Shadow Cloud – hvad går det ud på?

Hvad er Shadow Cloud? Er du ikke sikker på, at du vil lægge din virksomheds data i skyen? Hele 90 % af virksomhederne i dag har bevidst valgt at anvende en form for cloud-tjeneste. Webhosting, CRM-systemer og ikke mindst backup og Disaster Recovery er blandt de mest populære cloud-tjenester, som virksomheder benytter sig af.

Det viser sig dog, at virksomheder, der ikke vil bruge cloud-tjenester, alligevel til sidst kommer til at udbrede dele af deres forretningsinformation til cloud-tjenester via et fænomen, som kaldes Shadow Cloud.

Shadow Cloud eller Shadow IT er en betegnelse for IT-projekter, der håndteres uden for virksomhedens IT-afdeling af IT eller uden, at IT-afdelingen ved, hvad der foregår. Selv den mest erfarne IT-afdeling har svært ved hele tiden at have styr på, hvad medarbejderne foretager sig. Shadow Cloud opstår sædvanligvis ikke på grund af hackere eller ondsindede angreb på virksomheden. Det er virksomhedens medarbejdere, der skaber skyen, ofte helt ubevidst.

Hvordan foregår det?

I dag er vi omgivet af et utal af tekniske hjælpemidler, der alle kan kobles til en cloud-tjeneste. Dette gælder for eksempel e-mail, dokumenter, filer, musik, computere, tablets, software og mobiltelefoner.

Teknologien for cloud-tjenester er blevet så tilgængelig, så enkel og af så høj kvalitet, at det nærmest er svært at undgå at sende data til skyen. Mange af os har sandsynligvis været med til at sende data til en cloud-tjeneste, selvom det ikke har været tilsigtet.

Har du for eksempel opdaget, at billeder fra din telefon dukker op på din arbejdscomputer, uden at du ved, hvordan det skete? Der skal ikke mere til end at oplade mobilen via arbejdscomputeren og klikke en dialogrude væk på mobilskærmen. Eller har du klikket på den cloud-knap, der er kommet i menubåndet til PDF-dokumenter? Hvor tror du så, at dit dokument havner?

De fleste af os har en privat mailkonto hos en af de største leverandører, f.eks. Google. Hvis du åbner et dokument fra dit arbejde og gemmer det, så gemmes det i Google Drive-tjenesten. Hvis du køber en Apple iPhone, skal du oprette en iCloud-konto for at bruge telefonen. Alle dine billeder kopieres automatisk til skyen, hvis der er plads. Hvis du tager et billede af et dokument fra dit arbejde, ligger det både på din telefon og hos Apple.

Hvem laver Shadow Cloud?

Det viser sig, at der er to grupper af medarbejdere, som ofte lægger data op i uautoriserede skyer på nettet. Den ene gruppe er de mest ivrige og motiverede medarbejdere. Denne gruppe arbejder ofte uden for kontoret og uden for normal arbejdstid. Tit mangler de tålmodighed til at vente, når der opstår problemer med forbindelsen til virksomhedens system, og så havner medarbejderens information ofte i et eksternt cloud-system.

Den anden gruppe er paradoksalt nok medarbejdere i IT-afdelingen eller andre medarbejdere med god IT-viden. Denne gruppe ved nok om teknik til at have skaffet sig alternative konti til cloud-lagring. De er hurtige til at begynde at bruge nye teknologier, og det gør dem reelt set til syndere.

Shadow Cloud er et fænomen, der bliver større og større. I en undersøgelse fra McAfee rapporterede 80 % af respondenterne (IT-medarbejdere og IT-chefer), at de havde benyttet cloud-baserede lagertjenester, som ikke var godkendt af IT-afdelingen.

Er Shadow Cloud en god eller en dårlig ting?

Det siger sig selv, at omfattende brug af Shadow Cloud er en sikkerhedsrisiko for virksomheden. For det første er det meget svært at identificere omfanget af de data, der er på afveje, og hvilken information der lagres i fremmede skyer. Konsekvenserne af lagring i ukendte cloud-tjenester kan være tab af data, håndtering af fortrolige data i strid med love og regler og tab af forretningshemmeligheder eller virksomhedens immaterielle rettigheder. Med de strengere regler for håndtering af personoplysninger i EU kan bøder for brud på datasikkerheden komme op på fire procent af virksomhedens bruttoomsætning.

Det er et problem for IT-afdelingen. Den mister kontrollen over virksomhedens data, fordi brugen af Shadow Cloud foregår under radaren. Men Shadow Cloud er dog ikke uden fordele. Teknologien bag cloud-lagring er tilgængelig, enkel og billig, og derfor kan den hjælpe med at løse problemer for IT-afdelingen. Medarbejderne bliver mere uafhængige af afdelingen og løser selv problemerne ved at anvende tilgængelige tjenester. Den let tilgængelige, enkle og billige mulighed for at lagre data gør også, at mange medarbejdere bliver mere effektive i deres arbejde, fordi de ikke så tit bliver forhindret af kapacitetsbegrænsninger.

Hvilke foranstaltninger mod Shadow Cloud bør IT-afdelingen tage?

Selvom Shadow Cloud kan lette presset på IT-afdelingen med færre supporthenvendelser og mindre administration af den tekniske infrastruktur, bør man huske, at IT fortsat er ansvarlig for sikkerheden for virksomhedens information og for at overholde love og regler for datahåndtering.

Det er vigtigt at huske, at virksomhederne selv er i første forsvarslinje, når det kommer til datasikkerhed. Derfor bør de have en klar politik for, hvilke cloud-tjenester, de reelt skal bruge, og sørge for, at leverandøren opfylder alle kravene til datasikkerheden. IT-afdelingen bør også skabe en intern sikkerhedskultur, der gør medarbejderne bevidste om, hvor de lagrer deres data.

Om valget af cloud-leverandør og sikkerhed

Når din virksomhed skal vælge cloud-leverandør, kræver det en række overvejelser. Vigtige punkter at overveje når det kommer til informationssikkerhed:

  • Hvor lagres dine data fysisk? Lagres de i Danmark eller i udlandet? Det har konsekvenser for, om det er dansk eller udenlandsk lov, der gælder for offentliggørelse af fortrolige data.
  • Nationaliteten på den virksomhed, der håndterer dine data. Hvilke love skal cloud-leverandøren overholde? Amerikanske, europæiske eller danske regler? Den nye, europæiske databeskyttelseslov, der træder i kraft i 2018, stiller strengere krav til håndtering af personoplysninger for danske virksomheder. En potentiel cloud-leverandør skal kunne demonstrere, at kravene overholdes.
  • I hvilket omfang kan leverandøren demonstrere procedurer og kultur for informationssikkerhed? Hvilke former for processer har de indført for at værne om din virksomheds data? Er de certificeret i informationssikkerhed, for eksempel med en ISO 27001-certificering?

I nogle tilfælde kan det faktisk være bedre og enklere at vælge en cloud-leverandør end en mindre god sikkerhedsløsning i eget regi. Det skyldes, at professionelle cloud-leverandører er nødt til at overholde og efterleve gældende regler for at blive opfattet som seriøse aktører på markedet.

Læs mere om vores it-tjenester og løsninger

Læs mere: Trendspotting: 4 cloud-trends i 2018

29 juni 2018

Sikring af følsom data i skyen

Den stigende servicificationen i IT-branchen betyder, at stadig mere information håndteres i cloud-tjenester, noget der kræver høj ansvarsbevidsthed fra klienter hos virksomheder, hvor man håndterer sikkerhedsregulerede eller andre følsomme informationer.

12 juli 2019

Årsagerne til ukendte IT-fejltagelser

Patientsamtaler lægges ud på nettet, og udenlandske aktører fik adgang til vigtige styresystemer. Det er bare to af de seneste store sikkerhedsbrud. Bag mange af dem spiller den menneskelige faktor en rolle.

10 juni 2019

Hvad er fordelene ved et cloud-administreret netværk?

Cloud-administreret netværk giver masser af fordele sammenlignet med traditionelle løsninger. Har du udskiftet dit gamle netværk endnu?

23 maj 2019

Stort sygehus vælger kompakt ThinkCentre

Masser af medicoteknisk udstyr og få kvadratmeter. Det er udfordringen på mange sygehuse. Også på Aarhus Universitetshospital, hvor man sparer plads på blandt andet operationsstuerne med kompakte og fleksible ThinkCentre-pc’er fra Lenovo.

20 maj 2019

Cyber crime koster mere end naturkatastrofer

Den voldsomt stigende cyberkriminalitet koster mennesker, organisationer og samfundet enorme summer hvert år. Undersøgelser viser, at nordiske virksomheder ofte mangler det grundlæggende forsvar mod angreb.

15 april 2019

Dustin designer IT-infrastruktur til sundhedssektoren

PatientSky er en åben platform, der gør livet lettere for behandlerne og deres kunder, takket være en automatiseret infrastruktur, som garanterer drift- og datasikkerhed.

13 marts 2019