Shadow IT op hogescholen: veilig omgaan met zelfgebouwde applicaties

We zien het steeds vaker: shadow IT op hogescholen. Vaak beter bekend als de inzet en gebruik van zelfgebouwde applicaties. Wat is het gevaar hiervan en hoe kun je de risico’s beperken? Carthago ICT legt het je uit.

Wil je op een veilige manier omgaan met shadow IT op hogescholen? Dan moet je het echt omarmen. Door actief te monitoren op het gebruik van dit soort systemen en bewustwording te creëren bij eindgebruikers over bijvoorbeeld veilige wachtwoorden in deze systemen houd je de inzet van deze zelfgebouwde applicaties veilig.

Zelfgebouwde applicaties

zijn applicaties die (in het geval van shadow IT op hogescholen) door studenten of leraren zelf zijn gebouwd. Dit in tegenstelling tot COS (Common of the shelf software). Vaak worden deze gebouwd omdat de bestaande software van de grote partijen bepaalde functies niet aanbieden of ondersteunen, die wel gewenst zijn. Zo kan een standaard systeem bijvoorbeeld wel cijfers van de student weergeven, maar moet de student via een ander systeem zijn of haar verslagen uploaden.

Hierdoor ontstaat er een wildgroei aan applicaties binnen het IT landschap wat vaak als erg vervelend wordt ervaren door zowel student als leraar. Om dit op te lossen zien we dat enthousiastelingen vaak aan de slag gaan om zelf de oplossing hiervoor te bouwen. Deze innovatieve gedachte heeft echter twee kanten. Enerzijds is dit enthousiasme natuurlijk iets moois; ”er is een probleem en dat lossen we zelf op!”. Anderzijds brengt dit ook een keerzijde met zich mee.

En die keerzijde heet: shadow IT

De situatie wanneer individuen of complete afdelingen systemen inzetten buiten de systemen van de IT afdeling om noemen we shadow IT. Om te spreken van shadow IT hoeft het systeem wat wordt ingezet niet altijd zelfgemaakt te zijn. Het kan bijvoorbeeld ook zijn dat iemand zijn bestanden verstuurd via een systeem als WeTransfer, terwijl policy is om dit via de interne cloud omgeving te doen. Ook dan spreken we van shadow IT.

De gevaren van shadow IT op hogescholen

Zelfgebouwde applicaties kunnen een groot risico vormen voor hogescholen. Als het goed is heeft de IT afdeling de huidige hard- en software systemen met zorg uitgezocht. Hierbij is onder andere veel aandacht besteed aan de veiligheid van deze systemen. Dit om kosten wat kost te voorkomen dat een persoon van buitenaf bij data kan, met een datalek tot gevolg. Wanneer een persoon zelf een applicatie bouwt of een andere applicatie inzet vormt dit een potentieel gevaar voor de data. Hierin zien wij twee potentiële gevaren:

Gevaar #1: applicaties die gekoppeld zijn aan bestaande systemen

Zelfgebouwde applicaties op hogescholen en universiteiten worden vaak gekoppeld aan de grotere systemen. Er zijn vaak een tal van datastromen tussen deze twee systemen actief. Hierdoor is het zelfgebouwde systeem in veel gevallen de ingang voor kwaadwillende in de data in de grotere systemen. Men kan in het ergste geval via het zelfbouw systeem toegang krijgen tot de andere systemen. Maar ook het onderscheppen van de data stroom tussen de twee is een mogelijkheid.

Gevaar #2: applicaties die data verwerken uit de beschermde systemen

De data in het bestaande IT netwerk is goed beschermd door de IT afdeling. Wanneer individuen op eigen houtje extra systemen gaan inzetten vormt dit een risico voor deze data. Dit omdat in deze extra systemen vaak ook data verwerkt zal gaan worden. Doordat de veiligheid van deze externe systemen niet geverifieerd is vormt dit een potentieel risico.

Shadow IT op hogescholen kosten wat kost voorkomen?

Om op een veilige manier met shadow IT op hogescholen om te gaan moet je het juist omarmen in plaats van voorkomen. Wat ons betreft heeft shadow IT namelijk ook voordelen. Doordat de eindgebruiker zelf een systeem kiest van zijn of haar voorkeur werkt deze de gebruiker vaak efficiënter.

Wel is belangrijk om de inzet van deze systemen te monitoren als IT-afdeling. Door transparant te zijn over shadow IT met je medewerkers trek je het letterlijk uit de schaduw. Door het gesprek aan te gaan met de eindgebruiker over waarom deze het systeem inzet en bijvoorbeeld welke functies er worden gemist in huidige systemen hou je grip op shadow IT. Dat kan bijvoorbeeld met de Security Training van Carthago.

Op deze manier kan er namelijk worden gekeken of bestaande systemen nog wel de juiste zijn. Wellicht zit de gemiste functie wel gewoon in het bestaande systeem? In dit geval is er meer educatie rondom het bestaande systeem vereist. Zijn er bepaalde functies die stelselmatig gemist worden? Dan is het wellicht tijd om over te stappen op het systeem dat de gebruiker toch al inzet. Op deze manier pak je de grip op ingezette systemen terug.

 

Bewustwording = de oplossing van shadow IT op hogescholen

De inzet van systemen die persoonlijke voorkeur hebben is dus zo slecht nog niet. Wel is het belangrijk dat de gebruiker er van bewust is niet met gevoelige data aan de slag te gaan in deze systemen. Vooral zolang ze nog niet organisatie breed geaccepteerd zijn. Ook de inzet van een sterk wachtwoord en bijvoorbeeld twee factor authenticatie is iets wat je moet stimuleren onder eindgebruikers.

Een strategie opstellen omtrent shadow IT op hogescholen?

De voordelen van shadow IT op hogescholen optimaal benutten en de nadelen te lijf gaan? Carthago ICT adviseert om een kristalheldere strategie op te stellen wanneer het aankomt op shadow IT op hogescholen. Hoe je dit doet? Lees je o.a. in ons whitepaper! 

We denken natuurlijk ook graag met je mee , neem gerust een vrijblijvend contact op.

Een strategie opstellen omtrent Shadow IT binnen jouw organisatie?

De voordelen van Shadow IT optimaal benutten en de nadelen te lijf gaan? Carthago ICT adviseert om een kristalheldere strategie op te stellen wanneer het aankomt op Shadow IT. Hoe je dit doet? Lees je o.a. in ons whitepaper! 

We denken natuurlijk ook graag met je mee, neem gerust een vrijblijvend contact op.

Op een verantwoorde manier omgaan met Shadow IT

Samenvatting:

Onderwerpen

Delen of later verder lezen?

Benieuwd wat Carthago voor jou kan betekenen?