Share
Bedrijven hebben het tegenwoordig moeilijk om controle te houden over de technologische middelen of apparatuur die gebruikt worden door hun medewerkers. Deze installeren steeds vaker systemen en applicaties zonder expliciete toestemming van de IT-afdeling. Er wordt hierbij vaak geen rekening gehouden met de voorschriften en regels die de veiligheid binnen het bedrijf garanderen. Shadow IT bestaat al langer, maar de laatste jaren zien we een enorme stijging, die samenhangt met de introductie van cloud computing.
Wat betekent Shadow IT? Shadow IT, ook wel Schaduw IT genoemd, kent nog enkele andere benamingen zoals Rogue IT of Stealth IT. Dit zijn één voor één termen die gebruikt worden voor de IT-middelen die door werknemers gebruikt worden, maar buiten het beheer van de IT-afdeling vallen. Shadow IT is dus een applicatie of software die gebruikt wordt voor bedrijfsprocessen, maar niet goedgekeurd is door een gecentraliseerde IT-afdeling. De IT-verantwoordelijke is hier vaak niet van op de hoogte, waardoor er geen zekerheid is of de software wel ondersteund wordt of veilig is. Dit maakt de kans op onofficiële datastromen groter, waardoor het moeilijker wordt te voldoen aan de data compliance regelgeving.
Concreet zien we Shadow IT onder de vorm van:
Dergelijke Shadow IT komt in diverse sectoren voor, zowel in kleine private ondernemingen, als in sterk gereguleerde politieke, financiële of gezondheidsorganisaties.
Hoe ontstaat Shadow IT? Alle gebruikte IT-apparatuur of software zou beveiligd moeten zijn en in lijn moeten liggen met de regelgeving. Hier moet de IT-verantwoordelijke op toezien. Zeker wanneer bedrijven kiezen voor een BYOD-policy, is Shadow IT niet weg te denken. Maar ook wanneer medewerkers gebruik maken van een goedgekeurd toestel kan Shadow IT ontstaan. Het eenvoudigste voorbeeld hiervan is het gebruiken van WeTransfer om grote bestanden, die niet doorgestuurd kunnen worden via e-mail, te versturen. Of medewerkers die uit gemak communiceren via WhatsApp of Facebook Messenger in plaats van via de communicatiemiddelen die het bedrijf voorziet.
Een logische oorzaak van Shadow IT is dat medewerkers het vaak aangenamer vinden om vertrouwde applicaties te gebruiken die al op hun smartphone, persoonlijke laptops of tablets voorzien zijn. Hierdoor hoeven ze niet meer de moeite te doen om de door het bedrijf goedgekeurde applicaties te installeren. De gebruiker is tenslotte degene die weet wat hij nodig heeft en welke software of applicatie kan voldoen aan zijn functionele behoeften, niet de IT-afdeling.
Wat zijn de risico’s van Shadow IT? De meeste IT-afdelingen zijn geen fan van Shadow IT omdat het zowel juridische, als veiligheidsrisico’s met zich meebrengt. Daarnaast is de beveiliging en compliance van de bedrijfsgegevens de verantwoordelijkheid van het IT en Information Security team. Als deze niet op de hoogte zijn van de gebruikte Shadow IT is het veilig houden van bedrijfsgegevens voor hen onbegonnen werk.
Welke risico’s brengt Shadow IT met zich mee:
Er moeten duidelijke regels gesteld worden op vlak van compliance en deze moeten nageleefd worden door de medewerkers van het bedrijf. Daarnaast moeten de bestaande regels steeds geüpdatet worden wanneer er nieuwe tools of processen worden gebruikt.
Sommige bedrijven zien Shadow IT echter als een positieve evolutie, omdat het innovatie en productiviteit stimuleert. Zo zorgt het ervoor dat een bedrijf wendbaarder is en medewerkers efficiënter ingezet kunnen worden. Belangrijk is dat er vanuit de IT-afdeling gepaste regels voorzien worden inzake monitoring en controle.
Hoe omgaan met Shadow IT? Zoals hierboven vermeld heeft Shadow IT voor- en nadelen en kan het soms niet uitgesloten worden. Er zijn wel enkele zaken die uw bedrijf kan inzetten om beter om te gaan met Shadow IT:
We kunnen concluderen dat Shadow IT niet altijd nadelig is, zolang het correct beheerd wordt kan het zelf een bron van efficiëntie en innovatie zijn. Bedrijven staan best open voor nieuwe ideeën omtrent software en applicaties zodat Shadow IT vermindert.
Wenst u meer te weten over Shadow IT of bent u nieuwsgierig naar hoe het gesteld is met de beveiliging binnen uw IT-infrastructuur? Vraag dan hier uw Konica Minolta Security Audit aan voor Nederland en kom te weten waar de zwakke schakels omtrent beveiliging zich bevinden en hoe u dit het beste kan aanpakken.