Schatten-IT ins rechtmäßige Licht rücken

von Raimund Genes, CTO

Eine Umfrage der Cloud Security Alliance hat ergeben, dass mehr als die Hälfte (54%) der IT Professionals glaubt, in ihrer Organisation seien zehn oder weniger cloudbasierte Apps im Einsatz. Etwa 87% der Befragten gehen davon aus, dass in ihrer Firma 50 oder weniger Anwendungen in der Cloud betrieben werden. Ein Blick auf die Download-Zahlen der Anbieter zeigt jedoch, dass in beiden Fällen die Einschätzung viel zu niedrig ist und die tatsächliche Anzahl der Anwendungen bei mehreren hundert liegt.
Man kann nicht sichern, was man nicht sieht

Wenn die IT-Abteilung nicht sehen kann, was die Mitarbeiter verwenden, so entstehen unter Umständen gravierende Sicherheitslücken. Viele, auf Verbraucher ausgerichtete Services genügen dem Niveau der Datensicherheit und -integrität im Unternehmen nicht oder müssen zusätzlich mit Sicherheitstools von Drittanbietern geschützt werden. 2014 scheint sich zum Jahr der Dateneinbrüche zu entwickeln, und die Bedrohungen für Unternehmenssysteme waren noch nie so zahlreich.

Doch was tun? In erster Linie ist es wichtig, im Hinterkopf zu behalten, dass die Mitarbeiter Schatten-IT nicht böswillig nutzen, um das Unternehmen in Gefahr zu bringen, sondern weil die erlaubten IT-Tools für das, was die Mitarbeiter benötigen, nicht geeignet sind. Häufig kaufen sie aus eigener Tasche Amazon-Instanzen oder Salesforce.com-Abos für ein Adhoc-Projekt, weil die IT-Abeilung dies abgelehnt hatte.

Einstellung ändern
Es wird Zeit für die IT, diese Haltung zu ändern, denn Schatten-IT gibt es überall. Die IT-Abteilung muss Wege finden, sie zu „legalisieren“, denn die Uhr lässt sich nicht zurückdrehen.

Einige “Dos” und “Don’t”, die helfen können, eine Strategie zu formulieren:

Do – Einsatz von Discovery Tools, um eine Bestandsaufnahme zu machen

Do – Danach helfen Gespräche dabei, zu verstehen, warum bestimmte Services beliebt sind

Do – Aufstellen einer Shortlist der Anbieter von vorher geprüften Unternehmens-Iaas, PaaS und SaaS

Don’t – Auf keinen Fall sollten Services auf die Liste kommen, die weniger gut sind, als die der von den Mitarbeitern eingesetzten Schatten-IT

Don’t – Es darf kein Service auf der Liste erscheinen, der die hohen Standards der Datensicherheit und Service-Integrität nicht erfüllt

Do – Nicht erlaubte Schatten-IT sollte blockiert werden, sobald bewilligte Alternativen vorhanden sind.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*