Schaduw-IT is de term die we gebruiken wanneer medewerkers oplossingen gebruiken die niet bekend zijn bij, of onderhouden worden door, de IT-afdeling. Wil je meer weten over wat schaduw-IT precies is en welke risico’s eraan verbonden zijn? Lees dan zeker eerst onze vorige blog: Wat is schaduw-IT
In deze blog vertellen we je graag hoe je schaduw-IT kan aanpakken, zodat je voor jouw bedrijf de passende keuzes kunt maken om de risico’s van schaduw-IT te beheersen.
Verbannen of omarmen?
Als je stil staat bij alle risico’s kan je de neiging hebben om ofwel op zoek te gaan naar de manier waarop je alle schaduw-IT kunt verbannen. Ofwel geef je het op, laat je alles gebeuren en los je eventuele problemen wel op als ze zich stellen. En, zoals dat vaak gaat met zwart en wit, is er ook een heel groot tussengebied, met minstens 50 tinten grijs.
Optie 1: alle schaduw-IT verbannen
“We gaan gewoon alles verbieden!” Mogelijks was het je eerste reactie als je las over de risico’s van schaduw-IT. En technisch gezien is dit ook mogelijk. Je kan al het netwerkverkeer monitoren, je kan gebruik maken van een CASB om alle niet-geautoriseerde cloud toepassingen te controleren, je kan een EDR-oplossing inschakelen om bedreigingen op eindpunten snel te ontdekken en er korte metten mee te maken of firewalls en webfilters zo configureren dat de toegang tot alle niet-geautoriseerde applicaties en diensten geblokkeerd worden.
Er is wel een grote ‘maar’ verbonden aan deze oplossing. Je gaat volledig voorbij aan de voordelen die schaduw-IT met zich mee kan brengen. Ten eerste hou je op deze manier geen rekening met de behoefte van je medewerkers, en ten tweede verlies je zo de kans om slimme software te ontdekken. Het is niet omdat een bepaalde applicatie niet werd goedgekeurd door de IT-afdeling dat het per definitie een slechte oplossing is. Het kan best zijn dat deze oplossing een goede aanvulling is, of een waardige vervanger voor de systemen die je nu al gebruikt.
Optie 2: schaduw-IT omarmen
Moet je dan maar kiezen voor de tweede optie? Geen enkele restrictie opleggen en de gekozen schaduw-IT steeds organisatiebreed implementeren?
Ervan uitgaande dat elke keuze ook een meerwaarde heeft voor de hele organisatie. Het moedigt je medewerkers aan om zelfstandig te werken en keuzes te maken, en je leert de behoeften van je medewerkers beter kennen waardoor je tegelijkertijd ook processen beter kunt stroomlijnen.
Ook aan deze laissez-faire houding kleeft een ‘maar’. Je komt voor een deel tegemoet aan de risico’s die aan schaduw-IT kleven door te zorgen dat alles bekend is bij de IT-afdeling kan gezorgd worden voor de nodige security en back-up. Aankoop van licenties kan gestroomlijnd worden, zodat de kosten minder de pan uit rijzen en omdat de systemen doorheen de hele organisatie kan gebruikt worden zullen er minder problemen zijn in de communicatie tussen afdelingen. Maar als je geen strategie hebt, geen criteria om af te meten wanneer een applicatie de beste keuze is om jouw bedrijfsdoelen te halen, blijven de risico’s veel groter dan nodig is. Zowel op het vlak van cyberveiligheid (ook al worden ze mee opgenomen door IT, dat is geen garantie dat de eigenaar van de software ook zorgvuldig omgaat met de cyberbeveiliging) als op financieel vlak (heb je kosten-baten gewijs écht de beste keuze gemaakt?).
Optie 3: kies voor één van de 50 tinten grijs
Gelukkig is de wereld niet zwart-wit en is er tussenin heel veel keuze. In de ideale wereld werk je een beleid uit, zodat je kan profiteren van de voordelen van schaduw-IT, zonder dat je alle risico’s hoeft te accepteren.
De beste manier is om een stappenplan op maat van jouw bedrijf uit te werken. Hou daarbij zeker rekening met onderstaande punten:
Betrek alle medewerkers
Jij bent waarschijnlijk al overtuigd dat het anders moet en kan. Maar elke verandering, zeker als ze niet zelfgekozen is, is lastig. Betrek dus zeker je medewerkers van in het begin. Voor je begint met het nemen van acties is het belangrijk dat je medewerkers mee achter de plannen staan.
Geef erkenning aan het feit dat ze pro-actief op zoek zijn gegaan naar oplossingen om hun werk beter te kunnen uitvoeren. Leg uit wat op dit moment de risico’s zijn en vraag hen om actief mee te werken aan het nieuwe beleid. Betrek hen bij elke volgende stap, zodat ze zich bij elke stap gehoord en gezien voelen. Ook als dat betekent dat ze misschien toch met een ander systeem moeten werken dan ze tot nu toe gewend waren.
Stel een procedure op
Zorg dat er een duidelijke procedure is over hoe er in jouw bedrijf wordt omgegaan met nieuwe IT-middelen en wat er gebeurt met materiaal en software die niet langer gebruikt wordt. Beschrijf welke criteria getoetst moeten worden bij elke nieuwe aanvraag en hoe je gaat opvolgen welke IT-middelen in gebruik zijn.
Identificeer alle schaduw-IT die op dit moment gebruikt wordt
De beste manier om een overzicht te krijgen is om gebruik te maken van een monitoringtool die je een lijst kan bezorgen van het dataverkeer en de gebruikte applicaties op je bedrijfsnetwerk.
Ga vervolgens met de gebruiker kijken waarvoor elk element gebruikt wordt. Wees daarbij grondig, en onderzoek de behoefte die aan de basis ligt. Breng in kaart welke behoeften niet worden ingevuld door de geautoriseerde systemen en mogelijkheden. En neem in de analyse ook mee welke behoeften wel ingevuld kunnen worden door de bestaande systemen. Sommige behoeften kunnen eenvoudig ingevuld worden door de medewerkers op te leiden of te informeren.
Zorg voor gedragen beslissingen
Onderzoek samen welke schaduw-IT je wil implementeren. Bekijk ook welke oplossingen voldoen aan de criteria die je opstelde, en doe extra onderzoek naar andere systemen die ook een antwoord bieden op de behoefte die er ligt. Beslis met alle afdelingen samen welke oplossing het beste past binnen jouw bedrijf. En opnieuw, neem de medewerkers mee in het proces, zodat ze mee achter de gekozen oplossing staan.
Implementeer organisatiebreed
Vervolgens is het tijd om de gekozen oplossing te implementeren. Maak werk van zorgvuldige communicatie en voldoende opleiding voor alle medewerkers.
Zorg daarnaast ook dat de procedure voor nieuwe IT-systemen doorheen de organisatie gekend is. Zodat mensen de reflex ontwikkelen om niet op eigen houtje nieuwe systemen in gebruik te nemen, maar de behoefte die ze hebben bespreekbaar te maken, zodat jullie samen op zoek kunnen gaan naar de beste oplossing.
Herbekijk je security maatregelen
Kiezen voor groei en innovatie betekent ook dat de bestaande security maatregelen misschien niet meer voldoende zijn. Dus onderzoek samen met de voorgestelde oplossingen ook de impact op je bestaande security maatregelen. Denk aan de firewalls, endpoint-beveiliging, encryptie, back-up en disaster recovery.
Laat je helpen door Neddine Solutions
Geen idee hoe of waar je moet beginnen? Hulp nodig bij bepaalde onderdelen van het stappenplan?
Neddine Solutions helpt je graag de bedreigingen van schaduw-IT om te zetten naar oplossingen. We hebben al 30 jaar ervaring met het ondersteunen van KMO’s op het vlak van alles wat IT aangaat. Deze periode hebben we heel wat evoluties mogen meemaken. Waaronder de exponentiële stijging van de cyberrisico’s. De veiligheid van bedrijfsgegevens ligt ons nauw aan het hart, we kijken graag samen met jou naar een goede balans tussen werkbaarheid en voldoende cyberveiligheid.
Nieuwsgierig?
Voel je vrij om een gratis strategiegesprek in te boeken.
we beantwoorden graag al jouw vragen en horen graag of en hoe we jou kunnen helpen 👌
Wens je meer te weten te komen over onze aanpak? Neem dan gerust vrijblijvend contact om voor een gratis strategie gesprek. Neddine ICT Solutions heeft 30 jaar ervaring, Waarvan 20 jaar als MSP (Managed Service Provider) in het bijstaan van branches van multinationale ondernemingen, KMO’s. Dit met een ruime klantenbasis in diverse sectoren zoals Biotechnologie, Transportsector, dienstensector, productie-industrie, …
Onze klanten kunnen bij ons terecht voor een totaal service gaande van het uittekenen va de ICT- infrastructuuroplossing, het bouwen (we leveren dus ook al de nodige hard- en software) en onderhouden ervan. Voor de dagdagelijkse ondersteuning kunnen de gebruikers steeds terecht bij ons ervaren Service Desk Team.
Onze slogan is niet voor niets: “Ervaar de kracht van service”
Comments