האם אתם יודעים מה עושים המשתמשים בארגון בענן?

אם אתם מנמ"רים או מנהלים טכנולוגיים בארגון שכבר עובד בענן, האם אתם בטוחים שאתם יודעים בוודאות אילו פעולות המשתמשים אצלכם בארגון עושים ביישומי ענן? אילו אפליקציות הם מורידים לצרכי עבודתם? האם אם לא עוקפים אתכם?

על פי סקר שנערך אתמול (ב') בכנס Cloud Today של אנשים ומחשבים, שעסק במעבר לענן, התשובה היא: כנראה שאתם לא יודעים מה העובדים שלכם עושים. הסיבה העיקרית לכך היא שאתם פשוט לא שואלים.

הסקר בוצע ביוזמת מוביסק (Mobisec), בראשותו של גדי גילאון, לשעבר מנמ"ר בכיר בשורה של ארגונים ומוביל פרויקטים בתחומי הענן והמובייל. הוא נערך בקרב משתתפי הכנס, שהגיעו אתמול למרכז הכנסים אווניו בקריית שדה התעופה והתבקשו לענות על שאלות קצרות. התשובות עובדו בצורה מקוונת תוך כדי הכנס. נכון הוא שלא מדובר במדגם מייצג, אבל פרופיל התשובות והמסקנות משקף את השוק ושיקף בהחלט את ההרצאות והמסרים שעברו בכנס זה.

השאלה הראשונה ביקשה לדעת האם הגישה לענן בארגונים היא בלתי מבוקרת, מוגבלת או תחת שליטה. רוב המשיבים ענו שבארגוניהם אין מדיניות ברורה לגבי אפשרות חיבור יישומים לרשת הארגונית שנמצאים בענן, מבלי לעבור בדיקות או אישורים נדרשים, ואם קיימת מדיניות כזו – היא לא פורמלית. ברבע מהארגונים הגישה מוגבלת חלקית ואילו מחצית מהם לא מאפשרים גישה חופשית לענן. כ-75% מהאחראים על הגבלת הגישה בארגונים הללו נימקו זאת בגורמי אבטחת מידע והאחרים נימקו זאת ברגולציה, בניהול סיכונים ולבסוף – עלויות.

תופעה של גישה ויישום אפליקציות בענן ללא בקרה מוכרת היטב בארגונים, והיא נקראת Shadow IT. שליש מהמשיבים ציינו שהם מודעים שיש תופעה כזו, אולם לא יודעים איך לעצור אותה, והאחרים השיבו שהם לא מודעים לה כלל. גילאון טוען שחלק מהם לא רוצים לדעת.

מה עם מנגנוני הבקרה?

עבודה בענן קשורה קשר ישיר לשיתוף מידע, שמצידו טומן בחובו סכנה חמורה של זליגת מידע – כתוצאה מתקלה או מטעות אנוש, או בזדון על ידי העובדים. משתתפי הסקר נשאלו האם יש אצלם מנגנונים שמונעים זליגת מידע. מחצית מהמשיבים הודו שאין בארגונם מערכות שמסוגלות למנוע זליגה מלאה והאחרים השיבו שיש, אבל באופן חלקי. המסקנה המתבקשת היא שיש עדיין הרבה מה לעשות בנושא זה.

הסוגיה המרכזית, לפחות בעיני עורכי הסקר, היא האם המנמ"ר והנהלת הארגון עוקבים ושולטים על כל אפליקציה שהעובדים מורידים מהענן? האם המנמ"ר יודע לנתח את כלל הפעילות של המשתמשים בתחום זה? חלק גדול מהמשיבים הודו שאין להם מנגנוני בקרה, אחרים אמרו שיש להם מנגנונים חלקיים והיתר השיבו בשלילה. בתשובה לשאלה אחרת עולה מהסקר כי ארגונים רבים עושים שימוש בענן לצרכים ארגוניים.

עוד דבר שהסקר בדק הוא העמדות והכוונות של הארגונים ליישם מחשוב ענן בשנה הבאה. התשובות משקפות את מצב השוק כיום: הרוב אמרו שהם שוקלים ליישם אפליקציות של Salesforce או Office 365, שליש הצביעו על Google Maps ואחוז די גבוה השיב, עדיין, שאין בכוונת ארגונו לעבור לענן. מתוך שאלה אחרת ניתן להסיק כי יש גידול מסוים במספר הארגונים שעוברים לענן ציבורי. עובדה זו מעלה את התקווה שבשנים הקרובות תישבר תקרת הזכוכית בכל הנוגע למעבר לענן של הארגונים הגדולים, והמעבר יהיה מהיר יותר.

השורה התחתונה: סקר העמדות לגבי מחשוב הענן בקרב אנשי המקצוע בארגונים מראה שיש מגמת עלייה בנכונות לעבור לענן, אבל הדרך עדיין ארוכה; יותר ממחצית הארגונים לא חוסמים את הפעילות של המשתמשים בענן ולכן אין להם שליטה עליה; ובחלק מהארגונים המשתמשים עוקפים את המנמ"רים ומייצרים Shadow IT, מבלי שלמנמ"רים יש שליטה על כך, מה שגורם לפגיעה ביכולת הארגונים למנוע זליגת מידע – אחת הסכנות החמורות במעבר לענן.

בסך הכול, פעילות הענן היא עדיין נישתית, אבל התחום הולך וצובר תאוצה. על אף שהנושא עולה בדיונים ובכנסים רבים, עדיין יש חוסר ידע רב, בין היתר עקב חוסר רצון לשאול ולדעת. מצד שני, התחושה בקרב מנהלי הטכנולוגיה היא שהשימוש ביישומים חוץ ארגוניים לא יותיר לארגונים הרבה ברירות אלא לאמץ את הענן, ויפה שעת אחת קודם.