Gert Lambers - 20 nov 2019

In de hedendaagse zakenwereld is het gebruik van technologieën zoals cloud computing, Het Nieuwe Werken en BYOD (Bring Your Own Device) de norm geworden. Deze innovatieve technologieën maken het voor werknemers gemakkelijker om efficiënt en op een aangename manier hun job uit te oefenen, doordat ze op verschillende locaties en apparaten kunnen werken en tegelijkertijd bestanden met collega's kunnen delen.

Ondanks de vele voordelen van deze technologieën, hebben ze ook een minder positief effect op de werking van bedrijven, met name Shadow IT. In dit artikel wordt de Shadow IT betekenis uitgelegd, hoe het ontstaat, en de risico's en oplossingen die bestaan.

Download onze gratis
Shadow IT Policy template

Wat is Shadow IT?

Shadow IT, ook wel bekend als Rogue IT of Stealth IT, is een term die gebruikt wordt voor alle IT-middelen die binnen een bedrijf door de werknemers gebruikt worden, maar buiten het beheer van de IT-afdeling vallen. Met andere woorden alle shadow IT applications, cloud based services en hardware dat die niet goedgekeurd werd door uw IT-departement.

Enkele bekende voorbeelden van Shadow IT zijn:

  • Hardware: persoonlijke laptops, tablets, smartphones, harde schijven, …
  • Applicaties: Slack, personal Dropbox, Google Docs, WeTransfer, file sharing, …
  • Verschillende cloud services, vooral software as a service (SaaS) application.

Onderzoek van Gartner wijst uit dat ruim 35% tot 40% van de IT-uitgaven buiten de IT-afdeling om gebeuren. Een duidelijk en misschien ook wel alarmerend signaal voor elk bedrijf dat met Shadow IT te maken heeft. Die cijfers zullen in de toekomst alleen nog maar toenemen, gezien het exponentiële gebruik van cloud services.

Hoe ontstaat Shadow IT?

Het is de verantwoordelijkheid van de IT-afdeling om ervoor te zorgen dat alle gebruikte IT-apparatuur en -software beveiligd zijn en in lijn liggen met de regelgeving. Dit is echter niet altijd even eenvoudig. Wanneer bedrijven kiezen voor een BYOD-beleid, is Shadow IT bijna vanzelfsprekend. Maar ook wanneer medewerkers gebruik maken van een goedgekeurd toestel, kan Shadow IT ontstaan. Denk bijvoorbeeld aan applicaties zoals WeTransfer of Dropbox, die een oplossing bieden voor het versturen van grote bestanden die niet via e-mail verstuurd kunnen worden.

Daarnaast communiceren werknemers steeds vaker via WhatsApp of Messenger, en laten ze de officiële communicatiemiddelen die door de IT-dienst werden geïmplementeerd links liggen. De reden hiervoor is simpel: werknemers vinden het gemakkelijker om een vertrouwde applicatie te gebruiken die al op hun smartphone staat en niet meer de moeite doen om de door het bedrijf goedgekeurde applicaties te installeren. Bovendien hebben werknemers vaak het gevoel dat de IT-afdeling geen tijd heeft om vragen te beantwoorden of hen te helpen met het zoeken naar een veiligere oplossing.

Daarom gaan werknemers steeds vaker zelf op zoek naar de meest geschikte tools om hun taken zo snel en efficiënt mogelijk te kunnen uitvoeren. Het gaat hierbij niet alleen om applicaties, maar in sommige gevallen zelfs om volledige IT-projecten waar de IT-afdeling helemaal niets van af weet.

Wat zijn de risico’s van Shadow IT?

Hoewel sommige bedrijven Shadow IT als een positieve evolutie zien die innovatie en productiviteit stimuleert, zijn de meeste IT-verantwoordelijken niet te spreken over dit fenomeen. Dit is begrijpelijk, aangezien Shadow IT ook een aantal risico's met zich meebrengt.

Maar eerlijk is eerlijk, de meeste IT-verantwoordelijken zijn niet te spreken over het populaire fenomeen. Logisch, want Shadow IT houdt ook heel wat risico’s in:

  • Een gebrek aan geschikte beveiliging met een risico op data breaches als gevolg. Ongeautoriseerde applicaties en apparaten voldoen mogelijk niet aan de beveiligingsnormen van het bedrijf, waardoor gevoelige informatie in gevaar kan komen.
  • Vaak duurder dan intern goedgekeurde oplossingen. Doordat werknemers zelf eigen oplossingen aanschaffen en implementeren zonder overleg met de IT-afdeling, kunnen de kosten oplopen en inefficiënties ontstaan.
  • Voorschriften op vlak van compliance worden niet nageleefd. Dit betekent dat nieuwe processen en tools mogelijk niet voldoen aan de bestaande regelgeving, wat kan leiden tot juridische problemen en boetes.
  • De duurzaamheid en continuïteit van Shadow IT is steeds moeilijk te garanderen. Wanneer werknemers vertrekken of er nieuwe systemen worden geïmplementeerd, kunnen problemen ontstaan doordat ongeautoriseerde tools en processen niet goed zijn gedocumenteerd of geïntegreerd.

Om de risico's van Shadow IT te beperken en een veilige, efficiënte werkomgeving te waarborgen, is het belangrijk om een duidelijk beleid op te stellen met betrekking tot het gebruik van IT-middelen. Dit beleid moet regels bevatten voor het gebruik van apparaten, applicaties en cloudservices, evenals richtlijnen voor monitoring en controle.

Hoewel Shadow IT voortkomt uit de wens van werknemers om efficiënter en productiever te werken, brengt het ook aanzienlijke security risks met zich mee op het gebied van security measure, kosten en compliance. Door een duidelijk beleid op te stellen en te zorgen voor open communicatie en samenwerking tussen de IT-afdeling en de rest van het bedrijf, kunnen bedrijven deze risico's beperken en tegelijkertijd profiteren van de voordelen van innovatieve technologieën.

Welke oplossingen zijn mogelijk?

Enkele belangrijke stappen om Shadow IT in uw bedrijf aan te pakken zijn:

  1. Identificeren en evalueren van bestaande Shadow IT: Het is belangrijk om eerst inzicht te krijgen in de omvang van het probleem. Voer een audit uit om alle ongeautoriseerde apparaten, applicaties en cloudservices die door uw werknemers worden gebruikt, te identificeren. Evalueer vervolgens de risico's en potentiële voordelen van elk van deze middelen.
  2. Communiceren en bewustwording creëren: Zorg ervoor dat alle medewerkers zich bewust zijn van het Shadow IT-beleid en de redenen daarvoor. Leg uit waarom bepaalde tools en technologieën niet zijn toegestaan en bied alternatieven die voldoen aan de beveiligings- en compliance-vereisten van het bedrijf.
  3. Bieden van goedgekeurde en gebruiksvriendelijke alternatieven: Werknemers zijn eerder geneigd om zich aan het beleid te houden als de door het bedrijf goedgekeurde tools en technologieën gebruiksvriendelijk en effectief zijn. Zorg ervoor dat de IT-afdeling tijdig reageert op verzoeken van medewerkers en hen helpt bij het vinden van geschikte, veilige oplossingen voor hun behoeften.
  4. Monitoring en controle: Implementeer systemen voor het monitoren van het gebruik van IT-middelen en het opsporen van ongeautoriseerde activiteiten. Dit kan helpen om problemen vroegtijdig op te sporen en te corrigeren voordat ze escaleren.
  5. Periodieke evaluatie en bijwerking van het beleid: De technologische landschap verandert voortdurend, en het is belangrijk om het Shadow IT-beleid regelmatig te evalueren en bij te werken om ervoor te zorgen dat het nog steeds relevant en effectief is.

Door proactief om te gaan met Shadow IT en een cultuur van information technology verantwoordelijkheid en samenwerking te bevorderen, kunnen bedrijven de risico's verminderen en tegelijkertijd profiteren van de flexibiliteit en efficiëntie die moderne technologieën bieden. Het is belangrijk om een evenwicht te vinden tussen het ondersteunen van de wensen en behoeften van werknemers en het handhaven van de beveiliging en compliance die essentieel zijn voor het succes en de stabiliteit van het bedrijf.

Waar moet ik beginnen?

Een goed startpunt voor het opstellen van een Shadow IT-beleid is het downloaden van een Shadow IT Policy template. Deze template kan u helpen bij het opstellen van een beleid dat specifiek is voor uw bedrijf en dat aansluit bij de wensen en behoeften van zowel de IT-afdeling als de werknemers. Door open communicatie en samenwerking tussen de IT-afdeling en de rest van het bedrijf te bevorderen, kunt u ervoor zorgen dat iedereen zich bewust is van de risico's van Shadow IT en de noodzaak om te voldoen aan de vastgestelde richtlijnen.

 Is er sprake van Shadow IT in uw KMO? Met onze Shadow IT Policy template stelt u een beleid op betreffende shadow IT. Download de template en ga meteen aan de slag!

Download onze shadow IT policy template.

Relevante artikels

11/08/2020

Wat is IT governance en waarom is het belangrijk?

Governance is een bekende term binnen de bedrijfswereld. Het kan gedefinieerd worden als het bestuur, beleid of een set van regels die een vlotte eensgezinde interne werking van een bedrijf moet garanderen. Dit steeds met als doel...

Wat is IT governance?
20/10/2020

IT governance: hoe start u ermee in uw bedrijf?

IT governance is steeds prominenter aanwezig in heel wat bedrijven. Niet vreemd, aangezien er voortdurend nieuwe wet- en regelgevingen opgezet worden om uw IT-infrastructuur en het gebruik van data te beschermen...

Starten met IT governance
17/07/2020

Veiligheidslek in Windows DNS - Onderneem zo snel mogelijk actie

Recent is er een nieuw datalek ontdekt in Windows DNS. Deze kwetsbaarheid, ‘SigRed’ genaamd, stelt hackers in staat om malafide verzoeken naar uw DNS-server te sturen, en kan zo uw hele IT-infrastructuur in gevaar brengen...

Veiligheidslek Windows DNS