Wat is Schaduw IT en bedreigt dit uw Cybersecurity?


Schaduw bureau, Source:Unplash

U herkent het misschien wel, u moet dringend een document delen met een nieuwe collega of u heeft een video call met een klant over tien minuten. Helaas heeft uw nieuwe collega nog geen toegang de bedrijfscloud en is de verantwoordelijke ICT-er juist nu met vakantie en is hij pas over een week terug. Wat nu? Mogelijk beschikt u over een Google Drive en besluit u om het betreffende document op deze wijze te delen.

In de praktijk zien we vaak dat medewerkers binnen organisaties zelf allerhande oplossingen bedenken, wanneer zij te maken krijgen met ICT problemen. Dit beperkt zich niet alleen tot het gebruik van Google Drive, maar denk ook aan allerlei App groepjes, waarin collega’s hun werkzaamheden afstemmen. Omdat al deze oplossingen buiten de officiële IT-afdelingen om worden genomen, spreken experts dan ook van Schaduw of Shadow IT.

Waarom ontstaat schaduw IT? Eigenlijk geeft het voorbeeld hierboven al de voornaamste reden voor het bestaan schaduw IT: veel medewerkers vinden de procedures van de officiële IT-afdeling vaak omslachtig en verlangen een snelle en makkelijke oplossing voor hun problemen. Doet de webcam van uw werklaptop het opeens niet meer? Ach, waarom niet uw privé tablet gebruiken voor die ene belangrijke video call?

Het Cybersecurity risico van schaduw IT


Een andere belangrijke vraag is uiteraard of schaduw IT eigenlijk een probleem is? Op zich zelf is schaduw IT niet per se gevaarlijk. Wel zijn er enige aandachtspunten. Om te beginnen wordt schaduw IT niet ondersteund door uw IT-afdeling, waardoor problemen kunnen ontstaan. Een ander belangrijk punt heeft de maken met de AVG. Door het gebruik van schaduw IT bestaat de kans dat persoonsgegevens niet op een correcte wijze worden verwerkt en er mogelijk sprake is van een datalek. En daar bent u als ondernemer verantwoordelijk voor!

Bovendien bestaat de mogelijkheid dat deze niet goedgekeurde programma’s allerlei achterdeurtjes bevatten, waarmee cybercriminelen uw systemen kunnen binnendringen, vooral als uw medewerkers deze software op bedrijfslaptops of telefoons installeren. Juist omdat uw IT-afdeling hiervan niet op de hoogte is, zullen eventuele kwetsbaarheden niet worden meegenomen in security reviews. Laat staan dat noodzakelijke updates tijdig worden uitgevoerd.

Hoe gaat u om met schaduw IT?


Waarschijnlijk vraagt u zich ondertussen af, hoe om te gaan met schaduw IT? Moet ik het verbieden? En zo ja, hoe handhaaf ik een dergelijk verbod. Het is belangrijk om te beseffen dat het gebruik van schaduw IT voortkomt uit het verlangen van uw medewerkers om zo efficiënt mogelijk hun werk te doen. Vaak vormen complexe of onduidelijke richtlijnen vanuit uw IT-afdeling de reden om officieuze systemen op te tuigen. Daarom is het van groot belang om uw medewerkers actief te betrekken in uw ICT-beheer en dit niet alleen aan de IT-ers binnen uw organisatie over te laten.

Bespreek met uw medewerkers welke functies zij nodig hebben om hun werkzaamheden goed uit te kunnen voeren. Hoe beter uw ICT-systemen aansluiten bij de behoeften van uw medewerkers, hoe kleiner de verleiding om alternatieven te zoeken. Zorg ook dat uw ICT zo is ingericht dat uw medewerkers niet onnodig gehinderd worden. Probeer bijvoorbeeld updates zoveel mogelijk ‘s nachts of in het weekend uit te voeren.

Overigens hoeft u niet elke vorm van schaduw IT helemaal te verbieden, maar spreek wel met uw medewerkers over de risico’s ervan. En maak duidelijke afspraken binnen uw organisatie wat nu wel en juist niet mag. Een app-groepje om onderling werkzaamheden te coördineren is prima, maar wachtwoorden en (privacy) gevoelige data mogen alleen op de voorgeschreven wijze gedeeld worden.

Leer de Digi-Taal tijdens het Cybersafe Spreekuur


Uiteraard begrijpen wij heel goed dat het ontwikkelen van heldere en duidelijke richtlijnen omtrent schaduw IT in uw organisatie een behoorlijke uitdaging kan zijn. Mogelijk mist u simpelweg de kennis om effectief met uw medewerkers en ICT partners om heldere afspraken te maken over hoe IT binnen uw organisatie wordt toegepast.

Gelukkig organiseren wij daarom het Cyber Safe Spreekuur. Hierin krijgt u de gelegenheid om alles te vragen wat u wilt weten over IT security. Graag delen wij onze expertise met u, zodat u een woordje mee kan spreken met uw IT-partners! Zo kunt u beter grip krijgen op schaduw IT in uw organisatie. Meld u zich hier aan voor het Cybersafe Spreekuur.

Asomis IT Security staat voor goede Cybersecurity policies


Verder helpen wij u graag met het opstellen van ICT policies voor uw organisatie. Zo bent u verzekerd van gedegen policies die voldoen aan internationaal aanvaarde normen. Bovendien vormen interviews met uw medewerkers integraal onderdeel van onze uitgebreide risico assessments. Zo brengen we niet alleen in kaart welke vormen van schaduw IT worden gebruikt, maar ook waarom. En die informatie kunnen we weer gebruiken om u te helpen bij het beoordelen van offertes van IT-dienstverleners.

Op deze wijze kunt u schaduw IT binnen uw bedrijf of organisatie beperken en daarmee eveneens uw Cybersecurity risico’s minimaliseren. Zo kunt u op een veilige en verantwoorde manier doen wat u echt wilt: ondernemen.

Vermoedt u dat er sprake is van schaduw IT binnen uw organisatie of onderneming? Wilt u weten of dit een groot risico vormt? Neem dan vooral contact met ons op om een vrijblijvende afspraak te maken!