Rogue applications fly under-the-radar and are unaffected by IT policies – often called shadow IT.

Wat is Shadow IT?

Haal jouw assets uit de schaduw

Wat is Shadow IT?

Je bent waarschijnlijk erg bekend met de uitdrukking SH(adow)IT happens

In de huidige IT-wereld is het beheer en de controle van technologische middelen op dit moment niet meer onder controle. Organisaties hebben het moeilijk om te begrijpen wat ze hebben gekocht, wat er is ingezet, of het goed is verbruikt en hoe het is gebruikt en beveiligd. Dit komt omdat Shadow IT gebeurt wanneer gebruikers systemen en applicaties binnen organisaties installeren zonder expliciete toestemming van de IT-afdeling.

Nu weet je het – neem actie

Waarom is het een problem?

Aangezien Shadow IT een applicatie is die wordt gebruikt voor bedrijfsprocessen die niet is goedgekeurd door een gecentraliseerde IT- of informatiebeveiligingsafdeling, is het zeer waarschijnlijk dat IT het niet heeft ontwikkeld, zich er niet van bewust is en het niet ondersteunt. Dit is een probleem omdat het de kans op onofficiële datastromen vergroot, waardoor het moeilijker wordt om te voldoen aan de volgende data compliance-regelgeving.

  • Sarbanes-Oxley Act
  • Basel II
  • GLBA (Gramm Leach Bliley Act)
  • COBIT (Control Objectives for Information and Related Technology)
  • FISMA (Federal Information Security Management Act of 2002)
  • DFARS (Defense Federal Acquisition Regulation Supplement)
  • GAAP (Generally Accepted Accounting Principles)
  • HIPAA (Health Insurance Portability and Accountability Act)
  • IFRS (International Financial Reporting Standards)
  • ITIL (Information Technology Infrastructure Library)
  • PCI DSS (Payment Card Industry Data Security Standard)
  • TQM (Total Quality Management)
  • GDPR/AVG (General Data Protection Regulation/Algemene Verordering Gegevensbescherming)
Roughly 90% of all installed applications are unknown to IT departments.

Het negeren van Shadow IT is geen optie meer.

SoftwareONE schat dat ongeveer 90% van alle geïnstalleerde applicaties onbekend zijn voor IT-afdelingen - zelfs in sterk gereguleerde financiële, politieke en gezondheidsorganisaties. Met de verschillende data compliance-schema's die wereldwijd van kracht zijn, is het belangrijk dat jouw organisatie niet alleen accepteert dat SH(adow) IT plaatsvindt, maar er ook naar gaat handelen. Shadow IT kan een nalevingskwestie worden wanneer een medewerker bijvoorbeeld een bedrijfsdatum opslaat in zijn of haar persoonlijke Dropbox of Google Drive-account.

Rogue-toepassingen die onder de radar vliegen en niet worden beïnvloed door het IT- en informatiebeveiligingsbeleid introduceren een reeks juridische en veiligheidsrisico's voor jouw organisatie omdat ze niet onderworpen zijn aan dezelfde beveiligingsmaatregelen die worden toegepast op ondersteunde technologieën.

IT and Information Security team are responsible for the risks involved from Shadow IT.

Wie hebben ermee te maken?

Adviesbureau CEB schat dat 40% van de IT-uitgaven bij een bedrijf plaatsvindt buiten de IT-afdeling. De snelle groei wordt meestal gedreven door de kwaliteit van de consumententoepassingen in de cloud, zoals filesharing-apps, sociale media en samenwerkingstools. Het wordt ook steeds meer gedreven door bedrijfsonderdelen die SaaS-applicaties van enterpriseklasse inzetten. In veel opzichten helpt Shadow IT om bedrijven wendbaarder en werknemers productiever te maken, wat de reden is dat het zo veel voorkomt. IT en het Information Security team zijn echter nog steeds verantwoordelijk voor de beveiliging en compliance van de bedrijfsgegevens die medewerkers uploaden naar de klantenservice.

Wie is er verantwoordelijk voor de risico's die Shadow IT met zich meebrengt?

IT en jouw informatiebeveiligingsteam. Hoewel IT niet verantwoordelijk is voor de fysieke infrastructuur of het beheer van de applicatie, is het wel verantwoordelijk om ervoor te zorgen dat bedrijfsgegevens veilig blijven als ze naar de cloud worden geüpload. Dit brengt IT in een moeilijke positie. Ze kunnen overwegen om nee te zeggen tegen medewerkers die cloudapplicaties gebruiken om hun werk te doen, en zelfs om de toegang tot cloudapplicaties te blokkeren door gebruik te maken van de firewall of web proxy van het bedrijf. Wij raden dit niet aan. Helaas kunnen medewerkers voor elke geblokkeerde app andere, minder bekende en potentieel riskantere diensten vinden om in plaats daarvan te gebruiken.

Bekijk ons eBook Chronicles of Shadow IT over hoe je deze situatie het beste kunt beheren.

Het is belangrijk om op te merken dat de gevoelens ten opzichte van Shadow IT gemengd zijn. Sommige IT-managers vrezen wellicht dat als Shadow IT wordt toegestaan, eindgebruikers datasilo's zullen creëren en zullen voorkomen dat informatie vrij door de organisatie kan stromen. 

40% of IT spending at a company occurs outside the IT department.

Wat kun je aan Shadow IT doen?

Bij SoftwareONE is het uitgangspunt dat je nooit de werkelijke omvang van Shadow IT in een bepaalde organisatie kunt begrijpen zonder de juiste inventarisatie van de omgeving met behulp van scantools. Je kunt echter wel de volgende acties ondernemen:

Samenwerken

Gebruikers willen productief zijn en soms moet IT meer keuze bieden en een "Business Enabler" zijn in plaats van verzoeken te weigeren die geen deel uitmaken van de goedgekeurde bedrijfsapplicaties.

Om de IT-risico's van Shadow af te wenden, moeten de gebruikers regelmatig bijeenkomen en horen wat ze te zeggen hebben over hun zorgen en technologieën waarvan ze denken dat die hun zorgen kunnen wegnemen. IT moet een proactieve servicecultuur stimuleren om het gebruik van Shadow IT te verminderen en moet de eisen van afdelingen en gebruikers begrijpen om de productiviteit te verbeteren.

Beheer software assets

Het is van fundamenteel belang om op elk moment te kunnen controleren welke technologieën worden gebruikt en welke gegevens worden verwerkt. IT moet een vooraf goedgekeurde softwarecatalogus bijhouden die door de gebruikers kan worden geselecteerd om te voorkomen dat men moet wachten tot de software is goedgekeurd. Door samen te werken met gebruikers kan IT deze catalogus regelmatig onderhouden met relevante software. Het informatiebeveiligingsteam moet een geautomatiseerde detectiecontrole hebben om geïnstalleerde software te volgen en te monitoren, die kan worden gelogd en onderzocht.

Blijf compliant

Compliance is een belangrijk aandachtspunt binnen Shadow IT met regelgeving zoals GDPR die organisaties verplicht om de gegevens van hun klanten te beschermen. IT moet strenge controles uitvoeren op de toegang tot de gegevens om ervoor te zorgen dat de gegevens veilig en accuraat zijn. Het beheren van toegang en het monitoren van geprivilegieerde toegang is van vitaal belang. Andere aspecten, zoals het maken van back-ups, het onderhouden van de nieuwste versies en het aanpakken van kwetsbaarheden, zijn allemaal van cruciaal belang voor de bescherming van gegevens. Wanneer gebruikers niet-goedgekeurde software installeren en gebruiken, moeten ze zich bewust zijn van de best practices op het gebied van beveiliging en de ernst van hun acties.

Dit alles gezegd hebbende, is Shadow IT niet allemaal slecht - als het effectief wordt beheerd, kan het zelfs een bron van innovatie zijn. Nieuwe of jongere werknemers hebben misschien de voorkeur gegeven aan software die ze gebruiken en die voordelig kan zijn voor het bedrijf. In plaats van elk stukje van Shadow IT te blokkeren, zou het IT-team een proces moeten opbouwen voor het beheer ervan door het continue gebruik van scantools en SoftwareONE's managed services.

Jouw top-6 Shadow IT controlepunten

Dit zijn de top-6 ingangen waar Shadow IT jouw organisatie binnensluipt.

#1 Software as a Service (SaaS)

Gebruikers hebben een vrij aanbod van cloud-gebaseerde apps die ze willen gebruiken om hun zakelijke behoeften op te lossen. De IT-afdeling heeft zelden een idee van wat er wordt gebruikt en wat kan leiden tot beveiligings- en complianceproblemen. IT-afdelingen beginnen zich te realiseren dat het probleem niet ligt in het feit dat één gebruiker zich hier of daar aanmeldt voor een enkele dienst, maar in het feit dat veel mensen zich voor hen aanmelden.

#2 Public Cloud

Vanaf 2019 bevat 21% van alle bestanden in de cloud gevoelige gegevens en het delen van gevoelige gegevens met een open, publiek toegankelijke link door 23% in de afgelopen twee jaar volgens McAfee’s Cloud Adoption and Risk Report. Het rapport onthult ook dat 5,5% van de AWS S3-emmers "world read" rechten hebben waardoor ze openstaan voor het publiek. De gemiddelde organisatie gebruikt 1.935 unieke clouddiensten, een stijging van 15% op jaarbasis. In het rapport staat dat de meesten helaas denken dat ze maar 30 gebruiken.

#3 On-premises Apps

In een on-premise omgeving lijkt het misschien gemakkelijk om ongewenste apps te blokkeren, maar dat telt niet als een complete oplossing. Zelfs macro's die medewerkers in FileMaker Pro of Excel gebruiken, kunnen bijvoorbeeld een bedreiging vormen voor een organisatie.

Denk ook aan mobiele apps, want die zijn nog moeilijker te controleren, vooral als BYOD een optie is voor gebruikers.

#4 Security

Activiteiten zoals payroll, projecten, back-ups en bedrijfsplanning die in de cloud plaatsvinden, hebben een uitdagend beveiligingsprobleem gecreëerd dat de meeste organisaties moeilijk kunnen oplossen: Shadow IT in the cloud. Hoewel de voordelen enorm zijn: kostenbesparing, installatiegemak, flexibiliteit en mobiliteit, heeft de IT-afdeling zelden een goed idee van wat er wordt gebruikt en dit kan leiden tot beveiligings- en complianceproblemen.

#5 GDPR

Net als bij SaaS kunnen gebruikers zelf beslissen om een cloud-abonnement te starten, maar het risico op kwetsbaarheid is veel groter en de beperkte zichtbaarheid maakt het voor de IT-afdeling onmogelijk om het gebruikersplatform te ondersteunen.

#6 Policies

In een on-premise omgeving is het eenvoudig om ongewenste apps te blokkeren, maar dat telt niet als een complete oplossing. Hoe zit het met macro's die medewerkers maken met Filemaker Pro of Excel?

De specialisten van SoftwareONE zijn goed voorbereid om klanten te ondersteunen bij hun streven om Shadow IT te elimineren of op zijn minst te verminderen.

Wij stellen IT-organisaties in staat om met de juiste processen en beleidsregels ongeoorloofde installaties en consumptie te voorkomen en om hen te helpen bij het opsporen van overtredingen.

Het opzetten van de juiste processen en governance om Shadow IT te voorkomen heeft altijd een component van change management als cruciaal onderdeel ingebouwd, aangezien het uiteindelijk gaat om het veranderen van het gedrag van medewerkers. Onze consultants helpen je bij het ontwerpen van processen voor het leveren van handige software-aanvraag ervaringen voor klanten. Door het evalueren van jouw toollandschap en uitgavengegevens zijn wij in staat om procedures te ontwerpen die de doorlooptijd aanzienlijk verkorten. Met de juiste communicatiecampagne zullen eindgebruikers eindelijk gebruik maken van die standaardprocessen, wat zorgt voor een geleide discussie over wat er gebruikt gaat worden en uiteindelijk Shadow IT vermijdt.

Omdat geen enkel proces- en governance-concept 100% werkt, stelt SoftwareONE klanten in staat om te meten en te ontdekken wat er mis is gegaan. Door samen met Security een strategie te bepalen, kunnen SAM en IT Infrastructuur organisaties beter bepalen wat de impact van Shadow IT is op hun softwarepark. Rekening houdend met mobiele Apps, on-premises, XaaS (Anything as a Service) en Data Center zal er niet één enkele oplossing zijn, maar eerder een set van tools en processen om de volledige softwareomgeving te dekken. Tot slot kunnen wij je na het scannen van je omgeving ondersteunen bij het bepalen van jouw risico's en het definiëren van mitigerende strategieën. Onze experts zullen verschillende gegevensbronnen gebruiken om bedreigingen voor jouw bedrijf te identificeren, ongeacht of het gaat om compliance, GDPR of cybersecurity.



inzicht in jouw Software-omgeving

Download onze nieuwste gids over hoe je Shadow IT effectief kunt beheren en hoe je jouw softwaremiddelen beter kunt beschermen.

Download vandaag nog ons eBook

De Shadow IT Chronicles

Gerelateerde blogs

SAMSimple

SAMSimple: oplossingen voor remote werken

Door de inzet van technologie werd het weer mogelijk om vanaf de thuis locaties de werkzaamheden op te pakken. Maar wat wordt er eigenlijk op afstand allemaal geïnstalleerd?

The Biggest Shadow IT Risks Brought on By Digital Asset Diversity

The Biggest Shadow IT Risks Brought on By Digital Asset Diversity

When it comes to digital asset diversity, there are a lot of Shadow IT risks that could emerge. Let’s take a look at all of the potential issues to be aware of and how you can begin to avoid them.

Managed Security-Fighting Shadow IT

The Risk of Shadow IT

Are you aware of all the technology that is used within your company? Unauthorized information technology and systems deployed by others than the IT department, so called shadow IT, poses a lot of risks for your business. In this blogpost we…

Get in touch with us

Contact us today by filling out this short form and our experts will get back to you promptly.

Contact Us