Shadow IT wordt gedefinieerd als de IT binnen een organisatie die niet onder verantwoordelijkheid en beheer van de (centrale) IT-afdeling van deze organisatie valt. Er komt steeds meer shadow IT in organisaties, met name door het brede aanbod van cloud diensten en het steeds meer gehanteerde bring-your-own-device beleid. Het lijkt voor IT-afdelingen een steeds grotere uitdaging te worden om met shadow IT om te gaan. IT-afdelingen zullen enerzijds verantwoordelijkheid los moeten laten en anderzijds duidelijke kaders moeten zetten voor shadow IT.
Cloud diensten en bring-your-own-device
Doordat er een steeds bredere beschikbaarheid is van cloud diensten, met name Software as a Service (SaaS) is het voor iedereen binnen een organisatie mogelijk om betaalde en gratis diensten te gebruiken. Medewerkers gebruiken SaaS-diensten bijvoorbeeld om bestanden uit te wisselen, gegevens te delen of samen te werken in projecten. Bekende voorbeelden van dergelijke SaaS-diensten zijn Dropbox, WeTransfer en Projectplace. Op afdelingsniveau selecteren managers zelf hun cloudapplicaties voor bijvoorbeeld customer relationship management, document management of klantinteractie. Een creditcard is meestal genoeg om een applicatie te gaan gebruiken met alle medewerkers van de afdeling.
Omdat veel organisaties hun medewerkers de mogelijkheid bieden om met eigen apparatuur te werken (bring your own device), zijn er ook steeds meer apparaten (laptops, tablets en smartphones) buiten het beheer van de centrale IT-afdeling. De medewerker gebruikt zijn eigen apparatuur en is daarbij ook zelf verantwoordelijk voor de werking, het beheer en het onderhoud, dus ook voor het upgraden en updaten van het operating systeem en de apps. Een discussie is vaak: mag de werkgever software, bijvoorbeeld voor mobile device management, op het device van de medewerker zetten ten behoeve van beveiliging, zodat sterke wachtwoorden worden afgedwongen of het apparaat op afstand kan worden gelocked of gewiped?
Nieuwe risico’s
Beide vormen van shadow IT – SaaS diensten en eigen devices – introduceren risico’s voor de organisatie. Medewerkers en afdelingen kiezen applicaties en devices over het algemeen vanuit het perspectief van toegankelijkheid en gebruiksgemak. Meestal gaan ze in eerste instantie voorbij aan het beleid van de organisatie op het vlak van informatiebeveiliging en (informatie)architectuur. Dit levert vraagstukken op waar bij de keuze voor de oplossing niet over was nagedacht, zoals: voldoet de oplossing aan het beveiligingsbeleid en het privacybeleid, hoe is de data beveiligd, is de applicatie op alle devices beschikbaar (ook oudere varianten met oudere operating systemen), hoe krijgen we gegevens uit centrale systemen en databases beschikbaar binnen de SaaS-dienst, et cetera.
Loslaten en kaders zetten
De tijd is voorbij dat de centrale IT-afdeling kan afdwingen dat zij verantwoordelijk is voor alle IT in een organisatie. Medewerkers en afdelingen nemen daar geen genoegen meer mee en de mogelijkheden om buiten de centrale IT-afdeling een product of dienst af te nemen zijn erg groot geworden. De centrale IT-afdeling zal dus moeten loslaten. Zij zal moeten accepteren dat het een gegeven is dat er hardware en applicaties buiten hen om worden aangeschaft. Ze kan hier mee omgaan door medewerkers en afdelingen ‘op te voeden’. Dit betekent: uitleg geven over mogelijkheden en risico’s. Maar ook: kaders stellen over wat wel en niet kan, bijvoorbeeld door het afspreken van standaarden, koppelvlakken en het beveiligingsbeleid. Door kaders te stellen houdt de IT-afdeling voldoende middelen om ‘in control’ te blijven over IT die niet onder haar directe beheer valt.
Meer weten?
Het bring-your-own-device beleid en shadow IT kunnen een uitdaging vormen voor de regie binnen je organisatie. Wij kunnen helpen de passende kaders in samenspraak met jou vaststellen.Neem contact op met VKA of met mij persoonlijk Pim Schouten via pim.schouten@vka.nl.