Wat is shadow IT
Men spreekt over shadow IT als medewerkers eigen IT-middelen gaan gebruiken in hun werkomgeving, zonder dat de IT-afdeling hiervan op de hoogte is. Het gaat over zowel software als hardware, die buiten het beheer van de IT-afdeling valt. Denk daarbij bijvoorbeeld aan een persoonlijke Android-tablet of een usb-stick, maar vaak gaat het ook over (gratis of betalende) cloudapplicaties zoals Skype, Dropbox en Google Drive. Of bestanden die via WeTransfer of privé-Gmail-accounts worden verstuurd. Gevoelige bedrijfsgegevens worden zo te grabbel gegooid voor mogelijk misbruik omdat ze buiten de beveiligde bedrijfsapplicaties opgeslagen en uitgewisseld worden.
De 4 gevaren van shadow IT
Shadow IT komt voor in ieder bedrijf. Het ontstaat doordat sommige systemen en procedures zo omslachtig zijn, dat medewerkers zelf op zoek gaan naar snellere en gebruiksvriendelijkere oplossingen. Hoewel shadow IT op korte termijn een snelle oplossing kan bieden, brengt het wel de nodige risico’s met zich mee. We zetten de belangrijkste gevaren op een rij.
1. Non-compliancy
Bepaalde wet- en regelgevingen of specifieke contracten met klanten verbieden in sommige gevallen het hosten van applicaties (en meer specifiek persoonsgegevens) buiten het bedrijf. Als medewerkers op eigen computers of systemen in de cloud werken, verlies je de controle hierover en weet je niet of je aan deze regels voldoet.
2. Beveiliging van data
Bedrijfsgevoelige gegevens of persoonsgegevens kunnen op Google Drive of Dropbox terechtkomen, of worden gedeeld via Skype. Wat als een privételefoon met daarop zakelijke data (bijvoorbeeld e-mail) wordt gestolen? IT heeft geen controle over de security op dit apparaat en zo is er dus sprake van een datalek.
3. Hogere kosten
Als alle afdelingen eigen oplossingen aanschaffen, is de kans groot dat de kosten hoger uitvallen dan wanneer dit op gecontroleerde wijze gebeurt.
4. Verstoorde procedures
Een bedrijf dat gestroomlijnd wil werken, wil op een uniforme manier werken. Als er tientallen diensten in gebruik zijn voor het delen van bestanden, dan draagt dat niet bij aan het stroomlijnen van de processen.
Bottom line: de IT-afdeling heeft geen controle en geen overzicht meer door de grote verscheidenheid aan individueel aangekochte of gratis IT-pakketten en systemen binnen het bedrijf. Medewerkers accepteren vaak ondoordacht de algemene voorwaarden van softwaresystemen en zijn zich niet altijd bewust van de mogelijke gevaren voor de IT-veiligheid van het bedrijf.
Hoe voorkom je shadow IT?
Gartner voorspelt dat in 2020 een derde van alle digitale inbraken het gevolg is van het gebruik van shadow IT. Tijd voor actie dus, want de gebruikers zullen zich niet meer neerleggen bij een voor hen ‘onhandige’ werksituatie. CIO’s en IT-managers moeten dus de shadow IT zoveel mogelijk aan banden leggen en risico’s zoals dataverlies en compliance schendingen beperken. Dit kan onder andere door:
1. Security bewustzijn
Zorg dat alle gebruikers zich bewust zijn van de risico’s. Iedereen moet het gevaar van shadow IT begrijpen en waarom bepaalde applicaties of apparaten verboden zijn. Zo moet bijvoorbeeld het gebruik van sterke wachtwoorden en encryptie vanzelfsprekend zijn.
2. Monitoring
Zorg voor een continue monitoring van het netwerkverkeer op onbekende hardware en software. Wat je niet in kaart hebt, kan je ook niet beveiligen. Analyse van de logdata van proxy’s en firewall levert interessante inzichten op.
3. Enterprise Mobility Management
Geef alleen toegang tot het netwerk als mobiele apparaten zijn voorzien van Enterprise Mobility Management (EMM)-software. Deze software zorgt ervoor dat alleen geauthenticeerde gebruikers toegang hebben tot de ICT-systemen van het bedrijf en dat de security-instellingen juist zijn, documenten veilig worden opgeslagen en gevaarlijke apps worden geblokkeerd.
4. Alternatieven
Bied een alternatieve oplossing voor applicaties die de productiviteit verhogen maar de veiligheid in gevaar brengen. Zoek dus een oplossing die dezelfde voordelen biedt voor de productiviteit van de medewerkers, maar zonder de nadelen.
5. Beveilig de data zelf
Je kan de data zelf beveiligen door onder andere encryptie af te dwingen, uploads van bepaalde files te blokkeren en uitgaand verkeer te monitoren en beperken. Dit doe je d.m.v. Data Loss Prevention-software. DLP-oplossingen kan je zo instellen dat bijvoorbeeld het versturen van gevoelige persoonsgegevens of creditcardinformatie naar een cloudapplicatie wordt geblokkeerd.