Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.



05.09.2022

Łatwiejsza migracja do chmur

Commvault i Oracle rozszerzyły partnerską współpracę i wspólnie oferują rozwiązanie...
01.09.2022

Badanie sieci

QNAP ogłosił wprowadzenie oprogramowania ADRA Network Detection and Response (NDR) dla...
01.09.2022

5G w Polsce

Z badania Kearney 5G Readiness Index 2022 wynika, że Polska jest jednym z najgorzej...
01.09.2022

Zarządzanie działaniami

Fortinet zaprezentował chmurową usługę, która koreluje informacje dotyczące...
01.09.2022

Selektywna rejestracja

Naukowcy z UCLA przedstawili projekt inteligentnej kamery, która pozwala wybrać, jaki...
01.09.2022

Więcej mocy, komputer...

Profesjonalny komputer Dell Precision 7865 Tower z AMD Ryzen Threadripper PRO 5000...
01.09.2022

Rekord prędkości

Firma Aorus zapowiada superszybki dysk, następcę modelu Gen4 7000s SSD, który ma oferować...
01.09.2022

Beprzewodowe drukowanie

Firma Brother wprowadziła do swojego portfolio nowe urządzenie wielofunkcyjne z systemem...
01.09.2022

Obraz dobrze zaprogramowany

Monitor interaktywny Lyra to połączenie Androida 11, szyby antybakteryjnej, wbudowanego...

Działania w szarej strefie

Data publikacji: 01-09-2022 Autor: Artur Cieślik

W organizacji nie zawsze funkcjonuje tylko jeden dział informatyczny. Specjalizacja i różny zakres obowiązków wymuszają podzielenie komórki IT na mniejsze części. Jednak może się okazać, że nie wiemy o jeszcze jednym IT, które funkcjonuje poza strukturą organizacyjną i świadomością zarządzających.

 

Jeżeli zapytamy admina o źródło najczęstszych problemów, zazwyczaj odpowie, że jest nim użytkownik. User ciągle czegoś wymaga, oczekuje oraz – co najgorsze – narzeka na IT i nigdy nie jest zadowolony. A co na to użytkownik? W swoim odczuciu jest petentem ciągle czekającym na obsługę z departamentu IT. Na większość pytań uzyskuje odmowne lub wymijające odpowiedzi. Gorzej, że w większości ich nie rozumie…

W głowach wielu użytkowników rodzi się w końcu pomysł pominięcia tego działu. Szczególnie dotyczy to skomplikowanych procedur bezpieczeństwa, długotrwałych procesów akceptacji nowych narzędzi i niekończących się kolejek w helpdesku. Nie pytać IT i spróbować szybko stworzyć lub pozyskać aplikację, która ułatwi pracę – z cloudem to możliwe! Wdrożyć zewnętrzne repozytorium danych dostępne tylko dla ludzi z mojego działu – tak, każdy teraz może założyć konto w usłudze dysku chmurowego. W ten sposób zaczyna się tworzyć szara strefa zarządzania informatyką w przedsiębiorstwie lub instytucji niewidoczna na pierwszy rzut oka zarówno dla zarządzających, jak i samego działu IT.

 

> PRAWIE JAK INFORMATYKA

 

Gartner definiuje shadow IT jako „urządzenia informatyczne, oprogramowanie i usługi pozostające poza własnością lub kontrolą działu IT w organizacji”. Inaczej zwana szara strefa lub strefa cienia IT może być sprzętem lub oprogramowaniem, a jego liczba gwałtownie wzrosła w szczególności w ostatnich latach wraz z rozwojem przetwarzania w chmurze. Pobieranie i wdrażanie przez pracowników nowego oprogramowania i produktów w chmurze, które mogą im pomóc w codziennej pracy, stało się dla niektórych komórek organizacyjnych sposobem pracy. Doprowadziło to do ogromnego wzrostu liczby ukrytych obszarów IT, w których systemy, oprogramowanie i procesy działają w sieci korporacyjnej, o czym dział IT nie ma pojęcia. Chmura ułatwiła użytkownikom omijanie procedur zamówień oprogramowania poprzez IT. W efekcie użytkownicy w komórkach organizacyjnych uzyskują czasami szybszy dostęp do rozwiązań potrzebnych im w pracy do wykonania zadań. Z punktu widzenia użytkownika nadzór IT i rygorystyczne zasady zarządzania są często zaprojektowane w celu ochrony organizacji, niekoniecznie w celu wsparcia pracowników zmuszonych do korzystania z często przestarzałego oprogramowania z funkcjami niedopasowanymi do ich wymagań biznesowych. Rezultatem jest praktyka shadow IT służąca omijaniu tych ograniczeń i uzyskiwaniu dostępu do wymaganych rozwiązań IT bez informowania i nadzoru ze strony właściwego działu.

 

W szarej strefie IT może dochodzić do sytuacji, w której użytkownik staje się administratorem aplikacji, nie mając wystarczającej wiedzy do przeprowadzenia poprawnej parametryzacji jej funkcji, również tych związanych z bezpieczeństwem. Dochodzi zatem do wykorzystania i zarządzania wieloma technologiami, rozwiązaniami, usługami, projektami i infrastrukturą IT bez formalnej zgody i wsparcia wewnętrznych działów IT. Naruszenia wynikające z praktyk shadow IT mogą prowadzić do poważnych konsekwencji dla organizacji – kary finansowe wynikające z niezgodnego przetwarzania danych osobowych to jeden z przykładów. Może również dochodzić do nieautoryzowanego dostępu do danych oraz ich kradzieży. Oprócz odpowiedzialności wynikającej z incydentów dotyczących danych możemy napotkać problemy związane z uzależnieniem się organizacji od stosowanej w szarej strefie IT technologii. Przykładem może być oprogramowanie w modelu SaaS bez funkcji eksportu danych w formacie i zakresie umożliwiającym ich przeniesienie do innych systemów informatycznych lub ich integrację. Sytuacją problematyczną może być również wykorzystanie narzędzia informatycznego, którego dostawca wykorzystuje dane użytkowników również do własnych celów. W efekcie może dochodzić do utraty kontroli nad danymi przez organizację, która jest ich właścicielem.

 

Drugim najczęściej wykorzystywanym rodzajem produktów w shadow IT są komercyjne aplikacje na smartfony, tablety oraz laptopy. Urządzenia mobilne są bardzo często konfigurowane dla użytkowników w sposób pozwalający im na korzystanie z poziomu uprawnień administracyjnych. W takiej sytuacji użytkownicy będący lokalnymi adminami mogą korzystać z własnych urządzeń w sposób niekontrolowany przez dział IT. Telefony komórkowe i tablety są wprawdzie przeznaczone głównie do obsługi służbowej poczty e-mail, jednak często mają pozostawione opcje instalacji innych aplikacji przez użytkownika. W efekcie mamy do czynienia z wykorzystaniem przez użytkowników nieautoryzowanych bezpłatnych i komercyjnych produktów, z których wiele zabronionych jest przez polityki organizacji. Co więcej – wśród nich jest również niebezpieczne i szkodliwe oprogramowanie, które w ten sposób przedostaje się na urządzenia użytkowników.

 

> SZARA STREFA

 

Wiele osób zastanawia się, dlaczego shadow IT występuje i jest atrakcyjne dla użytkowników? Problem jest oczywiście złożony. Dla praktyków oczywiste jest, że nie wszyscy pracownicy stosują zasady narzucone przez organizację. Powody mogą być różne – kultura organizacji, brak wsparcia kierownictwa, poziom świadomości użytkowników czy problem w komunikacji z IT. Pamiętajmy, że wiele osób działających w szarej strefie IT nie chce szkodzić organizacji. Chcą ułatwień w pracy i narzędzi, które odpowiadają ich potrzebom. Shadow IT występujące w mniejszym lub większym stopniu powinno być sygnałem dla działu IT do zbadania, jakie potrzeby użytkowników nie są pokryte. Jednocześnie podczas analizy problemu wśród pracowników naturalnie możemy spotkać się z postawą negującą stosowanie narzuconych przez IT zasad, którą można skwitować stwierdzeniem „bo nie!”. Jednak w większości przypadków powód jest inny, a jego źródło jest raczej w procedurach organizacji i wykorzystywanych technologiach.

 

Shadow IT jest nieuniknione. Użytkownicyprzechodzą do szarej strefy głównie po to, aby spełnić swoje wymagania w sposób, który ułatwia im życie w trakcie wykonywania obowiązków służbowych. Część problemu leży po stronie organizacji, która nie zapewnia odpowiedniego wsparcia technologicznego potrzebnego użytkownikom. Oprócz tegosprawia, że proces zarządzania, zatwierdzania i inicjowania obsługi przez dział IT jest nieefektywny. Ponadto w organizacjach, w których działanie opiera się na ciągłych innowacjach oraz szybkim tworzeniu oprogramowania, zapotrzebowanie wśród użytkowników na nowe funkcje lub narzędzia może pojawić się z niewielkim wyprzedzeniem w cyklu wydawania nowych wersji oprogramowania. Może to stwarzać problem dla działów IT szczególnie w tempie zwinnych metodyk zarządzania, np. Agile.

 

Cały problem pogłębia jeszcze nieodpowiednia komunikacja i współpraca między użytkownikami, działami IT i programistami, która wpływa na szybkość i elastyczność zatwierdzenia niezbędnych technologii. Na koniec warto wspomnieć o najważniejszym, czyli o bezpieczeństwie systemów, danych i informacji należących do organizacji. Możliwości zapewnienia bezpieczeństwa są ograniczone, a wynika to często z budżetu oraz niedopasowanych procesów, które uniemożliwiają organizacjom wdrażanie nowych i bezpiecznych technologii ułatwiających życie użytkownikom.

 

[...]

 

Autor jest redaktorem naczelnym miesięcznika „IT Professional”, audytorem CISA oraz audytorem wiodącym normy ISO/IEC 27001 i ISO 22301. Specjalizuje się w realizacji audytów bezpieczeństwa informacji, danych osobowych i zabezpieczeń sieci informatycznych. Jest konsultantem w obszarze architektury bezpieczeństwa i wdrażania Systemów Zarządzania Bezpieczeństwem Informacji. Trener i wykładowca z wieloletnim doświadczeniem.

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

prenumerata Numer niedostępny Spis treści

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik \"IT Professional\"