Misschien heb je weleens van shadow-IT gehoord? De afgelopen jaren is (in goed Nederlands) schaduw-IT voor veel organisaties een hardnekkige bedreiging geworden. IT-afdelingen zien de controle langzamerhand uit de handen glippen en hebben veel moeite met het beveiligen van de eigen IT-omgeving. Eerlijk gezegd is dat niet eens zo vreemd. Hoewel organisaties de online beveiliging naar een steeds hoger niveau tillen, worden hackers ook steeds beter in het binnendringen van netwerken. Dat komt onder meer door shadow-IT.
#1. Wat is shadow-IT?
Shadow-IT ontstaat wanneer medewerkers eigen IT-middelen gaan inschakelen, zonder medeweten van de IT-afdeling. Zo kan een medewerker eigen devices gebruiken om het werk te doen. Of een medewerker kan ongevraagd software aanschaffen, omdat hij/zij daarmee prettiger werkt. Daarnaast komt het geregeld voor dat medewerkers hun eigen cloudapplicaties binnenhalen. Google Drive en Dropbox zijn daar bekende voorbeelden van. Maar ook het versturen van bedrijfsgevoelige informatie via een privé mailaccount wordt als shadow-IT aangemerkt.
#2. Geen beleid
Je zou je kunnen afvragen waarom shadow-IT zo’n groot probleem is. Medewerkers die hun eigen apparaten gebruiken, zijn toch extra productief? Jammer genoeg is dat te eenvoudig gedacht. Wanneer medewerkers eigen devices gebruiken, is het bij een datalek een enorme uitdaging om te achterhalen hoe de informatie naar buiten is gekomen. Daarbij zorgt dit er ook nog eens voor dat de kosten in je organisatie flink stijgen. Op het moment dat medewerkers eigen oplossingen aanschaffen, kost dat meer geld dan wanneer één oplossing in de gehele organisatie wordt toegepast. Bovendien werken organisaties minder efficiënt door shadow-IT. Als gegevens in verschillende applicaties worden opgeslagen, is het lastig om informatie te verzamelen. Daardoor heb je minder inzicht in de stand van zaken in je organisatie.
Aflevering 3
Hoe verhoog je het digitale veiligheidsbewustzijn bij medewerkers?
In deze aflevering van onze podcastserie ‘Hack van de Dam’ praten onze salesmanager Jasper Glaser en onze securityspecialist Martijn Scheffel samen met Erik Lameijer, teamleider automatisering bij verzekeringsmakelaar Schouten Zekerheid, over het verhogen van security awareness met een medewerkersgerichte aanpak. ‘Dat gaat niet in één dag, daar moet je echt een goed programma voor hebben.’
#3. Maatregelen
De grote vraag is natuurlijk hoe je shadow-IT het beste kunt voorkomen. Want dat er iets moet veranderen, is zo klaar als een klontje. Eén van de belangrijkste zaken is dat medewerkers zich bewust moeten worden van de gevaren en risico’s. Zo zal elke medewerker haarfijn moeten weten waarom bepaalde apparaten en software gevaarlijk zijn voor de organisatie en dus niet mogen worden gebruikt.
Daarbij is het essentieel om voortdurend toezicht te houden op het netwerkverkeer. Dat moet continu proactief worden gemonitord om ervoor te zorgen dat er geen onbekende software wordt gedownload. Daarnaast moeten er veilige alternatieven worden aangeboden. Wanneer medewerkers hun eigen oplossingen niet meer mogen gebruiken, moet je andere oplossingen aandragen. Zo houd je je medewerkers tevreden en zorg je ervoor dat ze ook nog eens productiever gaan werken.
En dus?
Al met al is het voor organisaties een hele kluif om shadow-IT tegen te gaan. Je moet in elk geval concrete stappen zetten om de bedreiging van eigen digitale hulpmiddelen uit de weg te ruimen. Daar heb je niet alleen alternatieve oplossingen voor nodig, maar ook – en vooral – het besef bij medewerkers dat hun goede intenties uiteindelijk contraproductief werken. Wat je in feite moet bewerkstelligen, is een heuse cultuuromslag. Alleen dán ben je verzekerd van een veilige IT-omgeving. Daarover lees je meer in ons redpaper over veilig werken.
Download ons redpaper
‘Zo’n hack; dat zal mij toch niet gebeuren?’
en geef concreet vorm en inhoud aan cybersecurity in jouw organisatie
