Shadow IT

Wat is Shadow IT?

Shadow IT verwijst naar het gebruik van software en andere technologieën die niet zijn goedgekeurd door de IT-afdeling van een organisatie. Veel medewerkers maken gebruik van shadow IT en vaak zelfs onbewust. Zo zijn er organisaties waar officieel alleen Signal is toegestaan als messaging app maar waar mensen zonder na te denken WhatsApp gebruiken.

Aanleiding shadow IT

Shadow IT is geen nieuw fenomeen. Zelfs toen medewerkers nog alleen op kantoor aan een desktop werkte – nog zonder internet – kwamen mensen met disks of usb sticks naar kantoor om een ‘handig tooltje’ te installeren. Maar de afgelopen jaren is het gebruik van shadow IT veel populairder geworden. Daar hebben een aantal trends direct aan bijgedragen:

• Cloud computing is een belangrijke stimulans. Je kunt een applicatie eenvoudig online downloaden, simpelweg een app installeren of je neemt een account op een SaaS dienst.
• Financieel is het ook laagdrempelig, in veel gevallen kun je starten met een gratis basisaccount.
• In het verlengde daarvan zijn we na corona steeds meer remote gaan werken; iedereen is steeds meer gewend de eigen werkplek in te richten en daarbij eigen tools te kiezen.
• En ook het gebruik van eigen apparatuur (BYOD ofwel Bring your own device) helpt. Je kunt op je eigen smartphone of laptop meestal onbeperkt software installeren; privé en zakelijk loopt door elkaar.

Hoe ontstaat shadow IT?

Dat het zo gemakkelijk is om tegenwoordig shadow IT te gebruiken, zegt nog niet waaróm het ook zo veel wordt toegepast. Dat heeft niet zozeer te maken met onwil om zich aan de regels van de IT afdeling te houden, maar om andere redenen:

• Prettiger werken: als je een tip krijgt voor een nieuwe tool waarmee je iets sneller of eenvoudiger kunt doen, is het verleidelijk om zo’n app te installeren en uit te proberen.
• IT beperkingen: De IT afdeling heeft het vaak al druk genoeg met de bestaande en strikt noodzakelijke toepassingen. Er ontbreekt simpelweg tijd om extra behoeftes van gebruikers in te vullen.
• Innovatie-drift: Steeds meer medewerkers zijn ‘digital natives’ die voortdurend op zoek zijn naar vernieuwingen. En er komen steeds sneller innovatieve apps op de markt.
• Gebruikersgemak: Nieuwe toepassingen zijn veelal ontwikkeld met gebruikerservaring als startpunt. Gangbare bedrijfsapplicatie scoren daarin vaak veel minder.
• Procedures en beleidsregels: in sommige organisaties is het voor medewerkers lastig om extra software aan te vragen. Licentiekosten, beleidsregels en handmatige processen maken het proces stroperig. Dan lonkt al snel een online download.

Kortom, shadow IT voorziet vaak in een behoefte die de eigen IT afdeling niet kan invullen, en de eigen beleidsregels en aanvraagprocedures helpen ook niet mee. Dat maakt het lastig om shadow IT helemaal uit te bannen.

Voorbeelden van shadow IT

Bij shadow IT gaat het meestal niet om enterprise applicaties die door iedereen worden gebruikt, zoals het CRM pakket en de financiële systemen. Zeker met alle omliggende processen en gekoppelde systemen is het weinig realistisch om hiervoor zonder de IT afdeling een alternatief te zoeken. Maar voor applicaties die meer naar eigen inzicht kunnen worden gebruikt, is shadow IT veel verleidelijker. Een paar voorbeelden:

• Tools om grote bestanden te comprimeren en te versturen zijn erg populair. Er zijn volop tools beschikbaar – zoals WeTransfer – die vaak worden gebruikt zonder dat de IT afdeling betrokken is.
• Hetzelfde geldt voor cloud-opslag diensten. Als samenwerken tussen teams of bedrijven moeizaam verloopt met de reguliere software, lossen gebruikers het al snel op met een Google Drive, Dropbox of OneDrive account.
• Ook voor agile projectsoftware, creatieve tools en planningsapplicaties zijn er meestal volop varianten beschikbaar die vaak net betere mogelijkheden bieden dan het eigen IT assortiment, als er al iets beschikbaar is.

Overigens gaat het ook niet alleen om de ‘ongecontroleerde’ installatie van software. Bij shadow IT kan het ook gaan om hardware die direct door een medewerker of afdeling wordt aangeschaft zonder IT-specialisten te betrekken. En ook die handige collega die zonder betrokkenheid van de IT-afdeling een eigen app ontwikkelt, valt onder de noemer shadow IT.

Risico’s shadow IT

Shadow IT kun je dus bijna niet voorkomen en wordt soms bijna ongemerkt gebruikt. Bij een onderzoek in 2020 van business intelligence dienstverlener Statista bleek bijvoorbeeld dat 42 procent van de respondenten hun persoonlijke e-mailaccounts ook voor hun werk gebruiken, zonder dat ze daarvoor toestemming van de IT-afdeling hebben.[1]

De groei zit er bovendien nog in. Het percentage medewerkers dat technologie aanschaft, aanpast of ontwikkelt zonder de IT afdeling te raadplegen, zal volgens Gartner groeien van 41% in 2022 naar 75% in 2027. Gartner nam daarom Shadow IT ook op als een van de top 8 cybersecurity issues voor de komende jaren.[2]

En met reden. Ten eerste wil je niet samen met een handige applicatie ook malware installeren. Ook wil je zeker weten dat applicaties voldoen aan de eigen richtlijnen rondom informatiebeveiliging en privacy. Daarnaast wil je zekerheid dat de toegang tot de software en gegevens wordt beveiligd en je wilt bij cloud-oplossingen garanties over waar de data worden opgeslagen.

En los van deze beveiligingsvragen zijn er ook risico’s rondom de beschikbaarheid en integriteit van je ‘shadow data’. Zijn je bestanden over drie maanden nog steeds beschikbaar? Worden jouw documenten bij een basisabonnement niet onbedoeld public domain? Dit zijn belangrijke vragen die gebruikers van shadow IT vaak niet stellen of slechts vluchtig onderzoeken.

5 Tips om Shadow IT tegen te gaan

Shadow IT volledig uitbannen zal dus meestal niet lukken. Maar we kunnen wel proberen het gebruik ervan te beperken en beter onder controle te krijgen. Dit zijn een paar handvatten:

1. Je maakt Shadow IT beter beheersbaar als je medewerkers voorziet van bedrijfs-telefoons en -computers. Met bedrijfs-hardware heb je meer grip over de software die geïnstalleerd kan worden en welke data wordt opgeslagen.
2. Tegelijkertijd kun je ook bij het gebruik van Bring Your Own Device (BYOD) wel degelijk gebruiksregels afdwingen. Je kunt bijvoorbeeld de sessielengte beperken zodat mensen regelmatig opnieuw moeten inloggen.
3. En sowieso kun je met device management software op ieder apparaat een goede scheiding aanbrengen tussen privézaken en de zakelijke apps en folders.
4. Ook is het verstandig om het gebruik actief te monitoren, met name op het gebruik van applicaties met een verhoogd risico op misbruik.
5. Wil je het nog wel mogelijk maken dat medewerkers zelf software ontwikkelen, bijvoorbeeld voor data-analyse of procesautomatisering? Dan vormen low-code platforms een optie. Daarmee zorg je als IT-afdeling dat code volgens de richtlijnen wordt ontwikkeld en gemonitord.

Los van zulke maatregelen blijft het belangrijkste de awareness, zoals altijd bij informatiebeveiliging. Als gebruikers goed worden geïnformeerd over de risico’s en aandachtspunten bij shadow IT, zul je het waarschijnlijk niet helemaal uitbannen maar gaan mensen wel verstandiger keuzes maken.

Tenslotte – maar niet minder belangrijk – is het belangrijk om ook het eigen portfolio van goedgekeurde applicaties actief te promoten. Soms weten mensen niet eens dat bepaalde applicaties worden ondersteund door de eigen IT afdeling en kiest men onnodig voor een ongewenst alternatief. Zorg dus dat er een goede en toegankelijke dienst- en softwarecatalogus beschikbaar is en dat je software eenvoudig kunt aanvragen en in gebruik nemen.

Hiervoor kan een modern IAM platform bij ondersteunen. HelloID ondersteunt bijvoorbeeld het gebruik van een servicecatalogus. Hiermee kun je de aanvraag van software en de goedkeuring door de relevante manager(s) volledig online stroomlijnen. Als medewerkers met één klik software kunnen aanvragen en activeren, zullen mensen minder snel op zoek gaan naar shadow IT.

Bronnen: 

[1] Statista: https://www.statista.com/statistics/1203786/employee-company-shadow-it-usage/

[2] Gartner: https://www.gartner.com/en/newsroom/press-releases/2023-03-28-gartner-unveils-top-8-cybersecurity-predictions-for-2023-2024