Bij veel organisaties zien we dat gebruikers aan de slag gaan met tools en middelen die geen officiële plek hebben binnen het IT-beleid. Denk daarbij bijvoorbeeld aan Whatsapp, Dropbox of WeTransfer. Een app is zo gedownload en een account bij Gmail of Dropbox is binnen een paar kliks aangemaakt. Hoe onschuldig het ook lijkt, deze schaduw-IT kan een grote bedreiging vormen voor uw organisatie; niet alleen vanuit security-oogpunt, maar ook met het oog op de AVG.
Onwetendheid
Zo’n schaduw-IT-omgeving ontstaat vaak vanuit onwetendheid. Medewerkers weten wellicht niet welke mogelijkheden er binnen het bedrijf zijn om te communiceren of om bestanden te delen. Of het is niet duidelijk op welke manier iets kan worden aangevraagd. Daarom zetten ze zelf iets op. Denk aan het team die een Whatsapp-groep aanmaakt als alternatief voor Teams of de collega’s die een Dropbox-omgeving opzetten omdat ze niet weten hoe dat binnen SharePoint online kan. Het lijkt onschuldig maar als bedrijf heb je geen enkel zicht op de gegevens die worden uitgewisseld of de bestanden die worden gedeeld.
Compliancy garanderen
Als IT-afdeling is het zaak uw mensen op een goede manier te faciliteren, zodat ze weten welke tools en applicaties er beschikbaar zijn binnen de organisatie en hoe ze die kunnen gebruiken. Alleen op die manier kunt u garanderen dat uw IT-omgeving compliant is met de bedrijfsstandaarden, kunt u die omgeving voldoende monitoren, ondersteunen en weer grip krijgen op uw security en kosten.
Tips om schaduw-IT te voorkomen
Educatie
Zorg dat mensen weten welke mogelijkheden het IT-landschap van uw organisatie biedt en hoe ze daar op een juiste manier gebruik van kunnen maken. Biedt trainingen aan in verschillende vormen; dat kan variëren van een-op-een-coaching tot webinars en van een slimme online helptool tot gamification.
Awareness
Zorg dat mensen weten wat het IT-beleid is. Natuurlijk staat dit in contracten die uw medewerkers ooit hebben getekend, maar de praktijk wijst uit dat niet iedereen weet wat daar precies in staat. Breng dat beleid en de regels die daarin besproken worden eens op een andere manier voor het voetlicht en zorg dat medewerkers zich bewust zijn van de risico’s als ze zich hier niet aan houden. Wijs ze op de gevaren van bijvoorbeeld phishingmails of onbekende USB-sticks.
Technische maatregelen
Neem ook passende technische maatregelen. Zorg wel dat deze laagdrempelig zijn, zodat ze uw medewerkers niet afschrikken. Denk hierbij aan het gebruik maken van een beveiligde lijn, het versleutelen van dataverkeer en het gebruik van multifactor-authenticatie. Ook kunt u ervoor zorgen dat het herkend wordt wanneer iemand bijvoorbeeld creditcardgegevens of een BSN-nummer wil e-mailen. U kunt de betreffende persoon dan de tip geven dit niet te doen of simpelweg het verzenden blokkeren.
Laat uw systeem aansluiten op de wensen van uw medewerkers
Welke maatregelen u ook neemt, u heeft altijd te maken met de kwetsbaarheid die handelingen van uw medewerkers met zich mee kunnen brengen. Zorg dus dat uw systeem aansluit op de wensen van uw medewerkers. Anders gaan mensen zelf oplossingen bedenken. Onwenselijk vanuit security-oogpunt en het brengt de nodige kosten met zich mee. Denk daarbij niet alleen aan de kosten die een afdeling maakt voor de aanschaf van eigen tools en oplossingen, maar ook aan de kosten die u moet maken voor het oplossen van cyberincidenten of de mogelijke boetes bij het overtreden van de AVG.
Wilt u meer weten over security binnnen uw IT landschap? Lees onze andere blogs over dit onderwerp!