CIOs werden sich in Zukunft mit dem Kontrollverlust ihrer Daten beschäftigen müssen, die über unterschiedliche Software-as-a-Service Anwendungen durch verschiedenen Abteilungen verteilt sind. Nach und nach kommen immer mehr SaaS Applikationen hinzu, welche die Situation weiter verschärfen werden. Proaktives Handeln ist gefragt!
Der Kontrollverlust wird immer größer
So merken immer mehr IT-Abteilungen, dass sie nicht mehr in der Lage sind, zu kontrollieren, welche Cloud Anwendungen wie bspw. Salesforce, Google Apps oder Box von den jeweiligen Abteilungen genutzt werden, da sich viele bereits selbständig bedienen. Das Hauptproblem besteht dahin, dass mittlerweile viele Entscheidungen an der IT-Abteilung vorbei getätigt werden. Ein sehr ungewohntes Bild für die IT-Entscheider, sind sie doch historisch betrachtet der Mann im IT-Haus. Dieses Phänomen wird auch als Schatten-IT bezeichnet, was durch das Cloud Computing, auf Grund des einfachen Zugriffs auf Ressourcen, seinen Höhepunkt erhält.
Was die einzelnen Abteilungen und Mitarbeiter jedoch vergessen: Je mehr SaaS Anwendungen oder Cloud Services (ungefragt) in das Unternehmen eingeführt werden, desto größer werden die Sicherheitslöcher und der Kontrollverlust, nicht nur für den CIO, breitet sich aus.
Dabei existieren ausreichend Systeme und Mechanismen, um mit der Herausforderung umzugehen. Für diese Lösungen kann bzw. sollte allerdings nur die IT-Abteilung zuständig sein. Ein erster Schritt bedeutet daher Aufklärungsarbeit: reden, reden, reden und die Verantwortlichen der jeweiligen Abteilungen und Arbeitsgruppen mit ins Boot holen.
Sind die zwischenmenschlichen Bereiche geklärt helfen z.B. Single Sign-On Systeme, um die Mitarbeiter zu unterstützen sich nur ein Passwort merken zu müssen und sie von dem Notieren von Benutzernamen und Passwörtern an ungeeigneten Plätzen abzuhalten. Sollte ein Mitarbeiter aus dem Unternehmen ausscheiden, müssen die Zugriffe auf die Cloud basierten Anwendungen unterbunden werden. Kümmert sich eine Abteilung oder ein Projekt selbst darum, bleibt der Account – aus eigener Erfahrung -offen, da dieser schließlich noch benötigt werden könnte. Hier helfen z.B. automatisierte Systeme, die den Zugriff auf den Account sperren.
Genau so verhält es sich bei der Überwachung der Cloud basierten Anwendungen sowie der Rollenvergabe und der damit verbundenen Rechtesituation. Sollte ein Mitarbeiter in eine höhere Position wechseln, erhält er damit in der Regel auch neue Rechte, um auf sensiblere Daten zugreifen zu dürfen.
In allen Fällen kann u.a. ein Identity and Access Management (IAM) System helfen, das für die Überwachung und Kontrolle spezieller Richtlinien zuständig ist. Hier ist es allerdings von besonderer Wichtigkeit, dass die IT-Abteilung wieder die Oberhand gewinnt und proaktiv auf die Mitarbeiter zugeht und nicht versucht durch das Sperren von Ports und Anwendungen die Macht wieder an sich zu reißen. Die Mitarbeiter, Arbeitsgruppen und Abteilungen genießen nämlich ihre aktuelle Freiheit, unkompliziert und vor allem schnell neue Lösungen und Anwendungen zu nutzen, ohne dafür Wochen oder gar Monate warten zu müssen!
Bildquelle: http://blog.insight.com