18
december
2020
|
10:08
Europe/Amsterdam

Wat is Shadow IT en welke risico’s brengt het met zich mee?

Samenvatting

Bedrijven hebben het tegenwoordig moeilijk om controle te houden over de technologische middelen of apparatuur die gebruikt worden door hun medewerkers. Deze installeren steeds vaker systemen en applicaties zonder expliciete toestemming van de IT-afdeling. Er wordt hierbij vaak geen rekening gehouden met de voorschriften en regels die de veiligheid binnen het bedrijf garanderen. Shadow IT bestaat al langer, maar de laatste jaren zien we een enorme stijging, die samenhangt met de introductie van cloud computing.

Wat betekent Shadow IT? 
Shadow IT, ook wel Schaduw IT genoemd, kent nog enkele andere benamingen zoals Rogue IT of Stealth IT. Dit zijn één voor één termen die gebruikt worden voor de IT-middelen die door werknemers gebruikt worden, maar buiten het beheer van de IT-afdeling vallen. Shadow IT is dus een applicatie of software die gebruikt wordt voor bedrijfsprocessen, maar niet goedgekeurd is door een gecentraliseerde IT-afdeling. De IT-verantwoordelijke is hier vaak niet van op de hoogte, waardoor er geen zekerheid is of de software wel ondersteund wordt of veilig is. Dit maakt de kans op onofficiële datastromen groter, waardoor het moeilijker wordt te voldoen aan de data compliance regelgeving.

Concreet zien we Shadow IT onder de vorm van: 

  • Applicaties: Slack, Dropbox, Google Docs, WeTransfer,... 
  • Cloudservices of SaaS-oplossingen: er is een groter wordend aanbod van cloud-gebaseerde apps die gebruikt kunnen worden door medewerkers waar de IT-afdeling vaak niet van op de hoogte is. Steeds meer bestanden in de cloud bevatten gevoelige gegevens en ook meer en meer bedrijfsgevoelige informatie wordt doorgestuurd met een open, publiek toegankelijke link. 
  • Hardware: harde schijven, persoonlijke laptops, smartphones, tablets,... voornamelijk door de trend van BYOD (Bring Your Own Device).

Dergelijke Shadow IT komt in diverse sectoren voor, zowel in kleine private ondernemingen, als in sterk gereguleerde politieke, financiële of gezondheidsorganisaties. 

Hoe ontstaat Shadow IT? 
Alle gebruikte IT-apparatuur of software zou beveiligd moeten zijn en in lijn moeten liggen met de regelgeving. Hier moet de IT-verantwoordelijke op toezien. Zeker wanneer bedrijven kiezen voor een BYOD-policy, is Shadow IT niet weg te denken. Maar ook wanneer medewerkers gebruik maken van een goedgekeurd toestel kan Shadow IT ontstaan. Het eenvoudigste voorbeeld hiervan is het gebruiken van WeTransfer om grote bestanden, die niet doorgestuurd kunnen worden via e-mail, te versturen. Of medewerkers die uit gemak communiceren via WhatsApp of Facebook Messenger in plaats van via de communicatiemiddelen die het bedrijf voorziet. 

Een logische oorzaak van Shadow IT is dat medewerkers het vaak aangenamer vinden om vertrouwde applicaties te gebruiken die al op hun smartphone, persoonlijke laptops of tablets voorzien zijn. Hierdoor hoeven ze niet meer de moeite te doen om de door het bedrijf goedgekeurde applicaties te installeren. De gebruiker is tenslotte degene die weet wat hij nodig heeft en welke software of applicatie kan voldoen aan zijn functionele behoeften, niet de IT-afdeling. 

Wat zijn de risico’s van Shadow IT? 
De meeste IT-afdelingen zijn geen fan van Shadow IT omdat het zowel juridische, als veiligheidsrisico’s met zich meebrengt. Daarnaast is de beveiliging en compliance van de bedrijfsgegevens de verantwoordelijkheid van het IT en Information Security team. Als deze niet op de hoogte zijn van de gebruikte Shadow IT is het veilig houden van bedrijfsgegevens voor hen onbegonnen werk. 

Welke risico’s brengt Shadow IT met zich mee: 

  • Veiligheid: verhoogd risico op data breaches en verlies van bedrijfskritieke gegevens doordat het moeilijker te controleren is wie er toegang heeft tot bepaalde applicaties waar data in opgeslagen is. 
  • Efficiëntie: waar Shadow IT soms de efficiëntie verhoogd, zien we ook het omgekeerde gebeuren. Na verloop van tijd worden er zo veel verschillende systemen gebruikt binnen het bedrijf, dat er geen duidelijk overzicht meer is. Dit kan leiden tot miscommunicatie en vaak ook tot tijdverlies door het zoeken naar de meest recente informatie. 
  • Kostenbeheer: Shadow IT is vaak duurder dan intern goedgekeurde oplossingen, zeker wanneer afdelingen met verschillende software of applicaties gaan werken. Niet enkel de beheerskosten van de Shadow IT moeten in rekening gebracht worden, maar ook de opzet- en onderhoudskosten. 
  • Duurzaamheid en continuïteit van Shadow IT is moeilijk te garanderen.

Er moeten duidelijke regels gesteld worden op vlak van compliance en deze moeten nageleefd worden door de medewerkers van het bedrijf. Daarnaast moeten de bestaande regels steeds geüpdatet worden wanneer er nieuwe tools of processen worden gebruikt. 

Sommige bedrijven zien Shadow IT echter als een positieve evolutie, omdat het innovatie en productiviteit stimuleert. Zo zorgt het ervoor dat een bedrijf wendbaarder is en medewerkers efficiënter ingezet kunnen worden. Belangrijk is dat er vanuit de IT-afdeling gepaste regels voorzien worden inzake monitoring en controle. 

Hoe omgaan met Shadow IT? 
Zoals hierboven vermeld heeft Shadow IT voor- en nadelen en kan het soms niet uitgesloten worden. Er zijn wel enkele zaken die uw bedrijf kan inzetten om beter om te gaan met Shadow IT:

  • De IT-afdeling kan luisteren naar de wensen van de medewerkers en hen meer keuze aanbieden in plaats van alle verzoeken te weigeren die geen deel uitmaken van de reeds goedgekeurde bedrijfsapplicaties. Een beter alignment tussen de IT-afdeling en de operationele medewerkers kan de productiviteit van het bedrijf verbeteren en zal het gebruik van Shadow IT verminderen. 
  • Een goed beheer van de gebruikte software, applicaties en cloud services is belangrijk om op elk moment te kunnen controleren welke gegevens verwerkt worden en welke technologieën hiervoor gebruikt worden. Een best practice is de medewerkers een duidelijk overzicht bezorgen van de goedgekeurde softwares zodat deze zelf kunnen kiezen welke men wil gebruiken. Deze ‘softwarecatalogus’ moet dan regelmatig geüpdatet worden op basis van input van de medewerkers. 
  • De IT-afdeling moet strenge controles uitvoeren op de toegang tot bedrijfsgegevens om de veiligheid en nauwkeurigheid te garanderen. Bovendien moet men in het bedrijf steeds rekening houden met de regelgeving, zoals bijvoorbeeld GDPR die bedrijven verplicht de gegevens van hun klanten te beschermen. 

We kunnen concluderen dat Shadow IT niet altijd nadelig is, zolang het correct beheerd wordt kan het zelf een bron van efficiëntie en innovatie zijn. Bedrijven staan best open voor nieuwe ideeën omtrent software en applicaties zodat Shadow IT vermindert. 

Wenst u meer te weten over Shadow IT of bent u nieuwsgierig naar hoe het gesteld is met de beveiliging binnen uw IT-infrastructuur? Vraag dan hier uw Konica Minolta Security Audit aan voor Nederland en hier voor België en kom te weten waar de zwakke schakels omtrent beveiliging zich bevinden en hoe u dit het beste kan aanpakken.