Shadow IT: de vergeten bedreiging?
Zo’n beetje iedere organisatie heeft last van een verrader in de gelederen. Deze sluipdief ligt op de loer en neemt bij een misstap je data zo mee het kantoor uit. Shadow IT is een groot probleem. Gek genoeg hoor ik er leidinggevenden zelden over.
De dreiging van shadow IT wordt onderschat. Veel mensen kennen de term niet eens. Wat meteen het probleem aangeeft. Die onderschatting leidt tot een steeds groter risico voor onze data en IT-security.
Wat is shadow IT?
Als ik het over shadow IT heb bedoel ik apparaten, software of apps waarvan de organisatie niet weet dat medewerkers ze gebruiken. Uit onderzoek van Gartner blijkt dat grote organisaties 30 tot 40 procent van het IT budget uitgeven aan shadow-IT. Dat houdt in dat bijna de helft van het IT-budget opgaat aan software zonder medeweten van IT-beheer. Pas wanneer ik die getallen op tafel leg krijg ik de aandacht. Waar je dan aan moet denken? Denk aan samenwerkingstools, cloud-opslag, datamanagementoplossingen etc.
Tot op heden lijkt het vooral een onschuldig -maar onhandig- fenomeen. De realiteit is anders. Shadow IT is een grote bedreiging voor alle organisaties in Nederland.
Meer applicaties, meer risico
Elke applicatie waarvan je IT afdeling niet weet, is een veiligheidsrisico. Hoe dat zit. Elk op je netwerk aangesloten applicatie of apparaat is een potentieel risico. Het zijn als het ware gaten in je verdediging waar cybercriminelen op loeren. Dat risico kun je als IT afdeling minimaliseren. Wanneer de beheerder er niets vanaf weet kan hij of zijn ook geen maatregelen nemen.
Dan is er nog het probleem van patches en updates. Bij veel organisaties gebeurt dit centraal. De organisatie zorgt voor de juiste updates bij de gebruikte software. Bij shadow IT valt die verantwoordelijkheid op de schouders van de gebruiker. Die gebruikers geven vaak lage prioriteit aan het up-to-date houden van software. Hierdoor ontstaat het risico op het in stand houden van kwetsbaarheden in de programma’s. Raakt iemand met kwade bedoelingen binnen in uw netwerk via zo’n stuk software? Dan is er een kans dat hij ook aan de slag kan met de rest van het netwerk.
Shadow IT in de praktijk
Het mag duidelijk zijn dat de meeste mensen niet doelbewust de data van hun werkgever in gevaar brengen. Ze hebben geen idee van de risico’s. Daarom is het belangrijk dat organisaties bewust zijn van de risico’s. Op die manier kun je die denkwijze overbrengen op de volledige organisatie.
Wanneer ik in gesprek ga met leidinggevenden of IT-verantwoordelijken hamer ik altijd op het belang van cybersecurity. Sinds de invoering en handhaving van de GDPR belangrijker dan ooit. Niet alleen grote financiële instellingen of marktleiders hebben iets te vrezen. Voor een kleine organisatie zijn de gevolgen van een datalek net zo cruciaal zo niet nog rampzaliger.
Wat gebeurt er dan allemaal? Het kan bijvoorbeeld voorkomen dat collega’s bestanden delen via een persoonlijk Dropbox account. Uw data bevindt zich op dat moment in een omgeving die misschien mindere veiligheidsstandaarden hanteert dan uw organisatie eigenlijk vereist. Stel er wordt een lek bekend bij een dergelijke service. Op dat moment is uw data mogelijk uitgelekt, zonder dat een IT-afdeling daarvan bewust is. Maar ook bij het gebruik van Wetransfer; wie is eigenaar van data die je via dit platform deelt?
Een ander voorbeeld van shadow IT is het gebruik van persoonlijke smartphones en tablets voor zakelijke doeleinden. Sommige gebruikers gebruiken bijvoorbeeld een app om hun mail te gebruiken op een smartphone. Wat er dan gebeurt is uitwisseling van data tussen een door de organisatie beveiligd apparaat en een onbeveiligd apparaat. Soms gebeurt dat ook nog via een third party application waarvan de gebruiker niet bewust is welke toestemming hij verleent.
Hoe los ik het probleem op?
Het is belangrijk om grip te krijgen op shadow IT. Maar hoe begin je daaraan? Het is belangrijk om procedures in het bedrijf zo in te richten dat het risico op shadow-IT minimaal is. Daarnaast moeten medewerkers ook informatie krijgen over wat het is en nog belangrijker; wat de potentiële gevolgen zijn. Praat met collega’s onderwerpen als cloud-opslag, samenwerkingsapps en het gebruik van externe apparaten. Nog meer dan dat, breng de behoefte binnen de organisatie in kaart. Waar maken mensen op dit moment gebruik van? Hoe kan een organisatie dat, beheerd, faciliteren? Breng via een audit in kaart wat er in omloop is op het gebied van applicaties en hardware. Tag die hardware bijvoorbeeld zodat je te allen tijde weet hoeveel apparaten er zijn en waar ze zijn.
Conclusie?
Shadow IT is een sluimerend probleem voor veel organisaties. Breng in kaart waar je data zich bevindt bij je collega’s. Onderwijs je collega’s over de problemen. Help ze om op een verantwoorde manier hun werk uit te voeren. Alleen op die manier kunnen we shadow-IT uit organisaties verbannen en onze data veilig houden.
Shadow IT uit je organisatie bannen? Neem contact met me op.