De IT-afdeling is verantwoordelijk voor alles wat met IT te maken heeft. Simpel. Of toch niet? In het donker en omringd door mysterie houdt schaduw-IT zich verborgen. Maar wat is schaduw-IT precies? Antwoord op 5 veelgestelde vragen over schaduw-IT.
Wat is schaduw-IT?
De naam zegt genoeg: schaduw-IT vindt plaats in de schaduw van de IT-afdeling. In het kort beschrijft schaduw-IT alle vormen van IT die plaatsvinden buiten de IT-afdeling, zonder enige betrokkenheid of toestemming van IT.
Normaalgesproken gebruikt de IT-afdeling haar expertise om nieuwe hardware of software voor de organisatie te selecteren of goed te keuren. Schaduw-IT houdt in dat andere afdelingen of individuele gebruikers tools of apparaten gebruiken waar de IT-afdeling niets van af weet.
Waarom bestaat schaduw-IT?
Gebruiksgemak
Door de hoeveelheid aan beschikbare web- en cloud-based platformen en applicaties is het makkelijker dan ooit om je eigen IT-middelen in te zetten. Tegenwoordig downloadt en gebruikt iedereen gemakkelijk IT-tools via een webinterface met weinig tot geen hulp van de IT-afdeling.
IT-innovatie vanuit de business
De meeste businessafdelingen vinden innovatie enorm belangrijk. Vaak willen ze sneller innoveren dan mogelijk is met de middelen van de IT-afdeling. Volgens dit Gartner report komt slechts 40% van de totale IT-investeringen van de IT-afdeling zelf.
Wat betekent dit? Businessafdelingen vinden gewoonweg hun eigen oplossingen: ze investeren actief in IT-software die hun pogingen tot innovatie ondersteunt. Zo investeren ze bijvoorbeeld in een nieuwe applicatie of platform. Of schakelen ze de hulp in van een externe IT-consultant.
Hoe ziet schaduw-IT eruit?
Bring Your Own Device (BYOD) heeft een heleboel voordelen. Medewerkers kunnen onder andere precies werken hoe zij zelf willen: of ze nu liever een Samsung tablet, een MacBook of een Xiaomi smartphone gebruiken. Maar BYOD heeft ook een schaduwzijde.
Inloggen op het bedrijfsnetwerk met privé-apparatuur kan grote security-risico’s veroorzaken. Vooral als privé-apparatuur verouderd is of als er dubieuze software op staat: een droom die uitkomt voor elke hacker. Overzicht houden van alle privé-apparatuur? De grootste nachtmerrie van de IT-afdeling.
Online samenwerken
Nu bijna iedereen thuiswerkt, is contact houden met het team en collega’s een uitdaging voor elke medewerker. De oplossing? Online tools en applicaties zoals Microsoft Teams, Miro en Trello. Meestal downloadt een team of afdeling gewoonweg een nieuwe tool en volgt de rest van de organisatie vanzelf.
Het gevolg? Een soort sneeuwbaleffect. Ineens gebruikt de organisatie zo’n acht verschillende tools en heeft niemand de IT-afdeling ingeschakeld of nagedacht over hoe deze applicaties omgaan met persoonsgegevens. De oplossing? Maak een incident response plan.
Assets in eigen hand nemen
Sommige afdelingen zijn ontzettend verantwoordelijk. Ze zijn zelfs zo verantwoordelijk dat ze hun eigen asset management regelen in plaats van het over te laten aan de IT-afdeling. Zulke afdelingen hebben hun eigen privévoorraad IT-assets.
Wat gebeurt er als een medewerker de organisatie verlaat? Zo’n medewerker levert de laptop in op de afdeling en denkt klaar te zijn. Weken later krijgt de medewerker een belletje van IT met de vraag waar de laptop is. Ondertussen heeft de afdeling de laptop in kwestie alweer aan een nieuwe medewerker gegeven. Zo heeft de IT-afdeling geen idee hoeveel IT-assets er zijn, waar ze zijn en of er iets mist.
Wat zijn de gevolgen van schaduw-IT?
“If you can’t see it; you can’t control it” is 100% waarheid in het geval van schaduw-IT. Schaduw-IT veroorzaakt onzichtbare risico’s waar de IT-afdeling niet op kan inspelen omdat zij van niets weet. Schaduw-IT vergroot ook het aanvalsoppervlak van de organisatie en daarbij de risico’s op bijvoorbeeld datalekken.
De IT-afdeling is verantwoordelijk voor security, compliance en privacy in de organisatie. Schaduw-IT vormt een reële bedreiging voor alle drie de punten, met name in grotere organisaties. Hoe meer applicaties, tools en apparaten er zijn, hoe moeilijker het is om er grip op te krijgen.
Hoe krijg ik grip op schaduw-IT?
Je kan schaduw-IT niet helemaal vermijden, hoe goed je je best ook doet. Er zijn steeds meer web- en cloud-based platformen en applicaties beschikbaar waardoor het makkelijker dan ooit is om je eigen IT-middelen te gebruiken. Dit betekent natuurlijk niet dat je schaduw-IT gewoon maar moet accepteren. Wees streng en leg alles stil dat echt gevaarlijk is of te veel risico met zich meebrengt.
Creëer bewustzijn
Maar er is ook een andere oplossing: bewustzijn creëren. Investeer in kennis over hoe belangrijk security, compliance en privacy zijn. De meeste gebruikers weten niet wat voor gevolgen het kan hebben als ze zich aanmelden voor Trello of inloggen op het bedrijfsnetwerk met een verouderd apparaat. Stel daarnaast simpele richtlijnen op die gebruikers moeten volgen als ze hun eigen hardware of software gebruiken, zoals multi factor authentication.
Werk samen met de business
Om te innoveren èn de risico’s van schaduw-IT te vermijden moeten de IT-afdeling en de businessafdelingen de handen ineenslaan. Enerzijds hebben de businessafdelingen de IT-afdeling nodig voor haar kennis en expertise.
Anderzijds wil de IT-afdeling natuurlijk dat de businessafdelingen investeren in een veilige oplossing.
Hoe werk je samen met de business? Bied je diensten aan en zorg ervoor dat de businessafdelingen je weten te vinden. Neem een adviserende rol aan in elk innovatieproject, van de eerste oriënterende fase tot de aanschaf van een tool. Een win-winsituatie: de businessafdelingen innoveren, en IT hoeft zich geen zorgen te maken over schaduw-IT (en profiteert van de innovatie en het budget van de businessafdelingen).
