Artykuł pochodzi z wydania: Wrzesień 2022
W organizacji nie zawsze funkcjonuje tylko jeden dział informatyczny. Specjalizacja i różny zakres obowiązków wymuszają podzielenie komórki IT na mniejsze części. Jednak może się okazać, że nie wiemy o jeszcze jednym IT, które funkcjonuje poza strukturą organizacyjną i świadomością zarządzających.
Jeżeli zapytamy admina o źródło najczęstszych problemów, zazwyczaj odpowie, że jest nim użytkownik. User ciągle czegoś wymaga, oczekuje oraz – co najgorsze – narzeka na IT i nigdy nie jest zadowolony. A co na to użytkownik? W swoim odczuciu jest petentem ciągle czekającym na obsługę z departamentu IT. Na większość pytań uzyskuje odmowne lub wymijające odpowiedzi. Gorzej, że w większości ich nie rozumie…
W głowach wielu użytkowników rodzi się w końcu pomysł pominięcia tego działu. Szczególnie dotyczy to skomplikowanych procedur bezpieczeństwa, długotrwałych procesów akceptacji nowych narzędzi i niekończących się kolejek w helpdesku. Nie pytać IT i spróbować szybko stworzyć lub pozyskać aplikację, która ułatwi pracę – z cloudem to możliwe! Wdrożyć zewnętrzne repozytorium danych dostępne tylko dla ludzi z mojego działu – tak, każdy teraz może założyć konto w usłudze dysku chmurowego. W ten sposób zaczyna się tworzyć szara strefa zarządzania informatyką w przedsiębiorstwie lub instytucji niewidoczna na pierwszy rzut oka zarówno dla zarządzających, jak i samego działu IT.
> PRAWIE JAK INFORMATYKA
Gartner definiuje shadow IT jako „urządzenia informatyczne, oprogramowanie i usługi pozostające poza własnością lub kontrolą działu IT w organizacji”. Inaczej zwana szara strefa lub strefa cienia IT może być sprzętem lub oprogramowaniem, a jego liczba gwałtownie wzrosła w szczególności w ostatnich latach wraz z rozwojem przetwarzania w chmurze. Pobieranie i wdrażanie przez pracowników nowego oprogramowania i produktów w chmurze, które mogą im pomóc w codziennej pracy, stało się dla niektórych komórek organizacyjnych sposobem pracy. Doprowadziło to do ogromnego wzrostu liczby ukrytych obszarów IT, w których systemy, oprogramowanie i procesy działają w sieci korporacyjnej, o czym dział IT nie ma pojęcia. Chmura ułatwiła użytkownikom omijanie procedur zamówień oprogramowania poprzez IT. W efekcie użytkownicy w komórkach organizacyjnych uzyskują czasami szybszy dostęp do rozwiązań potrzebnych im w pracy do wykonania zadań. Z punktu widzenia użytkownika nadzór IT i rygorystyczne zasady zarządzania są często zaprojektowane w celu ochrony organizacji, niekoniecznie w celu wsparcia pracowników zmuszonych do korzystania z często przestarzałego oprogramowania z funkcjami niedopasowanymi do ich wymagań biznesowych. Rezultatem jest praktyka shadow IT służąca omijaniu tych ograniczeń i uzyskiwaniu dostępu do wymaganych rozwiązań IT bez informowania i nadzoru ze strony właściwego działu.
W szarej strefie IT może dochodzić do sytuacji, w której użytkownik staje się administratorem aplikacji, nie mając wystarczającej wiedzy do przeprowadzenia poprawnej parametryzacji jej funkcji, również tych związanych z bezpieczeństwem. Dochodzi zatem do wykorzystania i zarządzania wieloma technologiami, rozwiązaniami, usługami, projektami i infrastrukturą IT bez formalnej zgody i wsparcia wewnętrznych działów IT. Naruszenia wynikające z praktyk shadow IT mogą prowadzić do poważnych konsekwencji dla organizacji – kary finansowe wynikające z niezgodnego przetwarzania danych osobowych to jeden z przykładów. Może również dochodzić do nieautoryzowanego dostępu do danych oraz ich kradzieży. Oprócz odpowiedzialności wynikającej z incydentów dotyczących danych możemy napotkać problemy związane z uzależnieniem się organizacji od stosowanej w szarej strefie IT technologii. Przykładem może być oprogramowanie w modelu SaaS bez funkcji eksportu danych w formacie i zakresie umożliwiającym ich przeniesienie do innych systemów informatycznych lub ich integrację. Sytuacją problematyczną może być również wykorzystanie narzędzia informatycznego, którego dostawca wykorzystuje dane użytkowników również do własnych celów. W efekcie może dochodzić do utraty kontroli nad danymi przez organizację, która jest ich właścicielem.
[…]
Artur Cieślik
Autor jest redaktorem naczelnym miesięcznika „IT Professional”, audytorem CISA oraz audytorem wiodącym normy ISO/IEC 27001 i ISO 22301. Specjalizuje się w realizacji audytów bezpieczeństwa informacji, danych osobowych i zabezpieczeń sieci informatycznych. Jest konsultantem w obszarze architektury bezpieczeństwa i wdrażania Systemów Zarządzania Bezpieczeństwem Informacji. Trener i wykładowca z wieloletnim doświadczeniem.(Certified Data Center Specialist), CDFOM (Certified Data Center Facilities Operations Manager) oraz DCPRO-Cooling Professional.
