W głowach wielu użytkowników rodzi się w końcu pomysł pominięcia IT. Szczególnie dotyczy to skomplikowanych procedur bezpieczeństwa, długotrwałych procesów akceptacji nowych narzędzi i niekończących się kolejek w helpdesku. Nie pytać IT i spróbować szybko stworzyć lub pozyskać aplikację, która ułatwi pracę – z cloudem to możliwe! Wdrożyć zewnętrzne repozytorium danych dostępne tylko dla ludzi z mojego działu – tak, każdy teraz może założyć konto w usłudze dysku chmurowego. W ten sposób zaczyna się tworzyć się szara strefa zarządzania informatyką w przedsiębiorstwie lub instytucji, niewidoczna na pierwszy rzut oka zarówno dla zarządzających, jak i samego działu IT.
W szarej strefie IT może dochodzić do sytuacji, w której użytkownik staje się administratorem aplikacji nie mając wystarczającej wiedzy do przeprowadzenia poprawnej parametryzacji jej funkcji. Niestety dotyczy to również opcji związanych z bezpieczeństwem. Pojęcia takie jak dwuskładnikowe uwierzytelnienie, certyfikaty, interfejsy API czy ograniczenia dostępu IP są dla wielu użytkowników niezrozumiałe. Wiele funkcji bezpieczeństwa jest ponadto kłopotliwa w użytkowaniu, więc niewykorzystywana lub celowo wyłączana przez shadow administratora. Dochodzi zatem do wykorzystania i zarządzania wieloma technologiami, rozwiązaniami, usługami, projektami i infrastrukturą IT bez formalnej zgody i wsparcia wewnętrznych działów IT. Użytkownicy mogą wtedy stosować technologie informatyczne w cieniu IT, które nie są zgodne z wymaganiami i zasadami organizacyjnymi dotyczącymi bezpieczeństwa informacji czy kompatybilności istniejącymi usługami. Mogą również łamać wymagania wynikające z przepisów prawa np. dotyczące ochrony danych osobowych czy ochrony własności intelektualnej. Naruszenia wynikające z praktyk shadow IT mogą prowadzić do poważnych konsekwencji dla organizacji. Kary finansowe wynikające z niezgodnego przetwarzania danych osobowych to jeden z przykładów. Może również dochodzić do nieautoryzowanego dostępu do danych oraz ich kradzieży. Oprócz odpowiedzialności wynikającej z incydentów dotyczących danych, możemy napotkać problemy związane z uzależnieniem się organizacji od stosowanej w szarej strefie IT technologii. Przykładem może być oprogramowanie w modelu SaaS nie posiadające funkcji eksportu danych w formacie i zakresie umożliwiającym ich przeniesienie do innych systemów informatycznych lub ich integrację. Sytuacją problematyczną może być również wykorzystanie narzędzia informatycznego, którego dostawca wykorzystuje dane użytkowników również do własnych celów. W efekcie może dochodzić do utraty kontroli nad danymi przez organizację, która jest ich właścicielem.
Drugim najczęstszym rodzajem produktów wykorzystywanym w shadow IT są komercyjne aplikacje na smartfony i tablety oraz laptopy. Urządzenia mobilne są bardzo często konfigurowane dla użytkowników w sposób pozwalający im na korzystanie z poziomu uprawnień administracyjnych. W takiej sytuacji użytkownicy będący lokalnymi adminami mogą korzystać z własnych urządzeń w sposób niekontrolowany przez dział IT. Telefony komórkowe i tablety są wprawdzie dedykowane głównie do obsługi służbowej poczty e-mail, jednak często posiadają pozostawione opcje instalacji innych aplikacji przez użytkownika. W efekcie w shadow IT mamy do czynienia z wykorzystaniem przez użytkowników z nieautoryzowanych bezpłatnych i komercyjnych produktów. Niestety wiele z nich jest zabronionych przez polityki organizacji. Co więcej – wśród nich jest również niebezpieczne i szkodliwe oprogramowanie, które przemyka się w ten sposób na urządzenia użytkowników.
Wiele osób zadaje sobie pytanie, dlaczego shadow IT występuje i jest atrakcyjną alternatywą? Problem jest oczywiście złożony. Dla praktyków oczywiste jest, że nie wszyscy pracownicy stosują zasady narzucone przez organizację. Wynika to z różnych źródeł: kultury organizacji, braku wsparcia kierownictwa, poziomu świadomości użytkowników czy problemów w komunikacji z IT. Pamiętajmy, że wiele osób działających w szarej strefie IT nie chce szkodzić organizacji. Chcą ułatwień w pracy i narzędzi, które odpowiadają na ich potrzeby. Shadow IT występujące w mniejszym lub większym stopniu powinno być sygnałem dla działu IT do zbadania, jakie potrzeby użytkowników nie są pokryte. Jednocześnie podczas analizy problemu możemy naturalnie spotkać się wśród pracowników z postawą negującą stosowanie narzuconych przez IT zasad, którą można skwitować stwierdzeniem „bo nie!”. Jednak w większości przypadków powód jest inny, którego źródło jest raczej w procedurach organizacji i wykorzystywanych technologiach.
Shadow IT jest nieuniknione. Użytkownicy przechodzą do szarej strefy głównie po to, aby spełnić swoje wymagania w sposób, który ułatwia im życie w trakcie wykonywania obowiązków służbowych. Część problemu leży po stronie organizacji, która nie zapewnia odpowiedniego wsparcia dla technologii, których potrzebują użytkownicy. Do całości problemu dochodzi jeszcze nieodpowiednia komunikacja i współpraca między użytkownikami, działami IT i programistami. Wpływa to na szybkość i elastyczność zatwierdzenia niezbędnych technologii przez dział IT. Działania zapobiegające, a raczej minimalizujące zjawisko shadow IT należy podejmować w wielu obszarach zarządzania jednocześnie. Fragmentaryczne działanie jest nieefektywne i prowadzi do wdrażania narzędzi i działań, które wygenerują koszty, nic jednak zasadniczo nie zmienią. Pierwszy krok w takim razie to przyjęcie założenia, że w naszej organizacji występuje shadow IT. Nie wiemy tylko gdzie i w jakiej skali. Należy wprowadzić efektywną komunikację między działem IT a użytkownikami IT w celu zrozumienia ich potrzeby. Informacje zwrotne od użytkowników na temat istniejących i nowych wymaganych technologii umożliwią dostosowanie zasobów IT tak, aby ograniczyć potrzebę tworzenia szarej strefy IT. W zakresie działań technicznych należy uruchomić szczegółowe monitorowanie zachowań użytkowników. Szczególną uwagę należy zwrócić na anomalie w zachowaniu, nietypowo intensywny ruch sieciowy z usługami SaaS, z których organizacja oficjalnie nie korzysta. Zwracamy również uwagę na monitorowanie pojemności, w szczególności wielkości wskazujące na transfer większych ilości danych.
Pomocne może również okazać się inwentaryzowanie wykrytych zasobów w cieniu IT. Może nie są autoryzowane, ale mogą faktycznie wspierać zadania użytkowników i zwiększać efektywność organizacji? Nie wszystko to, co wymyślili użytkownicy, powinno być z góry negowane. Należy wprowadzić te zasoby do procesu analizy i po potwierdzeniu ich przydatności oraz zgodności dokonać ewentualnej akceptacji.
Nie zapominajmy również, że duża część szarej strefy IT jest finansowana ze środków organizacji. Dobrym źródłem informacji może być analiza zakupów oprogramowania, usług oraz sprzętu dokonywanych przez działy nie posiadające uprawnień do zarządzania IT.
Autor: Artur Cieślik