• Nem Talált Eredményt

2.2 Az informatikai szervezet szerepe a nagyvállalatoknál

2.2.3 A vállalati társosztályok elvárásai az informatikai kiszolgálással szemben

eltérő támogatásra és kiszolgálásra van szükségük. A vállalati informatika szerepe, hogy a vállalatot felkészítse az informatikai kihívásokra, az üzletmenet érdekében bevezetni kívánt informatikai termékeket a már meglévő infrastruktúrába vagy rendszerbe illessze, a vállalati informatikát tudatossá tegye. Ennek a tudatosságnak lenne a legnagyobb szerepe az Informatikai Stratégia kialakításakor, hogy az abban megfogalmazott igények konkrét célok megvalósítását szolgálják és segítsék elő.

A konzumer piacon megtalálható alkalmazások fejlettségét követelik a helyi vagy céges IT-tól – és nehezen látható be, miért nem lehet egy új adatbázisrendszert, vagy egy új CRM-et kattintásra letölteni és használni. Fejlettebbé vált a felhasználó, ezáltal magasabbak lettek az elvárásai, mert privát életében eléri, használja, letölti és kidobja, amint arra nincsen szüksége. Minden egyes igényére legalább 3 ingyenes megoldást tud és talál meg – és ugyanezt a termékbőséget és kiszolgálást várja a vállalati IT-tól is.

Felmerül az igény – jogosan és érdekes módon a felhasználó oldaláról – miért nem oldja meg a céges problémákat ingyenesen elérhető, „otthon kipróbált” eszközökkel – amik felhasználói szempontból azonnali megoldást nyújtanak.

Az IT szerepe azonban a felhőszolgáltatások kiválasztásában lesz döntő. Mivel ezt a terméket a már meglévő IT infrastruktúra mentén a földi rendszerekhez kell illeszteni, a kiválasztás során a kompatibilitásnak és az együttműködésnek is meg kell felelnie a felhőszolgáltatásnak. Elsősorban ezek a megfelelőségek köthetők szabványokhoz (ISO 2700x, PCI-DSS, COBIT stb.), ajánlásokhoz és belső házirendekhez (BCP, DRP), amik szigorúbb feltételeket szabnak meg a felhőterméket szolgáltatók felé. Nagyon nem mindegy, milyen az a felhőszolgáltatás, amit a nagyvállalat bevezetni kíván – hiszen már működő infrastruktúrába illeszti, ami sok esetben auditált, tehát szabványnak megfelelően működik.

2.2.4 Ami nem a vállalati informatika felügyelete alá tartozik, a Shadow IT Ahogy a 2.2.3 fejezetben utaltam rá, ha egy munkacsoport talál a piacon egy gyorsabb, hatékonyabb, ingyenes megoldást, ami a feladataik elérésében támogatja őket, használni fogják. Akár a vállalati IT beleegyezése nélkül is.

A Shadow IT olyan rendszert és megoldásokat foglal magában, amelyek kívül esnek a szervezeti hozzájáruláson vagy a megfelelésre vonatkozó előírásokon. Az erre való igény akkor merül fel, ha az egyik társosztály által elérni kívánt célok elérése a biztosított rendszerekkel nem megoldható. Ez arra készteti az alkalmazottakat, hogy olyan technikai döntéseket hozzanak, amelyek rövid távú előnyökkel járnak, de mindemellett negatív hatást is gyakorolhatnak a biztonságra. [97]

Az így használt rendszerek nagy kockázatokat hoznak a vállalat életébe. Vállalati adatok kerülnek ki egy, az IT által nem jóváhagyott rendszerbe, melyek használata a csoport által felügyelt. A csoport vagy a csoport erre kijelölt felelőse dönt a felhasználók hozzáféréséről, az esetleges külső partnerek felvételéről, a jogosultságok kezeléséről, kiosztásáról, megszüntetéséről. A rendszerben használt jogosultságok nem kerülnek be a vállalati jogosultsági rendszerbe, az ott bekövetkezett változások nem lesznek szinkronban egymással. A csoport által használt alkalmazáshoz az IT-nak nincs hozzáférése, tehát az ebben keletkezett adat nem lesz része a vállalati adatvagyonnak.

Amint a csoport befejezi működését, sokszor nem törlik az alkalmazást, vagy a vállalati adatokat a felhőszolgáltatónál. előfordulhat, hogy a csoport tagjai között változás történik, új tagok jönnek, akik hozzáférést kapnak az IT által nem támogatott rendszerhez, de tagok távozhatnak is a csoportból, és nem minden esetben törlik a hozzáférésüket, hiszen „nem ez a dolguk”, vagy „soha nem volt ez a dolguk”, sokszor nem is gondolnak arra, hogy a konkurens céghez távozó kolléga hozzáfér a legújabb marketing tervekhez.

A felhőalapú megoldások terjedésével, valamint az informatika erőteljes használata csak felgyorsította a Shadow IT használatát. A 2014-es PMG által végzett felmérés szerint [97]

az informatikai szakemberek 53%-a állítja, hogy a vállalaton belüli szervezeti egységek a jogosulatlan technológiák különböző formáira támaszkodnak.

Fontos, hogy a vállalat megkeresse és megértse, miért dolgoznak az alkalmazottak alternatív megoldásokkal. Legtöbbször nincs semmi rosszindulat a használat mögött, csupán megoldást keresnek, a használhatóság, a jobb támogatás, a több szolgáltatás vagy a hatékonyság növelése céljából. Ez azt bizonyítja, hogy a vállalati IT-megoldások nem

elég jók a munkatársak számára. Ennek megoldása nem az IT Shadow rendszerek kiirtása, hanem a vállalati rendszerek fejlesztése – akár üzleti minősített felhőszolgáltatással.

Ugyanezt vallja Mark McDonald, a Gartner [94] egykori GVP-je: “Restructure rather than restrict shadow IT.” (Ne írtsd ki a shadow IT-t, inkább építkezz belőle!)

Az Shadow IT legnagyobb kockázata, hogy elsődleges célpontja a hackerek támadásainak. Például egy, a vállalat által meghatározott erős jelszó-biztonsági házirend még nem jelenti a jelszavak biztonságosságát. A jelszó-frissítések egyszerűsítése érdekében a felhasználók könnyebben megjegyezhető és könnyebben feltörhető jelszavakat hozhatnak létre. Vagy csak ugyanazt a jelszót használja mindkét helyen. Ha nem kapnak képzést jelszókezelő rendszer használatáról, akkor a felhasználók papírra írhatják őket, és biztonságban tarthatják őket, például az asztaluknál.

Tulajdonképpen a Shadow IT technológiai feladatok végrehajtására irányul, anélkül, hogy figyelembe venné a biztonságra gyakorolt hatásukat. Ennek a helyzetnek pedig magas kockázatai lesznek. Ennek csökkentésére a következő ötleteket dolgozta ki Travis Wilkins [98].

1. Egy megfelelő vezető kiválasztása - akinek feladata a biztonsági feladatok vezetése. Fontos, hogy minden kommunikáció és a biztonsággal kapcsolatos ügyekben hozott döntésekről ez a vezető tájékoztatva legyen.

2. Kommunikáció – minden esetben legyen meg a kapcsolat a társosztályok és az IT között. A munkatársaknak legyen lehetőségük az igényeiket megfogalmazni, az IT pedig próbáljon azokra megbízható, vállalati megoldást nyújtani.

3. Folyamatok – a sikeres biztonsági szervezet mágikus kombinációja, az emberek, a folyamatok és a technológia hármasa. Ha a sorból bármelyik kilóg, a rendszer nem tud megfelelően működni. Érdemes a folyamatokat egyszerűsíteni, lehetőség szerint automatizálni. A kommunikációval és az oktatással meg kell fogni a munkatársakat, a technológiának pedig illeszkedni kell a vállalati folyamatokhoz, valamint ki kell tudnia elégíteni a munkatársak igényeit.

4. Biztonságos szoftverek/megoldások felhasználása – a legfontosabb szempont a vállalati rendszerek átláthatósága.

A kommunikáció hiánya áll leginkább a Shadow IT elterjedése mögött. Egy felhatalmazott biztonsági vezető megkönnyítheti a megfelelő kommunikációt az egyes

csapatok között annak biztosítása érdekében, hogy kialakulhasson a mindenki számára elfogadható megoldás. A közös célok kitűzésével a munkatársak nagyobb valószínűséggel osztják meg az ötleteiket és elvárásaikat, és kevésbé fordulnak olyan megoldások felé, mint a shadow IT, ami veszélyezteti a vállalat biztonságát.