REMOTE SUPPORT

De 4 grote gevaren van shadow IT

Home / Nieuws / De 4 grote gevaren van shadow IT
De 4 grote gevaren van shadow IT
 
De 4 grote gevaren van shadow IT

Dat shadow IT een groot beveiligingsrisico is voor een bedrijf staat buiten discussie. Alvorens het te hebben over de gevaren van shadow IT, laat ons eerst even stilstaan bij wat shadow IT precies is.

Wat is shadow IT

Men spreekt over shadow IT als medewerkers eigen IT-middelen gaan gebruiken in hun werkomgeving, zonder dat de IT-afdeling hiervan op de hoogte is. Het gaat over zowel software als hardware, die buiten het beheer van de IT-afdeling valt. Denk daarbij bijvoorbeeld aan een persoonlijke Android-tablet of een usb-stick, maar vaak gaat het ook over (gratis of betalende) cloudapplicaties, zoals Skype, Dropbox en Google Drive. Of bestanden die via WeTransfer of privé-Gmail-accounts worden verstuurd. Gevoelige bedrijfsgegevens worden zo te grabbel gegooid voor mogelijk misbruik omdat ze buiten de beveiligde bedrijfsapplicaties opgeslagen en uitgewisseld worden.

De 4 gevaren van shadow IT

Shadow IT komt voor in ieder bedrijf. Het ontstaat doordat sommige systemen en procedures zo omslachtig zijn, dat medewerkers zelf op zoek gaan naar snellere en gebruiksvriendelijkere oplossingen. Hoewel shadow IT op korte termijn een snelle oplossing kan bieden, brengt het wel de nodige risico’s met zich mee. We zetten de belangrijkste gevaren op een rij.

1. Non-compliancy

Bepaalde wet- en regelgevingen of specifieke contracten met klanten verbieden in sommige gevallen het hosten van applicaties (en meer specifiek persoonsgegevens) buiten het bedrijf. Als medewerkers op eigen computers of systemen in de cloud werken, verlies je de controle hierover en weet je niet of je aan deze regels voldoet.

2. Beveiliging van data

Bedrijfsgevoelige gegevens of persoonsgegevens kunnen op Google Drive of Dropbox terechtkomen, of worden gedeeld via Skype. Wat als een privételefoon met daarop zakelijke data (bijvoorbeeld e-mail) wordt gestolen? IT heeft geen controle over de security op dit apparaat en zo is er dus sprake van een datalek.

3. Hogere kosten

Als alle afdelingen eigen oplossingen aanschaffen, is de kans groot dat de kosten hoger uitvallen dan wanneer dit op gecontroleerde wijze gebeurt.

4. Verstoorde procedures

Een bedrijf dat gestroomlijnd wil werken wil op een uniforme manier werken. Als er tientallen diensten in gebruik zijn voor het delen van bestanden, dan draagt dat niet bij aan het stroomlijnen van de processen.

Bottom line: de IT-afdeling heeft geen controle en geen overzicht meer door de grote verscheidenheid aan individueel aangekochte of gratis IT-pakketten en systemen binnen het bedrijf. Medewerkers accepteren vaak ondoordacht de algemene voorwaarden van softwaresystemen en zijn zich niet altijd bewust van de mogelijke gevaren voor de IT-veiligheid van het bedrijf.

Hoe voorkom je shadow IT

Gartner voorspelt dat in 2020 een derde van alle digitale inbraken het gevolg is van het gebruik van shadow IT. Tijd voor actie dus, want de gebruikers zullen zich niet meer neerleggen bij een voor hen ‘onhandige’ werksituatie. CIO’s en IT-managers moeten dus de shadow IT zoveel mogelijk aan banden leggen en risico’s zoals dataverlies en compliance schendingen beperken. Dit kan onder andere door:

1. Security bewustzijn

Zorg dat alle gebruikers zich bewust zijn van de risico's. Iedereen moet het gevaar van shadow IT begrijpen en waarom bepaalde applicaties of apparaten verboden zijn. Zo moet bijvoorbeeld het gebruik van sterke wachtwoorden en encryptie vanzelfsprekend zijn.

2. Monitoring

Zorg voor een continue monitoring van het netwerkverkeer op onbekende hardware en software. Wat je niet in kaart hebt, kan je ook niet beveiligen. Analyse van de logdata van proxy’s en firewall levert interessante inzichten op.

3. Enterprise Mobility Management

Geef alleen toegang tot het netwerk als mobiele apparaten zijn voorzien van Enterprise Mobility Management (EMM)-software. Deze software zorgt ervoor dat alleen geauthenticeerde gebruikers toegang hebben tot de ICT-systemen van het bedrijf en dat de security-instellingen juist zijn, documenten veilig worden opgeslagen en gevaarlijke apps worden geblokkeerd.

4. Alternatieven

Bied een alternatieve oplossing voor applicaties die de productiviteit verhogen maar de veiligheid in gevaar brengen. Zoek dus een oplossing die dezelfde voordelen biedt voor de productiviteit van de medewerkers, maar zonder de nadelen.

5. Beveilig de data zelf

Je kan de data zelf beveiligen door onder andere encryptie af te dwingen, uploads van bepaalde files te blokkeren en uitgaand verkeer te monitoren en beperken. Dit doe je d.m.v. Data Loss Prevention-software. DLP-oplossingen kan je zo instellen dat bijvoorbeeld het versturen van gevoelige persoonsgegevens of creditcardinformatie naar een cloudapplicatie wordt geblokkeerd.

Tijd voor actie

De ‘consumerization’ van IT resulteert zonder gerichte maatregelen in shadow-IT. Als gebruikers te vaak een ‘nee’ krijgen, gaan ze zelf op zoek naar een oplossing. Het loont dus om gebruikers tegemoet te komen en hen van de juiste tools en systemen te voorzien. Maar dan onder bepaalde voorwaarden, zodat ook de veiligheid van data gegarandeerd is.

Hoe gaat uw bedrijf om met Shadow-IT? Is al data voldoende geborgd of komt uw bedrijf ook in aanmerking met Shadow-IT? Even brainstormen over hoe uw bedrijfsdata beter beveiligen? Wij zijn er voor u.