Ce este Shadow IT?
Cea mai des întâlnită definiție este următoarea: utilizarea și gestionarea unor tehnologii, soluții, servicii, proiecte și infrastructuri IT fără aprobarea formală și implicarea directă a departamenetelor IT interne.
Cerințele și politicile organizaționale ce sunt impuse utilizatorilor sunt multiple: politici de conformitate, politici de securitate, limitări de costuri, documentație de specialitate, nivele de SLA (Service Level Agreement) sau asigurarea fiabilității, prin urmare tentația acestora de a ocoli procesul de aprobare și furnizare a unui produs sau resursă duce la utilizarea neautorizată a acestora fără a i se aduce la acest lucru la cunoștința departamentului IT.
Sistemele Shadow IT pot include servicii cloud IaaS, PaaS, SaaS, software preconfigurat sau dispozitive și sisteme hardware, cea mai răspândită formă fiind însă platformele SaaS (Software as a Service), întrucât includ produse multiple ce satisfac nevoile utilizatorilor ce pot fi accesate rapid și convenabil de către aceștia fără ca organizația să identifice achiziția și să detecteze o activitate anormală în rețea, generată de acestea.
O a doua formă des întâlnită este cea a produselor desktop și de comunicație, ce se livrează la pachet cu aplicații preconfigurate, întrucât acestea oferă drepturi locale administrative implicite, chiar dacă pot fi blocate pentru accesul la platforma de mail. Acest lucru permite instalarea facilă a altor aplicații interzise și periculoase pe dispozitivele personale ale utilizatorilor conectate la rețeaua organizației.
De ce folosesc utilizatorii Shadow IT?
În primul rând trebuie conștientizat faptul că Shadow IT este inevitabil, întrucât utilizatorii vor căuta întotdeauna soluții care să le simplifice viața și să le îndeplinească rapid nevoile, cercetările Gartber arătând că în medie 30%-40% din achizițiile făcute de companii necesită cheltuieli IT consistente (studiul Everest Group urcă prcentajul la 50% !).
De regulă organizația contribuie direct la perpetuarea acestor practici întrucât nu oferă suportul necesar pentru tehnologiile necesare utilizatorilor și implementează adesea procese de governance foarte lente și ineficiente pe fluxul de aprobare și furnizare a aplicațiilor. Mediile foarte agile din infrastructurile DevOps se concentrează masiv pe inovare continuă și pe cicluri rapide de dezvoltare și lansare de aplicații, fiind necesare instrumente noi mai eficiente și adaptate nevoilor ciclului de dezvoltare, ceea ce face dificil procesul de identificare, verificare și aprobare a produselor de către departamentele IT.
Sursa bmc.com
Ce putem face?
Pentru a răspunde eficient la fenomenul Shadow IT trebuie implemnetate două strategii eficiente: luarea de măsuri strategice de reducere a riscurilor asociate și stabilirea de politici strategice ce anticipează folosirea Shadow IT. O listă de măsuri active ar putea conține: