Als Security & Privacy trainee ben je vrijwel altijd aan het werk in het IT-domein. In dit domein kom je zeer opmerkelijke en gevaarlijke situaties tegen. Laatst las ik het artikel ’10 ergerniswekkende security-faals van gebruikers’, gepubliceerd op webwereld.nl. Op de eerste plek stond Schaduw IT. Een fenomeen wat elke IT’er kent, maar waar je zeer lastig wat aan kunt doen. Of is er toch een manier om dit aan te pakken?
Wat is Schaduw IT?
Laten we beginnen met de definitie van Schaduw IT. Met Schaduw IT wordt alle soft- als hardware bedoelt die buiten de IT-afdeling valt. Met andere woorden: Schaduw IT omvat alle IT binnen organisaties die niet officieel is goedgekeurd. En dit heeft een reden: goedgekeurde bedrijfsregels dragen bij aan een sterk beveiligingsbeleid en daar horen deze Schaduw IT soft- en hardware niet bij. Toch zijn er in elke organisatie personen aanwezig die denken dat dit onzin is. Deze medewerkers die “ook wat weten van computers” zijn vaak degenen die het hardst schreeuwen binnen de organisatie dat dit beleid niks waard is. Maar hoe gevaarlijk is dit fenomeen nou echt?
Waar gaat het mis?
Er is geen eenduidige oorzaak van Schaduw IT. Toch zijn er enkele oorzaken te noemen voor dit fenomeen. De eerste is een IT-afdeling die niet toegankelijk genoeg is voor de organisatie. Denk hierbij aan technici die de ‘normale personeelsleden’ niet serieus nemen, of het hiervoor te druk hebben. Daarnaast zijn omslachtige of complexe bedrijfsapplicaties ook een oorzaak. Het gevolg hiervan is dat mensen zelf op zoek gaan naar een passende oplossing. Met de komst van cloud computing is deze drempel enorm afgenomen. Misschien is het bekendste voorbeeld wel het gebruiken van Dropbox. En dit terwijl vele bedrijven gewoon een (veilige) SharePoint hebben. Toch kiezen de Schaduw IT’ers voor Dropbox, omdat deze eenvoudiger is in het gebruik. En deze afweging kan grote risico’s met zich meebrengen voor het bedrijf.
Waar gebeurt Schaduw IT het meest?
Bij de meeste organisaties vind je Schaduw IT op de afdelingen sales en marketing. En dat is niet omdat deze mensen de risico’s niet goed kunnen inschatten, maar omdat deze mensen vaak direct contact hebben met de klant en geen tijd hebben voor langdurige ontwikkelingsprocessen. Ook draagt het feit dat er veel young professionals werken op deze afdeling bij aan deze Schaduw IT. Zij zijn immers opgegroeid met technologie en weten te vinden wat zij zoeken. In dit geval vinden zij de effectiviteit, productiviteit en innovatie van hun afdeling belangrijker dan het corporate IT-beleid.
Wat zijn de risico’s van Schaduw IT?
Eigenlijk zijn er drie grote risico’s die aan Schaduw IT hangen, namelijk:
1. De continuïteit van het proces
2. De duurzaamheid van de diensten
3. De beveiliging. De gebruikte tools door Schaduw IT’ers kunnen er zo mee stoppen, wat tot tijdverlies of zelfs dataverlies kan leiden. Stel je eens voor dat er een datalek is, via een Schaduw IT’er die een applicatie gebruikte waarvoor door IT nooit toestemming is gegeven. Waarschijnlijk heb je als bedrijf dan een behoorlijk probleem.
Wat kun je tegen Schaduw IT doen?
Allereerst moet je zorgen dat je als IT-afdeling zelf de zaakjes goed op orde hebt. Daarmee bedoel ik dat je het als beheerders onmogelijk maakt om bijvoorbeeld externe software op bedrijfscomputers te plaatsen (voor zover dat mogelijk is). Daarnaast zal je de meeste moeite moeten steken in het veranderen van de mindset van je personeel. Zolang zij de IT-afdeling blijven zien als een obstakel zal Schaduw IT een van de zorgen van de organisatie blijven.
Mijn naam is Daniël Gorter, een 22-jarige trainee Security & Privacy met een passie om het raakvlak tussen mens en ICT inzichtelijker en veiliger te maken.
