Vijf veelvoorkomende risico’s rond schaduw-IT en hoe u daar grip op krijgt

shadow-it

Elke systeembeheerder is inmiddels wel bekend met de term schaduw-IT. Veel beheerders zijn actief binnen organisaties waar sprake is van dergelijke parallelle, deels onbekende infrastructuren. Maar laten we bij het begin beginnen en kijken naar de definitie van schaduw-IT. Deze term verwijst naar de hardware en/of software binnen een onderneming die niet door de centrale IT-afdeling wordt ondersteund. De term schaduw-IT heeft een negatieve lading, omdat die impliceert dat de IT-afdeling niet alle gebruikte technologie heeft goedgekeurd en vaak niet eens op de hoogte is van het feit dat werknemers daarmee werken.

Bij schaduw-IT worden complexe infrastructuren volledig buiten de IT-afdeling om ontwikkeld. Dit kan variëren van beheersbare hardware-omgevingen tot complete ERP-systemen die dagelijks binnen de organisatie worden benut en zelfs gebruikmaken van data uit het officiële ERP-systeem. De IT-afdeling heeft hier geen enkele grip op.

Vaak vertegenwoordigen dit soort onafhankelijke infrastructuren een beheerprobleem. Als specialistische afdelingen geen adequate oplossingen krijgen aangereikt en afdelingshoofden al te veel beslissingsvrijheid hebben, kunnen er zich al snel situaties voordoen waarin afdelingen op eigen houtje oplossingen ontwikkelen. En dat gaat met diverse risico’s gepaard.

  1. Cyberbedreigingen - De hardware die zonder toestemming binnen afdelingen wordt gebruikt, wordt mogelijk niet door de IT-afdeling ingerichte beveiligingsmechanismen beschermd. De kans bestaat dat er geen firewall en virusscanner aanwezig zijn en dat de laatste patches niet zijn geïnstalleerd. Dit maakt de schaduwomgeving, gevoelige bedrijfsgegevens en vaak ook het hele bedrijfsnetwerk kwetsbaar voor cyberaanvallen.
  2. Gegevensverlies - Systemen en applicaties binnen schaduw-IT-omgevingen vallen niet onder de back-up- en herstelstrategie van de IT-afdeling. De kans bestaat dat er helemaal geen back-upoplossing worden gebruikt, of dat er slechts één persoon verantwoordelijk is voor het beheer van back-ups en er geen vervanger beschikbaar is. Als bedrijfskritische data verloren gaat tijdens een incident, zal dit voor aanzienlijke schade zorgen, en zijn de gevolgen voor de organisatie niet te overzien.
  3. Informatiebeveiliging - De IT-afdeling heeft dus geen grip op de back-ups en data binnen de schaduw-IT-omgeving, en er is al evenmin sprake van duidelijkheid over wie toegang tot gegevens heeft. In het ergste geval kunnen voormalige externe dienstverleners of ex-werknemers deze data nog altijd benaderen. Vaak is er ook geen sprake van wijzigingsbeheer of een overzicht van welke gebruikersaccounts toegang tot welke gegevens hebben en wat ze daarmee kunnen doen.
  4. Inefficiëntie - Wijzigingen van hardware en software binnen schaduwomgevingen worden mogelijk niet vooraf getest. De door afdelingen geïmplementeerde oplossingen kunnen weliswaar afzonderlijke processen bespoedigen (een veel voorkomende reden om een beroep te doen op schaduw-IT), maar daardoor kunnen diverse andere bedrijfsprocessen in de knel komen. In het ergste geval zou dit ervoor kunnen zorgen dat bedrijfskritische IT-bronnen niet langer beschikbaar zijn. Bovendien gaat schaduw-IT gepaard met dubbel werk qua beheer en onderhoud - als er al onderhoud binnen de schaduw-IT-omgeving plaatsvindt.
  5. Compliance - Bij schaduw-IT worden er vaak processen binnen afdelingen geïntroduceerd die in strijd zijn met de interne bedrijfsregels. Nog erger wordt het als deze processen inbreuk doen op de wet- en regelgeving. In dat geval kan zelfs het voortbestaan van de onderneming in het geding komen.

Hoe u korte metten kunt maken met schaduw-IT

Een einde maken aan schaduw-IT is niet iets wat u van de ene dag op de andere kunt doen. Dit vraagt meestal om het omarmen van een compleet nieuwe aanpak door de IT-afdeling of zelfs de hele organisatie. Paessler AG, de leverancier van PRTG Network Monitor, de softwareoplossing voor netwerkbewaking, heeft een stappenplan gepubliceerd waarin wordt uitgelegd wat u precies moet doen om opnieuw grip te krijgen op alle IT-infrastructuren binnen uw onderneming en voor altijd een einde te maken aan schaduw-IT. Lees de aanbeveling 7 Steps How to Gain Control of Shadow IT.