De vier belangrijkste gevaren van Shadow IT

Jaren geleden betekende het outsourcen van IT nog dat je de hele IT-afdeling de deur uitdeed, voornamelijk naar grote bedrijven. Megaprojecten van vele – soms wel honderden – miljoenen, waardoor alleen multinationals in de positie waren hun IT te outsourcen. Dit veranderde met de komst van online opslagruimte: het is nu voor iedereen mogelijk om binnen een paar minuten een virtuele server te bestellen bij bijvoorbeeld Amazon. Mede daarom verdween ook de afhankelijkheid van een IT-afdeling en was Shadow IT geboren. Shadow IT staat voor alle IT die niet officieel is goedgekeurd door de organisatie zelf en buiten de IT-afdeling valt. Denk aan laptops die van huis worden meegenomen en aan het netwerk worden gekoppeld, of afdelingen die op eigen initiatief IT-producten en -diensten afnemen.

De opkomst van Shadow IT op de werkvloer is een logische ontwikkeling. Sommige systemen en procedures zijn zo omslachtig dat medewerkers de voorkeur geven aan snelle en gebruiksvriendelijke oplossingen via eigen laptops of via de cloud. Toch spreekt het voor zich dat ICT-managers hier geen fan van zijn. De veiligheid komt in gevaar en het levert ook risico’s op. We zetten de belangrijkste gevaren op een rij.

1. Non-compliancy
Regels binnen het bedrijf en wet- en regelgeving in het algemeen verbieden in sommige gevallen het hosten van applicaties (en met name persoonsgegevens) buiten Nederland. Als medewerkers op eigen computers of systemen in de cloud werken, verliest u een deel van de controle hierover en weet u dus niet of u aan deze regels voldoet.

2. Geen toezicht op adequate beveiliging
Een standaard cloudserver die niet door de IT-afdeling wordt beheerd, krijgt geen of weinig beveiligingsmaatregelen mee en loopt soms tientallen patches achter. Er zijn meerdere gevallen bekend van grote databestanden die zonder adequate beveiliging, (tijdelijk) op Amazon S3 zijn geplaatst en vervolgens zijn vergeten. Een klassiek voorbeeld van een potentieel datalek.

3. Geen grip op de kosten
Het bestellen en gebruiken van virtuele servers is gemakkelijk, maar deze uitzetten blijkt lastiger. Ook het voorspellen van de exacte factuur is lastig, onder andere omdat er per databasetransactie wordt afgerekend. Onverwachte extra kosten zorgen soms voor vervelende verrassingen.

4. Onvoorspelbare performance
Door verkeerde keuzes of een onzorgvuldig samengestelde architectuur kunnen applicaties en platformen soms niet de verwachte performance en beschikbaarheid leveren. Juist omdat niet elk platform ‘cloud ready’ is, houdt IT graag de controle over wat er wordt aangesloten.

Dit betekent echter niet dat u alle Shadow IT dan maar moet verbieden. Er zijn twee dingen waar uw organisatie goed op moet letten. Ten eerste moeten activiteiten buiten de goedgekeurde IT geen vertrouwelijke data omvatten. Wanneer de verwerking van persoonlijke gegevens buiten de goedgekeurde omgeving plaatsvindt, is de kans op datalekken groter, met alle gevolgen van dien. Door data te scheiden en veilig te verwerken, waarborgt u de persoonsgegevens van klanten en is het risico op datalekken kleiner. De tweede belangrijke factor is de training van medewerkers. Door iedereen bewust te maken van de risico’s en mogelijke consequenties van Shadow IT zorgt u voor een gezamenlijke mindset. Leer uw medewerkers dus niet alleen omgaan met reguliere ICT, maar begeleid ze ook in het gebruik van Shadow IT.

Hoe cloudsourcing u hierbij kan helpen leest u in onze whitepaper ‘Van managed hosting naar cloudsourcing’.

Meer blogs uit onze blogserie over de AVG:

Voldoen aan de AVG. Waar moet ik beginnen?

Bescherming persoonsgegevens, wie is verantwoordelijk? 

Moet ik een Functionaris Gegevensbescherming aanstellen?

Vier valkuilen bij de bescherming van persoonsgegevens onder de AVG

Hoe zorg ik dat ik een datalek op tijd herken?

Meer informatie? Neem contact op met ons!

Intermax Redactie