Problemfyldt skygge-it: Marketingsafdeling omgik sikkerhed til millioner

Skygge-it er et ekstremt udbredt problem i danske virksomheder. Det kan have alvorlige sikkerhedsmæssige konsekvenser, når virksomheder køber it uden om it-chefen.

Det har formentlig aldrig været nemmere at indkøbe og oprette cloud-tjenester med enkelte klik og et sving med dankortet. Men det skaber alvorlige sikkerhedsmæssige problemer, når virksomhedens afdelinger går uden om it-chefen, for at undgå ventetid eller rigide begrænsninger.

»Det er en ekstremt udbredt problemstilling, og der er rigtig meget skygge-it ude i virksomhederne,« fortæller Nils Roien, der er senior manager hos Rambøll.

Problemet opstår eksempelvis, når virksomheden HR-chef kan se i en brochure, hvad man kan i skyen for 500 kroner per ansat. Så taler han med it, som forklarer, at de kan give ham det samme - men det vil tage 18 måneder.

»Hvorefter HR-chefen køber standardsystemet uden om it-afdelingen, sætter gang i brugen af det, og overfører virksomhedens data,« forklarer Nils Roien.

It-chefen hører ofte først om det efter det er sket, og har mange steder ikke mandat til at hindre den slags beslutninger. Hvilket gør skygge-it et udbredt fænomen.

Skygge-it kan være effektivt

Skygge-it kan være en effektiv måde at løse en konkret udfordring. Hvis man på få minutter kan udfylde behovet med en sky hos Amazon, kan det være svært at vente i ugevis på it-afdelingen. Men sikkerhedsmæssigt holder strategien ikke, understreger Rasmus Theede, der er formand for Rådet for Digital Sikkerhed og tidligere har arbejdet med it-sikkerhed hos NNIT og A. P. Møller Maersk.

»Det ufatteligt svært at beskytte det it, man ikke kender,« indleder han.

Ifølge en undersøgelse foretaget af 2nd Watch har over 60 procent af de virksomhedsafdelinger, der anvender cloud-løsninger, fundet produktet uden om it-afdelingen.

»Det er super problematisk. Det kan være en cloud-tjeneste, som ikke overholder persondataloven, eller en Dropbox med intellektuel ejendom,« siger Rasmus Theede.

Omgik sikkerhed til millioner

Rasmus Theede har blandt andet oplevet, at sidde i en virksomhed, hvor et domæne blev hacket.

»Det var marketingafdelingen, der havde købt en service hos en lille enkeltmandsvirksomhed. Så sidder vi med sikkerhed til millioner, som ikke nytter noget, fordi vi ikke ved noget om det,« fortæller han.

It-afdelinger er langt fra uskyldige selv, når det kommer til at udnytte tjenester, der er bedre end det, standardsystemet rummer.

»Jeg har set Dropbox installeret i sikkerhedsafdelingen, fordi det var det nemmeste værktøj.«

it-afdelingen får skylden

Ofte udsættes virksomheden skygge-it først for dagslys, når HR-chefen kommer til it-chefen og vil have det indkøbte system til at hænge sammen med resten af it-systemerne. Men det er ofte ikke muligt.

»Fordi HR har valgt at indkøbe et værktøj, der ikke kan integreres med eksisterende systemer, har sine egne datakrav, ikke matcher virksomhedens it-sikkerhedskrav og så videre,« forklarer Nils Roien.

Når virksomheder i stigende grad satser og investerer tungt i enkelte standardsystemer, så frasiger man sig muligheden for at være fleksibel i it-afdelingen. Det betyder, at afdelinger tager it-beslutninger for at få funktionalitet, der ikke understøttes, forklarer konsulenten.

»Desværre ender det ofte med, at it-afdelingen efterfølgende får skylden, fordi de ikke kan levere, hvad hjørner af forretningen vil have, sier Nils Roien og understreger, at topledelsen er nødt til at tage konsekvensen af den it-strategi og de rammeløsninger, man har valgt.

»Omvendt skal it-chefen være god til at forklare, hvad konsekvenserne så omvendt er af, at man vælger, og holder sig til, standardsystemer. Alternativet er, at virksomhedens samlede it-omkostninger bliver betydeligt højere end de behøver at være.«

Kom gratis med til Danmarks største IT-sikkerhedsevent!

Infosecurity, Europas mest populære IT-sikkerhedsevent, afholdes for første gang i Danmark den 3. og 4. maj 2016. 50 udstillere, 5 konferencesale og mere end 60 seminarer og caseoplæg fra ind- og udland. Læs mere her.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (13)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Claus Bobjerg Juul

Der mangler lidt om straffen, hvis alm. medarbejdere gør noget forkert, er første skridt en advarsel. Hvis det er en chef, her HR-chefen, er straffen typisk endnu mindre, på trods af at personen har mere ansvar som følge af sin titel og konsekvenserne af hans beslutning er mere alvorligt.

  • 3
  • 0
#2 Bo Nørgaard

"Så taler han med it, som forklarer, at de kan give ham det samme - men det vil tage 18 måneder"

"Jeg har set Dropbox installeret i sikkerhedsafdelingen, fordi det var det nemmeste værktøj"

Som jeg læser dette har IT-ledelsen fejlet, fordi de ikke kan levere det som forretningen ønsker, - eller har været i stand til at forklare hvorfor det ikke kan lade sig gøre.

Brugeren er som regel ligeglad om det er Dropbox, box.com eller en server i kælderen, bare de får let og tilgængelig filsynkronisering på tværs af alle deres platforme. Så hvis IT kun kan levere fildeling på et fællesdrev, ja så har de ikke lyttet til behovet og forretningen vil finde alternative løsninger.

  • 3
  • 3
#3 René Nielsen

Der er sikkert mere end en forklaring hvorfor det sker, men mit bud er ”svag ledelse”.

Hvis ikke IT-afdelingen performer og kan leverer det som forretningen har brug for, så burde top-ledelsen finde en egnet leder til IT-afdelingen, således at IT-afdelingen kan leverer det som forretningen efterspørger.!

Når det er sagt, så spiller kulturen og udviklingen af virksomheden ind. Hvis man har tradition for at afdelingerne må ”lave sine egne løsninger”, så hænger det ofte sammen med topledelsens manglende comitment til IT-afdelingen og så er det måske ikke så let at være IT-chef.

I det enviroment skal der sikkert et større og stærkt generende nedbrud til, før top-ledelsen vågner op og kræver en samlet plan af hele virksomheden.

Men det er da interessant problemstilling, for gad vide hvad HR-afdelingen mon ville sige hvis IT-afdelingen ansatte og aflønnede folk uden om HR-afdelingen?

  • 5
  • 0
#4 Povl H. Pedersen

Som regel er IT afdelingen langsommere og dyrere. Selvom IT afdelingen skulle levere den samme løsning, så vil det tage længere tid, der der skal laves governance omkring løsningen. Når forretningen selv køber, så er de ligeglade med SLA'er, lovgivning etc. De fokuserer alene på funktionalitet i dag. Man er nødt til at acceptere, at en del beslutninger træffes af personer der er hævet over kompetence.

Det vigtige er, at IT afdelingen går ind og støtter forretningen, og hjælper dem med at få klarlagt de problemer der er med løsningen, og eventuelt hjælpe med at finde alternativer. Hvis IT afdelingen er modspiller, så hører de aldrig noget.

  • 2
  • 0
#6 Deleted User

Det kan du naturligvis have ret i, men jeg tror man skal passe på med at gøre det til en skyttegravskrig mellem forretning og IT.

Vi kan vist godt blive enige om at i den perfekte verden, så arbejder forretning og IT sammen mod et fælles mål.

Sådan fungerer det muligvis ikke altid i den virkelige verden, men faktum er, at hvis IT ikke kan levere det som forretningen ønsker - eller kun kan levere langsomt, så er det et ledelsesproblem som skal adresseres på et højere niveau end ved et møde mellem IT-chefen og marketingchefen.

Og så er det bare sådan at shadow-IT er en reel trussel der introducerer uønskede angrebsvektorer ind i virksomheden. Derfor handler dette også om for virksomhedens ledelse at skabe en kulturel forståelse for at IT er altså noget som skal igennem IT-afdelingen - og så er det naturligvis også ledelsens opgave at sikre, at IT-afdelingen forstår forretningens mål.

  • 4
  • 0
#7 Peter O. Gram

"Jeg har set Dropbox installeret i sikkerhedsafdelingen, fordi det var det nemmeste værktøj"

Det ser ud til, at der er en underforståethed blandt skribenterne og læserne om at Dropbox er roden til al ondt. Kunne én eller anden ikke lige redegøre for det? Jeg kan lægge ud med en fordel: Med én Dropboxkonto på to computere, der begge bruges dagligt, har man altid en ajourført, offline backup, hvor man selv styrer, hvornår man evt vil have restore af hvad.

  • 0
  • 4
#8 René Nielsen

Kunne én eller anden ikke lige redegøre for det?

Fordi det er nemt, betyder ikke at det er lovligt!

Vi kan starte med Datatilsynet. Du må ikke lægge personfølsomme oplysninger udpå en Dropbox konto jf. https://www.datatilsynet.dk/afgoerelser/afgoerelsen/artikel/brug-af-drop...

Så hvis HR afdelingen bruger Dropbox ... så er det formentlig ulovlig, da det ikke betyder noget for lovligheden om dokumenterne er krypterede eller låste med password.

Derudover er det et spørgsmål om man vil/bør lægge produktsoplysninger, priser mv. ud på en dropboxkonto.

Er det til dig selv - så køb en (stor) USB og brug VeraCrypt, så sover du trygt selvom USB-nøglen bliver væk

  • 5
  • 0
#9 Jonathan Jørgensen

Det er for letkøbt at give IT skylden her for der er som regel årsager...

Der skal kigges på hvorfor det tager 18 måneder. Kunne det være for at have styr på sikkerheden? Drift stabilitet tests? Interfaces til andre systemer? IT kontrakter som er konsekvenserne af forretningens krav til besparelser?

  • 3
  • 0
#10 Glenn Møller-Holst
  • 0
  • 0
#11 Deleted User

Mange kan sikkert huske Jeff Goldblumes citat "Life finds a way" i Jurassic Park filmen. Citatet passer desværre også på mange medarbejdere. Hvis de vil dele informationer - og virksomheden ikke har en løsning - så finder de en selv. Og hvis de finder en tjeneste som er gratis, så er det som at få et trofæ. Virksomheden sparer jo penge! De tænker ikke på it sikkerheden, med mindre de bliver informeret om hvorfor det kan være farligt at anvende Cloud tjenester. Medarbejdere er på ingen måde dumme, men hvis de ikke kender reglerne, og ikke ved hvorfor de er til, så kan de heller ikke være med til at beskytte virksomhedens informationer og it systemer.

  • 2
  • 0
#12 Jimmy Christiansen
  • 0
  • 0
#13 Jimmy Christiansen

Der er sikkert mere end en forklaring hvorfor det sker, men mit bud er ”svag ledelse”.

Hvis ikke IT-afdelingen performer og kan leverer det som forretningen har brug for, så burde top-ledelsen finde en egnet leder til IT-afdelingen, således at IT-afdelingen kan leverer det som forretningen efterspørger.!

Du går formentligt for langt ned i hirakiet og placerer ansvaret. Naturligvis kan der være incompetence i IT-afdelingen. Men uanset hvilken leder der er, er der grænser for hvad der kan gøres. Hvis topledelsen ikke afsætter nok ressourcer til at afdelingen kan levere de løsninger forretningen har brug for.

Topledelsen har også en stor rolle i at sørge for at afsætte ressourcer i alle afdelinger. Til at sikre forståelse begge veje mellem forretning ( operative behov ) og IT ( mulige løsninger/drift hensyn/sikkerhed/økonomi/lovgivning... ), alle skal vænnes til at tænke holistisk og trække i samme retning.

IT har en stor rolle i at understøtte forretningsudvikling. Men de kan ikke stå alene det kræver samarbejde - ikke silo/kassetænkning - løsninger skal gavne hele organisationen på samme måde som andre forretningsprocesser.

  • 0
  • 0
Log ind eller Opret konto for at kommentere