Wat is Schaduw-IT?

Schaduw-IT is het gebruik van IT-software, apparaten, systemen of toepassingen door afdelingen of personen binnen een organisatie zonder de uitdrukkelijke toestemming of kennis van de IT-afdeling  van die organisatie. Het gebruik van schaduw-IT-toepassingen is de laatste jaren aanzienlijk toegenomen, voornamelijk door de toename van werk op afstand en het gebruik van cloud-gebaseerde diensten en toepassingen. Hoewel schaduw-IT de productiviteit en innovatie kan versnellen, kan het ook leiden tot ernstige beveiligingsrisico's en complianceproblemen, vooral wanneer data worden opgeslagen op plaatsen waarvan IT niet op de hoogte is. 

Voorbeelden van schaduw-IT-toepassingen en -activiteiten

Elke toepassing die voor bedrijfsdoeleinden wordt gebruikt zonder dat de IT-afdeling van de organisatie erbij betrokken is, kan worden beschouwd als een schaduw-IT-toepassing. 

Schaduw-IT-toepassingen vallen in vier grote categorieën:

• Cloud-gebaseerde toepassingen waartoe gebruikers rechtstreeks toegang hebben via het bedrijfsnetwerk.
• Cloud-gebaseerde toepassingen waartoe gebruikers toegang hebben via SaaS-toepassingen zoals Microsoft Office 365 of Google Workspace.
• Off-the-shelf software, gekocht door een afdeling of eindgebruiker en in het systeem geladen (nu minder gebruikelijk).
• Speciaal ontwikkelde software die draait op de bedrijfslaptop van een individu.

Voorbeelden van schaduw-IT-activiteiten zijn:

• Het downloaden en ongeoorloofd gebruik van workflow- of productiviteitsapps zoals Trello of Asana.
• Het creëren en gebruiken van cloud workloads die zijn opgezet via persoonlijke of afdelingsaccounts of credentials.
• Ongeoorloofde aankoop en/of gebruik van SaaS-applicaties of andere abonnementen op clouddiensten van derden die niet door de IT-afdeling van een organisatie worden gecontroleerd.
• Persoonlijke berichtenplatforms of communicatietoepassingen zoals WhatsApp of Signal gebruiken voor werkgerelateerde communicatie. 
• Persoonlijke e-mailaccounts gebruiken om zaken te doen. 
• Ongeoorloofd meenemen van een eigen apparaat (BYOD - bring your own device). 

Risico's van schaduw-IT

Het is moeilijk tot bijna onmogelijk om uw data te beveiligen als werknemers deze opslaan op locaties buiten de controle van uw bedrijf. Uw IT-afdeling kan ook niet weten welke of hoeveel klantgegevens van uw bedrijf in gevaar zijn als ze niet weten waar die data zich bevinden. 

De belangrijkste veiligheidsrisico's van schaduw-IT zijn dan ook:

Dataverlies

Aangezien uw bedrijf geen toegang heeft tot data die zijn opgeslagen in persoonlijke accounts of op persoonlijke laptops, verliest het die data wanneer de medewerker vertrekt of wordt ontslagen. En omdat data op die persoonlijke accounts niet onderworpen is aan bedrijfsbeleid en -procedures, is het mogelijk dat er geen goede back-up, archivering of versleuteling plaatsvindt volgens het bedrijfsbeleid.

Verminderde zichtbaarheid en controle

Schaduw-IT levert ernstige problemen op met zichtbaarheid en controle, om dezelfde reden dat het ernstige problemen oplevert met dataverlies: U kunt niet beveiligen wat u niet kunt zien. Het toegenomen gebruik van self-provisioning kan de productiviteit en onboarding versnellen, maar het decentraliseert ook de resource provisioning, waardoor IT moeite heeft om te weten wat er gebeurt, met wie en waar. Dit leidt er ook toe dat er niet één betrouwbare waarheidsbron voor data is, of een gecompromitteerde of onvolledige waarheidsbron voor data. 

Grotere kwetsbaarheid voor cyberaanvallen

Elk geval van schaduw-IT vergroot het aanvalsoppervlak van een organisatie, en aangezien schaduw-IT-applicaties niet zichtbaar zijn voor IT, worden zij ook niet beschermd door de cyberbeveiligingsoplossingen van het bedrijf. Bovendien gebruiken gebruikers van schaduw-IT-toepassingen vaak zwakke referenties en wachtwoorden die cybercriminelen gemakkelijk kunnen misbruiken om toegang te krijgen tot een bedrijfsnetwerk.

Hogere kosten door niet-naleving

Schaduw-IT brengt bij een datalek voor een organisatie vaak indirecte kosten met zich mee in de vorm van boetes en sancties, naast reputatieschade. En hoewel sommige werknemers zich tot schaduw-IT kunnen wenden als een manier om kosten te besparen, is het langetermijngebruik van schaduw-IT-toepassingen en -diensten, zoals dataopslag, vaak niet kosteneffectief op schaal.

Hoe kan men de risico's van schaduw-IT beheren en beperken?

Wat is de belangrijkste oorzaak van schaduw-IT?

Werknemers hebben niet wat ze nodig hebben om hun werk zo goed mogelijk te doen. 

En dus de verantwoordelijkheid voor het beheer en de beperking ervan ligt bij de mensen die ervoor moeten zorgen dat werknemers toegang hebben tot alle tools, middelen en diensten die zij nodig hebben om hun werk goed te doen. 

Om schaduw-IT-risico's te beperken, kunnen organisaties:

• Medewerkers opleiden in het veilige en juiste gebruik van alle tools en technologieën 
• Regels en protocollen opleggen voor de provisioning van nieuwe diensten
• Het bedrijfsbeleid inzake beveiliging en naleving benadrukken en voortdurend versterken (via video's, training, enz.).

Maar naast al het bovenstaande is het beste wat een bedrijf kan doen om schaduw-IT-risico's te beperken het gebruik van geavanceerde technologie zoals Pure Storage® FlashArray™ en Snapshots, die,  gecombineerd, de toegankelijkheid en zichtbaarheid van data vergroten om meerdere databronnen te analyseren terwijl ze hun data lokaal houden. Zij kunnen werken met data die direct zijn opgeslagen op FlashBlade® object storage of Pure Cloud Block Store™ in de cloud, waardoor het niet meer nodig is om aparte kopieën te maken van data die worden gedeeld met andere tools of workflows.

Koop het Snapshots voor Dummies e-book.

Meer informatie over FlashBlade//S™. 

Download onze volledige gids voor databescherming.