Partnerinfo

[Partner info] Shadow IT: de blinde vlek voor IT security en governance

Vandaag, nog meer dan ooit tevoren, is de digitalisering van onze bedrijfsprocessen en businessmodellen onherroepelijk ingezet. Maar in een gedigitaliseerde economie is het beveiligen van je digitale infrastructuur des te belangrijker. Dit besef is nog niet tot elke boardroom doorgedrongen, waardoor bedrijven vaak onnodige risico’s lopen. Onder meer het gevaar van Shadow IT wordt vaak schromelijk onderschat, waarschuwt Verizon EMEA’s CIO Sanjeev Jain.

Eén van de meest onderschatte, en daarom wellicht gevaarlijkste, bedreigingen voor de bedrijfsinfrastructuur is de zogeheten ‘shadow IT’. Deze vorm van IT-consumptie blijft vaak onder de radar van de ICT-verantwoordelijke omdat het op eigen initatief van de medewerkers gebeurt. In de meeste gevallen gaat dit over software-as-a-service toepassingen, opslagservices of cloud platform services. Soms zijn het erg courante toepassingen zoals WhatsApp en Dropbox, die zo vanzelfsprekend lijken voor de werknemers dat ze er zelfs niet aan denken om de IT-afdeling ervan op de hoogte te brengen. Maar vaak zijn het ook gerichte oplossingen die de business snel vooruithelpen, en die ze dus liever op eigen houtje opstarten in plaats van te moeten wachten op de officiële, en naar hun aanvoelen tergend langzame, procedures voor ingebruikname.

Op het eerste gezicht lijkt dit een positieve trend: medewerkers omarmen technologie om de innovatie binnen de onderneming te versnellen. Dat kan alleen maar toegejuicht worden, toch? Niet helemaal… Als de traditionele ICT-regels worden genegeerd, en deze soms onveilige of niet gepatchte toepassingen en de bijhorende data ongemerkt het bedrijfsnetwerk worden binnengeloodst, dan gebeurt dat niet zonder risico’s, waarschuwt Sanjeev Jain, CIO van Verizon EMEA: “Het bedrijfsnetwerk en alle toepassingen en data daarop – zeg maar het volledige IT-ecosysteem – vormen, zeker in deze steeds verder gedigitaliseerde wereld, het kloppend hart van de onderneming. Shadow IT kan dit kloppend hart op meer dan één manier in het gevaar brengen.”

Gevaar uit diverse hoeken

Ten eerste kan via deze soms onbeschermde toestellen en toepassingen malware op het bedrijfsnetwerk belanden, die kan leiden tot verschillende ongewenste gevolgen: bevriezing van de digitale activiteiten tot losgeld wordt betaald (ransomware), diefstal en zelfs vernietiging van cruciale bedrijfsdata. Geslaagde inbraken in een bedrijfsnetwerk gebeuren al te vaak als gevolg van een menselijke fout bij de werknemers. Shadow IT kan gerust onder de categorie ‘menselijke fouten’ worden geklasseerd.

Daarnaast is er ook het gevaar voor de vertrouwelijkheid van data. Zowat elke onderneming beschikt over klantengegevens die aan de GDPR-regelgeving en andere wettelijke kaders moeten voldoen. Die moeten dan ook behandeld worden volgens een strikte policy zodat op elk moment aan alle verplichtingen is voldaan en de klant bijgevolg op beide oren kan slapen. Met de dreigende schaduw van Shadow IT wordt dit moeilijker om af te dwingen: voor toepassingen die officieel niet tot de bedrijfsinfrastructuur horen, is het veel moeilijker om de controle te behouden over hoe deze applicaties met data omgaan.

Algemeen gesproken komt het hierop neer: als een CIO of CISO (Chief Information Security Officer) een security policy uitstippelt en die toepast op alle gekende bedrijfstoepassingen, toestellen en netwerken, dan nog zullen de ongekende devices en applicaties hierin niet opgenomen zijn. En dat houdt een enorm risico in voor uw organisatie.

Business en IT naar een beter wederzijds begrip

Hoe kunnen we dit gevaar ontmijnen? “In eerste instantie door een grotere bewustwording bij het topmanagement en bij de business managers”, antwoordt Sanjeev Jain, “enerzijds hoe cruciaal de digitale infrastructuur wel is voor elke onderneming en hoe belangrijk governance en security zijn geworden, en anderzijds hoe groot het gevaar van Shadow IT voor de continuiteit van die infrastructuur en voor de onderneming in het algemeen.”

Pas wanneer dit besef is ingetreden, kunnen IT en security managers enerzijds en top management en business managers anderzijds samen aan tafel gaan zitten om te bespreken hoe Shadow IT kan worden vermeden. “Hierbij moet heel open en uitvoerig worden besproken wat de business nodig heeft enerzijds, welke technologie beschikbaar is anderzijds en welke oplossingen de business vooruithelpen en tegelijk een omgeving creëren die volledig beveiligd en compliant is.”

Belangrijk hierbij is het besef dat je nooit voor elke bedrijfsbehoefte een 100% passende oplossing zal vinden, nuanceert Sanjeev Jain: “Daarom is het net zo belangrijk dat je samen aan tafel zit, om elkaar te helpen bij de zoektocht naar de beste beschikbare oplossing. En als die oplossing niet bestaat, kan men nog altijd met de leverancier samenzitten om voor de niet ingevulde behoeften verder oplossingen te ontwikkelen.  Enkel zo kan je voorkomen dat er voortdurend en massaal naar Shadow IT wordt gegrepen.”

Wilt u meer horen over Verizons visie op security in deze context? Bekijk dan de video waarin Sanjeev Jain de risico’s van Shadow IT verder toelicht.

Gerelateerde artikelen

Volg ons

Gebruik je ecocheques bij Coolblue

Gebruik je ecocheques bij Coolblue

Producten bekijken