In de vorige nieuwsbrief brachten we schaduw-IT ter sprake als een belangrijk securitypunt van 2019. Misschien ben je niet op de hoogte van wat schaduw-IT betekent, maar bijna iedereen maakt er wel eens gebruik van. Misschien wil je een bestand opsturen en blijkt deze te groot, dan gebruik je toch even gauw WeTransfer? Een projectgroep gebruikt Dropbox, want wel zo makkelijk. Geen telewerken mogelijkheid? Dan e-mail je jezelf via Gmail een aantal bestanden om toch thuis te kunnen werken.
Wat is het?
De term schaduw-IT of shadow IT staat voor het gebruiken van IT-middelen binnen de organisatie die niet zijn goedgekeurd door de IT-afdeling. Het gaat vaak om gratis oplossingen waar men gauw gebruik van maakt. De IT-afdeling is daar vaak niet van op de hoogte. Vandaar de term schaduw IT, de ingezette gratis oplossingen zijn immers onzichtbaar voor de IT-afdeling. Dat er op die IT-middelen algemene voorwaarden en privacy policies van toepassing zijn, is bij iedereen bekend. Maar ze worden niet vaak gelezen.
Gartner voorspelde al in 2016 dat schaduw-IT een sluipend probleem is. Hoe kun je als IT-afdeling beschikbaarheid van bedrijfsdata garanderen als je niet weet waar de helft van de data zich bevindt? Hoe waarborg je vertrouwelijkheid van data als publieke middelen gebruikt worden? Wist je dat tools als Dropbox aansprakelijkheid uitsluiten als het gaat om dataverlies? Ook in kader van compliance gaan Schaduw-IT en de AVG gaan gewoonweg niet samen. Bij deze gratis tools lever je altijd privacy in en ze zijn een continu doelwit voor cybercrime.
Meer dan 80% van de medewerkers zet wel eens schaduw-IT in. Er is vaak geen sprake van kwade opzet bij het inzetten van schaduw-IT. Gebruikers proberen hun werk vaak snel en effectief te doen en bepaalde functionaliteiten van de gratis opties dragen daar aan bij. Dus wat kun je doen om het te voorkomen?
- Zorg voor bewustwording bij het personeel;
- Inventariseer de IT- of communicatiebehoeftes van je personeel en biedt een geschikt alternatief;
- Indien je een thin client omgeving hebt, kan op een vrij simpele manier verhinderd worden dat gebruikers zelf software installeren;
- Indien je gebruikmaakt van werkstations en laptops, kan een device management systeem een optie zijn;
- Stel een informatie classificatie beleid op en bepaal per type informatie (confidential, restricted, public, internal) hoe de medewerker geacht wordt met deze informatie om te gaan.
Heb je vragen naar aanleiding van deze informatie? Stel ze gerust aan onze security officer via security@aksi.nl.