Varjo-IT on todellinen tietoturvariski – tiedätkö, mitä kaikkia järjestelmiä teidän asiantuntijanne käyttävät työssään?

Asiantuntija käyttää vapaa-ajallaan Dropboxia tiedostojen siirtoon ja tallentamiseen, joten hän ottaa sen omin päin käyttöönsä myös työpaikalla. Toinen asiantuntija katselee illalla formulakisoja työkoneelta ja tulee erehdyksessä asentaneeksi koneelleen haitallisen lisäosan. Kolmas asiantuntija suosittelee omalle liiketoimintayksikölleen erillisen CRM:n hankkimista, vaikka yrityksen edun mukaista olisi käyttää yhtä tilausta.

Tällaista varjo-IT:tä syntyy työpaikalle, kun yksittäiset ihmiset tekevät päätöksiä IT-osaston tietämättä. Kovin laajasta ilmiöstä ei kuitenkaan liene kysymys, sillä syyskuussa ilmestyneen CIO-tutkimuksen mukaan noin 80 prosenttia teknologia- ja palveluhankinnoista kulkee yhä IT-osaston kautta (Tivi syyskuu 2019). Varjo-IT on kuitenkin selkeä tietoturvariski ja esimerkiksi Microsoftin arvioiden mukaan ensi vuonna jopa kolmasosa tietoturvahyökkäyksistä tulee varjo-it:n kautta. Varjo-IT:n hyväksyntä voi tietysti olla tietoista riskinottoa, mutta yrityksen tietoturvasta vastaavilla ihmisillä pitäisi vähintäänkin olla käsitys siitä, millaisen riskin he ottavat hyväksyessään ”villit” sovellukset.

Microsoftin Cloud App Securityn (MCAS) avulla voit tunnistaa “villejä” sovelluksia ja estää niiden käytön. Tai jos et jostain syystä halua estää SaaS-palvelun käyttöä, voit luoda MCAS:in avulla sääntöjä, joiden avulla voit suojata pilviympäristöäsi ja vähentää “villin” sovelluksen aiheuttamaa tietoturvariskiä.

 

Ei niin pahaa, ettei jotain hyvääkin – varjo-IT:n hyödyt

IT-ratkaisut ovat tulleet osaksi kaikkea liiketoimintaa. Usein IT-investoinneista päätetään osana yrityksen strategian rakentamista, jolloin hyväksytyt investoinnit ja mahdolliset muutostarpeet tukevat suoraan yrityksen liiketoimintastrategiaa. Joissakin tapauksessa taas IT-investoinneista päättävät henkilöt voivat tehdä investointipäätöksen heti kun tulee tarve uudelle hankinnalle.

Vaikka liiketoimintayksiköissä työskentelevien ihmisten esittämät investointiehdotukset ovat päätöksenteossa keskeisiä, he voivat toisinaan kokea liiketoimintatarpeiden analysoinnin ja priorisoinnin turhauttavaksi ja hitaaksi. Lisäksi aika harvoin voidaan alkaa toteuttaa kaikkia hankkeita samanaikaisesti ja hyväkin hanke voi siirtyä tai jäädä kokonaan toteuttamatta.

Turhautuneet liiketoiminnan ihmiset voivat lähteä toteuttamaan IT-hankkeita omin päin, ilman IT-osaston mukanaoloa. Tämän takia liiketoimintaa ei saisi jättää ikuiseen investointiesitysluuppiin, vaan myös myöhemmäksi siirrettyjen IT-hankkeiden osalta tulisi laatia suunnitelma.

Näistä yksittäisten asiantuntijoiden tai yksiköiden itsenäisesti käyttöön ottamista ratkaisuista voi olla myös hyötyä yrityksen kannata. Liiketoiminnan ihmiset voivat ketterästi ottaa käyttöön haluamiaan työkaluja ohittamalla muodollisen päätöksenteon ja IT-yksikön. Heidän käyttöön ottamilla uusilla työkaluilla voidaan saada nopeita oppimiskokemuksia siitä, sopiiko ratkaisu heidän käyttöönsä ja kannattaako hanketta viedä eteenpäin muodollisessa päätöksenteossa.

Kokeilujen hintalappu pysyy yleensä kohtuullisena ja jos huomataan, että alkuperäinen tarve oli väärin määritelty, voidaan nopeasti vaihtaa suuntaa. Liiketoiminnan asiantuntijat voivat myös kokea, että he säilyttävät näiden itse tekemiensä kokeilujen omistajuuden ja he voivat kehittää ratkaisuja vastaamaan paremmin omia tarpeitaan.

 

Varjo-IT:n ongelmia

Jos jokaisen liiketoimintayksikön annetaan vapaasti toimia pilviympäristössä, yritykseen muodostuu helposti siiloja, jotka eivät tiedä toistensa tekemisistä. Tietorakenteet ja perustiedot eriytyvät liiketoimintayksiköiden välillä, vaikka tarvittaisiin yhteinen näkemys yritystason perustiedoista.

Toinen ongelma on se, että järjestelmien ja niissä olevien tietojen omistajuus voi hämärtyä. Periaatteessa järjestelmän ja tietojen omistaja on se, joka hankkii uuden järjestelmän, ottaa sen käyttöön ja käyttää. IT:n hallinnan piiriin kuulumattomien sovellusten osalta voidaan päätyä tilanteeseen, ettei oikeastaan kukaan vastaa mistään. Jollain tavalla olisi kuitenkin pystyttävä varmistamaan, että liiketoimintayksiköiden asiantuntijat tai jokin muu taho tekee tarvittavat tietoturvapäivitykset yrityksen pilviympäristöön tuotuihin sovelluksiin.

Liiketoiminnan asiantuntijoiden pitäisi pystyä huolehtimaan siitä, että sovellus on ja pysyy tietoturvallisena ja että sitä käytetään oikein. Jos he ottavat itsenäisesti käyttöön järjestelmiä, jotka jäävät pysyvästi yrityksen ympäristöön, käyttöönottovaiheessa ei ole todennäköisesti huomioitu esimerkiksi IT:n nimeämis- tai muita konfiguraatioihin liittyviä käytänteitä. Ja jos dokumentointi on puutteellista, on vaikea jäljittää tehtyjä muutoksia tai näiden ”villien” IT-palveluiden vaikutuksia muihin palveluihin.

Varjo-IT:n ongelmat paikallisessa ja pilviympäristössä ovat hyvin pitkälle samanlaisia. Molemmissa tapauksissa monimutkaisuus lisääntyy ja ympäristön hallittavuus heikkenee varjo-IT:n myötä. Pilvessä oman lisänsä tuo se, että järjestelmiä käytetään selaimen kautta, jolloin käytettävän sovelluksen tietoturvallisuus korostuu entisestään.

 

Et voi suojautua sellaiselta, minkä olemassaoloa et tunnista

Yrityksen päätöksentekijöiden on tärkeää tietää, mitä sisältää CIO-tutkimuksen mainitsema viidesosa teknologia- ja palveluhankinnoista, joissa IT-osasto ei ole mukana. Osaavatko hankintoja tekevien liiketoimintayksiköiden asiantuntijat päättää esimerkiksi siitä, mitkä SaaS-sovellukset sopivat parhaiten yrityksen tietoturvavaatimuksiin? Varjo-IT:n hyväksyntä voi tietysti olla tietoista riskinottoa, mutta yrityksen tietoturvasta vastaavilla ihmisillä pitäisi vähintäänkin olla käsitys siitä, millaisen riskin he ottavat hyväksyessään ”villit” sovellukset.

Teknologiapalveluita tuottavat yritykset ovat rakentaneet uusia työkaluja organisaatiossa olevien sokeiden pisteiden tunnistamiseen. Yksi työkaluista on Microsoftin Cloud App Security (MCAS), jonka avulla voidaan selvittää, mitä sovelluksia yrityksessä ylipäätään käytetään. Työkalussa on myös valmiita Microsoftin laatimia riskiluokitteluita, joiden avulla voidaan arvioida pilvisovelluksen tuomaa riskiä. Lisäksi työkalun avulla voidaan seurata “villin” sovelluksen käyttöä ja tarvittaessa estää sen käyttö.

Jos IT:n hallinnan piiriin kuulumattoman SaaS-palvelun käyttöä ei jostain syystä haluta estää, MCAS:in avulla voidaan vähentää sen aiheuttamaa tietoturvariskiä. Tämä toteutetaan erilaisilla määrityksillä, joita ovat esimerkiksi tietojen latausten estäminen, datan suojaus kryptauksella, suojaamattomien laitteiden seuranta tai pääsynvalvonta. Näin MCAS:in avulla IT:n hallinnan piiriin kuulumattomasta SaaS-palvelusta voidaan tehdä turvallisempi käyttää ja tavallaan “puolivirallistaa” sen käyttö.

Toteutamme Sulavalla Microsoft Cloud App Security -tuotteen evaluointeja ja käyttöönottoja. Jos kiinnostuit, niin ota yhteyttä Sulavan myyntitiimiin: sales@sulava.staging.web-veistamo.fi.

Jos kaipaat lisää tietoturva-aiheista luettavaa, niin kurkkaa minun kaksi aiempaa blogia:

Microsoft Teams – organisaatioiden välistä helppoa yhteistyötä tietoturvan kustannuksella vai verraton yhteistyöalusta?
Paranna tietoturvaa salasanattomuudella, monivaiheisella käyttäjätunnistuksella ja vaiheittaisella pääsynhallinnalla