Hoe om te gaan met schaduw-IT?
Wanneer je al serieus bezig bent met het in kaart brengen van belangrijke IT-onderdelen binnen jouw kantooromgeving, dan is dat een geweldige stap. Voor veel organisaties is dat al een enorme uitdaging. Maar helaas ben je er dan nog niet. Je collega's hebben tegenwoordig namelijk beschikking tot ontelbaar veel IT-middelen waar jij maar ook de IT-afdeling of -leverancier geen weet van hebben. IT-gerelateerde hard- of softwareproducten die worden gebruikt door medewerkers zonder medeweten van de organisatie, worden ook wel schaduw-IT genoemd. Met de toename van het aantal IoT-apparaten kan schaduw-IT al snel ontstaan. Want medewerkers kunnen met de beste bedoelingen onbekende apparatuur bijplaatsen zoals een extra Wifi-accesspoint voor beter internetbereik in de vergaderruimte.
Wat is schaduw-IT?
Schaduw-IT omvat alle vormen van hard- of softwaregebruik zonder dat de organisatie hier weet van heeft, betrokken bij is geweest of toestemming voor heeft gegeven. In veel gevallen bepaalt de IT-afdeling en/of IT-dienstverlener welke specifieke hardware (computers, laptops, USB-sticks, harde schijven) en software (programma’s, tools) je als werknemer mag gebruiken. Veelal worden deze voor medewerkers aangeleverd of geïnstalleerd. Wanneer een medewerker zonder dat de organisatie hiervan op de hoogte is, gebruik maakt van nieuwe en niet toegestane hard- of software, dan spreek je over schaduw-IT.
Hoe ontstaat schaduw-IT?
Door de enorme digitalisering is het voor jouw werknemers kinderlijk eenvoudig om gebruik te maken van allerlei (online) programma’s en diensten waar jij als organisatie geen enkel zicht op hebt. Denk bijvoorbeeld aan een online applicatie die het voor gebruikers mogelijk maakt om digitaal samen te werken en te brainstormen. Je maakt via de browser een account aan en je kunt binnen enkele klikken aan de slag. Super handig, helaas heeft niemand de IT-afdeling op de hoogte gesteld, noch nagedacht over de veiligheid van het platform of over hoe er wordt omgegaan met persoonsgegevens.
Wat zijn de risico’s?
Het toestaan van gebruik van hard- of software waar geen enkele vorm van beheer of zicht op is, kan ernstige risico’s met zich mee brengen. Het overkoepelende risico is het gebrek aan overzicht maar hieronder nog enkele aanvullende zaken waar je rekening mee dient te houden:
- Als je als organisatie geen weet hebt van de gebruikte middelen, kun je je daar ook op geen enkele manier tegen wapenen;
- Een (web)applicatie is software en software bevat kwetsbaarheden. Ook hier geldt; als je niet weet welke software er wordt gebruikt, kun je ook geen maatregelen treffen;
- De organisatie loopt risico op het schenden van privacywetgeving doordat data zich mogelijk bevindt op schaduw-IT (bijvoorbeeld de AVG);
- Gebruikers zijn zich niet bewust van het feit dat hun data mogelijk openbaar vindbaar is;
- Grip op opslag ontbreekt waardoor mogelijk (gevoelige) gegevens op een buitenlands cloud-platform staan opgeslagen;
- Er worden geen back-ups gemaakt en (mogelijk) gevoelige gegevens kunnen verloren gaan;
- Het ontbreken van veilige instellingen wanneer zelf hard- of software wordt bijgeplaatst binnen het bedrijfsnetwerk;
- Het is niet inzichtelijk wie toegang heeft tot welke informatie en gebruikers worden niet of slecht bijgehouden. Hierdoor kan bijvoorbeeld een oud-medewerker nog toegang hebben tot op schaduw-IT opgeslagen hard- of softwaremiddelen.
Voorkomen van schaduw-IT
Het volledig voorkomen van schaduw-IT binnen een organisatie is onmogelijk. Medewerkers zijn mensen en mensen kiezen vaak de weg van de minste weerstand. Je kunt als organisatie nog zo geweldige tools aanbieden maar als jouw medewerkers een alternatief vinden waardoor ze sneller, gemakkelijker of efficiënter kunnen zijn, dan doen ze dat.
Hoe krijg je grip op schaduw-IT?
Wil je als organisatie grip krijgen op schaduw-IT? Zet dan niet vol in op het opwerpen van barrières of opleggen van beperkingen om medewerkers te weerhouden schaduw-IT te installeren. Je kunt websites blokkeren, installatierechten beperken en poorten dichtzetten maar digitaal vaardige medewerkers vinden hier - als het nodig is - een workaround voor.
Verstandiger is het om de dialoog aan te gaan en te bekijken waarom er binnen jouw organisatie schaduw-IT wordt gebruikt. Het kan zijn dat er basale middelen missen, applicaties slecht werken of omslachtig zijn in gebruik waardoor er omwegen worden gezocht. Probeer vervolgens deze pijnpunten te identificeren en op te lossen. Je kunt ook een IT-dienstverlener vragen om periodiek je bedrijfsnetwerk te scannen en onbekende apparaten te detecteren.