I strävan efter att arbeta snabbt och effektivt tar medarbetare ibland genvägar. De laddar ner en gratis PDF-konverterare, börjar använda en molntjänst för fildelning som inte är godkänd, eller sätter upp en egen server för ett projekt. Detta fenomen kallas Shadow IT. Även om avsikten ofta är god (ökad produktivitet), utgör det en av de största dolda säkerhetsriskerna för moderna företag.
Vad är Shadow IT?
Shadow IT är användning av IT-tjänster, applikationer eller hårdvara inom en organisation utan IT-avdelningens kännedom eller godkännande. Det handlar oftast om molntjänster som anställda installerar eller registrerar sig för på egen hand — för att lösa ett vardagsproblem snabbare än om de gått via formell upphandling.
Termen är inte i sig negativ. Shadow IT visar ofta att den officiella IT-portföljen inte räcker till. Risken uppstår när data hamnar utanför organisationens kontroll, granskning och säkerhetspolicy.
Vanliga exempel på Shadow IT
- Privata Dropbox-, Google Drive- eller WeTransfer-konton för att dela arbetsfiler
- Ej godkända AI-verktyg (ChatGPT, Claude, Gemini) för känslig data
- Personliga Trello-, Asana- eller Notion-arbetsytor
- Privatköpta SaaS-licenser som faktureras på företagskort
- Privata enheter (BYOD) utan MDM-hantering
- Egenuppsatta API-integrationer mellan tjänster
Varför är det en säkerhetsrisk?
Problemet med Shadow IT är att ”man inte kan skydda det man inte ser”.
- Dataläckage: Känslig företagsdata hamnar i molntjänster som saknar avtal, backup eller tillräcklig säkerhet.
- GDPR-brott: Om personuppgifter lagras i en icke-godkänd tjänst bryter ni mot lagen, ofta utan att veta om det.
- Sårbarheter: Mjukvara som inte uppdateras eller patchas av IT-avdelningen blir en enkel väg in för hackare.
Riskerna med Shadow IT
| Risk | Vad det innebär |
| Dataläckage | Företagsinformation lagras i tjänster utanför säkerhetspolicyn |
| GDPR-överträdelse | Personuppgifter behandlas utan registerförteckning eller PUB-avtal |
| Compliance-brist | NIS2, ISO 27001 och DORA kräver kontroll över IT-portföljen |
| Onödig kostnad | Dubbla licenser och oanvända tjänster |
| Säkerhetshål | Saknad MFA, patchning och loggning |
Så identifierar och hanterar du Shadow IT
- Mät — använd CASB- eller SASE-verktyg för att kartlägga molntrafik och inventera SaaS-användning.
- Klassificera — vilka tjänster är godkända, godkänd-med-villkor respektive ej godkända?
- Möjliggör — erbjud säkra alternativ för verkliga behov istället för att enbart blockera.
- Utbilda — gör det enkelt för medarbetare att förstå varför vissa tjänster blockeras.
- Granska kontinuerligt — Shadow IT återkommer, kvartalsvis avstämning är ett minimum.
Savecores syn på kontroll
Lösningen är sällan att förbjuda allt, utan att erbjuda säkra och användarvänliga alternativ. Savecore hjälper organisationer att få insyn i sin datahantering. Genom att erbjuda smidiga, svenska alternativ för lagring och samarbete minskar vi incitamentet för anställda att söka sig till osäkra skugg-lösningar.
Återta kontrollen över er data
Vet ni var er företagsdata egentligen lagras? Savecore hjälper er att identifiera risker och implementera säkra, godkända verktyg som medarbetarna faktiskt vill använda.
Säkra er informationsmiljö
Vanliga frågor och svar (FAQ)
Varför uppstår Shadow IT?
Oftast för att medarbetare upplever att de godkända verktygen är för krångliga eller saknar funktioner. Det är en signal om att IT-avdelningen behöver föra en tätare dialog med verksamheten om deras behov.
Hur upptäcker man Shadow IT?
Genom att analysera nätverkstrafik och brandväggsloggar (via t.ex. en CASB – Cloud Access Security Broker) kan man se vilka molntjänster som används i nätverket, även de som inte är godkända.
Är all Shadow IT dålig?
Inte nödvändigtvis. Det kan vara en källa till innovation. Målet bör vara att identifiera bra verktyg som medarbetarna hittat, säkerhetsgranska dem, och sedan göra dem till en del av den officiella IT-miljön.