Co je vlastně stínové IT?

Petr Hübl (53)

aktuálně zastává pozici general manager ve společnosti Dimension Data. Svou profesní kariéru v oblasti informačních technologií začal v roce 2001, kdy se stal ředitelem obchodu a marketingu ve společnosti Logica.

Zde řídil aktivity napříč centrální a východní Evropou. Poté byl povýšen na post výkonného ředitele pro oblast průmyslu, energetiky a veřejných služeb. V roce 2006 nastoupil do společnosti NextiraOne a pozici výkonného ředitele zde zastával až do spojení se společností Dimension Data v roce 2014.

Existuje více definic, základním znakem stínového IT, o němž se hovořilo v průzkumu květnového vydání ICT revue, však je vždy využívání IT služeb, aplikací a řešení, které jsou volně přístupné a využívají je byznysoví uživatelé, tj. obchod, marketing, do jisté míry i finanční oddělení, přičemž jsou tyto aplikace využívány bez kontroly interního IT oddělení. To také znamená, že tyto volně dostupné aplikace s sebou přinášejí rizika. Tito uživatelé si je instalují, případně využívají jako webovou službu zpravidla kvůli omezeným rozpočtům nebo určité rigidnosti IT oddělení, které není schopno tak rychle reagovat na potřeby zaměstnanců. Z těchto důvodů si hledají cestu už jen proto, že dnes je o IT velké povědomí, dané digitální dobou, a je násobně vyšší než před pár lety. Dnes existují mobilní aplikace, cloudové služby, sociální sítě a podobné zdroje, které jsou spojeny s IT. Lidé jsou zvyklí ze soukromého života, že na cokoliv potřebují, ať jde o jízdní řády, nákup jízdenek, letenek, zprávy o počasí, virtuální peněženky, si mohou stáhnout aplikaci. A to samé chtějí od svého interního IT. V okamžiku, kdy narazí na bariéry, které vyplývají z interních procesů, rozpočtů nebo nastavení firemního IT vůbec, hledají si vlastní cestu.

 

Můžete uvést nejčastější příklady, jak a proč stínové IT vzniká?

Hlavní je touha po flexibilitě a rychlosti, protože významným parametrem je čas, a také lepší naplňování obchodních potřeb. Stínové však nemusí být jen IT. Vezměme například alternativní taxislužbu Uber, což je v podstatě také "šedé" taxi. Tato služba nemá žádné taxíky, a přesto jde o nejrozšířenější taxislužbu na světě. Když tuto myšlenku opět přenesu zpátky do IT, pak koncoví uživatelé (tj. podniky) v případě šedého IT žádné IT nemají, ale využívají službu, která je volně dostupná buď jako webová služba, nebo ke stažení. Jsou to nová řešení, nové možnosti, jak naplnit potřeby uživatelů, protože umožňují lépe zajistit jejich komfort, ať už jde o lidi, kteří používají taxi Uber, nebo pracují s informačními technologiemi ve firmách. Koneckonců i alternativní distributoři energií jsou "šedí", protože nevlastní ani elektrárnu, ani plynárnu, a přesto naplňují potřeby zákazníků, jak z hlediska ceny, tak i poskytovaných služeb.

Jedním z důvodů vzniku stínového IT je, což vyšlo i z červnového průzkumu, že byznysoví lidé mají své vlastní rozpočty, kterými mohou uspokojovat potřeby svého oddělení, včetně IT potřeb, což v minulosti nebývalo. To znamená, že pokud jim z jakýchkoliv důvodů není schopno pomoci jejich interní IT oddělení, mohou si díky vlastnímu rozpočtu aplikaci nebo službu pořídit sami bez něj, protože rozhodování je v jejich, nikoliv v IT rukou, a to si myslím, že je také velmi důležitý faktor.

 

Lze nějak kvalifikovat a kvantifikovat rizika stínového IT, zejména bezpečnostní?

Bezpečnostní rizika jsou ta hlavní, zejména nebezpečí úniku dat a jejich nedostupnost. Každá firma je schopna si udělat ohledně jejich ochrany nějakou kvantifikaci těchto rizik. Samozřejmě lze provést audit, který vyhodnotí, jaká data a kam z firmy odcházejí i jak dalece jsou kritická. Na tomto základě je firma schopna kvantifikovat si rizika a zároveň udělat opatření a odchodu kritických dat na úrovni perimetru zabránit.

Rád bych však řekl, že IT bezpečnost jako taková, která je samozřejmě důležitá, už jen kvůli nejrůznějším útokům je každodenním tématem, avšak není jediným rizikem. Tím dalším rizikem je, že stínové IT může způsobit problémy při její případné integraci s proprietárními systémy, které se ve firmě používají, jsou jejím pilířem a firma na nich doslova stojí.

Například v situaci, když si uživatel stáhne a využívá "šedou" aplikaci, kterou plní firemními daty a její využití se následně rozšíří mezi ostatní zaměstnance. IT oddělení je pak byznysovým uživatelem postaveno před hotovou věc a je nuceno integrovat do firemní infrastruktury nový typ komunikace, propojení a dat, o kterých do té doby vůbec nevědělo. Šedé aplikace vůbec nemusí respektovat jejich architekturu, do jisté firmy ji mohou nabourávat, právě zejména ze strany bezpečnosti, konzistence dat i následné (ne)funkcionality.

Dalším rizikem jsou celkové náklady. Stínové IT se mnohdy i cíleně používá a mlčky toleruje, aby se ušetřilo, protože řada aplikací je zdarma nebo za velmi nízkou cenu, podstatně nižší, než kolik by stál interní vývoj nebo nákup standardních produktů třetích stran. V případě, že se využívají bez vědomí IT oddělení, jsou následné kroky k převedení do "oficiálního" užívání mnohdy nákladnější než v situacích, kdy je interní IT do procesu zapojeno již od počátku.

 

Lze využít šedé IT jako příležitost? Jak se k tomu mají postavit interní IT oddělení?

Pořádali jsme diskusní kulatý stůl na toto téma se zástupci CIO z významných společností v České republice, různých velikostí i vertikál.

Z názorů většiny zástupců pak vyplynulo, že interní IT oddělení by si mělo brát z "šedého" IT inspiraci a na tomto základě být flexibilní vůči požadavkům byznysu jejich organizace. Ideálním stavem pak je, že IT v organizaci je o krok dopředu a je schopno být do jisté míry vizionářem, odhadovat potřeby byznysu a mít k dispozici katalog vhodných aplikací a služeb.

Lidé z byznysu pak mohou jednoduše danou službu/aplikaci využívat pro své potřeby. Když není k dispozici, pak lze ve spolupráci s IT oddělením toto řešení zajistit, a to na základě porovnání aktuálních interních možností a nabídky stínového IT.

Důležité je tyto možnosti a schopnosti interního IT umět odpovídajícím způsobem "prodávat" zbytku organizace. Důvodem, proč uživatelé se svými potřebami "jdou ven", je i neznalost, že službu, kterou potřebují, mohou získat interně.

 

Vidíte jako Dimension Data v šedém IT ohrožení, nebo příležitost?

V šedém IT vidíme jako dodavatel obojí, stejně jako čelní CIO představitelé ve firmách, se kterými jsme hovořili u kulatého stolu. Hlavně však příležitost. Naší rolí je dodávat infrastrukturu a řešení, která budou natolik flexibilní, otevřená a "trendy", že umožní internímu IT rychle reagovat na potřeby byznysu jejich podniku. Zde je příležitost jak pro výrobce, tak právě pro firmy typu Dimension Data, systémového integrátora a dodavatele řešení s přidanou hodnotou.

Šedé IT neznamená automaticky něco špatného, ilegálního. Může jít o službu, jako například Gmail, která je v některých firmách standardem a je rovnocenná kterékoliv jiné komerční e-mailové platformě. "Šedou" se taková služba stává ve chvíli, kdy dochází k jejímu využívání bez vědomí interního IT oddělení. Dalším příkladem mohou být některé cloudové CRM systémy. Pokud na to má obchodní oddělení rozpočet, může se rozhodnout, že ji bude používat, a IT oddělení o tom opět nemusí nic vědět. Špatná na takovém přístupu z pohledu IT je skutečnost, že může přivodit rizika ztráty dat, informací, a to bez garance bezpečnosti, dostupnosti i plnění legislativních požadavků. IT oddělení se podle mého názoru nemá snažit něco podobného zakázat, ale dostat pod kontrolu a řídit, a tím pádem umožnit firmě být flexibilní. Když vše zjednoduším, neměli bychom to rozdělovat na "bezpečné, nebezpečné, nebo ilegální IT", ale na "s vědomím, nebo nevědomím IT oddělení".

 

Co můžete nabídnout jako prevenci proti stínovému IT a pro vyšší bezpečnost za Dimension Data?

Úlohou dodavatelů, jako je Dimension Data, je moderování vztahu mezi interním zákazníkem organizace a jejím IT oddělením. Zde jsme schopni identifikovat potřeby konkrétního byznysu, zajistit analýzu situace a ve spolupráci s jejich IT jim umíme postavit řešení vyhovující jejich potřebám. Výhodou je, že tyto zkušenosti můžeme čerpat z realizací řady projektů v daných oborech, a tedy i znalostí daných byznys požadavků.

Dále jsme schopni pomoci IT oddělením vytvářet moderní a flexibilní infrastrukturu, která jim umožní rychle reagovat na požadavky ostatních oddělení, či si dokonce vytvářet nebo přizpůsobovat některá řešení svým potřebám. Kromě toho jsme schopni provést analýzu a zhodnotit rizika, která používání šedého IT přináší, včetně návrhů a opatření, tak aby byznysoví uživatelé dané organizace neměli důvod jít mimo své vlastní IT.

 

Rozhovor byl publikován v ICT revue 10/2016