IT-sikkerhet IT Security 3 min lesing 3 min read

Shadow IT: Hvordan skjult teknologi kan sette hele virksomheten i fare

Shadow IT: How Hidden Technology Can Put Your Entire Business at Risk

Ansatte bruker uautoriserte IT-verktøy og skaper nye sikkerhetsrisikoer – uten at ledelsen vet om det

Employees use unauthorized IT tools creating new security risks – without management knowing about it

AONO IT-Team IT-sikkerhetsspesialister IT Security Specialists

Hovedpunkter Key Points

  • Shadow IT er bruk av uautoriserte IT-verktøy i organisasjonen
  • Det skaper risiko for datalekkasjer og GDPR-brudd
  • Ofte oppstår det fordi ansatte trenger bedre løsninger
  • Kartlegging og dialog er første steg mot kontroll
  • Tilby godkjente alternativer for å redusere risikoen
  • Shadow IT is the use of unauthorized IT tools in the organization
  • It creates risks for data breaches and GDPR violations
  • Often occurs because employees need better solutions
  • Mapping and dialogue are first steps toward control
  • Provide approved alternatives to reduce risk

Den usynlige IT-risikoen

The Invisible IT Risk

Virksomheter investerer millioner i sikkerhet, men de største risikoene starter ofte med helt vanlige ansatte. Når medarbeidere tar i bruk egne verktøy – uten godkjenning eller kontroll – oppstår det et fenomen kjent som Shadow IT. Det er ikke ondsinnet. Det er som oftest et resultat av at noen vil jobbe raskere, enklere eller mer effektivt.

Companies invest millions in security, but the biggest risks often start with ordinary employees. When workers adopt their own tools – without approval or control – a phenomenon known as Shadow IT emerges. It's not malicious. It's usually the result of someone wanting to work faster, simpler, or more efficiently.

Men konsekvensene kan være alvorlige: datalekkasjer, tap av kontroll, GDPR-brudd og økt angrepsflate.

But the consequences can be serious: data breaches, loss of control, GDPR violations and increased attack surface.

Hva er Shadow IT?

What is Shadow IT?

Shadow IT er all bruk av IT-verktøy, skytjenester eller apper som ikke er godkjent av IT-avdelingen. Det kan være alt fra private Dropbox-kontoer og Google Docs til uautoriserte CRM-systemer og AI-verktøy.

Shadow IT is any use of IT tools, cloud services or apps that are not approved by the IT department. It can be everything from private Dropbox accounts and Google Docs to unauthorized CRM systems and AI tools.

Eksempler på typisk Shadow IT:

Examples of typical Shadow IT:

Private skylagringstjenester

Private cloud storage services

for jobbrelaterte filer

for work-related files

Usikrede chat-apper

Unsecured chat apps

for deling av sensitive dokumenter

for sharing sensitive documents

Eksterne tjenester

External services

opprettet uten ITs involvering

created without IT involvement

AI-verktøy

AI tools

for behandling av kunde- og regnskapsdata

for processing customer and accounting data

Hva gjør det så risikabelt?

What Makes It So Risky?

Shadow IT skaper digitale blindsoner i sikkerhetsarkitekturen din. Data flyter ukontrollert gjennom systemer som IT-avdelingen ikke kan overvåke, beskytte eller styre.

Shadow IT creates digital blind spots in your security architecture. Data flows uncontrolled through systems that the IT department cannot monitor, protect or control.

Ingen kontroll på hvor data lagres

No control over where data is stored

Hvis en ansatt lagrer firmadokumenter i en privat app, vet du ikke hvor informasjonen havner

If an employee stores company documents in a private app, you don't know where the information ends up

Manglende logging og sporbarhet

Lack of logging and traceability

Uautoriserte verktøy er ikke en del av virksomhetens overvåkning

Unauthorized tools are not part of the company's monitoring

Brudd på regelverk og intern policy

Violations of regulations and internal policy

Kan bryte med GDPR, databehandleravtaler eller ISO 27001-krav

Can violate GDPR, data processing agreements or ISO 27001 requirements

Skaper teknisk gjeld

Creates technical debt

og fragmentert infrastruktur som svekker sikkerheten

and fragmented infrastructure that weakens security

Hvordan få kontroll på Shadow IT

How to Get Control of Shadow IT

1

Kartlegg og dokumentér bruk

Map and Document Usage

Start med å identifisere hvilke verktøy som faktisk brukes – både godkjente og uautoriserte. Dette kan gjøres gjennom flere metoder for å få et komplett bilde.

Start by identifying which tools are actually being used – both approved and unauthorized. This can be done through several methods to get a complete picture.

Microsoft Defender

Overvåk appbruk og nettverkstrafikk

Monitor app usage and network traffic

Proxy-logger
Proxy Logs

Analyser webtrafikk og tjenestekall

Analyze web traffic and service calls

Brukerspørreundersøkelser
User Surveys

Anonyme undersøkelser for å bygge tillit

Anonymous surveys to build trust

2

Snakk med brukerne – ikke mot dem

Talk with Users – Not Against Them

Shadow IT oppstår ofte fordi offisielle løsninger ikke dekker behov. Bruk dette som innsikt, ikke som et kontrollgrep. Forstå hvorfor ansatte velger uautoriserte løsninger.

Shadow IT often occurs because official solutions don't meet needs. Use this as insight, not as a control measure. Understand why employees choose unauthorized solutions.

Riktig tilnærming
Right Approach

"Hva mangler i våre nåværende verktøy?"

"What's missing in our current tools?"

Feil tilnærming
Wrong Approach

"Dere må slutte å bruke disse verktøyene!"

"You must stop using these tools!"

3

Etabler en tydelig policy

Establish a Clear Policy

Alle bør vite hva som er greit og hva som ikke er det – og hvem man kontakter hvis man trenger nye verktøy. Policyen må være praktisk og forståelig.

Everyone should know what's okay and what's not – and who to contact if they need new tools. The policy must be practical and understandable.

Tydelige retningslinjer
Clear Guidelines

Hva er tillatt og forbudt

What's allowed and forbidden

Prosess for godkjenning
Approval Process

Hvordan få godkjent nye verktøy

How to get new tools approved

Kontaktpunkt
Contact Point

Hvem man kontakter ved spørsmål

Who to contact with questions

4

Tilby godkjente alternativer

Provide Approved Alternatives

Gjør det enkelt å velge trygt: tilby godkjente løsninger og legg til rette for rask onboarding av nye verktøy ved behov.

Make it easy to choose safely: offer approved solutions and facilitate rapid onboarding of new tools when needed.

Samarbeid
Collaboration
  • Microsoft Teams
  • SharePoint
  • Slack (Business)
  • Microsoft Teams
  • SharePoint
  • Slack (Business)
Lagring
Storage
  • OneDrive for Business
  • SharePoint Online
  • Box Enterprise
  • OneDrive for Business
  • SharePoint Online
  • Box Enterprise
Produktivitet
Productivity
  • Microsoft 365
  • Google Workspace
  • Notion Enterprise
  • Microsoft 365
  • Google Workspace
  • Notion Enterprise
5

Følg opp med kontinuerlig overvåking

Follow Up with Continuous Monitoring

Bruk tekniske løsninger for å overvåke trafikk og bruksmønstre. Shadow IT er ikke en engangstrussel – det er en pågående utfordring som krever kontinuerlig oppmerksomhet.

Use technical solutions to monitor traffic and usage patterns. Shadow IT is not a one-time threat – it's an ongoing challenge that requires continuous attention.

Nettverkstrafikk-analyse
Network Traffic Analysis

Identifiser ukjente tjenester

Identify unknown services

Cloud Access Security Broker (CASB)

Overvåk skytjenestebruk

Monitor cloud service usage

Regelmessige revisjoner
Regular Audits

Kvartalsvis gjennomgang

Quarterly reviews

Oppsummering

Summary

Shadow IT handler ikke bare om teknologi – det handler om mennesker, behov og tillit. Ved å kombinere bevissthet, tekniske tiltak og dialog kan virksomheter redusere risikoen og samtidig støtte innovasjon. Uten kontroll blir Shadow IT en bakdør for cyberangrep. Med riktig strategi blir det en mulighet til å styrke både sikkerhet og brukertilfredshet.

Shadow IT isn't just about technology – it's about people, needs and trust. By combining awareness, technical measures and dialogue, businesses can reduce risk while supporting innovation. Without control, Shadow IT becomes a backdoor for cyber attacks. With the right strategy, it becomes an opportunity to strengthen both security and user satisfaction.

Bakdør

Backdoor

Ukontrollert IT-bruk

Uncontrolled IT usage

Styrke

Strength

Kontrollert innovasjon

Controlled innovation

Trenger du hjelp med Shadow IT-kontroll? Need help with Shadow IT control?

AONO hjelper bedrifter i Bergen-området med å kartlegge ukontrollert IT-bruk, utarbeide policyer og implementere sikre løsninger som støtter både produktivitet og sikkerhet.

AONO helps businesses in the Bergen area map uncontrolled IT usage, develop policies and implement secure solutions that support both productivity and security.

Ring for IT-sikkerhetskonsultasjon Call for IT security consultation Send e-post Send email

Emneord Topics

Shadow IT IT-sikkerhet IT Security GDPR Compliance Skytjenester Cloud Services Risikostyring Risk Management

Del artikkelen Share article

Relaterte artikler Related Articles

Utforsk flere temaer innen IT og teknologi

Explore more topics in IT and technology

Tilbake til alle nyheter Back to all news