A mélyreható változást, amelyen az informatikai vezetők (CIO-k) szerepe napjainkban keresztülmegy, IT-biztonsági cikksorozatunk előző részében tárgyaltuk. Áttekintettük azokat az új feladatokat, amelyek a jövő CIO-jára várnak, miként a kompetenciákat is, amelyek szükségesek lesznek megoldásukhoz. Külön kiemeltük a vállalati információbiztonsággal kapcsolatos kihívásokból eredő feladatokat, és megállapítottuk, hogy a szervezetek a jövő CIO-jától mint az információbiztonság bajnokától, az adatvagyon védelmezőjétől várják a megfelelő válaszokat és megoldásokat.
Több trend együttes hatására alakul át az informatika, és vele együtt a CIO-k szerepe. Közülük az egyik legfontosabb – az IT konzumerizációja – felelős egy új, az IT-biztonság szempontjából mind nagyobb kockázatokkal járó jelenség kialakulásáért, amelyet az iparág árnyékinformatikának (shadow IT) nevez. Az árnyékinformatika alapvetően a vállalati IT-osztály által üzemeltetett, hivatalos infrastruktúra mellett megjelenő és használatban levő hardver- és szoftverelemeket, szolgáltatásokat jelenti.
Szinte minden munkahelyi környezetben előfordul, hogy a felhasználók nyilvános felhőben elérhető szolgáltatással – például Dropbox –, saját tulajdonú USB kulcsokkal (Sneakernet) vagy otthonról behozott wifi-routerrel oldják meg a gyors fájlmegosztást. Elterjedt az online kollaborációs eszközök, weben közvetlenül előfizetett CRM-rendszerek, saját fejlesztésű jelentés- és költségvetés-készítő, pénzügyi tervező eszközök használata, a személyes email-címre küldött, otthoni gépen befejezett céges prezentációk jelensége is – a felsorolást hosszan folytathatnánk.
Az új technológiák – a felhőalapú szolgáltatások, a mobileszközök és -alkalmazások, a közösségi hálók – széles körű elterjedésének egyik velejárója, hogy a vállalati struktúra különösebb technológiai ismeretekkel nem bíró szereplői egyszerűen választhatnak maguknak IT-szolgáltatásokat, azokat könnyen megrendelhetik, megvásárolhatják, használatba vehetik és „üzemeltethetik” az interneten. A vállalat különböző területein, felhasználói csoportjaiban rövid idő alatt lakossági és üzleti piacra szánt alkalmazások, eszközök és szolgáltatások jelennek meg, olyan párhuzamos informatikai környezetet alkotva, amely a hivatalos infrastruktúrát menedzselő IT-osztály radarja alatt működik.
Párhuzamos IT-ökoszisztéma
A PricewaterhouseCoopers évente felméri, hogy a vállalatok felismerik-e az értéket, amelyet a technológia adhat számukra, és az IT mennyire hatja át működésüket. A mintegy 500 amerikai nagyvállalat bevonásával végzett, sorrendben negyedik felmérés (Raising Your Digital IQ, 2012) eredménye szerint az IT-költés 15-30 százalékára már jelenleg sem a szervezetek hivatalos IT-költségvetésének felhasználásával kerül sor, a beruházások az IT-osztályon kívül valósulnak meg.
Összecseng ezzel a OneLogin – a hasonló nevű SSO és azonosságkezelő szolgáltatást fejlesztő cég – idei felmérésének tanulsága is, amely szerint a megkérdezett vállalatok 71 százaléka elismeri, hogy alkalmazottai a hivatalos IT-rendszereken kívül eső alkalmazásokat is használnak. Az árnyékinformatika a felhőalapú szolgáltatások gyors terjedésével arányos ütemben, lendületesen növekszik – a nyilvános felhőben kínált szolgáltatásokat a vállalati felhasználók 80-80 százaléka okostelefonról és vállalaton kívüli számítógépről, 71 százaléka tabletről is eléri.
Tíz évvel ezelőtt a szervezetek még viszonylag könnyen kezelhették a párhuzamos IT-környezet jelenlétét – az IT-vezető teljes tekintélyét és technológiai fölényét érvényre juttatva egyszerűen eltávolíttatta például az otthonról behozott programot a felhasználó gépéről. Az évek során azonban megváltozott a CIO pozíciójának súlya, ezért – különösen a munkavégzés hatékonyságával összefüggő elvárások miatt – ma már nem alkalmazható ez a gyakorlat, az alkalmazottak saját tulajdonában levő digitális eszközök és a nyilvános felhőben elérhető szolgáltatások használatából eredő problémák megoldására nem a totális háború a megfelelő stratégia.
Napjainkban a CIO-nak már szembe kell néznie azzal, hogy a felhasználók – gondoljunk például a saját költségvetéssel rendelkező marketingigazgatóra – nincsenek feltétlenül rászorulva az IT-osztály támogatására, amennyiben új rendszert vagy szolgáltatást szeretnének bevezetni. A speciális szakrendszereket leszámítva az interneten külső szolgáltatótól, online is vásárolhatnak CRM, ERP, HR, dokumentumkezelő, adatbányászati és fájlmegosztó alkalmazásokat.
A vállalati felhasználók ma már azt is elvárják, hogy saját tulajdonú laptopjukat, tabletjüket, illetve okostelefonjukat a vállalati hálózatban, munkavégzésre is használhassák. Ha a vállalati eszközöket nem találják eléggé könnyen kezelhetőnek, ha egy feladatot nem tudnak velük megoldani kellően hatékony módon, akkor megtalálják a módját, hogy más eszközöket vegyenek igénybe. Mindez egyfajta versenyhelyzet elé állítja a vállalati IT-t, amely elől a CIO nem térhet ki.
Alapvető változás, hogy a klasszikus szerverterem és az asztali gépek felett őrködő IT-vezető a múlté. A Gartner szerint az évtized végére az IT-költés 90 százaléka már az informatika területén kívül, nem az IT-büdzséből fog megvalósulni – 2000-ben ez az arány még mindössze 20 százalék volt.
A második információbiztonsági front
A holnap CIO-ja számára az egyetlen előremutató stratégia az lehet, ha elfogadja az informatika konzumerizációja folytán kialakuló technológiai sokszínűséget, és az árnyékinformatika kedvelt rendszereit igyekszik beterelni a vállalati IT védett és menedzselt környezetébe.
Kulcsszó lehet mindebben az információbiztonság. Oltalmazz engem a barátaimtól, az ellenségeimmel elbánok magam is(*) – mondhatná Jean Herault de Gourville szavaival a CIO az alkalmazottak csupa jóindulatból, például a hatékonyabb és gyorsabb kommunikáció jegyében elkövetett információbiztonsági rémtettei láttán. Az árnyékinformatika a vállalati adatvagyon kiszivárgásának, az adatvesztésnek és az adatvagyonnal kapcsolatos visszaéléseknek a melegágyává válhat, trójai falóként szolgálhat a kívülről érkező, rosszindulatú támadások végrehajtásához.
Az árnyékinformatika a második információbiztonsági front (az első a vállalati hálózaton kívülről fenyegető támadások elleni védekezés), azonban egyúttal lehetőséget is jelent a CIO számára, hogy a Shadow IT egyes elemeit az informatikai osztály felügyelete alá vonja.
Ebben a tekintetben is fontos elvárás, hogy a jövő CIO-ja az üzleti környezetet szabályozó törvényeket és szabályzatokat naprakészen ismerje, beleértve az adatbiztonsággal, adatvagyonnal kapcsolatos jogi követelményeket is. Az árnyékinformatika feltárt elemeinek további sorsáról csak így dönthet felelősséggel.
Határozhat például a teljes tiltásról, ha az adott szolgáltatás vagy eszköz használata azt jelentené, hogy a szervezet nem tudja teljesíteni a megfelelési (compliance) követelményeket. Megoldást jelenthet a migráció is, melynek során az árnyékinformatikai környezet adott elemének funkcióit a szervezet átemeli egy meglévő vagy kibővített és biztonságos belső rendszerbe. De a CIO dönthet az árnyékinformatika legalizálása mellett is, az érintett elemeket biztonságos üzemeltetési és SLA-környezetbe helyezve.
Ehhez persze szükséges, hogy az IT-vezető mindig rálásson a vállalati környezetben újonnan megjelenő árnyékinformatikai elemekre – ezt tervezett, rendszeresen ismételt auditokkal érheti el a leghatékonyabb módon.
A legfontosabb viszont a megelőzés. A CIO-nak túl kell haladnia az IT mint kiszolgáló osztály szemléletet, és ki kell vennie részét abból a közös, kreatív gondolkodásból, amely a hatékonyság és a modern technológiák iránti igényre válaszolva az IT-osztályon kívül talál megoldásokat. Ha bebizonyítja, hogy az IT-osztály is tud gyorsan, hatékonyan és a vállalati információbiztonsági elvárásoknak is megfelelő megoldásokat szállítani, akkor a felhasználók ismét hozzá fordulnak majd problémáikkal, és nem az árnyékinformatikában keresik a megoldásokat.
(*) „Garantissez-moi de mes amis, écrivait Gourville proscrit et fugitif. Je saurai bien me défendre de mes ennemis.” – Gabriel Sénac de Meilhan (1736-1803), Considération sur l'esprit et les moeurs: De L'Amitié, 1788. Sénac de Meilhan egy francia kalandor, Jean Hérault de Gourville (1625-1703) szavait idézi művében.