Hvad gør man som medarbejder, når arbejdspladsens rigide it-systemer ikke uden videre passer til ens ellers flydende arbejdsdag med notater og kommunikation med kolleger.
En nærliggende løsning har tidligere været at benytte et online produktionsvæktøj såsom Dropbox eller Google Docs, hvor man uden større besvær kan flytte selv store informationsmængder hurtigt og effektivt mellem de enkelte ansatte eller samarbejde på tværs af filtyper og opgaver.
Den praksis kan dog ende med at give flere virksomheder store kvaler, når det kommer til at overholde EU's kommende persondataforordning (GDPR), der træder i kraft 25. maj næste år, lyder det fra it-analysehuset IDC Nordic.
"Der har i mange år været et stort problem med det, vi kalder "skygge-it", hvor afdelinger har købt en Saas-løsning (sofware as a service, red.) til salgsafdelingen eller HR, som lige passede til deres behov uden it-afdelingens vidende," lyder det fra Carla Arend, programdirektør med ekspertise i den europæiske it-infrastruktur hos IDC Nordic, som fortsætter:
"Det kan være noget så simpelt, som at jeg bruger Dropbox til at dele dokumenter med mine kolleger, men som it-afdelingen ikke understøtter. Alle de køb af smarte software-løsninger, som it-afdelingen ikke aner noget som helst om, kan potentielt set udgøre en trussel," siger hun.
Hos it-leverandøren Atea, som betjener både offentlige og private kunder, er man mere end bekendt med problemstillingerne omkring skygge-it, lyder det fra Kim Høse, it-sikkerhedsdirektør i Atea.
Ud fra vores optik er der ikke nogen i dag, offentlige som private, der ikke har et problem
"Ud fra vores optik er der ikke nogen i dag, offentlige som private, der ikke har et problem. I realiteten handler det om, at grænserne mellem privatlivet og det professionelle liv er blevet en smule udviskede," siger Kim Høse og uddyber:
"Vi vil have den samme funktionalitet i arbejdslivet, som vi har i privaten. Derfor bruger vi mange af de samme programmer. Problemet er bare, at det sker uden om de etablerede systemer. Derfor eksisterer der tit flere udgaver af de samme data i både de officielle og skygge-systemerne, som vi ikke kan styre."
Proppet med persondata
Selvom de mange programmer løser forskellige problemer hurtigt og effektivt, strider brugen af dem ifølge Carla Arend mod den kommende GDPR-forordnings krav om, at virksomheder skal kunne dokumentere, hvilke personfølsomme oplysninger man ligger inde med og præcis, hvor de befinder sig.
"It-afdelingen skal under GDPR afdække, hvor deres data ligger. I det arbejde vil de finde en masse skygge-it, som ikke burde være der, og som indeholder en masse persondata," fortæller Carla Arend og påpeger, at de omtalte data kan være af en særdeles forretningskritisk karakter.
"Tit vil de indkøbte Saas-løsninger være det, man kalder 'productivity tools'. Så der kan være tale om meget kritiske data, som skal bruges til at træffe vigtige beslutninger, der ligger gemt i software, som ikke nødvendigvis er clearet eller godkendt fra it-afdelingens side."
Kan virksomheden, som leverer de her 'productivity-tools', uforvarende blive gjort meddelagtige i et eventuelt datalæk?
"Det er en gråzone. Hvis de har lavet en fejl, kan de i teorien blive retsforfulgt," siger Carla Arend.
Dialog skal sikre korrekt adfærd
Hos Atea mener man, at virksomhederne og deres interne samt eksterne it-folk skal vende udfordringen om. Løsningen er ifølge Kim Høse ikke at begrænse de ansattes adgang til forskellige typer programmer eller løsninger, men i stedet tilbyde brugbare alternativer, som virksomheden har kontrol over.
"Det kræver, at de løsninger, som tilbydes de ansatte, har samme grad af funktionalitet og fleksibilitet som det alternative stykke skygge-it har - og at de ansatte bruger det korrekt," siger Kim Høse og understreger:
Vi bliver nødt til at højne dialogen med brugerne om, hvad vi kan tillade og ikke tillade
"Vi bliver nødt til at højne dialogen med brugerne om, hvad vi kan tillade og ikke tillade - og de risici, som er forbundet med at opbevare data uden for de sikre rammer," lyder det.
Forud for ikrafttrædelsen af GDPR ligger dog et stort stykke arbejde med at få afdækket, hvilke data virksomhederne har - og endnu vigtigere, hvor de befinder sig.
"Der er et stort arbejde forude med at finde data. I vores undersøgelser af det, vi kalder "dark data", ser vi, at der findes mange kopier af den samme information. Det er bare fordelt i mail-indbakker, på lokale og eksterne drev eller i programmer som Dropbox," siger han og slutter:
"Der findes services, man kan benytte sig af i arbejdet med at finde informationen. Men noget så simpelt som en PDF kan jo være alt fra et ubetydeligt billede til en kontrakt med meget følsomme oplysninger. Og der vil være data, som skal gennemgås manuelt for at være 100 pct. sikker."
EU's dataforordning kan gøre cloud-udbydere til medskyldige ved datalæk
Nye datakrav vil skabe solid vækst på markedet for it-sikkerhed i kommende år
Mere fra ITWatch
Erhvervsliv ser ikke reformaftale fikse mangel på arbejdskraft
Ny aftale indeholder gode dele, men løser ifølge erhvervslivet ikke problem nummer ét: mangel på medarbejdere.
Intel klar med mindst 20 mia. dollar til chipfabrik i Ohio
Intel står klar med milliarder til at bygge en amerikansk chipfabrik.
Ny indholdschef skal guide Podimo i internationalt farvand og gøre lokalt indhold globalt
Hvis Podimo skal stå distancen på den globale scene, kræver det bedre udnyttelse af stordriftsfordelene i bagkataloget, og at platformen manifisterer sig som mere end en lydafspiller, siger stifter Morten Strunge.
Direktør bag D-mærket: "Det er jo ikke er et quickfix at arbejde med it-sikkerhed"
Mærkningsordningen for it-sikkerhed, D-mærket, blev lanceret sidste år. I dag er ni selskaber D-mærket, mens 300 virksomheder er i gang processen. Det tal skal gerne vokse betydeligt i 2022, lyder det fra direktøren bag.
Anders Holch Povlsen investerer millioner i Solitwork
Bestseller-milliardærens investeringsselskab køber nu i SaaS-specialisten Solitwork, der leverer en løsning til koncernregnskab og budget.
MS 365 og SharePoint-specialist med stærke kommunikative evner 
Har du passion for data og teknologier, kan du være med til at præge Sparekassen Sjælland-Fyn A/S strategiske udvikling 
Systemansvarlig til Ernæringsenhedens IT-kostsystem 
It-specialister til at drifte og udvikle én af Danmarks største it-installationer 
Linux talent for Evaxion Biotech 
Erfaren dataspecialist til Patent- og Varemærkestyrelsen 
Product Owner eller projektleder til forretningsudvikling og implementering af digitale projekter 
Project Manager in R&D System Software 
Tysktalende strategi-analytiker 
Vi søger IT-projektledere, der vil med på vores digitaliseringsrejse 
IT-Udviklere til Operativt Teknisk Center - Politiets Efterretningstjeneste Søborg 
Økonom til ERP-implementering 
Manager, Head of Platform & Infrastructure 
React udvikler til Berlingske, B.T., Weekendavisen, Euroinvestor og 24syv 
Højtflyvende IT-Driftskonsulent med et godt falkeblik 
.NET-udviklere, som vil udvikle nye IT-løsninger til fremtidens tog 
Head of Product - Nordisk Film streaming tjenester 
It-projektleder 
Advokatfuldmægtig til vores IT- og persondatateam (København eller Aarhus) 
Junior M&A Manager at Nordisk Games 
Proaktiv CFO til børsnoteret softwarevirksomhed