Schaduw IT; hoe populair zijn jouw bedrijfsapplicaties?

schaduw it

Lekker handig. Met zijn allen als team in een WhatsApp groep, zo deel je gemakkelijk zaken die van belang zijn. Maar wat vindt je IT afdeling hiervan? En wat doe je als een medewerker de organisatie verlaat? Het komt voor dat “oude” medewerkers nog steeds in deze groepsapp zitten en daardoor informatie zien die niet voor hun bedoeld is. Dit soort goed bedoelde initiatieven, waarmee jouw werk soepeler verloopt of je makkelijker samenwerkt, kunnen eindigen in een heel ander scenario.

 

Schaduw IT voorkom je bijna niet. De overgang naar het thuiswerken van de coronacrisis heeft al een security uitdaging. Daarbij heeft thuiswerken schaduw IT ook nog eens in de hand gewerkt. Bijna iedere organisatie kent schaduw IT. Dat blijkt uit een recent onderzoek, waarbij 83% van de bedrijven (cloud)diensten gebruikt zonder goedkeuring vooraf. Dat is natuurlijk niet schokkend gezien het gemak en de beschikbaarheid van online applicaties.

 

Wat is schaduw IT

Schaduw IT ontstaat als medewerkers op eigen initiatief, zonder dat de IT afdeling hiervan weet, IT middelen inzetten. Dit kan gaan om apparatuur, zoals het gebruik van een privé laptops of smartphones, maar ook om applicaties, zoals het gebruik van Dropbox, WhatsApp en Google Drive.

 

Risico’s schaduw IT

Het gebruik van ongeoorloofde apparatuur en applicaties brengt een monitorings- en beheerprobleem met zich mee. Dit brengt diverse risico’s met zich mee:

 

  1. Cyberbedreigingen: Bij Schaduw IT ontbreekt het vaak aan overzicht. Overal staan losse plukjes informatie op plekken waarvan men geen weet heeft. Van de IT afdeling wordt verwacht dat ze het systeem goed onderhouden en beveiligen. Maar hoe kun je bedrijfsdata beveiligen als je niet weet met welke applicaties werknemers hun bedrijfsinformatie verwerken, opslaan en verzenden? Bovendien heeft apparatuur die zonder toestemming wordt gebruikt, niet dezelfde mate aan beveiliging als jouw bedrijf. Dit maakt deze apparatuur en hierdoor ook het bedrijfsnetwerk prooi voor cybercriminelen.
  2. Gegevensverlies: De apparatuur en applicaties vallen niet onder de back-up en herstelstrategie van het bedrijf. Meestal wordt er helemaal geen back-up gemaakt. Gaat er bedrijfskritische data verloren tijdens een incident, dan veroorzaakt dit schade. Om over de gevolgen maar te zwijgen.
  3. Informatiebeveiliging: Er is geen grip op back-ups en data binnen de schaduw IT omgeving. Ook is niet duidelijk wie er toegang heeft tot de gegevens. Ook is onduidelijk wie welke rechten heeft tot bepaalde applicaties. Er wordt niet bijgehouden welke gebruikersaccounts zijn vrijgegeven of zijn verwijderd. Hierdoor kunnen voormalige werknemers nog altijd toegang hebben.

 

Voorkomen schaduw IT

Je maakt niet zomaar een einde aan schaduw IT. Dit vergt een cultuuromslag in je organisatie en een geheel andere aanpak van je IT afdeling. Medewerkers moeten tools krijgen om hun werk goed uit te voeren. Daarbij leg je de nadruk op wat wel kan, want met teveel beperkingen gaan medewerkers de regels toch omzeilen. Teams is mede zo populair doordat het Whatsapp prima vervangt voor chatten en videobellen. Dat geldt ook voor OneDrive en SharePoint die een goed en veiliger alternatief zijn voor Dropbox en Google Drive.

 

Leg vast welke software medewerkers mogen gebruiken, maar maak ook duidelijk waarom je bepaalde software niet gebruikt. En maak het bespreekbaar, vaak gebruiken medewerkers schaduw IT met een reden. Maak medewerkers bewust van de beveiligingsrisico’s die hier aan vast zitten. Daarnaast moet er ruimte zijn om software te gebruiken die niet op het lijstje staat, maar bijvoorbeeld wel heel erg nodig is. Bij het toestaan van deze software kijk je altijd naar de security en privacy eisen van jouw bedrijf.

 

Er is niet alleen een beleid op de software die medewerkers mogen gebruiken. Je legt tevens vast wat de rollen en rechten zijn. Je geeft gebruikers alleen toegang tot apps en data die ze nodig hebben voor hun werk. Laat medewerkers met hun eigen account werken. Mocht dit om bepaalde redenen niet kunnen en is er één account voor meerdere werknemers, houdt dan wijzigingsbeheer bij. Je hebt dan altijd inzichtelijk wie welke accounts gebruikt.

 

Ook bij schaduw IT is het bewustzijn van de medewerkers zeer belangrijk. Zij brengen bijna nooit bewust de beveiliging van jouw organisatie in gevaar. Vaak weten zij weten niet wat de risico’s zijn en de gevolgen daarvan. Maak ze hiervan bewust en informeer over de stappen die zij moeten nemen om deze risico’s te beperken.

 

Leer van schaduw IT

Bedenk ook dat het gebruik van schaduw IT voortkomt uit de werkwijze van de IT afdeling. Kijk daarom nog eens goed naar de effecten van opgelegde beveiligingsmaatregelen op de gebruikerservaring. En kijk ook wat gebruikers met schaduw IT doen Het geeft je inzicht waarmee je jouw bedrijfsprocessen verbetert. In samenspraak kun je dan op zoek naar tools die zowel het gebruiksgemak als beheersbaarheid bieden.

Blog ICT beveiliging & privacy
Datum: 15-03-2021

Over de auteur:

Gerlien Stremler

Meer dan 25 jaar werkzaam in de ICT heeft Gerlien al diverse oplossingen voorbij zien komen, waar ze ook zelf mee (ge)werkt (heeft). Vanuit haar functie heeft ze veel affiniteit met marketing en HRM, waardoor ze bepaalde oplossingen als gebruiker goed kan toepassen.

  

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Categorieën

Vond je deze blog interessant?

Schrijf je dan in voor onze wekelijkse, korte nieuwsbrief en ontvang handige tips en interessante kennis van onze experts in je inbox. Mis dit niet!

Stuur mij de nieuwsbrief

Je privacy is 100% gegarandeerd.

Gerelateerde blogs

© 2023 · disclaimer · voorwaarden · privacy · cookies · concept: Custard on & offline communicatie · realisatie: Arrix

Grootschalig IT Event op 16 april: Arrix LABS

Meer informatie en meld je aan!