Shadow-IT als ‘onzichtbaar’ gevaar

Matrix42 - Edwin Rijper4.jpg

Waarom zou je als gebruiker op IT moeten wachten als je met behulp van een emailadres en creditcard met één druk op de knop diverse tools binnen handbereik hebt om makkelijker en effectiever te werken? Software-as-a-Service-toepassingen zijn afgelopen jaren als paddenstoelen uit de grond geschoten. En dat is niet zo vreemd. Toepassingen die in de cloud draaien bieden namelijk precies de voordelen die medewerkers van hun IT verlangen.

Een overvloed aan op maat gemaakte apps. Alles werkt snel en is vooral ook eenvoudig beschikbaar en vanaf elk apparaat via de cloud toegankelijk. Het klinkt verleidelijk en dat is het ook vanuit het oogpunt van de business en medewerkers. Maar hoe aantrekkelijk deze remote-IT ook is, het brengt grote risico’s met zich mee op zowel financieel en operationeel vlak. Shadow-IT is een valkuil.

IT wordt niet betrokken bij het inkoopproces. Toegang is vanaf elk apparaat mogelijk, ook buiten het beveiligde netwerk. De toegangsgegevens worden niet centraal beheerd, waardoor gegevensbescherming in het gedrang komt. Het leveren en intrekken van cloud-applicaties is een handmatig en dus foutgevoelig proces. En kostenoptimalisatie is zonder kennis van het daadwerkelijke gebruik niet mogelijk.

Centraal beheer toepassingen

Als die diverse SaaS- en Cloud-toepassingen niet centraal beheerd worden, ontstaat een bonte verzameling van apps, systemen en cloudoplossingen die op het gebied van beveiliging, compliance en financiële licentierisico’s niet meer beheersbaar zijn. IT heeft geen zicht op de toegangsgegevens en toegang tot webapplicaties. Daardoor ontbreekt vanzelfsprekend ook de controle en het beheer.

Daarbij komt dat niemand weet of dergelijke SaaS-toepassingen veilig zijn, of multi-factor-authenticatie beschikbaar is en welke gegevens in de cloud zijn opgeslagen zonder encryptie. Ook blijven toepassingen bij de inventarisatie van IT vaak buiten beeld wanneer het beheer niet centraal geregeld is. Op deze manier worden belangrijke veiligheidschecks overgeslagen.

Verschillende technologieën

Een niet te onderschatten factor zijn de negatieve gevolgen voor de standaardisering van bedrijfsprocessen. Zulke processen lopen alleen gesmeerd als bij gestandaardiseerde processen dezelfde applicaties gebruikt worden. Wanneer meerdere afdelingen verschillende technologieën (zoals bijvoorbeeld verschillende SaaS-applicaties) voor vergelijkbare toepassingen gebruiken, gaat het mis.

Naast beveiliging speelt ook het gebrek aan licentie-compliance een rol. Anders dan bij on-premises software gaat het bij SaaS niet langer primair om de vraag of er genoeg licenties voorhanden zijn. Belangrijker zijn eerder vragen over het gebruik en kostenmanagement: wie autoriseert de budgetten, wie zorgt ervoor dat toegangslicenties die niet langer in gebruik zijn gedeactiveerd worden? Wanneer lopen welke abonnementen af? Blijft een medewerker in de SaaS-toepassing automatisch geregistreerd, ook wanneer hij/zij deze niet gebruikt?

Uitdaging

Hoe kan een IT-organisatie een aantrekkelijk Cloud Service Portfolio opzetten waarbij medewerkers precies krijgen wat ze nodig hebben voor hun dagelijkse werk? En hoe kan het cloudgebruik controleerbaar en in overeenstemming met licenties vormgegeven worden? Met welke

instrumenten kan men SaaS-kosten optimaliseren? Flexibiliteit en snelheid zijn de belangrijkste onderdelen voor zowel business als cloud-leveranciers. Effectief SaaS-management heeft hierdoor meerdere aspecten. Er is niet één allesomvattende oplossing. Een Software Asset Management-oplossing voor SaaS functioneert alleen bij perfecte samenwerking met meerdere disciplines. Software Asset Management brengt deze zaken voor het voetlicht met de volgende verbeteringen.

1 Software governance – zonder spelregels werkt het niet

Software governance is onderdeel van IT governance en biedt richtlijnen voor de keuze, de aanschaf en de inzet van bedrijfssoftware aan. Voor SaaS-compliance kan dat betekenen dat medewerkers de volledige verantwoordelijkheid moeten nemen voor de software die op hun apparaten is geïnstalleerd. Ook kan dit ervoor zorgen dat niet gebruikte software na 90 dagen automatisch wordt verwijderd.

2 Adequate centrale service catalogus die snel en gemakkelijk werkt

Om zeker te zijn dat IT ieder moment de controle heeft over geïnstalleerde toepassingen en log-ins is het aan te raden een service catalogus te gebruiken. Dit werkt als een zakelijke app store waar alle beschikbare en op beveiliging geteste SaaS-apps, beschikbaar gesteld, gekeurd en gefactureerd worden. Bij levering vindt geautomatiseerd wijzigingsbeheer en een update van het licentiesaldo plaats in de backend.

3 Centraal contractbeheer voor operatie en kosten inzicht

Net zoals bij het scenario van klassieke over-licensering leiden SaaS apps, die niet of slechts sporadisch gebruikt worden tot hoge (en vermijdbare) IT-kosten. Om kosten- en uitgavenmanagement te optimaliseren is inzicht in het gebruik van de SaaS-services nodig. Het is daarom raadzaam om te kiezen voor een cloudaanbieder die transparante gebruikersgegevens en kostenrapporten verstrekt. Deze gegevens kunnen naar een centrale cloud cost management-oplossing worden getransporteerd, wat flexibele contractaanpassingen mogelijk maakt.

Bij Software as a Service gaat het niet alleen meer om het aantal licenties. Naast technische vragen omtrent toegangs- en autorisatiebeheer en beveiliging gaat het vooral om de onderwerpen gebruik, kostenbeheersing en contractmanagement. Een Software Asset Management-tool moet tegenwoordig het complete proces van de softwarekeuze, de aanschaf, de goedkeuring, de inventarisatie en de facturering tot aan de gebruikersanalyse omvatten. Want alleen dan kunnen de risico’s en het potentieel om je cloud applicaties en contracten verder te optimaliseren 24/7 in beeld gebracht worden.

 

Edwin Rijper is Account Sales Manager Benelux bij Matrix42

Lees ook
Commvault introduceert Commvault Cloud

Commvault introduceert Commvault Cloud

Commvault, aanbieder van oplossingen die databescherming en cyberweerbaarheid naar hybride clouds brengen, introduceert vandaag Commvault Cloud, powered by Metallic AI. Met dit unieke platform kunnen IT- en security-teams de cyberweerbaarheid van hun organisatie ingrijpend verbeteren in een tijd waarin hacks en ransomware-aanvallen aan de orde van de...

Qualys lanceert TruRisk, FixIT en ProtectIT in AWS Marketplace

Qualys lanceert TruRisk, FixIT en ProtectIT in AWS Marketplace

Qualys maakt VMDR TruRisk, FixIT en ProtectIT beschikbaar in AWS Marketplace. Met deze pakketten voor het beheer van kwetsbaarheden, patches en EDR richt Qualys zich op het mkb-segment, aangezien een toenemend aantal cyberaanvallen gericht is tegen kleine bedrijven.

DigiCert ONE komt beschikbaar op Oracle Cloud Infrastructure

DigiCert ONE komt beschikbaar op Oracle Cloud Infrastructure

DigiCert, leverancier van digitaal vertrouwen en lid van het Oracle Partner Network (OPN), gaat het DigiCert ONE-platform voor digitaal vertrouwen toegankelijk maken via de Oracle Cloud Infrastructure. Als gevolg daarvan kunnen klanten sneller de waarde van DigiCert ONE benutten in combinatie met OCI's security-first architectuur voor single- en multi-cloud-implementaties.