‘Schaduw-it’ verwijst naar de trend waarbinnen steeds meer werknemers een beroep doen op applicaties die niet door hun werkgever zijn goedgekeurd. Hierdoor komen bedrijfsgegevens buiten de controle van de ict-afdeling te vallen.
Schaduw-it bestaat al sinds de komst van client/server-automatisering – inmiddels alweer zo’n dertig jaar geleden. Business units kregen daarmee voor het eerst toegang tot it-mogelijkheden. De opkomst van mobiliteit verscherpt momenteel de focus op wat veel cio’s (maar ook it-managers en ‘heads of mobility’) als een van hun grootste beveiligingsproblemen zien.
Sinds de komst van iOS en Android maken mobiele werknemers grif gebruik van diverse aantrekkelijke consumentenapplicaties. Met als gevolg dat men deze apps nu ook het liefst voor werkdoeleinden wil inzetten. En als de IT-afdeling hen nee verkoopt, gaan ze er soms stiekem toch mee aan de slag. Volgens een onderzoek van BT is 58 procent van alle cio’s van mening dat schaduw-it de potentie bezit om hun positie volledig te ondergraven.
Deze ontwikkeling beperkt zich niet tot een hype die wel weer zal overwaaien. Het gebruik van consumentenoplossingen voor werkdoeleinden is onstuitbaar. We bevinden ons in een tijd waarin it op de consument is gericht. Het zal daarom geen verbazing wekken dat maar liefst 44 procent van alle werknemers bereid is om de interne richtlijnen te omzeilen en de applicaties te downloaden waar zij de voorkeur aan geven. Belangrijker nog is dat dit fenomeen bijdraagt aan een verregaande ‘mobilisatie’ van zakelijke ict. Cio’s zijn dan ook druk doende hun traditionele strategieën hierop aan te passen en stellen hierbij mobiliteit centraal binnen hun automatiseringsbeleid.
Waarom is schaduw-it een probleem?
Cio’s moeten een keuze maken tussen het inperken van het gebruik van ongeoorloofde ict-diensten of de populariteit en potentiële productiviteitsvoordelen daarvan te onderkennen. Daarnaast is het essentieel om de bestaande omgeving verder te optimaliseren en hierbij rekening te houden met de nieuwe eisen die deze diensten met zich meebrengen. Voor veel cio’s is de eerste optie zeer verleidelijk, omdat het aanbod van oplossingen hiermee beheersbaar blijft en werknemers in theorie worden beperkt tot het gebruik van vertrouwde diensten.
De theorie strookt in dit geval echter niet met de praktijk. Controle proberen te krijgen op het gebruik van apps door werknemers is water naar de zee dragen. Als de inzet van een bepaalde consumentenapplicatie wordt verboden, zal het personeel direct overstappen op een vergelijkbare oplossing. Het feit dat 88 procent van alle gebruikte apps niet door de werkgever zijn goedgekeurd, geeft wel aan dat cio’s en it-managers die voor het inperken van schaduw-it kiezen een verloren strijd vechten.
Bedrijfsgegevens veilig houden
It-verantwoordelijken zullen hun houding ten opzichte van schaduw-it moeten veranderen. Dit fenomeen werpt namelijk licht op gebieden waarin de it-afdeling onvoldoende tegemoetkomt aan de behoeften van het personeel. Cio’s zouden dit als kans moeten aangrijpen om nieuwe inzichten op te doen in plaats van schaduw-it als beveiligingsrisico te beschouwen. Alleen op die manier kan de ict-afdeling beveiligingsregels opstellen die schaduw-it-initiatieven ondersteunen in plaats van het probleem onder het oppervlak te laten verdwijnen. Je kunt geen guerrillaoorlog tegen schaduw-it winnen. Wat wel mogelijk is, is het fenomeen gebruiken als aanknopingspunt om inzicht te verwerven in de problemen waar werknemers tegenaan lopen en hen vervolgens goed toe te passen oplossingen aan te reiken.
Een goed voorbeeld is het gebruik van persoonlijke cloud-diensten voor de opslag van bedrijfsdocumenten. De it-afdeling zal nooit volledige controle kunnen uitoefenen op de beveiliging van data als dit soort applicaties wordt gebruikt. Een praktischer en meer veelzijdige aanpak is om de focus te richten op de beveiliging van de desbetreffende documenten in plaats van de locatie waar ze worden opgeslagen. Het scheiden van de beveiligingsmethode en opslaglocatie maakt het mogelijk om bestanden altijd en overal veilig te houden. Op deze manier kunnen de problemen rond schaduw-it tot een minimum worden beperkt. Het personeel kan bovendien zelf kiezen welke diensten het gebruikt, terwijl de potentiële risico’s rond het gebruik van ongeoorloofde applicaties uit de weg worden geruimd. Als werknemers in staat zijn om consumententechnologie optimaal te benutten en de mogelijkheid van gegevensverlies nog steeds kunnen blijven beperken, zouden ze toestemming moeten hebben om dit te doen.
‘Mobile First’ betekent ‘Employee First’
Het mogelijk ongeoorloofd gebruik van consumentenapplicaties is slechts het topje van de mobiele ijsberg. We merken dat er een verschuiving plaatsvindt van traditionele pc-gebaseerde ondernemingen naar Mobile First-organisaties waarvan de medewerkers los van plaats en tijd toegang houden tot alle belangrijke bedrijfsprocessen. Dit model draait om de gebruikspatronen van werknemers en de ondersteuning daarvan. Het is zaak om hen een uitmuntende gebruikservaring te bieden in combinatie met de vrijheid het apparaat, het besturingssysteem of de app te kiezen die het beste op hun behoeften aansluit.
Ook het beveiligingsmodel ziet er bij deze nieuwe aanpak anders uit. Pc’s waren gebaseerd op een onveilig, open bestandssysteem. Dit resulteerde regelmatig in virusaanvallen en datalekken. Als reactie hierop stelden cio’s het inperken van functionaliteit centraal binnen hun beveiligingsmodel. Moderne mobiele besturingssystemen zijn een stuk veiliger, en eindgebruikers hebben een onstilbare honger naar nieuwe apps. It-verantwoordelijken en ‘heads of mobility’ zouden daarom een beveiligingsmodel moeten hanteren dat eindgebruikers keuzevrijheid biedt in plaats van hun mogelijkheden te beperken.
De cijfers geven aan dat ‘consumerization’ van ict geen overwaaiende trend is. Het omvangrijke aanbod van consumententechnologieën die tot de beschikking van werknemers staan zal alleen maar toenemen. It-afdelingen die schaduw-it bevechten zullen merken dat de strijd er alleen maar heviger op wordt. Het is nu tijd voor cio’s met een vooruitziende blik om schaduw-it een plek te geven binnen het geldende it-beleid met als doel het realiseren van een verdere optimalisatieslag tussen gebruikers, it-middelen en onderliggende bedrijfsprocessen, waarbij productiviteit van mensen voorop staat en de gebruiker minimaal hinder ondervindt van de complexiteit van de onderliggende technologie.
Schaduw-IT is een stukje breder dan hier verkondigd wordt. Een macro schrijven en gebruiken binnen het office pakket, waar de IT beheer afdeling niets van af weet, is ook een vorm van Schaduw-IT en daarbij worden helemaal geen extra applicaties gebruikt.
Wat betreft de rest van het verhaal als ik een product koop waar ik echt het beste van wil hebben, ga ik meestal voor de ‘industrial’ of ‘military’ grade en niet de consumenten instap versie. Thuis heb ik bijvoorbeeld een 24/7 operator bureaustoel van 1200 euro en niet een gaming bureaustoel met schreeuwerige kleuren van 300 euro.
Wanneer je in een (gereguleerde) productieomgeving zit, is schaduw-it dodelijk. Als mensen zelf software gaan installeren (en gebruiken) loop je het risico dat je je producten op lange termijn niet meer kunt reproduceren omdat je niet weet wat er op de achtergrond allemaal gebruikt is.
Een andere bekende uit dezelfde koker is ontwikkelaars die open source software gaan gebruiken (op zich niets mis mee) en delen hiervan in het product gaan opnemen zonder de licentievoorwaarden goed te checken. Dit kan tot vervelende claims leiden als je niet oppast.
Veelal wordt voor het beleid rondom (schaduw-)IT geredeneerd vanuit de medewerker die software moet ontwikkelen, maar er zijn nog meer factoren die een rol spelen hierbij.
Periodiek terugkerend stukje met daarin de bekende hoofdrolspelers: de slome saaie en niet innovatieve bedrijfs-IT en daarnaast de savvy, up-to-date, mobile whizzkid gebruiker die de regels aan zijn laars lapt want als millenial ben je 2 maal zo productief met je telefoon dan die oldtimers met hun PC’s.
Deze “renegade” mentaliteit blijkt in de regel als sneeuw voor de zon te verdwijnen als de werkgever een substantiele boete krijgt wanneer er data wordt gelekt door een persoon die zich willens en wetens aan de gebruikelijke compliance maatregelen onttrekt. In de corporate wereld volgt er dan namelijk meteen ontslag.
En terecht.
Schaduw IT in al zijn facetten is een feit. Dat blijkt als een minister (Kamp) privé email gebruikt voor zakelijke doeleinden, maar waarmee compliance een grote uitdaging blijkt.
Het is ook een feit dat er steeds meer software as a service word aangeboden en dat de voordelen hiervan enorm zijn.
Gebruikers en dergelijke zouden zich meer aan de regels moeten houden en IT afdelingen zouden zich meer moeten verdiepen en hoe ze op een goede manier externe diensten kunnen integreren.
Ik ben er 100% dat er goede regels zijn en dat deze moeten worden nageleefd, ook als dat niet comfortabel is, maar het valt me ook op dat veel afdelingen niet flexibel zijn en erg hun eilandje beschermen en domweg de mogelijkheden niet kennen en onderzoeken.
Ik lever software as a service maar de houding van IT afdelingen stuit mij heel erg tegen de borst, IAM die cloud en on-premises verbind is er vaak niet en als het aan IT afdelingen ligt (niet alle, maar wel een meerderheid) komt deze er ook niet. Dat de onwil niet voort komt uit onderzoek maar uit onwetenheid, onwilligheid en onbekendheid irriteert me mateloos, gelukkig zijn er ook uitzonderingen.
Ik ben echt voor een gecontroleerde manier van het gebruiken van externe diensten (of interne macro’s, access databases, etc.) . De gebruiker zou zich meer bezig moet houden wat belangrijk is voor het bedrijf, de it afdeling zou wat vaker moeten verdiepen in wat er te koop is en hoe dat kan worden ingezet.
@Henri … de laatste alinea van je betoog laat mijns inziens ook zien waar (een deel van) het probleem zit: “de it afdeling zou wat vaker moeten verdiepen in wat er te koop is en hoe dat kan worden ingezet”
Echter … bij een groot deel van de ondernemingen is de it afdeling een kostenpost, waardoor er geen ruimte is om hier goed op in te spelen.
PaVaKe,
Eens met je reactie, alleen -en dit raakt ook een andere discussie- dit kan een medewerker ook in zijn vrije tijd. Zie het zeg maar als een investering in je zelf en in je toekomst. Geen tijd en geen geld is welliswaar wel vaak gebruikt, maar vaak zie ik ook dat het mensen niet echt interesseert en dat ze niet echt bereid zijn om het te onderzoeken.
Natuurlijk, als je met een IAM (als dienst of product) wil spelen heb je daar resources voor nodig (test omgeving, credit card), maar zelfs als vooronderzoek is dat niet nodig.
Ook geloof ik dat directie of bestuurders zich moeten verdiepen in de strategie en toekomst van “hun” IT aangezien IT in ieder bedrijf een steeds grotere rol krijgt. Zij moeten ook op hun netvlies krijgen wat de trends en mogelijkheden zijn….
Niet echt een nieuw verhaal en het is maar net wat je wel en wat je niet in het zonlicht wilt hebben want ‘privacy-by-design’ gaat niet om HOE je iets opslaat maar WAT je bewaard. En dit kan dus voor een cultuurschok zorgen want de GDPR zet een streep door het ‘Employee First’ principe waarin gebruiker bepaalt waar privacy van klant begint en eindigt. Tenslotte stelt GDPR ook eisen over inzage, verwijdering en verbetering van de persoonsgegevens.
GDPR zet vooral een streep door de ‘Wij van WC-eend adviseren WC-eend’ verhalen van de self-assessments door eerdere vrijblijvendheid in de bescherming van persoonsgegevens te veranderen, de impact hiervan op de trend van ‘Consumerization of IT’ zal aanmerkelijk zijn omdat de oude EDP-auditor in het proces terugkeert als DPO. Aangezien deze functionaris direct onder de hoogste baas rapporteert wordt daarmee de rol van de CIO versterkt en die van de CDO verzwakt want de DPO is de ‘dirigent’ in het compliance spel.
Ja, organisaties zullen terug moeten naar de tekentafel om hun processen te heroverwegen doordat je simpelweg niet kunt voldoen aan de eisen van GDPR rond ‘pivacy-by-design’ als je in het governance model Schaduw IT toestaat.
Werkte ooit eens bij een overheids afdeling waar een kopie van de productie database voor het testen werkt gebruikt en het ‘lekken’ ervan was afgedekt via een formuliertje wat je moest ondertekenen.
Aangezien in die database ook email adressen zaten en je grofweg een euro voor elk email adres kan vragen bij de juiste koper de backup dus een aanzienlijke verkoopwaarde heeft. Dat je die lijst op een USB stick zet en meeneemt naar huis valt eenvoudig weg niet te controleren.
Hier wordt weer het beeld gewekt, dat ‘IT’ verantwoordelijk zou zijn voor het beveiligen van informatie. Dit is onjuist: het is een bedrijfsbelang dat gegevens vertrouwelijk blijven en IT levert hiervoor slechts de middelen en maatregelen aan. Op dezelfde manier mag je van een goed ingewerkte medewerker verwachten dat deze zich verantwoordelijk gedraagt ten aanzien van de gegevens waarmee hij/zij werkt. Dat is lastig, want mensen zijn mensen, maar bijvoorbeeld artsen laten met hun beroepsgeheim zien dat het goed mogelijk is om mensen zelf verantwoordelijk te maken voor de bescherming van patientgegevens. Gebrek aan kennis van IT vormt de tweede valkuil, dus ook als het ’tussen de oren’ wel goed zit kan het zijn dat verkeerd gebruik van IT-middelen tot problemen leidt. Hier ligt een taak: medewerkers leren hoe zo veilig mogelijk gebruik te maken van deze consumentendiensten en voor te lichten over de bekende voor- en nadelen van deze dienst. Zo ontstaat er een uitgebreid keuzemenu, waarbij een medewerker zelf kan kiezen maar ook weet waarvoor hij/zij kiest.