Problemet med skygge-IT
Jeg har lagt merke til et gjentakende mønster: De mest dedikerte medarbeiderne er ofte de som skaper de største sikkerhetsrisikoene. Det er ikke fordi de forsøker å skape problemer – de forsøker bare å gjøre jobben sin.
Ta for eksempel "Sarah", en prosjektleder jeg nylig snakket med. Hun skulle sende et avgjørende tilbud til en kunde innen en frist kl. 17. Hun forsøkte å legge ved filen, men e-postprogrammet stoppet henne: "Vedlegg overstiger 25 MB." Og virksomhetens verktøy for sikker filoverføring var skjult bak en VPN, som hun ikke hadde brukt på flere måneder.
Sarah hadde ikke tid til å tilbakestille passord eller kjempe med tekniske hindringer. Hun lastet opp filen til sin personlige Dropbox, sendte lenken og rakk fristen sin. Kunden var fornøyd, men Sarah hadde – uten å tenke over det – flyttet sensitive virksomhetsdata over i en usynlig silo, helt utenfor virksomhetens sikkerhetskontroll.
Dette er akkurat den typen gap mellom kunnskap og handling vi utforsker i vår whitepaper.
Last ned whitepaperet “Bridging the Knowledge–Action Gap” og lær hvorfor sikkerhetskunnskap sjelden blir til sikker atferd.
Ond vilje er sjelden, pragmatikk er permanent
Da vi gjennomførte vår 2025-undersøkelse blant 2 000 nordiske medarbeidere, bekreftet tallene det jeg ser i undervisningslokalet: 28,3 % innrømmer å bruke ikke-godkjent programvare eller AI-verktøy.
Som fagperson innen GRC ser jeg dette som et problem med "skygge-IT" (Shadow IT). Det er en massiv blindsone hvor IT-avdelingen mister kontrollen over angrepsflaten. Når data lever på uovervåkede personlige kontoer, blir det umulig å verifisere deres compliance eller ha kontroll på sikkerheten. Dere kan ikke beskytte – eller gjennomføre en revisjon (audit) av – det dere ikke kan se. Dog ser jeg det også som et behov for bedre verktøy.
Les hvordan NorthGRCs Awareness Module kan bidra til å styrke sikkerhetskulturen i organisasjonen.
Utforsk modulen her
Fra forbud til partnerskap
Jeg intervjuet nylig adferdsdesigner Casper Danholt Iuul, som påpekte noe viktig: Vi må unngå lange lister med forbud. En nei-kultur driver bare skygge-IT lenger ned under overflaten. Hvis deres sikkerhetspolicyer ignorerer virkeligheten i en travel arbeidsdag, endrer ikke folk behovene sine; de endrer bare verktøyene sine uten å fortelle dere det.
Veien frem: Fra friksjon til flyt
For å snu utviklingen anbefaler jeg disse tre skrittene:
- Undersøk hvorfor: Hvis en tredjedel av teamet deres bruker skygge-IT, er det sannsynligvis fordi deres offisielle verktøy ikke fungerer godt nok. Min erfaring er at en "friksjons-revisjon", hvor man ser på hvorfor de godkjente verktøyene ikke brukes, er langt mer effektivt enn en irettesettelse. Hvis den sikre veien er for tungvinn, vil folk alltid velge den raske veien.
- Be om tilbakemelding: Jeg oppfordrer alltid til å endre samtalen fra "Ikke bruk dette" til "Hvordan kan vi gjøre dette sikkert?". Hvis medarbeiderne føler at de kan foreslå nye verktøy uten et byråkratisk mareritt, vil de holde dere orientert.
- Sett risikoen i kontekst: Ikke snakk bare om "virksomhetens policy". Jeg opplever at forklaringen av hvordan skygge-IT setter medarbeidernes spesifikke arbeid og omdømme på spill, gjør at budskapet fester seg. Når risikoen føles personlig, blir det sikre valget det enkleste.
Compliance og sikkerhet handler ikke om å bygge en mur; det handler om å bygge en bedre vei. Når den sikre veien også er den mest effektive, reduseres bruken av skygge-IT av seg selv.
Se hele intervjuet med adferdsdesigner Casper Damholt Iuul her
