Utbredelsen av nye skytjenester har gjort det enklere å anskaffe IT-tjenester uten å gå via egen IT-avdeling. For eksempel skytjenesten Dropbox som er gratis, og lar deg enkelt dele data med hvem som helst.
Konsekvensen er at IT-avdelingen mister oversikt over hvilke applikasjoner som brukes for å behandle virksomhetens data.
Det er dette som menes med skygge-IT, og det er problematisk for både sikkerhet og effektivitet.
«Problemet oppstår når det gjøres utenfor en helhetlig styring og kontroll.»
Definisjon
Analyseselskapet Gartner definerer skygge-IT som "anskaffelse eller utvikling av IT-tjenester utenfor IT-avdelingens eierskap eller kontroll".
Min gode kollega Gerd Mejlænder-Larsen har jobbet mye med denne problematikken, og er en som jeg har lært mye av. Hun har bidratt med faglige innspill og inspirasjon til å skrive denne artikkelen. Gerd har også formulert en mer presis definisjon av hva skygge-IT er:
"Skygge-IT: Applikasjoner, løsninger, klienter og tjenester som brukes i jobbsammenheng der bruken er i strid med lover, eksterne føringer og/eller virksomhetens egne prinsipper for IT og sikkerhet."
Har funnet en rekke sikkerhetsmangler i norsk kraftbransje: - Et cyberangrep kan få store konsekvenser
Problemet
I utgangspunktet er det en god tanke å anskaffe IT-tjenester som løser konkrete oppgaver medarbeiderne har behov for. Problemet oppstår når det gjøres utenfor en helhetlig styring og kontroll. For da risikerer man at ulike avdelinger anskaffer forskjellige løsninger med overlappende funksjonalitet og som ikke snakker med hverandre.
Det er vanskeligere å integrere data fra ulike systemer uten en enhetlig informasjonsarkitektur, sammenlignet med en felles standard informasjonsmodell som du for eksempel finner i en digital plattform. Resultatet blir mer teknisk gjeld, større kompleksitet og høyere forvaltningskostnader.
I tillegg spres data utenfor virksomhetens kontroll, og dermed introduseres det en betydelig risiko for informasjonssikkerhetsbrudd. I enkelte tilfeller også lovbrudd.
«I store organisasjoner kan det til og med være lokale IT-avdelinger som gjør IT-anskaffelser og IT-utvikling i strid med retningslinjer fra den sentrale IT-enheten.»
Årsaker
Det er minst seks årsaker til at skygge-IT oppstår:
- Medarbeidere og ledere har et uløst eller umiddelbart behov for en IT-tjeneste, og etablering av nye tjenester hos IT-avdelingen tar for lang tid.
- Applikasjoner og IT-tjenester som tilbys av virksomhetens IT-funksjon dekker ikke behovet, eller er for lite brukervennlige.
- Medarbeidere og ledere kjenner ikke til arkitekturprinsipper eller retningslinjer for IT-anskaffelse, fordi IT-funksjonen ikke kommuniserer dem godt nok, eller at de ikke finnes.
- Medarbeidere og ledere utenfor IT-organisasjonen mener de har kunnskap nok til å løse en IT-utfordring selv, uten å involvere IT-funksjonen.
- I store organisasjoner kan det til og med være lokale IT-avdelinger som gjør IT-anskaffelser og IT-utvikling i strid med retningslinjer fra den sentrale IT-enheten.
- Medarbeidere, ledere og lokal-IT kjenner ikke til gode eksisterende løsninger som kan og bør gjenbrukes, fremfor å anskaffe nye løsninger med overlappende funksjonalitet som medfører økt kompleksitet.
Fellesnevneren er at alle har en oppfatning av at IT-tjenestene som tilbys av den sentrale IT-funksjonen er tungvinte å bruke. Eller så opplever de at applikasjonene i felles portefølje ikke dekker deres spesielle behov.
Derfor kjører de på med å anskaffe eller utvikle egne IT-løsninger for å løse det aktuelle og ofte akutte problemet de opplever. Dette tror jeg er en viktig årsak til hvorfor skygge-IT oppstår.
- Hei, web- og app-utviklere: Ikke lekk nøkler mens du leker med eksterne integrasjoner!
Drivere
Det som driver fremveksten av skygge-IT kan oppsummeres i fire punkter:
- Et stadig økende tilbud av skytjenester gjør det ikke bare mulig, men enklere å anskaffe nye IT-løsninger på Internett, enn å gå gjennom IT-avdelingen.
- Den generelle IT-kompetansen i befolkningen er økende, blant annet gjennom bruk av sosiale medier, skytjenester og mobile løsninger.
- Som konsekvens økes forventningene til at systemene på arbeidsplassen skal ha tilsvarende brukervennlighet som for eksempel Facebook. Sammenlignet med applikasjoner i verdensklasse fremstår arbeidsplassens IT-løsninger ofte gammeldagse.
- Videre opplever medarbeidere hos forretningssiden i økende grad at den interne IT-avdelingen blir et forsinkende ledd som ikke forstår deres spesielle behov og at ny funksjonalitet må utvikles mye raskere. Effekten av dette blir at den interne IT-avdelingen oppfattes som et hinder, som ikke har kompetanse eller tilfører verdi.
«Ikke bruk sikkerhetskortet som unnskyldning for å si nei til nye behov uten å undersøke og begrunne hvorfor det utgjør en risiko for informasjonssikkerheten.»
IT-funksjonens rolle
I likhet med alle andre, må også IT-funksjonen sette kunden i sentrum for å levere kundeverdi. Enhver som ikke gjør det, vil etter hvert bli irrelevant. Her er det fremdeles en god del å hente for enkelte IT-ledere som ikke har fulgt med i timen.
For de IT-lederne som har fulgt med og setter interne kunder fra forretning og eksterne kunder i sentrum, er det to hensyn å ta. På den ene siden må de si JA til ønsker om ny funksjonalitet som vil bidra til bedre måloppnåelse og skape mer forretningsverdi. Men på den andre siden må de også si NEI til initiativer som øker kompleksitet og bygger teknisk gjeld.
Fordi konsekvensene av disse ønskene vil øke risiko for informasjonssikkerhetsbrudd og kostbare sikkerhetshendelser som vil hindre måloppnåelse og kan bli svært kostbare.
IT-lederen må altså si nei til forretningsbehov i form av bestillinger, som vil medføre økt IT-risiko og som konsekvens medføre lavere forretningsverdi. Ikke for å være vanskelig, men for å ivareta behov for nødvendig sikkerhet.
Det er her IT-lederen må være rådgiver og sparringspartner for forretnings-lederen(e), slik at alle anskaffelser følger virksomhetens retningslinjer og arkitekturprinsipper. Det er ofte her jeg kommer inn som rådgiver for ledere som trenger hjelp.
Du vet hva teknisk gjeld er. Men har du hørt om sikkerhetsgjeld?
Løsning
For IT-ledere som ønsker å begrense fremveksten av skygge-IT i egen virksomhet, og lykkes i rollen som en teknologirådgiver og partner for sine interne kunder i forretningen, har jeg til slutt noen råd:
- Sett kunden i sentrum og være lydhør for deres behov. Det er deres behov for gode IT-verktøy som skal være førende, og du bør gjøre ditt ytterste for å imøtekomme kundene dine og deres behov for en enklere hverdag.
- Gi råd og informer om hvilke verktøy som allerede finnes i porteføljen. Kanskje disse kan løse problemet? I så fall trengs tilgang til verktøyet, lisenser, støtte og nødvendig opplæring for å ta disse i bruk.
- Ikke bli en propp i systemet som sinker prosesser og kreativitet i resten av organisasjonen. Nødvendig sikkerhet og kontroll skal ivaretas, men er ingen unnskyldning for å ikke undersøke mulighetene.
- Ikke si nei til forslag og forespørsler om ny funksjonalitet og nye verktøy, uten å først vurdere konsekvensene og begrunne svaret ditt.
- Legg til rette for at det skal være enkelt å gjøre rett – slik at nye IT-anskaffelser blir meldt inn til IT-avdelingen. Det er et større sikkerhetsproblem at IT-avdelingen ikke blir involvert og at virksomhetens data dermed behandles utenfor virksomhetens kontroll.
- Informer om mulighetene som ligger i tilgjengelige verktøy. Det er billigere å gjenbruke eksisterende løsninger, enn å kjøpe nye lisenser. Dessuten blir det mindre kompleksitet og teknisk gjeld når en unngår anskaffelse av systemer med overlappende funksjonalitet.
- Utarbeid et tydelig målbilde med en samordnet og integrert arkitektur. Det vil si prosesser, data og applikasjoner som snakker godt sammen. På denne måten oppnår du en raskere utviklingstakt og legger grunnlag for innovasjon i virksomheten.
- Vær på tilbudssiden og inviter deg selv til møtearenaer på ulike nivåer i organisasjonen. Vis mulighetene som ligger i den eksisterende IT-porteføljen, og spør om det er verktøy som organisasjonen savner for å utføre oppgaver.
- Ikke bruk sikkerhetskortet som unnskyldning for å si nei til nye behov uten å undersøke og begrunne hvorfor det utgjør en risiko for informasjonssikkerheten. Den tiden du bruker på å sette deg inn i problemstillingen vil gi både deg og dine kunder verdifull ny innsikt og læring om IT-risiko og informasjonssikkerhet.