Wat is Shadow IT en hoe kan je jezelf ertegen beschermen?

Shadow IT staat voor systemen, apps/toepassingen of cloudservices die door werknemers van een bedrijf worden gebruikt zonder medeweten of toestemming van de IT-afdeling.

Informatiesystemen in grote organisaties kunnen een bron van frustratie zijn voor hun gebruikers. Om vermeende of echte beperkingen van oplossingen die door de centraliseerde IT-afdeling worden geleverd te omzeilen, kunnen afdelingen onafhankelijke IT-middelen aanschaffen om aan hun specifieke of urgente behoeften te voldoen. Het is niet ongebruikelijk dat afdelingen IT-ingenieurs inhuren en software aanschaffen of zelfs ontwikkelen zonder medeweten, goedkeuring of toezicht van een gecentraliseerde IT-afdeling.

Populaire shadow IT systemen

Een van de grootste redenen waarom werknemers deel uitmaken van shadow IT is om efficiënter te werken. Deze apps of diensten worden het meest gebruikt:

• Dropbox
• Whatsapp
• Skype
• OneDrive
• Image editing systemen
• File-sharing cloud diensten

Deze tools worden vaak onbewust gebruikt, gebruikers zijn zich er niet van bewust dat ze bijdragen aan shadow IT. Het is dus niet uit kwaadwillendheid, maar vaak uit gemak. Gebruikers zijn al bekend met deze apps of services en en zijn er comfortabeler mee. Soms zijn mensen simpelweg niet bewust van de apps die hun IT-afdeling aanbiedt, hebben een slechte ervaring met het aanvraagproces van een niet-goedgekeurde app of duurt het proces te lang. Tijdens COVID-19 hebben we een toename gezien van shadow IT, vooral in het begin toen mensen massaal thuis ging werken en nog niet de juiste tools hadden om samen te werken.

Waarom is shadow IT gevaarlijk?

Waar het simpelweg op neerkomt is dat als de IT afdeling niet weet dat een applicatie wordt gebruikt, ze ook geen ondersteuning of de veiligheid kunnen garanderen. Andere redenen zijn:

• Ze kunnen applicaties niet testen of verifiëren
• Ze kunnen kwetsbaarheden (oude softwareversies) niet patchen
• Ze kunnen hun IT-security beleid niet erop aanpassen
• Ze weten niet waar kritieke gegevens zijn opgeslagen of waar GDPR-relevante gegevens worden verwerkt (aansprakelijkheid)

Shadow IT is niet per definitie gevaarlijk, maar bepaalde functies zoals het delen/extern opslaan van bestanden en samenwerking kunnen leiden tot lekken van gevoelige gegevens. Naast veiligheidsrisico's kan shadow IT ook geldverspilling veroorzaken als verschillende afdelingen onbewust dubbele oplossingen aanschaffen.

Hoe de gevaren van shadow IT tegen te gaan

Hoewel het duidelijk is dat schaduw-IT niet verdwijnt, kunnen organisaties het risico minimaliseren. Dat kan door eindgebruikers voor te lichten (awareness training) en preventieve maatregelen te nemen om ongeautoriseerde applicaties te controleren en te beheren.

Het is ook slim om het aanvraagproces te vereenvoudigen en duidelijk te definiëren als mensen een nieuwe app willen. Als IT-afdeling kun je ook proactief zijn door in gesprek te gaan met afdelingen om hun IT-behoeften te begrijpen en oplossingen te bieden die aan hun eisen voldoen.

Daarnaast kunnen regelmatige audits en enquêtes worden uitgevoerd om eventuele ongeautoriseerde IT-middelen binnen je organisatie te identificeren. Installeer een vroegtijdig detectiesysteem om vast te stellen of er ongeautoriseerde IT-middelen worden gebruikt en passende maatregelen te nemen.

Een strengere methode is het blokkeren van communicatie met ongewenste applicaties. Op deze manier kun je shadow IT indammen.

Applications die shadow IT monitoren

Er zijn verschillende hulpmiddelen die organisaties kunnen gebruiken om shadow IT te bewaken, waaronder:

• DNS security: DNS is het begin van alle communicatie en ziet alles. Het kan ongewenste toepassingen blokkeren (Zero Trust), het is een aanvalsvector en kan ook een verdedigingslinie zijn. En het maakt ook deel uit van de cyber kill chain.
• Cloud Access Security Brokers (CASBs):CASB's kunnen worden gebruikt om het gebruik van clouddiensten te monitoren en ongeautoriseerd gebruik van cloudservices binnen de organisatie op te sporen.
• Endpoint Detection and Response (EDR): EDR-tools kunnen endpoints zoals desktops, laptops en mobiele apparaten monitoren om ongeautoriseerde toepassingen of processen te detecteren die erop worden uitgevoerd.
• Data Loss Prevention (DLP): DLP-tools kunnen worden gebruikt om de beweging van gevoelige gegevens binnen de organisatie te monitoren en te controleren. DLP-tools kunnen detecteren wanneer gevoelige gegevens naar ongeautoriseerde cloudservices of apparaten worden overgebracht.
• Application Performance Monitoring (APM): APM-tools kunnen de prestaties bewaken van applicaties die binnen de organisatie worden gebruikt. Deze tools kunnen detecteren wanneer medewerkers ongeautoriseerde of niet-goedgekeurde applicaties gebruiken.

Door deze tools te gebruiken kunnen organisaties shadow IT gebruik binnen de organisatie opsporen en bewaken, en passende maatregelen nemen om ervoor te zorgen dat alle IT middelen op een veilige en compliant manier worden beheerd. Het is belangrijk op te merken dat deze tools moeten worden gebruikt in combinatie met beleid en procedures die duidelijk het aanvaardbare gebruik van IT-middelen binnen de organisatie definiëren.