommunikation omkring anskaffelse af it-services, der måske ikke lige involverer it-afdelingen direkte.

Den anden problemstilling, omkring adskillelse af privatliv og arbejdsliv, hænger sammen med, at mange bruger mange forskellige cloud-services hjemme i privaten, uden egentlig at tænke over det. Og den vane tager man med sig på arbejde, uden at tænke mere over det. Det er jo så enkelt at bruge EverNote, Google-mail/Apps, DropBox, Apple's cloud, Microsofts 365-cloud-services. Som mange herinde ved, så kan det være yderst problematisk at anvende en af disse cloud-services i forhold til lovgivningen, både i dansk og EU-sammenhæng. Dette er ofte en problemstilling, som vi som private mennesker jo ikke tænker på i vores gøren og laden derhjemme, men kan skabe yderst alvorlige problemer for en virksomhed. Vi er jo yderst kritiske overfor sikkerhedsproblemer med vores netbank eller hvis det offentlige publiserer tusindvis af cprnumre på en hjemmeside (det er jo bare et word-dokument). Så en mere klar opdeling af privatliv og arbejdsliv vil sandsynligvis kunne gøre en forskel i folks opfattelse i brugen af cloudservices.

Selvom mange af os kan tage arbejde med hjem, så er det altså ikke grund til at blande den måde vi håndterer vores private informationer sammen med måden vi skal håndtere virksomhedens data.

Lad mig slutte af med følgende - Virksomheder har meget travlt med at nedskære i alle funktioner, de ikke anser for kerne-funktioner. Dette går især ud over it-afdelinger, der oftest står tilbage som en tom skal, hvor en-eller-anden reelt kun kan gøre en ting - nemlig at sende en mail til den outsourcing-leverandør, som virksomhedens ledelse har valgt. Derved mister virksomheden reelt ikke alene kompetencerne indenfor datasikkerhed, men også kontrollen over deres egen datasikkerhed.

@Jesper Frimann Ja selvfølgelig skal vi ikke ud i at firmaet gambler med sikkerheden, og min kommentar skulle heller ikke ses som en uvilje mod at "disciplinere" ansatte når de skriver deres passwords på post-its eller lægger fortrolig data på ubeskyttet usb pind, eller lader ungerne spille Pixeline på firmacomputeren. Jeg mener bare at vi idag i firmaerne har mulighed for at tilbyde "kunderne" at de kan få hvad de ønsker på en forsvarlig måde. Hvis brugere installerer Dropbox ville jeg efterligne dropbox, måske er det for meget at man skal trykke på en knap for at oprette forbindelse? Måske er det mobiliteten der ønskes, og man skal kigge på sikre måder at tilgå materiale uden at sidde ved en pc? Eller måske handler det bare om at vi ikke har forklaret præcist nok hvad det er den ene knap gør, og hvorfor det er så vigtigt at vi bruger den i stedet for Dropbox

Alt dette og meget mere er muligt på en forsvarlig måde, men som du også selv nævner er det noget der koster, men tit kan man altså møde folk med et ganske acceptabelt kompromis uden det behøver vælte budgettet, hvis man ikke kan få ledelse med på de vilde investeringer.

@Brian Hansen Nej jeg kender selvfølgelig ikke systemet vi snakker om, hvilke filer vi har med at gøre eller hvilken krav til sikkerhed der er, så det er svært at sige noget konkret, men helt generelt kan man sige at der er et problem så snart skygge IT opstår, løsningen på problemet er nok svær at fremtrylle, men den skal nok være derude, og om budgettet kan bære det er så en anden snak, men alt for ofte kigger IT afdelingen slet ikke i retning af brugerne for at få inspiration til nye løsninger, og derved glemmer de deres enormt vigtige supportrolle.

Eller sagt på en anden måde, kig på hvordan Apple har løst mange af disse problem; det skal være simpel og bruger venligt, og samtidig sikker. Jeg tro, mange IT-afdelinger kan få, inspiration fra hvordan Apple har løst mange af deres problemer. Hvis ikke der kan laves en bruger-venlig og sikker løsning, så dur det simpelhed ikke, hvis det ikke er simpel nok så vil brugerne ikke bruge det...:)

som IT afdelingen ikke kan supportere. Da er det brugeren selv der må stå for det. Det forhindrer jo ikke et samarbejde om, hvad der er indkøbt, hvordan det drives og hvem der er daglig administrator. At såkaldte (ret uvidende) IT chefer helt nægter brugen af avanceret software som f.eks. Weibul til pålidelighedseregninger og henviser til Office er jo meningsløst og udstiller bare IT afdelingens bagstræberiske holdning. Det giver også modstand mod udvikling af virksomhedens forretnings software. Jeg har mødt mange af den slags.

Hvis det virkelig er så simpelt som et tryk på én knap at gøre tingene på den sikre måde, og hvis brugerne ikke har forstået dette. Så har IT-afdelingen fejlet i det, der skulle være dens vigtigste eksistensberettigelse, nemlig at levere det nødvendige IT og viden om samme til sine kunder - altså de ansatte. Længere er den ikke.

Nu kender du selvfølgelig ikke vores system, men det er vitterligt én knap der skal trykkes på via intranettet, så bliver der lavet plads og det hele stoppes i en mail, klar til afgang :) Derudover er jeg enig i at IT skal understøtte virksomhedens behov, vi er trods alt et service organ. Når det så er sagt, så ville jeg stadigvæk aldrig gå på kompromis med sikkerheden. Hvis vores data havner i konkurrentens hænder, kan vi dreje nøglen i biksen. Længere er den ikke.

@Jacob Riis

Øh ?! Hvis man gentagende gange ligger 'Firma Kritiske' data, steder hvor der ikke er kontrol med dem, og måske dårlig datasikkerhed, så ja.. gambler man jo med firmaets bundlinje, og måske endda dets eksistens. Man lægger jo heller ikke firmaets overskud i kontanter i et skab i foyeren med en standard Ruko lås på vel ?

Det kan godt være at 'den der EDB er en kompleks en', og at folkene i IT-afdelingen snakker et mærkeligt sprog. Meeeeennn...

Men hvis man vil have brugervenlig IT, der hurtigt kan respondere til brugernes behov og holde en høj IT-sikkerhed, så koster det. Enten på den ene eller den anden måde.

// Jesper

Det vil jeg vove og påstå er lodret forkert, som artiklen også er inde på er skygge IT et symptom på et større problem, nemlig at IT afdelingen har glemt hvem der er deres "kunder". Hvis en bruger mener det er for besværligt at oprette en SFTP er det ikke IT afdelingens job at skræmme folk til at gøre det i fremtiden, men derimod at finde på en nemmere måde at oprette SFTP'en på, så folk rent faktisk kunne finde på at bruge det i fremtiden. Jeg er af den mening og holdning at skygge IT opstår når der er en systemdesigner der ikke har tænkt sig ordentligt om før han implementerede et eller andet sindrigt system.

Nej der skal sku statueres et eksempel, hvis det ikke siver ind første gang. At smide firmakritiske data på f.eks. Dropbox, bare fordi brugeren mener det er for besværligt at oprette en SFTP, er ikke en undskyldning.