Schaduw-IT

In de vorige nieuwsbrief brachten we schaduw-IT ter sprake als een belangrijk securitypunt van 2019. Misschien ben je niet op de hoogte van wat schaduw-IT betekent, maar bijna iedereen maakt er wel eens gebruik van. Misschien wil je een bestand opsturen en blijkt deze te groot, dan gebruik je toch even gauw WeTransfer? Een projectgroep gebruikt Dropbox, want wel zo makkelijk. Geen telewerken mogelijkheid? Dan e-mail je jezelf via Gmail een aantal bestanden om toch thuis te kunnen werken.

Wat is het?
De term schaduw-IT of shadow IT staat voor het gebruiken van IT-middelen binnen de organisatie die niet zijn goedgekeurd door de IT-afdeling. Het gaat vaak om gratis oplossingen waar men gauw gebruik van maakt. De IT-afdeling is daar vaak niet van op de hoogte. Vandaar de term schaduw IT, de ingezette gratis oplossingen zijn immers onzichtbaar voor de IT-afdeling. Dat er op die IT-middelen algemene voorwaarden en privacy policies van toepassing zijn, is bij iedereen bekend. Maar ze worden niet vaak gelezen.

Gartner voorspelde al in 2016 dat schaduw-IT een sluipend probleem is. Hoe kun je als IT-afdeling beschikbaarheid van bedrijfsdata garanderen als je niet weet waar de helft van de data zich bevindt? Hoe waarborg je vertrouwelijkheid van data als publieke middelen gebruikt worden? Wist je dat tools als Dropbox aansprakelijkheid uitsluiten als het gaat om dataverlies? Ook in kader van compliance gaan Schaduw-IT en de AVG gaan gewoonweg niet samen. Bij deze gratis tools lever je altijd privacy in en ze zijn een continu doelwit voor cybercrime.

Meer dan 80% van de medewerkers zet wel eens schaduw-IT in. Er is vaak geen sprake van kwade opzet bij het inzetten van schaduw-IT. Gebruikers proberen hun werk vaak snel en effectief te doen en bepaalde functionaliteiten van de gratis opties dragen daar aan bij. Dus wat kun je doen om het te voorkomen?

  • Zorg voor bewustwording bij het personeel;
  • Inventariseer de IT- of communicatiebehoeftes van je personeel en biedt een geschikt alternatief;
  • Indien je een thin client omgeving hebt, kan op een vrij simpele manier verhinderd worden dat gebruikers zelf software installeren;
  • Indien je gebruikmaakt van werkstations en laptops, kan een device management systeem een optie zijn;
  • Stel een informatie classificatie beleid op en bepaal per type informatie (confidential, restricted, public, internal) hoe de medewerker geacht wordt met deze informatie om te gaan.

Heb je vragen naar aanleiding van deze informatie? Stel ze gerust aan onze security officer via security@aksi.nl.

Security-punten 2019

Een nieuw jaar, nieuwe uitdagingen.
7 belangrijke security-punten.

Afgelopen jaar zagen we een toename in de vraag naar security oplossingen. Niet alleen op het gebied van techniek en hardware, maar ook in de vorm van advies en training. In 2019 zal security wederom een belangrijk thema zijn. Daarom zullen wij in de nieuwsbrieven van dit jaar telkens aandacht schenken aan dit onderwerp.

Belangrijke security punten in 2019 zullen zijn;

Cyberaanvallen zullen een steeds geavanceerder karakter krijgen. De onderzoekers van Fortinet hebben in kaart gebracht welke methoden en technieken cybercriminelen in de nabije toekomst zullen gebruiken en wat organisaties kan helpen om zich tegen deze vorm van cybercriminaliteit te beschermen. Nieuwe aanvalstechnieken om in de gaten te houden zijn; Artificial Intelligence Fuzzing, Zero-day mining en Swarm-as-a-Service;

– De algemene trend is dat de aanvallen zich verschuiven van het netwerk naar de eindgebruiker. De mens is een zwakke schakel in de beveiliging en een makkelijker doelwit voor cybercriminelen. We zien dat steeds meer organisaties zich hiervan bewust zijn. De vraag naar eindgebruikerstraining zal daarom stijgen en ook het geautomatiseerd testen van omgevingen. Denk bijvoorbeeld aan een pen-test of een DDOS-aanval op bestelling;

Phishing e-mails met ransomware blijven een uitdaging voor bedrijven en hun personeel. De e-mails lijken legitiem en worden steeds gehaaider;

– Het wachtwoorden dilemma. Gebruikersgemak versus security, het blijft een strijd. Zorg daarom voor een goed wachtwoordbeleid en maak de eindgebruikers bewust van hoe belangrijk dit is;

Internet of things blijft een security uitdaging. Steeds meer apparaten worden aan het internet ontsloten om gegevens te verzamelen en uit te wisselen. Dan hebben we het niet over je smartphone of je computer, maar bijvoorbeeld over je slimme meter. Bij niet alle apparaten is er tijdens de ontwikkeling rekening gehouden met privacy en security-richtlijnen. Daarnaast worden ze vaak over het hoofd gezien omdat ze niet in het gewone netwerk worden opgenomen;

– De Algemene Verordening Gegevensbescherming blijft van belang. Autoriteit Persoonsgegevens zal ook komend jaar regelmatig in het nieuws verschijnen. Steeds meer bedrijven zullen zich dan ook realiseren dat ze hun privacybeleid op orde moeten hebben;

Shadow-IT. Het bestaat al heel lang en komt in bijna elke organisatie voor. Je organisatie gebruikt bijvoorbeeld Sharepoint, maar die ene afdeling werkt toch liever met Dropbox. Of bij gebrek aan een wachtwoordmanager, worden wachtwoorden in een google account opgeslagen. Doordat er steeds meer (gratis) clouddiensten verkrijgbaar zijn, wordt het de werknemer makkelijker gemaakt om andere tools dan de bedrijfstools te gebruiken. Hier is geen toezicht op in kader van informatieveiligheid en het is bij bedrijven een veel voorkomend oorzaak van datalekken.

Heb je een vraag en zou je deze graag toegelicht zien in de volgende nieuwsbrief? Dat kan! Stuur uw vraag naar security@aksi.nl, ter attentie van Marijke Koster.