Wat is Shadow IT?

Aangezien Shadow IT een applicatie is die wordt gebruikt voor bedrijfsprocessen die niet is goedgekeurd door een gecentraliseerde IT- of informatiebeveiligingsafdeling, is het zeer waarschijnlijk dat IT het niet heeft ontwikkeld, zich er niet van bewust is en het niet ondersteunt. Dit is een probleem omdat het de kans op onofficiële datastromen vergroot, waardoor het moeilijker wordt om te voldoen aan de volgende data compliance-regelgeving.

• Sarbanes-Oxley Act
• Basel II
• GLBA (Gramm Leach Bliley Act)
• COBIT (Control Objectives for Information and Related Technology)
• FISMA (Federal Information Security Management Act of 2002)
• DFARS (Defense Federal Acquisition Regulation Supplement)
• GAAP (Generally Accepted Accounting Principles)
• HIPAA (Health Insurance Portability and Accountability Act)
• IFRS (International Financial Reporting Standards)
• ITIL (Information Technology Infrastructure Library)
• PCI DSS (Payment Card Industry Data Security Standard)
• TQM (Total Quality Management)
• GDPR/AVG (General Data Protection Regulation/Algemene Verordering Gegevensbescherming)

Adviesbureau CEB schat dat 40% van de IT-uitgaven bij een bedrijf plaatsvindt buiten de IT-afdeling. De snelle groei wordt meestal gedreven door de kwaliteit van de consumententoepassingen in de cloud, zoals filesharing-apps, sociale media en samenwerkingstools. Het wordt ook steeds meer gedreven door bedrijfsonderdelen die SaaS-applicaties van enterpriseklasse inzetten. In veel opzichten helpt Shadow IT om bedrijven wendbaarder en werknemers productiever te maken, wat de reden is dat het zo veel voorkomt. IT en het Information Security team zijn echter nog steeds verantwoordelijk voor de beveiliging en compliance van de bedrijfsgegevens die medewerkers uploaden naar de klantenservice.

IT en jouw informatiebeveiligingsteam. Hoewel IT niet verantwoordelijk is voor de fysieke infrastructuur of het beheer van de applicatie, is het wel verantwoordelijk om ervoor te zorgen dat bedrijfsgegevens veilig blijven als ze naar de cloud worden geüpload. Dit brengt IT in een moeilijke positie. Ze kunnen overwegen om nee te zeggen tegen medewerkers die cloudapplicaties gebruiken om hun werk te doen, en zelfs om de toegang tot cloudapplicaties te blokkeren door gebruik te maken van de firewall of web proxy van het bedrijf. Wij raden dit niet aan. Helaas kunnen medewerkers voor elke geblokkeerde app andere, minder bekende en potentieel riskantere diensten vinden om in plaats daarvan te gebruiken.

Bekijk ons eBook Chronicles of Shadow IT over hoe je deze situatie het beste kunt beheren.

Het is belangrijk om op te merken dat de gevoelens ten opzichte van Shadow IT gemengd zijn. Sommige IT-managers vrezen wellicht dat als Shadow IT wordt toegestaan, eindgebruikers datasilo's zullen creëren en zullen voorkomen dat informatie vrij door de organisatie kan stromen. 

Bij SoftwareONE is het uitgangspunt dat je nooit de werkelijke omvang van Shadow IT in een bepaalde organisatie kunt begrijpen zonder de juiste inventarisatie van de omgeving met behulp van scantools. Je kunt echter wel de volgende acties ondernemen:

Gebruikers willen productief zijn en soms moet IT meer keuze bieden en een "Business Enabler" zijn in plaats van verzoeken te weigeren die geen deel uitmaken van de goedgekeurde bedrijfsapplicaties.

Om de IT-risico's van Shadow af te wenden, moeten de gebruikers regelmatig bijeenkomen en horen wat ze te zeggen hebben over hun zorgen en technologieën waarvan ze denken dat die hun zorgen kunnen wegnemen. IT moet een proactieve servicecultuur stimuleren om het gebruik van Shadow IT te verminderen en moet de eisen van afdelingen en gebruikers begrijpen om de productiviteit te verbeteren.

Het is van fundamenteel belang om op elk moment te kunnen controleren welke technologieën worden gebruikt en welke gegevens worden verwerkt. IT moet een vooraf goedgekeurde softwarecatalogus bijhouden die door de gebruikers kan worden geselecteerd om te voorkomen dat men moet wachten tot de software is goedgekeurd. Door samen te werken met gebruikers kan IT deze catalogus regelmatig onderhouden met relevante software. Het informatiebeveiligingsteam moet een geautomatiseerde detectiecontrole hebben om geïnstalleerde software te volgen en te monitoren, die kan worden gelogd en onderzocht.

Compliance is een belangrijk aandachtspunt binnen Shadow IT met regelgeving zoals GDPR die organisaties verplicht om de gegevens van hun klanten te beschermen. IT moet strenge controles uitvoeren op de toegang tot de gegevens om ervoor te zorgen dat de gegevens veilig en accuraat zijn. Het beheren van toegang en het monitoren van geprivilegieerde toegang is van vitaal belang. Andere aspecten, zoals het maken van back-ups, het onderhouden van de nieuwste versies en het aanpakken van kwetsbaarheden, zijn allemaal van cruciaal belang voor de bescherming van gegevens. Wanneer gebruikers niet-goedgekeurde software installeren en gebruiken, moeten ze zich bewust zijn van de best practices op het gebied van beveiliging en de ernst van hun acties.

Dit alles gezegd hebbende, is Shadow IT niet allemaal slecht - als het effectief wordt beheerd, kan het zelfs een bron van innovatie zijn. Nieuwe of jongere werknemers hebben misschien de voorkeur gegeven aan software die ze gebruiken en die voordelig kan zijn voor het bedrijf. In plaats van elk stukje van Shadow IT te blokkeren, zou het IT-team een proces moeten opbouwen voor het beheer ervan door het continue gebruik van scantools en SoftwareONE's managed services.

Dit zijn de top-6 ingangen waar Shadow IT jouw organisatie binnensluipt.

Gebruikers hebben een vrij aanbod van cloud-gebaseerde apps die ze willen gebruiken om hun zakelijke behoeften op te lossen. De IT-afdeling heeft zelden een idee van wat er wordt gebruikt en wat kan leiden tot beveiligings- en complianceproblemen. IT-afdelingen beginnen zich te realiseren dat het probleem niet ligt in het feit dat één gebruiker zich hier of daar aanmeldt voor een enkele dienst, maar in het feit dat veel mensen zich voor hen aanmelden.

Vanaf 2019 bevat 21% van alle bestanden in de cloud gevoelige gegevens en het delen van gevoelige gegevens met een open, publiek toegankelijke link door 23% in de afgelopen twee jaar volgens McAfee’s Cloud Adoption and Risk Report. Het rapport onthult ook dat 5,5% van de AWS S3-emmers "world read" rechten hebben waardoor ze openstaan voor het publiek. De gemiddelde organisatie gebruikt 1.935 unieke clouddiensten, een stijging van 15% op jaarbasis. In het rapport staat dat de meesten helaas denken dat ze maar 30 gebruiken.

In een on-premise omgeving lijkt het misschien gemakkelijk om ongewenste apps te blokkeren, maar dat telt niet als een complete oplossing. Zelfs macro's die medewerkers in FileMaker Pro of Excel gebruiken, kunnen bijvoorbeeld een bedreiging vormen voor een organisatie.

Denk ook aan mobiele apps, want die zijn nog moeilijker te controleren, vooral als BYOD een optie is voor gebruikers.

Activiteiten zoals payroll, projecten, back-ups en bedrijfsplanning die in de cloud plaatsvinden, hebben een uitdagend beveiligingsprobleem gecreëerd dat de meeste organisaties moeilijk kunnen oplossen: Shadow IT in the cloud. Hoewel de voordelen enorm zijn: kostenbesparing, installatiegemak, flexibiliteit en mobiliteit, heeft de IT-afdeling zelden een goed idee van wat er wordt gebruikt en dit kan leiden tot beveiligings- en complianceproblemen.

Net als bij SaaS kunnen gebruikers zelf beslissen om een cloud-abonnement te starten, maar het risico op kwetsbaarheid is veel groter en de beperkte zichtbaarheid maakt het voor de IT-afdeling onmogelijk om het gebruikersplatform te ondersteunen.

In een on-premise omgeving is het eenvoudig om ongewenste apps te blokkeren, maar dat telt niet als een complete oplossing. Hoe zit het met macro's die medewerkers maken met Filemaker Pro of Excel?

De specialisten van SoftwareONE zijn goed voorbereid om klanten te ondersteunen bij hun streven om Shadow IT te elimineren of op zijn minst te verminderen.

Wij stellen IT-organisaties in staat om met de juiste processen en beleidsregels ongeoorloofde installaties en consumptie te voorkomen en om hen te helpen bij het opsporen van overtredingen.

Het opzetten van de juiste processen en governance om Shadow IT te voorkomen heeft altijd een component van change management als cruciaal onderdeel ingebouwd, aangezien het uiteindelijk gaat om het veranderen van het gedrag van medewerkers. Onze consultants helpen je bij het ontwerpen van processen voor het leveren van handige software-aanvraag ervaringen voor klanten. Door het evalueren van jouw toollandschap en uitgavengegevens zijn wij in staat om procedures te ontwerpen die de doorlooptijd aanzienlijk verkorten. Met de juiste communicatiecampagne zullen eindgebruikers eindelijk gebruik maken van die standaardprocessen, wat zorgt voor een geleide discussie over wat er gebruikt gaat worden en uiteindelijk Shadow IT vermijdt.

Omdat geen enkel proces- en governance-concept 100% werkt, stelt SoftwareONE klanten in staat om te meten en te ontdekken wat er mis is gegaan. Door samen met Security een strategie te bepalen, kunnen SAM en IT Infrastructuur organisaties beter bepalen wat de impact van Shadow IT is op hun softwarepark. Rekening houdend met mobiele Apps, on-premises, XaaS (Anything as a Service) en Data Center zal er niet één enkele oplossing zijn, maar eerder een set van tools en processen om de volledige softwareomgeving te dekken. Tot slot kunnen wij je na het scannen van je omgeving ondersteunen bij het bepalen van jouw risico's en het definiëren van mitigerende strategieën. Onze experts zullen verschillende gegevensbronnen gebruiken om bedreigingen voor jouw bedrijf te identificeren, ongeacht of het gaat om compliance, GDPR of cybersecurity.