Shadow IT is lang gezien als een bedreiging voor beveiliging en compliance, maar tegenwoordig beseffen steeds meer bedrijven de voordelen ervan. Veel managers van IT-software vragen zich af: "Is er een manier om de beveiliging te behouden en tegelijkertijd de flexibiliteit te vergroten?" nu cloud computing een steeds groter deel van het IT-budget van hun bedrijf blijft opslokken. Indien goed uitgevoerd, kan een schaduw IT-beleid zowel IT als het bedrijf helpen. Om dit te doen, moet men echter bekend zijn met de betekenis, mogelijke nadelen en potentiële voordelen ervan.
Wat is schaduw-IT, en waarom?
De term "schaduw-IT" verwijst naar de praktijk van het gebruik van informatietechnologiemiddelen, software of toepassingen in een bedrijf zonder de steun van het IT- of beveiligingsteam. Het kan gaan om zowel software en hardware als cloud-gebaseerde middelen. De snelle groei van het gebruik van cloudgebaseerde diensten is momenteel het grootste probleem: naarmate meer mensen er gebruik van maken, neemt het fenomeen van "schaduw-IT" toe."Gebruikers zijn gewend geraakt aan toegang tot en gebruik van cloudgebaseerde software en diensten voor productiviteitstoepassingen of -hulpmiddelen. De introductie van schaduw-IT in een organisatie kan verschillende vormen aannemen, maar vindt meestal plaats via een van de volgende twee methoden:
- Een programma van een derde partij gebruiken om bedrijfsinformatie in te zien, op te slaan of te verspreiden. Zelfs als een bedrijf Google Workspace officieel heeft goedgekeurd voor het delen van bestanden, kan een werknemer toch schaduw-IT introduceren door ervoor te kiezen Microsoft 365 te gebruiken.
- Een goedgekeurde bron illegaal gebruiken. Op dezelfde manier, zelfs als een IT-afdeling groen licht heeft gegeven voor het gebruik van Google Workspace via accounts die door het bedrijf worden beheerd, kan een werknemer nog steeds schaduw-IT introduceren door toegang te krijgen tot Google Workspace via hun eigen ongecontroleerde account.
Wat is een voorbeeld van schaduw-IT?
Het gebruik van persoonlijke e-mailaccounts voor bedrijfszaken, het gebruik van niet-goedgekeurde Bring Your Own Devices (BYOD) of de inzet van SaaS-services (Software as a Service) die niet door het IT-team van uw bedrijf worden beheerd, zijn allemaal veelvoorkomende voorbeelden van schaduw-IT. Hieronder volgen meer specifieke voorbeelden van schaduw-IT:
- Toepassingen of tools om de productiviteit te verhogen, waaronder software als Trello en Asana.
- Microsoft Teams, Slack en Google Chat zijn voorbeelden van berichten- en samenwerkingsapps.
- Mobiele telefoon applicaties of tools, tablets en andere Internet of Things (IoT) apparaten.
- Diensten en toepassingen voor de opslag van gegevens of de overdracht van bestanden in de cloud, waaronder Google Drive, Dropbox, Box en OneDrive-software.
- Toepassingen of tools voor online vergaderingen, waaronder Zoom, Skype, WebEx en GoToMeeting.
- Software of tools voorhet plannen en beheren vanafspraken, zoals Calendly, ScheduleOnce en Bookafy.
Wat zijn de risico's van het gebruik van schaduw-IT?
De risico's van shadow IT liggen ook in de schaduw. Hoewel werknemers hun werk sneller en gemakkelijker gedaan kunnen krijgen met behulp van schaduw IT-softwaretools of -toepassingen, komen deze software of toepassingen met een verscheidenheid aan nieuwe gevaren, inefficiënties en kosten voor het bedrijf.
Verlies van zichtbaarheid en controle
U verliest overzicht en beheer wanneer gegevens worden verplaatst naar onofficiële systemen of toepassingen. Schaduw IT-systemen brengen gevaren met zich mee zoals niet-naleving van wet- en regelgeving, inbreuken op gegevens en het onvermogen om de nodige herstelmaatregelen te treffen voor deze gegevens.
Software-integratie
Systeemintegraties zijn een gemeenschappelijk kenmerk van IT-afdelingen. Schaduw IT-software vormt een risico op gegevensinbreuken als een deel van de integratie wordt gecompromitteerd. Als gebruikers kritieke software-upgrades niet installeren, neemt de ernst van deze inbreuk aanzienlijk toe. Waarschijnlijker is dat werknemers niet eens weten hoe ze hun tools moeten upgraden.
Wanneer IT een upgrade uitvoert op een geïntegreerd systeem, kan een voorheen onbekende toepassing of software een achterdeur vormen voor een aanvaller om toegang te krijgen tot de hele database. Zo'n inbreuk kan leiden tot grote verstoringen of strafrechtelijke vervolging van de chief information officer.
Verloren gegevens
Schaduwcloudgegevens kunnen ontoegankelijk worden voor bedrijven, vooral als de persoon die de gegevens heeft gemaakt het bedrijf verlaat. Gebruikerscontracten, ontwerpdocumenten en andere projecttoepassingen of -tools kunnen worden opgeslagen op het persoonlijke Dropbox-account van een gebruiker. Het is mogelijk dat het bedrijf essentiële klantgegevens niet kan herstellen van het persoonlijke account van de persoon als de gebruiker wordt ontslagen. Wanneer een gebruiker wordt ontslagen en niet langer betaalt voor Shadow IT-software clouddiensten, is het eenvoudig om dergelijke diensten of toepassingen onmiddellijk te deactiveren.
Kosten
Bijna een derde van alle SaaS-abonnementen of -applicaties wordt volgens sommige schattingen niet of te weinig gebruikt, wat leidt tot inefficiëntie en geldverspilling. Sommige bedrijven die hun schaduw-IT-software willen versterken, gebruiken inefficiënte handmatige methoden, waaronder het gebruik van lange spreadsheets om hun SaaS-diensten bij te houden, wat een verspilling van tijd en geld is.
Onbekende uitbreiding van aanvalsoppervlakken
Met meer schaduw IT zijn er meer mogelijkheden voor een organisatie om aangevallen te worden. Ongeorganiseerde databasesystemen vallen niet binnen de grenzen van enig bekend beveiligingsprotocol. Credentials die ofwel zwak, ofwel de standaard zijn, dreigen onbeheerde activa bloot te stellen aan het internet. Threat log management, security information, event management (SIEM) systems software, en penetration testing dekken shadow IT niet.
Voordelen van Shadow IT
Shadow IT heeft echter ook zijn voordelen. Hier zijn de belangrijkste voordelen van het gebruik van Shadow IT:
Hogere productiviteit
Volgens de bevindingen van een enquête uitgevoerd door Entrust Datacard, verhogen bijna alle werknemers hun output wanneer ze de kans krijgen om de technologieën van hun keuze te gebruiken. Bovendien bleek uit dezelfde enquête dat 77% van de IT-softwareprofessionals vond dat hun bedrijven een concurrentievoordeel zouden kunnen behalen als leidinggevenden meer zouden meewerken aan het vinden van oplossingen voor problemen met behulp van apps. Wie goed over de zaak nadenkt, beseft dat deze conclusies niet erg schokkend zijn. Je zou bijvoorbeeld niet verwachten dat een kapper met een gewone schaar evenveel werk kan verzetten als met een professionele kappersschaar.
Innovatie Trigger of Katalysator
Als er meer mensen kijken, is het eenvoudiger om gereedschap te vinden dat beter geschikt is voor de betreffende taak. Medewerkers kunnen zelf het best beoordelen welke software- en hardwareoplossingen voor hen het nuttigst zijn; daarom is schaduw-IT heel zinvol om hen alles te laten gebruiken wat ze willen zonder dat ze vooraf toestemming van iemand hoeven te krijgen. Daarom is het voor het management nog zinvoller om de informatietechnologiesoftware of -apps die werknemers uit eigen beweging zijn gaan gebruiken, grondig te bestuderen en de mogelijkheid te onderzoeken van de formele invoering ervan in het hele bedrijf. Het is aanzienlijk waarschijnlijker dat de oplossing die via dit proces tot stand komt, nauw aansluit bij de oorspronkelijke bedrijfsvraag dan de oplossing die rechtstreeks door het management wordt gekozen.
De beste en slimste binnenhalen
Shadow IT is een vorm van informatietechnologie die bedrijven kan helpen, vooral die in sectoren die sterk afhankelijk zijn van informaticasoftware, om de beste werknemers aan te trekken en te behouden. Kandidaten voor banen met een schat aan ervaring zijn altijd dankbaar wanneer zij de tools mogen gebruiken die voor hen het beste werken in plaats van gedwongen te worden een geheel andere set tools te leren gebruiken, die al dan niet verouderd kan zijn, alleen maar omdat iemand die hen voorging ze graag gebruikte. Evenzo zijn goed presterende mensen veel meer betrokken en productiever wanneer zij toegang hebben tot de meest geavanceerde IT-software die beschikbaar is, en zij kunnen zelfs hogere compensatieaanbiedingen van concurrenten afslaan waarvan de werkomgeving niet bij hen past.
De vraag naar en blootstelling aan schaduw-IT minimaliseren
U kunt de behoefte aan en de risico's van schaduw-IT verminderen door een aantal van de hierboven genoemde dingen te doen.
Communiceer en werk samen
Zoek uit wat de gebruikers van IT eigenlijk willen. Haal de silo's neer. Maak het voor IT-afdelingen en IT-gebruikers mogelijk om op een eenvoudige, comfortabele en efficiënte manier te communiceren om een beter begrip te krijgen van de echte vereisten, ervaringen en opmerkingen van eindgebruikers over huidige en nieuw benodigde technologieën, bijvoorbeeld low-code/no-code platforms.
Opleiding en vorming
Gebruikers informeren over de gevaren die verbonden zijn aan schaduw-IT-software en hoe het bedrijf kan helpen bij het voldoen aan de technologische vereisten zonder de gebruikelijke bestuursregels te omzeilen, is een zeer belangrijke stap in het beperken van deze risico's. Medewerkers die op de hoogte zijn van beveiliging en de visie van de organisatie voor informatietechnologische softwarebeveiliging delen, zullen eerder de risico's in verband met schaduw-IT begrijpen en zullen worden aangemoedigd om aanvaardbare oplossingen te ontdekken om aan hun technologische eisen te voldoen.
Laatste gedachten
De reguliere kantoorstructuur maakt plaats voor meer flexibele, externe en hybride opties. De cloud helpt bij deze verschuiving, maar u zult nog steeds te maken krijgen met enkele belangrijke gevolgen. Schaduw-IT-dreigingen zullen een probleem blijven zolang SaaS-diensten uw innovatie aansturen.
Maar wat als ik u vertel dat u alle risico's van Shadow IT kunt oplossen door gebruik te maken van low-code/no-code platforms? Deze platforms kunnen onder controle staan van de IT-afdeling, maar ze zullen ook helpen bij het creëren van zakelijke tools die nodig zijn voor werknemers. Stel je voor dat je bijvoorbeeld een applicatie voor het plannen van afspraken kunt bouwen die helemaal past bij de behoeften van je bedrijf. En ook zou u niet bang zijn voor al die risico's van Shadow IT - omdat het ontwikkeld en gecontroleerd zou worden door uw IT-afdeling. AppMaster.io is een van de cutting-edge no-code platforms die u graag helpen om de beste web- en mobiele applicaties voor uw bedrijf te maken zonder dat u code hoeft te schrijven.