De 5 grootste gevaren rondom Shadow IT

Gevaren rondom shadow IT: waar Shadow IT eerst vaak vooral negatieve associaties had wordt het begrip tegenwoordig ook steeds vaker ingezet met een positieve lading. Denk hierbij bijvoorbeeld aan Bring Your Own Device policy’s. Dat de medewerker steeds meer vrijheid krijgt om werkzaamheden op een voor hem of haar persoonlijk prettige manier uit te voeren is natuurlijk iets wat (ook wij) toejuichen! Echter is het belangrijk om niet de gevaren van Shadow IT uit het oog te verliezen.

De vijf grootste gevaren die Shadow IT met zich meebrengt hebben we daarom in kaart gebracht en verder toegelicht in deze blog.

  • Een sterk verminderde beveiliging van (bedrijfskritische) data. 
  • Verstoring van IT procedures en processen.
  • Non-compliancy met betrekking tot bepaalde wet- en regelgeving. Denk hierbij bijvoorbeeld aan de AVG. 
  • Onvoorspelbare performance.
  • Onnodige kosten die drukken op het overige IT budget. 

IT Veiligheid en Shadow IT

De IT afdeling binnen een organisatie is er niet voor niks. Deze afdeling (heeft als het goed is) hard nagedacht over hoe ze het IT landschap veilig kunnen houden. Op basis hier van zijn bepaalde overwegingen gemaakt met betrekking tot onder andere de veiligheid. Zo zijn bepaalde applicaties bewust niet ingezet omdat deze niet voldoen aan veiligheidseisen die de IT afdeling voor de organisatie heeft gesteld.

Wanneer er vervolgens door een collega van buiten de IT afdeling dan toch een applicatie wordt ingezet met andere en/of lagere veiligheid standaarden, is de bovenstaande policy eigenlijk voor niets. Door in deze zelf ingezette applicatie te werken met data van het bedrijf is deze gevoelig voor bijvoorbeeld een datalek. In sommige gevallen worden deze applicaties ook nog is verbonden aan goedgekeurde applicaties binnen het bestaande IT landschap, vaak met als doel: gemak. Echter zet dit in potentie de deur open voor hackers naar het gehele IT landschap voor je organisatie.

Verstoring van huidige processen

Het huidige IT landschap is met zorg vormgegeven. Alle applicaties zijn zo op elkaar afgestemd zodat ze elkaar versterken. Wanneer een collega of een hele afdeling er voor kiest een applicatie uit deze schakel links te laten liggen en een eigen applicatie in te gaan zetten zal dit ten alle tijd resulteren in een verstoring van het huidige proces. Doordat applicatie A niet meer voorzien wordt van data kan applicatie B niet meer verder omdat deze verder bouwt op de gegevens uit applicatie B.

Wanneer deze situatie zich voordoet binnen een proces kan dit voor een grote verstoring zorgen. Wanneer dit in meerdere processen gebeurt kan dit serieuze invloed hebben op het bedrijfsresultaat.

Non compliancy

Vrijwel elke organisatie (zou druk moeten zijn met/) is druk met compliant te blijven. Een groot voorbeeld hiervan is de recent aangescherpte AVG wet. Om aan de AVG te voldoen is het o.a. belangrijk dat je grip hebt op de persoonlijke data die je verwerkt.

Een voorbeeld hiervan is: Door data op te slaan binnen de EU heb je hier daadwerkelijk grip op. Dit omdat dezelfde wetten gelden voor jou als voor de partij waar de data opgeslagen staat. Wanneer je deze data opslaat buiten de EU verlies je deze grip. Dit doordat de data dan onderhevig is aan andere wetten, die wellicht haaks staan op de EU wetgeving.

Wanneer een medewerker er op eigen houtje voor kiest software te gaan gebruiken die dit doet ben je in 1 klap niet meer compliant rondom de AVG.

Onvoorspelbare performance

De performance hangt deels samen met het hierboven genoemde punt m.b.t. verstoring van processen. Echter kan dit nog een stap verder gaan. Dit doordat een dergelijke verstoring vaak niet alleen invloed heeft op processen maar vaak ook op de architectuur van het gehele IT landschap. Doordat de ooit zo met zorg samengestelde architectuur ineens vervuild wordt met (vaak) onnodige applicaties, reageren de bestaande hard- en software systemen vaak heel anders als bedoelt.

Doordat de applicaties niet meer op elkaar zijn afgestemd is er ineens een hele andere performance dan verwacht. Dit kan resulteren in langere laadtijden voor de eindgebruiker of zelfs in crashes in processen die tot voorheen gewoon werkte, kortom: onwenselijk.

Onnodige kosten door Shadow IT

Doordat individuen of afdelingen los licenties aanschaffen kan het onverhoopt zo zijn dat er dubbele licenties bij dezelfde partijen lopen. Vaak zijn dit soort licenties goedkoper wanneer je als bedrijf eenmalig voor meerdere gebruikers een licentie aanschaft.

Gevaren rondom Shadow IT

De gevaren rondom Shadow IT moeten zeker niet worden onderschat. Alleen door te erkennen dat ze er zijn en in kaart te brengen kan je grip krijgen op de Shadow IT binnen jouw organisatie, hogeschool of universiteit. Onze tip is: ontwikkel een goed securitybeleid. Hierin kan je bijvoorbeeld opnemen dat er alleen nieuwe applicaties mogen worden ingezet na toestemming van de IT afdeling.

Samenvatting:

Shadow IT brengt diverse gevaren mee wanneer dit niet in goede banen geleid wordt. Over deze potentieel negatieve invloed vertellen we je meer in deze blog.

Onderwerpen

Delen of later verder lezen?

Benieuwd wat Carthago voor jou kan betekenen?