מחשוב הצללים – עולם שצריך להתרגל אליו

תופעת מחשוב הצללים (Shadow IT) מתרחשת בימים אלה במרבית הארגונים העסקיים. התופעה הפכה משמעותית ויוצאת מה-"צל" (Shadow) לכיוון המיינסטרים המחשובי, למורת רוחם של אנשי ה-IT. זהו עוד שלב ביצירת עולם המחשוב החדש, שכולל את כל התפיסות המקובלות על האופן בו טכנולוגיה שתומכת בתהליכים עסקיים משנה את פני ה-IT.

במאמריי הקודמים סקרתי את תופעת ה-BYO (ר"ת Bring your own) ואת השפעתה על המחשוב הארגוני. הדרישה הארגונית מהמנמ"ר מתמקדת בתמיכה ב-"ניידות עסקית" (Enterprise Mobility); תמיכה במגמת ה-BYO, תוך מתן מענה לרצון המשתמשים; אבטחת המידע העסקי; וחדשנות טכנולוגית לתמיכה בתהליכים עסקיים.

לכאורה, מתקיימת סתירה בין החופש היחסי שניתן למשתמש לבין הצורך הארגוני בשליטה ובקרה על פעילותו. זוהי סתירה שניתנת לתיקון באמצעות פשרות שיש לעשות אותן תוך בחינת הסיכונים העסקיים שנובעים מהן. בפני המנמ"ר עומדת משימה מורכבת שחייבים לבצע אותה באופן מובנה, מבלי לעשות קיצורי דרך.

התהליך הזה כולל ארבעה שלבים:

•    גיבוש אסטרטגיה ארגונית ביחס לעולם המחשוב החוץ דומייני, בכלל זה שימושים עסקיים, סגמנטציה של משתמשים וכן מכשירי קצה, תקשורת, אבטחת מידע, אינטגרציה וחיבור למשאבי מידע ארגוניים.

•    הצטיידות בכלים אובייקטיביים וייעודיים שיאפשרו להבין את היקפי הפעילויות השונות שמתבצעות בפועל בארגון (Shadow IT).

•    הגדרת מדיניות ארגונית ביחס לכל אחד מתחומי הפעילות שטופלו ברמת האסטרטגיה: אבטחת מידע, תקשורת ואינטגרציה וחיבור למשאבי מידע ארגוניים; משתמשים; ומכשירי קצה.

•    הצטיידות בכלים שיאפשרו לארגון לאכוף באופן אוטומטי את המדיניות שנקבעה.

ארגון שיישם את התהליך באופן מובנה ומתודולוגי יאתר את היישומים שיקדמו את צרכיו העסקיים ויפחיתו את רמת הסיכונים מיישום הטכנולוגיה וה-BYO.

הקושי הגדול של ארגונים הוא לנהל ולאכוף את המדיניות הארגונית ביחס ל-Shadow IT. המנמ"ר חייב להפנים שיש צורך בהצטיידות של אוסף פתרונות לצורך זה:

•    EMM (ר"ת Enterprise Mobility Management) – ניהול ערוץ המובייל ואכיפת המדיניות הארגונית בניהול המכשיר, האפליקציות, התוכן, הגישה לרשת הארגונית, אבטחת המידע, המייל הארגוני וה-BYOD. בשיח של הרבה ארגונים עדיין מדברים עלMDM , שהוא רק חלק מפתרון ה-EMM ואינו עונה על הצורך הארגוני הנוכחי.

•    אבטחת המידע על המכשיר והגנה אפקטיבית עליו בעת איום. חוסר המידע על האיומים בפועל על מכשירי הארגון, כמו גם אי יכולת האכיפה של אבטחת המידע, לא מאפשרים ניתוח של האיומים והמאוימים. ארגון חייב לאמץ פתרונות המאפשרים קבלת מפת האיומים ומידע שמאפשר את ניתוחו, קבלת התראות בזמן אמת והגנה על המכשיר בעת איום.

•    אכיפת מדיניות השימושים ביישומי ענן באמצעות מערכת שתאפשר איתור של יישומי הענן שנמצאים בשימוש המשתמשים בארגון, קביעת מדיניות לגבי השימוש באותם יישומים ואכיפתה באמצעות מערכת DLP ייעודית. ארגונים נוטים לטעות ביישום כלי האכיפה המסורתיים הקיימים בהם. נכון שהם נותנים חלק מהמענה, אבל נדרש כאן פתרון ייעודי לאכיפה אפקטיבית של המדיניות.

•    קביעת מדיניות הנוגעת לשיתוף מידע מחוץ לדומיין ואימוץ פתרון ייעודי המאפשר אכיפתה (DLP).

מנמ"רים רבים נוטים להגדיר את עולם ה-Shadow IT כ-"לא לגיטימי" וככזה שיש למנוע אותו. זוהי טעות אסטרטגית של המנמ"ר. העולם של ה-Social כבר הוכיח לנו שכדי להתאים את עצמנו אליו, עלינו לאמץ הגדרות חדשות. אנחנו צריכים ללמוד מה עשתה מהפכת האפליקציות ללקוח של הארגון: מי קובע כיום את המדיניות ואף רוכש את הפתרונות. האם זה ה-IT? בארגונים רבים שאני מכיר, ההחלטות בתחום זה מתקבלות על ידי ה-CMO וה-T הופך לקבלן ביצוע בלבד, במקרה הטוב. זה החל לקרות מאחר שהמחשוב הארגוני לא השכיל ללמוד את הסוגייה במלואה ובוודאי לא הכין את המדיניות והידע הדרושים כדי להוות את הגורם המקצועי המוביל בארגון. מנמ"ר שלא יאמץ את השפה החדשה ואת המציאות המתהווה ימצא עצמו לא רלוונטי למציאות שבה ה-IT הארגוני מתפתח לתוך עולם ה-Shadow IT. עליו ללמוד ולהבין את הסוגייה, ולהבנות את הפתרונות הארגוניים עבורה.

הכותב הוא המייסד והבעלים של מוביסק טכנולוגיות – חברה המתמחה בפתרונות מובייל, ענן ושירותי ייעוץ המאפשרים מעבר מובנה של ארגונים לעולם המחשוב החדש