Von Cloudification, Schatten-IT und Sicherheit (und der Rolle von CIO und IT)

Ein interessanter Beitrag von Marc Wilczek auf cio.com, der das Wechselspiel zwischen immer mehr Cloud-Anwendungen, die gerade auch von Fachbereichen im SaaS-Modell erworben werden, einer entstehenden Schatten-IT – klassisches Beispiel das Teilen und Ablegen von Dokumenten und Dateien in nicht von der IT „abgesegneten“ Apps – und daraus entstehenden Sicherheits- und Governance-Problemen.

Wilczek bringt einen wesentlichen Aspekt auf den Punkt: Viele Anwender und Fachabteilungen sehen die IT als zu langsam und inflexibel an. Die IT Abteilung ist ein Partykiller, also schafft man sich seinen eigenen digitale Arbeitsplatz, denn man muss ja heute im Zeitalter der digitalen Transformation sprinten und agil sein, sonst ist nicht nur der Scrum Master sauer.

Und da die verfügbaren Mittel außerhalb des klassischen IT-Budgets wachsen, werden die Kopfschmerzen des CIO’s nicht kleiner:

In fact, LoB buyers will spend more than twice as much on software applications in 2017 (US$150.7 billion) than IT buyers (US$64.7 billion).

über Headache for the CIO: Shadow IT is soaring as LoBs seek greater autonomy | CIO

Die Systeme der Schatten-IT sind aber ein typisches Einfallstor und 22 Prozent haben bereits Datenlecks in ihren Cloud Services festgestellt, so eine aktuelle Studie von McAfee. Aber nur 24 Prozent der Befragten benutzen DLP (Data Loss Prevention) und Verschlüsselung, um die Daten zu schützen. Und ist nur die Spitze des Eisbergs: Laut Schätzungen Gartner werden 2020 ein Drittel der erfolgreichen Hackerangriffe auf Unternehmen auf die Systeme der Schatten-IT abzielen.

Aber was tun, fragt sich der CIO: Wilczek fasst es sehr schön zusammen. Das Unbekannte kann man schwer verwalten und schützen, also …

Managing and protecting the unknown is simply not possible. To begin with, CIOs can utilize discovery and data protection tools to gain visibility and assess the estate. In a more progressive and collaborative approach, CIOs and their business unit peers should seek close alignment, allowing both to articulate their needs and jointly come up with a win-win proposition that embodies good corporate citizenship.

über Headache for the CIO: Shadow IT is soaring as LoBs seek greater autonomy | CIO

Ernsthaft hilft wohl nur, als CIO proaktiv zu sein und als IT Abteilung wettbewerbsfähig aufzutreten, indem man ein Cloud-Ökosystem mit vorab genehmigten Lösungen anbietet und offen dafür ist, dieses System zu erweitern und anzupassen (und auch Apps zu entfernen). Dies wird nicht immer einfach sein, aber angesichts der oben beschriebenen Sicherheitsproblematik und der Anforderungen der Digitalisierung sollte man sich als IT besser als hilfreicher Partner positionieren.

Intelligente Fachbereichsleiter erkennen unterdessen durchaus die Risiken von Cyberattacken und Hackerangriffen. WannaCry und andere breit in den Medien diskutierte Beispiele haben ja hier durchaus „aufgeklärt“. Auch mit Datenschutz- und Compliance-Anforderungen wie GDPR/EU-DSVGO müssen sie sich auseinandersetzen. Als seriöse Geschäftsleute werden sie sich also klugerweise der Themen annehmen und Hilfe suchen. Und wer kann besser helfen als der CIO und sein Team?

Meine 2 Cents: Themen wie Datensicherheit und Governance sind immer ungeliebt. Sie sind aber vielleicht sogar die einzige Chance des CIO, im Spiel zu bleiben und nicht noch mehr Einfluss an Fachabteilungen und andere, neue (oft unnötige) C-Level-Funktionen zu verlieren. Jedoch sollte man als CIO tunlichst nicht als Verhinderer auftreten, der den vermeintlichen oder realen Fortschritt zu bremsen oder zu stoppen versucht. Stattdessen sollte man sich und seine Mitarbeiter als Garant der Sicherheit und Partner des Fortschritts positionieren. Das mag oft ein neues Rollenverständnis erfordern, aber CIO und Mitarbeiter der IT werden um diese Neuorientierung aus meiner Sicht nicht herum kommen. Und vielleicht macht es den Job sogar spannender und interessanter, sicher auch des Öfteren stressiger.

(Stefan Pfeiffer)

Kommentar verfassen