Wat is shadow IT?
Gartner definieert het als volgt: “IT-apparaten, -diensten en software die buiten het eigendom of de controle van IT-organisaties vallen”.
Met andere woorden, shadow-IT is technologie die medewerkers zonder toestemming gebruiken. Denk bijvoorbeeld aan het downloaden van een muziekstreamingdienst op de laptop van het bedrijf of het versturen van een gevoelig document via persoonlijke e-mail.
Als je deze vraag echter aan drie willekeurige mensen in het bedrijfsleven stelt, krijg je waarschijnlijk een variant op een van de volgende antwoorden:
In dit artikel gaan we verder in op deze standpunten en de mogelijke reacties hierop.
Waarom schaduw-IT je aandacht nodig heeft
Niet alleen data uit officiële IT-bronnen, maar juist data uit shadow IT zijn vatbaar voor cyberaanvallen. Bedrijven moeten nú bepalen hoe ze op shadow IT reageren om risico’s in de toekomst te voorkomen.
Shadow IT resources zijn per definitie minder veilig omdat de gevolgen van het gebruik ervan niet zo uitgebreid zijn onderzocht als bij resources die wel door IT zijn goedgekeurd. Ze zijn meestal niet in bestaande systemen geïntegreerd, waardoor er minder mogelijkheden zijn voor rapportage en analyse. Dat wil niet zeggen dat shadow IT resources niet productief of zelfs beter kunnen zijn dan bestaande oplossingen. Maar traditionele IT-processen gaan nu eenmaal uit van de manieren waarop goedgekeurde apparaten, applicaties en opslagmedia van invloed zijn op de beveiliging en de efficiëntie.
Resources die door IT zijn goedgekeurd, hebben hun waarde over het algemeen al lang bewezen. Ze zijn niet het nieuwste van het nieuwste of nog in een experimenteel stadium. Bovendien is de traditionele IT vaak nog een beetje huiverig voor cloudtechnologieën, omdat ze daarmee een deel van de controle uit handen moeten geven aan een derde partij. Deze weerstand tegen verandering kan ertoe leiden dat individuele medewerkers, en soms zelfs hele businessunits, resources gaan gebruiken zonder de goedkeuring of betrokkenheid van IT.
Shadow IT heeft verschillende vormen
Het Internet of Things in de schaduw
Shadow IT is al ingewikkeld genoeg zou je denken, maar bedrijven hebben daarnaast ook steeds meer te maken met het snelgroeiende shadow Internet of Things (IoT). De manieren waarop data worden verzameld, opgeslagen en gedeeld, zijn explosief gegroeid. Ons leven wordt steeds meer een aaneenschakeling van datainteracties. Data zijn zo vanzelfsprekend geworden dat je de potentiële risico’s van een koffiemachine die op het netwerk is aangesloten, gemakkelijk over het hoofd zou kunnen zien.
En omdat het bij IoT-technologieën in de eerste plaats gaat om moderne interactie tussen mens en machine, heeft de beveiliging vaak geen hoge prioriteit. Als er dan beveiligingsproblemen optreden, is het vaak ook nog eens moeilijk of zelfs onmogelijk om patches toe te passen voor IoT-apparaten.
IoT-apparaten hebben sensoren om data te verzamelen. Ze zijn meestal verbonden met bedrijfsnetwerken waarin gevoelige gegevens niet afgescheiden zijn. IoT-zoekmachines, zoals Shodan, kunnen eenvoudig apparaten opsporen waarvan vervolgens misbruik kan worden gemaakt. Dit kan dan weer tot datalekken leiden of nieuwe en onbeschermde vectoren opleveren voor cyberaanvallen.
De Stichting Internet Domeinregistratie Nederland (SIDN) heeft onlangs nog gewaarschuwd tegen het groeiende aantal onveilige Internet of Things-apparaten die relatief eenvoudig kunnen worden overgenomen door aanvallen via DNS-rebinding. Bedrijven lopen het grootste risico vanwege het gebruik van netwerkapparaten zoals smart-tv’s, printers en IP-camera’s.
3 antwoorden op de vraag: wat is shadow IT?
Mensen die dit zeggen, zien shadow IT als een verwerpelijk nevenverschijnsel van formele IT, een praktijk die officiële IT-protocollen ondermijnt en wordt toegepast door malafide medewerkers die lak hebben aan databeveiliging, complianceprogramma’s of het belang van rapportage.
Deze opvatting is moeilijk met argumenten te weerleggen. IT-policy’s zijn immers bedoeld om het bedrijf te beschermen en te zorgen dat er efficiënt kan worden gewerkt. Als je echter elk risico op blootstelling aan schaduw-IT wilt elimineren, betekent dit een totale data lockdown.
Een lockdown houdt in dat alle dataoverdrachten nauwgezet worden gevolgd, machtigingen worden ingetrokken en internettoegang streng wordt beperkt. Bring Your Own Device-policy’s (BYOD) zijn dan niet meer mogelijk, waardoor er fors moet worden geïnvesteerd in apparaten van het bedrijf zelf. Als er toch shadow IT resources worden ontdekt, zal er snel en streng worden ingegrepen.
Medewerkers zullen daardoor het gevoel krijgen dat ze voortdurend in de gaten worden gehouden en dit kan ertoe leiden dat ze zich tegen het bedrijfsbeleid gaan verzetten. Stel bijvoorbeeld dat een medewerker per ongeluk 500 exemplaren van een document afdrukt en het afdrukken dan niet kan onderbreken omdat hij hiervoor niet over de juiste toegangsrechten beschikt. Dan zit je niet alleen met een ongelukkige medewerker, maar ook nog eens met een grote papierverspilling.
Medewerkers die te weinig vrijheid en middelen krijgen, zullen bovendien minder gemotiveerd zijn om nieuwe oplossingen te bedenken waar het bedrijf uiteindelijk van profiteert. En zelfs bij de strengste data lockdown kan een medewerker altijd nog een foto maken van een computerscherm.
Om iets te kunnen herstellen, moet je eerst begrijpen wat er mis is. Door op zijn minst een tijdelijke amnestie af te kondigen, kunnen bedrijven het gesprek aangaan over de redenen waarom medewerkers schaduw-IT resources willen gebruiken en waarom ze niet tevreden zijn met de geoorloofde systemen. Het management krijgt dan informatie over hiaten in processen en technologieën die medewerkers hebben ingevuld met hun eigen oplossingen.
Stel dat medewerkers toegeven dat ze ongeoorloofde productiviteitstools gebruiken om taken bij te houden of projecten te organiseren. Het management zou dan moeten kijken of er hiervoor een geschikt product is dat met bestaande systemen en applicaties kan worden geïntegreerd, onder het toeziend oog van IT.
Shadow IT verhoogt de productiviteit
Mensen die deze mening toegedaan zijn, zien de traditionele IT vaak als inflexibel en bureaucratisch. Shadow IT bestaat alleen omdat IT niet voldoet. Het zorgt voor meer flexibiliteit omdat het oplossingen biedt voor IT-processen die te langzaam of verouderd zijn en innovatie tegenhouden.
Bij de term schaduw-IT denk je aan iets dat verborgen en fundamenteel slecht is, dus hoe kan het dan goed zijn? Dat is heel eenvoudig: door het gebruik van deze resources goed te keuren, haal je ze uit de schaduw. Dan worden het gewoon methoden die medewerkers gebruiken om hun werk te doen.
Bedrijven die hun medewerkers toestaan om snel gebruik te maken van nieuwe technologie, versterken bovendien hun concurrentiepositie in een zakelijk landschap dat razendsnel verandert. Veel van de kennis waarover vroeger alleen de IT-afdeling beschikte, is nu over het hele bedrijf verspreid. De medewerkers van nu weten over het algemeen veel meer van technologie en zijn minder van de IT-afdeling afhankelijk dan een generatie geleden.
Zelfs mensen zonder technische achtergrond kunnen nu met application Platform-as-a-Service (aPaaS) complete applicaties maken zonder ook maar één regel code te schrijven. Dit betekent dat medewerkers in het hele bedrijf de kennis en de mogelijkheid hebben om waardevolle IT-bijdragen te leveren die – in veel gevallen – zeker serieus genomen moeten worden.
Als je shadow IT een plaats wilt geven in de cultuur van je bedrijf, is het essentieel dat mensen de risico’s kennen. Maak een trainingsprogramma om medewerkers bewust te maken van de risico’s die verband houden met shadow IT en shadow IoT. Zet het gebruik van niet geoorloofde apparaten en applicaties af tegen de financiële risico’s voor het bedrijf.
Potentiële negatieve gevolgen van shadow IT zijn bijvoorbeeld downtime als gevolg van cyberaanvallen, boetes voor het niet-naleven van de regelgeving en bedrijfsgegevens die op straat komen te liggen. Dit zijn allemaal zaken die schadelijk zijn voor het bedrijfsresultaat. Voor de medewerkers kan dit tot gevolg hebben dat hun loonsverhoging lager uitvalt of dat de secundaire arbeidsvoorwaarden minder worden.
Als mensen goed begrijpen hoe dit allemaal met elkaar samenhangt, zullen ze het beleid voor risicobeheer eerder accepteren en zullen ze meer geneigd zijn om zich aan de regels te houden. Medewerkers die zich bewust zijn van de risico’s, zullen ook eerder vragen om een nieuwe oplossing en duidelijk maken waarom deze nodig is, in plaats van deze stiekem te gebruiken.
Shadow IT is een noodzakelijk kwaad
Mensen die deze mening aanhangen, hebben inmiddels geaccepteerd dat shadow IT niet zal verdwijnen en dat pogingen om het volledig uit te bannen, nutteloos zijn. Personeelsleden gebruiken nu eenmaal ongeoorloofde applicaties en apparaten om hun werk gedaan te krijgen en dan is het beter om dat in ieder geval op de voorwaarden van het bedrijf te doen.
De medewerkers van nu wachten niet meer af totdat ze van het management de IT-processen krijgen die ze nodig hebben. Ze zoeken of maken zelf wel de oplossingen voor hun problemen. Vaak zijn ze zich niet eens bewust van het feit dat ze resources gebruiken die niet zijn toegestaan. Veel mensen realiseren zich niet eens dat ze gebruikmaken van shadow IT, bijvoorbeeld door een document naar de cloud te uploaden om er thuis aan verder te werken.
Door dataopslag in de cloud, SaaS-applicaties en alles wat met internet verbonden is, is er één grote shadow IT-storm ontstaan die door IT niet meer te beteugelen valt.
Shadow IT gaat zijn eigen weg. Bedrijven kunnen daarom een Cloud Access Security Broker (CASB) inzetten om het gebruik van cloudapplicaties te monitoren en firewalls te analyseren om meer inzicht te krijgen en bedreigingen op het spoor te komen. Met deze informatie kunnen ze applicaties en websites identificeren die een bedreiging kunnen vormen en het gebruik hiervan door medewerkers blokkeren of beperken.
CASB-systemen kunnen ook worden geïntegreerd met dataclassificatie- en beveiligingsbeleid om de toegang tot cloudapplicaties en opslagservices automatisch te filteren. Met deze functionaliteit kan shadow IT zonder al te veel kopzorgen worden toegestaan terwijl tegelijkertijd het lekken van data wordt voorkomen en de compliance wordt gewaarborgd. CASB-software kan door alle bedrijven, van klein tot groot, worden gebruikt, maar is met name effectief voor ondernemingen met meer dan 50 medewerkers.
Volgende stappen
Medewerkers gebruiken shadow IT vaak niet omdat ze dwars willen liggen, maar omdat ze productiever willen zijn en beter willen samenwerken. Door betere communicatie tussen management en personeel over de tools die mensen nodig hebben voor hun werk, kunnen veel shadow IT-problemen rechtstreeks worden aangepakt, waarbij aan de behoeften van medewerkers kan worden voldaan en tegelijkertijd de integriteit van IT-systemen behouden blijft.
Dus hoe zit het nu met shadow IT? Is het echt een verschrikking, heeft het toch veel voordelen of kom je er gewoon niet onderuit?
Eigenlijk klopt dit allemaal. Shadow IT is er niet voor niets. Managers van bedrijven moeten erachter zien te komen waarom het wordt gebruikt en daar dan adequaat op reageren.
