Mikä on Shadow IT? Etkö oikein haluaisi siirtää yrityksesi tietoja pilveen? Peräti 90 % yrityksistä on tietoisesti päättänyt käyttää jonkinlaista pilvipalvelua. Verkkohotellit, CRM -järjestelmät sekä varmuuskopiointi- ja järjestelmäpalautusratkaisut kuuluvat yritysten eniten käyttämiin pilvipalveluihin.
Samalla on kuitenkin havaittavissa, että pilvipalveluiden käyttöä epäröivien yritysten tiedot päätyvät ns. Shadow IT -ilmiön kautta lopulta kuitenkin pilvipalveluihin.
Shadow Cloud tai Shadow IT tarkoittaa IT-hankkeita, joita käsitellään yrityksen IT-osaston ulkopuolella tai ilman, että IT-osasto tietää niistä. Jopa kaikkein rutinoituneimman IT-osaston on vaikea pitää koko ajan silmällä, mitä työntekijät tekevät. Shadow Cloudin muodostuminen ei yleensä johdu hakkereista tai hyökkäyksistä. Pilviympäristön luovat yrityksen työntekijät, usein tietämättään.
Miten niin pääsee tapahtumaan?
Ympärillämme on nykyään lukuisia teknisiä apuvälineitä, jotka voidaan kaikki yhdistää pilvipalveluun. Kyse voi olla esimerkiksi sähköpostista, asiakirjoista, tiedostoista, musiikista, tietokoneista, tableteista, ohjelmista ja puhelimista.
Pilvipalvelutekniikka on yleistynyt, ja siitä on tullut niin helppokäyttöistä ja laadukasta, että on vaikea välttää tietojen lähettämistä pilveen. Moni on varmastikin lähettänyt tietoja pilvipalveluun, vaikka lähettäminen on saattanut olla tahatonta.
Oletko esimerkiksi huomannut, että puhelimessa olevat kuvat ilmestyivät työtietokoneelle, mutta et tiedä, miten? Niin voi käytä yksinkertaisesti silloin, jos puhelin ladataan työtietokoneen kautta ja tietty valintaruutu valitaan puhelimen näytöllä. Oletko napsauttanut pilvipainiketta, joka ilmestyi PDF-asiakirjan pikavalikkoon? Arvaa, minne asiakirjasi silloin päätyy?
Useimmilla on yksityinen sähköpostitili esimerkiksi Googlen palvelussa. Jos työasiakirjan avaa tai tallentaa siellä, se tallennetaan Google Drive -pilvipalveluun. Jos ostat Applen iPhonen, sinun on hankittava iCloud-tili puhelimen käyttämiseksi. Kaikki kuvasi kopioidaan automaattisesti pilveen, jos tallennustila ei ole täynnä. Jos otat kuvan työasiakirjasta, kuva tallennetaan sekä puhelimeesi että Applen palveluun.
Kuka luo Shadow Cloudin?
Tutkimusten mukaan kaksi eri työntekijäryhmää vie erityisen usein tietoja valtuuttamattomiin verkkopilvipalveluihin. Toinen ryhmä ovat innokkaimmat ja motivoituneimmat työntekijät. Tämä ryhmä työskentelee usein toimiston ja tavallisten työaikojen ulkopuolella. Heidän kärsivällisyytensä ei monesti riitä, jos yhteydessä yrityksen järjestelmään on häiriöitä, ja silloin työnantajan tietoa voi helposti päätyä ulkoiseen pilviympäristöön.
Toinen ryhmä ovat outoa kyllä IT-osaston työntekijät tai muut työntekijät, joilla on paljon IT-osaamista. Tämä ryhmä on teknisesti niin edistynyt, että ryhmään kuuluvat tuntevat eri pilvitallennusvaihtoehtoja tai ovat luoneet vaihtoehtoisia pilvitallennustilejä. He aloittavat nopeasti uuden tekniikan käyttämisen, mikä voi aiheuttaa ongelmia.
Shadow IT on yleistymässä oleva ilmiö. McAfeen suorittamassa kyselyssä 80 % vastaajista (IT-työntekijöitä ja IT-päälliköitä) ilmoitti käyttäneensä pilvitallennuspalveluita, joita IT-osasto ei ole hyväksynyt.
Onko Shadow Cloud hyvä vai huono asia?
On itsestään selvää, että Shadow Cloudin kattava käyttö muodostaa turvallisuusriskin yritykselle. Ensinnäkin on erittäin vaikea määrittää, miten paljon tietoa muualle on päätynyt ja mitkä tiedot on tallennettu tuntemattomiin pilviympäristöihin. Tietojen tallentaminen tuntemattomiin pilvipalveluihin voi johtaa tietojen menetykseen, luottamuksellisten tietojen käsittelyyn lakeja ja sääntöjä rikkovalla tavalla sekä yrityssalaisuuksien ja yrityksen immateriaalioikeuksien menetykseen. EU:n henkilötietojen käsittelyä koskevat säännöt ovat yhä tiukempia, ja tietoturvarikkomuksista aiheutuvat sakot voivat olla jopa neljä prosenttia yrityksen bruttoliikevaihdosta.
IT-osastolle yrityksen tietojen hallinnan menettäminen on ongelma, sillä Shadow Cloudin käyttö tapahtuu piilossa. Shadow Cloudissa on kuitenkin myös hyvät puolensa. Kun pilvitallennustekniikkaa on tarjolla helpolla ja halvalla tavalla, IT-osaston on helpompi ratkaista ongelmia. Työntekijät eivät ole yhtä riippuvaisia osaston avusta ja ratkaisevat ongelmia itse käyttämällä tarjolla olevia palveluita. Laajalti tarjolla oleva yksinkertainen ja halpa mahdollisuus tallentaa tietoa johtaa myös siihen, että moni työntekijä suoriutuu tehokkaammin työstään, sillä kapasiteettirajoitukset haittaavat heitä yhä harvemmin.
Mitä Shadow Cloudia ehkäiseviä toimenpiteitä IT-osaston tulisi suorittaa?
Vaikka Shadow Cloud voikin vähentää IT-osastoon suuntautuvaa painetta vähäisempien tukikyselyiden ja vähäisemmän teknisen infrastruktuurin hallintatarpeen muodossa, on muistettava, että IT-osasto on yhä vastuussa yritystietojen turvallisuudesta sekä tietojen käsittelyyn liittyvien lakien ja sääntöjen noudattamisesta.
On tärkeä muistaa, että tietoturvan kohdalla yritys itse on etulinjassa. Yrityksellä on oltava selkeä käytäntö siitä, mitä pilvipalveluita käytetään, ja yrityksen on varmistettava, että toimittajat täyttävät kaikki tietoturvavaatimukset. IT-osaston tulee myös luoda sisäinen turvallisuuskulttuuri, joka saa työntekijät ymmärtämään, mihin he tallentavat tietonsa.
Pilvipalveluiden tarjoajan valinta ja turvallisuus
Pilvipalveluiden toimittajaa valittaessa yrityksen on harkittava monia eri asioita. Seuraavana muutamia tärkeitä asioita, jotka on tietoturvan kannalta hyvä pitää mielessä:
- Mihin tiedot fyysisesti tallennetaan? Tallennetaanko ne Suomeen vai ulkomaille? Sillä on merkitystä, sovelletaanko luottamuksellisten tietojen luovuttamiseen Suomen vai ulkomaan lakia.
- Tietoja käsittelevän yrityksen kotimaa. Mitä lakeja pilvipalveluiden tarjoajan on noudatettava? Amerikkalaisia, eurooppalaisia vai suomalaisia? Vuonna 2018 voimaan astuvan Euroopan uuden tietosuojalain mukaisesti suomalaisten yritysten henkilötietojen käsittelylle asetetaan tiukempia vaatimuksia. Mahdollisen pilvipalveluiden tarjoajan on voitava osoittaa, että vaatimukset täyttyvät.
- Missä määrin toimittaja voi osoittaa, että sillä on tietoturvaa koskevia käytäntöjä ja menettelytapoja? Minkälaisia prosesseja toimittajalla on yrityksen tietojen turvaamiseksi? Onko sillä tietoturvasertifiointi, esimerkiksi ISO 27001?
Joissakin tapauksissa voi itse asiassa olla parempi valita pilvipalveluiden tarjoaja kuin vähemmän hyvä tietoturvaratkaisu omassa yrityksessä. Se johtuu siitä, että ammattimaisten pilvipalveluiden tarjoajien on noudatettava tiettyjä säännöstöjä, muuten niitä ei pidetä vakavasti otettavana vaihtoehtona markkinoilla.
Lue lisää IT-palveluistamme ja ratkaisuistamme »