door Robert Schmidt 2 jaar geleden

Zal je altijd zien: heb je eindelijk de meest ideale tools gevonden die het werken voor je medewerkers makkelijker moeten maken… kiezen ze er toch voor om hun eigen favorieten te gebruiken. En voor je het weet heb je te maken met een wildgroei aan ongecontroleerde IT-oplossingen binnen je bedrijf: in vakjargon ook wel shadow-IT genoemd. Gelukkig kun je als IT-manager verschillende dingen doen om dit ongewenst verschijnsel te voorkomen. In dit artikel vind je een praktisch stappenplan waarmee je in vier stappen shadow-IT (of schaduw-IT) weet te voorkomen.

Het gevaar van shadow-IT

Bij onze dagelijkse werkzaamheden zoeken we altijd naar de meest makkelijke en praktische manier van werken. Als je tools aanbiedt binnen je bedrijf, waarvan niemand weet wat daar mee mogelijk is, gaan mensen zelf op zoek naar alternatieven. Hoe vaak komt het in bedrijven niet voor dat als mensen met Office 365 werken, ze toch nog WeTransfer gebruiken voor het versturen van bestanden? Het enige dat bedrijven soms doen om dit tegen te gaan, is om dit vanuit IT onmogelijk te maken.

Zoek juist naar de oorzaak

De meeste IT-afdelingen zijn van mening dat ze dit soort alternatieve werkwijzen direct moeten verbieden. Maar in onze ogen is dat vaak helemaal niet de oplossing. Je kunt veel beter eens kritisch gaan kijken naar de oorzaak. Het is namelijk een stuk verstandiger om alles open en bespreekbaar te maken dan om alles compleet dicht te timmeren. Bij shadow-IT speelt er namelijk vaak iets anders. De systemen die werknemers gebruiken, voldoen blijkbaar niet helemaal. Of je medewerkers snappen niet hoe ze er het beste mee kunnen werken. Doe daar dus eerst iets aan. Bijvoorbeeld door de oplossing beter uit te leggen of door over te stappen op een beter alternatief. Constante monitoring is daarbij enorm belangrijk. Vervolgens ga je aan de slag met onderstaand stappenplan om shadow-IT in de toekomst zo veel mogelijk te voorkomen.

Stap 1: Regel de juiste software en devices

Het is zeer belangrijk dat je personeel met de juiste apparaten en software kan werken. Matcht een device niet met de wensen en voorkeuren van een medewerker? Dan is de kans groot dat deze gebruik gaat maken van een eigen apparaat. Het zal geen verrassing zijn dat dit direct de nodige beveiligingsrisico’s met zich meebrengt. Er staat nu namelijk data op een onbeheerd device. Dit komt ook vaak voor bij medewerkers die plotseling meer moeten gaan thuiswerken, terwijl ze in hun oude kantoorsituatie voornamelijk een desktop gebruikten. Aan het werk gaan op een eigen device is dan vaak meer regel dan uitzondering. Hetzelfde probleem doet zich voor met de door de IT-afdeling aangeboden software. Sluit die niet aan bij de eigen wensen een voorkeuren, dan gaan ze al snel op zoek naar eigen oplossingen.

Stap 2: Creëer bewustwording onder je medewerkers

Het is niet zo dat werknemers expres op zoek gaan naar onveilige tools. Het is meer een kwestie van kiezen voor de makkelijkste weg. Als zij zich niet genoeg bewust zijn van welke gevaren dat met zich meebrengt, dan ontbreekt daar bewustwording. Het kan al helpen door medewerkers te wijzen op ‘de kleine lettertjes’ van de onveilige tooling. Een simpel voorbeeld: in de algemene voorwaarden van Google en WeTransfer staat te lezen dat ze alle data uit hun programma’s mogen gebruiken.

Stap 3: Blijf monitoren

Zijn de stappen 1 en 2 binnen je organisatie toegepast? Dan wil je waarschijnlijk graag weten of er niet toch nog ergens shadow-IT binnen de organisatie aanwezig is. Als je een moderne firewall gebruikt, zie je heel precies en GDPR-proof welke sites op dit moment nog gebruikt worden. Door goed te monitoren, ben je altijd op de hoogte van wat er speelt.

Vaak is overigens meestal maar weinig sprake van individuele gebruikers van shadow-IT. Je moet het meestal zoeken in een specifieke afdeling die andere tools en gereedschappen gebruikt. Slack en WeTransfer staan daarbij vaak op nummer één. Overigens zie je tijdens stap 1, als je gaat vragen naar de voorkeuren, dat een afdeling een bepaalde tool erg graag gebruikt.

Stap 4: Onderneem actie

Ben je erachter gekomen dat er shadow-IT is binnen je bedrijf? Dan heb je drie opties:

• Maak de alternatieve tool beschikbaar (bijvoorbeeld door de zakelijke variant te implementeren).
• Wijs de tool af, maar geef wel goede en duidelijke redenen aan waarom de tool niet gebruikt mag worden. En geef je medewerkers een realistische deadline voor het moment van overstappen.
• Sta de shadow-IT toe en beveilig juist de data.

Je hebt tegenwoordig heel veel mogelijkheden om niet de applicaties zelf, maar juist de data op je systemen en binnen programma’s te beschermen. Beveilig bijvoorbeeld heel gemakkelijk PDF- en Word-documenten, zodat alleen geautoriseerde personen ze kunnen openen. Het is zelfs mogelijk om ervoor te zorgen dat medewerkers er niet eens een screenshot van kunnen maken.