Många cio:er har ägnat åratal åt att snoka reda på och rensa ut alla icke-sanktionerade it-verktyg och tjänster som de anställda använder sig av i smyg. Allt för att inte äventyra säkerheten.

Men det finns andra sätt att närma sig problemet. Genom att i stället titta på vad det är som används går det att få en bättre bild av vad medarbetarna vill ha och behöver så att man kan se till att skaffa in rätt mjukvara och rätt tjänster. Sådant som ökar medarbetarnas effektivitet och gör dem nöjdare.

Vår amerikanska systertidning CIO.com har listat sju sätt att hantera skugg-it på bästa sätt.

1. Förstå varför ett it-verktyg används

Teknikvana medarbetare väljer gärna enheter, mjukvara eller appar som de tycker gör dem mer effektiva i jobbet.

– De är vana vid att använda konsumenttillvända plattformar privat och vill ta med sig den lättheten och enkelheten till sitt arbete, säger Jom Green, teknikchef för säkerhet på Aruba.

Läs också: Verksamheten köper allt mer it - it-chefen måste ta kontrollen

Han konstaterar att om ett it-system som företaget erbjuder gör att processer går saktare eller skapar barriärer så att inte de anställda kan arbeta när som helst på dygnet från vilken plats som helst – ett sådant system kommer med största säkerhet att rundas.

Teknikevangelisten Leon Adato på mjukvaruleverantören Solarwinds vidhåller att anställda som använder it-teknik som inte är sanktionerad helt enkelt ser sig om efter att få jobbet gjort smidigt och effektivt.

– Ingen arbetar runt en etablerad process eller team om processen eller teamet uppfyller deras behov, säger han.

När allt kommer omkring så utvärderas medarbetare i första hand på sina resultat, konstaterar han, inte på hur väl de rättar sig efter standarder, särskilt inte standarder som inte gör mycket mer än att hjälpa dem att inte nå sina mål.

2. Titta på hur medarbetarna använder verktyget

För att kunna ta itu med skugg-it-verktyg så gäller det att fråga användarna varför de använder dem – vad mervärdet är och vilka problem de löser.

– Det är samma sak som när våra it-team utvärderar ny teknik, förutom att den nya tekniken redan är en del av något arbetsflöde i verksamheten, säger Sean Cordero, molnansvarig på Netskope.

– Om det visar sig att ditt team inte kan leverera det som behövs så är det en bra tidpunkt att gräva djupare i de här användningsfallen och identifiera lösningar som kan möta verksamhetens behov.

Ett vanligt exempel är att medarbetarna använder sig av offentliga molntjänster, som Dropbox och Google Docs, för att dela filer, erbjuda kolleger tillgång till dokument eller helt enkelt som backup för viktiga filer.

– Samtidigt som de här plattformarna går att komma åt överallt och är lätta att använda så kam det innebära att känslig data riskeras, säger Jom Green.

Molnplattformar med mer företagsfokus erbjuder ofta mer robusta säkerhetslösningar med möjlighet att exempelvis kryptera filer.

3. Avgör om skugg-tekniken verkligen är en säkerhetsrisk

– Det första steget är att identifiera vilken skugg-it som används ute i verksamheten, säger Roy Nicholson, rådgivare på Grant Thornton.

Han pekar på att det finns flera sätt att göra det på – som att övervaka trafiken ut ur nätverket eftersom mycket handlar om olika molntjänster.

– Därifrån kan företagen börja arbeta med en säkerhetsbedömning.

Okända användare och enheter inne på företagets nät kan skapa säkerhetsrisker.

– Att använda ett kontrollsystem för nätåtkomst som ger realtidsinformation om varje person, system eller enhet som kopplar upp sig mot företagets infrastruktur är en effektiv metod för att upptäcka skugg-it, säger Jom Green.

Verktyg som analyserar användarnas beteende kan också vara ett sätt att spåra och förebygga om det finns gömda säkerhetshot som lyckats ta sig in.

– Tillsammans är dessa verktyg en kraftfull kombination för att säkra företagets tillgångar.

4. Utvärdera skugg-it:s potentiella värde som ett produktivitetsverktyg 

Enklast sättet att bedöma vilket värdet på ett skugg-it-verktyg är att prata med de som använder det.

– Dina medarbetare vet bättre än vilken leverantör, säljare, säkerhetsexpert eller infrastrukturteam hur ditt företag ska bli mer effektivt och deras jobb mer produktiva. säger Pieter VanIperen, frilansande säkerhetsarkitekt.

– Behandla dina medarbetare som du behandlar dina kunder – ge dem en god arbetsupplevelse så kommer de att utföra ett fantastiskt arbete och kommer inte att behöva gömma sig i skuggan.

Gör en undersökning bland de anställda om potentiella nya verktyg och låt dem prova på olika.

– Se till att processen för att skaffa ett verktyg inte är för komplicerad, säger han.

5. Samarbeta med säljaren om en företagsversion

Om it-avdelningen ser att det finns affärsmässiga skäl att omvandla ett skugg-it-verktyg till ett tillåtet affärsverktyg så bör verksamheten vända sig till utvecklaren för att diskutera sina specifika behov anser Ron Temske, chef för infrastruktursäkerhet på Logicalis.

– Många mjukvaruföretag har olika versioner av sin produkt och är villiga att samarbeta för att se till att deras produkter möter ett företags krav.

6. Använd tekniken så att fördelarna behålls

Om det beslutas att skugg-tekniken ska börja användas på allvar så bör it-avdelningen fokusera på att se till att den blir fullt användbar och säker.

– Se till att den går att använda som tänkt – strunta i det annars. Ett verktyg som inte fungerar som det ska skapar bara mer skugg-it, säger Pieter VanIperen.

Läs också: IBM:s cio storsatsar på digitala verktyg för att locka it-proffsen

Det snabbaste sättet att få in ett skuggverktyg under it-avdelningens vingar så att det på ett säkert sätt har kvar sin användbarhet är att prata med leverantören och sedan se till att de lever upp till sina löften med tester och piloter. Och det gäller att förstå att all skugg-it faktiskt aldrig kan erbjudas i en företagsversion.

7. Var vaksam

När it-avdelningen tagit sig an ett skuggverktyg gäller det att hålla koll på nästa som dyker upp. För dem som i rask takt slagit ner på ett antal skugg-it-implementeringar gäller det att också att fundera över om det kan beror på att det finns ett gap till it-avdelningens förmåga att leverera pålitliga lösningar snabbt och kostnadseffektivt.

– Det innebär att det finns en brist på kommunikation och troligen en brist på förtroende, säger Leon Adato.

– Ingen individ, inget team eller verksamhet kan förväntas fungera bra om det finns den sortens underliggande orsaker.

Till sist – it-avdelningen ska aldrig böja sig och godkänna tvivelaktiga verktyg för att möta medarbetarnas krav.

– Om det sker ett intrång eller ett allvarligt avbrott så ligger ansvaret till sist på cio:n eller cto:n – även om det inte var de som genomförde avtalet med skugg-it-leverantören, säger Alan Zucker, grundare av Project Management Essentials.

– It-avdelningen måste se till att den skugg-teknik som används lever upp till företagsstandarderna.