Hoe bestrijdt u de gevaren van Shadow IT: data-inbreuk, inefficiëntie en compliancy-issues?

Het gebruik van cloud-oplossingen is wijdverspreid. Werken in de cloud is onmisbaar bij het werken op afstand, om data te delen en online samen te werken. Het zorgt voor een boost in de productiviteit en betere communicatie. Goed nieuws, zolang uw organisatie maar goed in beeld heeft welke cloud-applicaties precies gebruikt worden. Vaak maken medewerkers ongemerkt gebruik van ongeautoriseerde applicaties. Daar ligt het gevaar van ‘Shadow IT’ op de loer. In deze blog gaan we in op de risico’s van Shadow IT en hoe u deze kunt bestrijden.

Auteur
Redactie
Aantal keer gelezen
590 keer
Datum van schrijven
14 oktober 2020
Leestijd
4 minuten

Uit onderzoek van het Ponemon Institute blijkt dat gemiddeld 50 procent van de actieve cloud-applicaties in het netwerk niet op de radar van IT staan. Denk bijvoorbeeld aan een medewerker die een andere file sharing-tool fijner vindt dan de officiële tool van de organisatie. Of een medewerker die een ongeautoriseerde app op zijn privételefoon gebruikt om bedrijfsinformatie te delen. Maar het kan ook een werknemer zijn die bestanden via zijn privé-emailadres verstuurt, in plaats van zijn beveiligde werkadres. Dit soort IT-gebruik kan verstopt blijven in de ‘schaduw’ van uw netwerk. Hoewel dat misschien bijdraagt aan de productiviteit en efficiëntie van de werknemers, brengt het grote risico’s met zich mee.

Risico’s van Shadow IT: data-inbreuk, inefficiëntie en compliancy-issues

Het meest voor de hand liggende gevaar van Shadow IT is een gebrek aan veiligheid. Cloud-oplossingen voor de consumentenmarkt hebben vaak niet dezelfde security-vereisten als oplossingen op de zakelijke markt. Laat staan dat deze apps voldoen aan de security policies die u binnen uw organisatie heeft vastgesteld. Als een medewerker gevoelige informatie uploadt naar een slecht beveiligde cloud-server, kan dat leiden tot data-inbreuk of een veiligheidslek. Het kan uw business veel geld kosten. Daarnaast komt het gebruik van veel verschillende cloud-apps niet ten goede aan het overzicht binnen uw organisatie. Dat leidt tot fouten en daarmee inefficiëntie. Een ander risico, waar u wellicht minder snel rekening mee houdt, is het overtreden van wet- en regelgeving. Als organisatie moet u immers aan de GDPR-voorwaarden voldoen. Wanneer medewerkers ongemerkt bedrijfsdata delen via onveilige cloud-servers, bestaat een reële kans dat u niet aan de compliancy-regels voldoet.

Bestrijd Shadow IT: peil uw organisatie en zet CASB-oplossingen in

Een stap in de goede richting om Shadow IT tegen te gaan, is om de stemming binnen uw organisatie te peilen. Achterhaal over welke bedrijfs-applicaties uw medewerkers tevreden zijn, en waar ze ontevreden over zijn. U stemt de tooling binnen de organisatie af op de resultaten. Zorg dat u het gebruiksgemak van de officiële applicaties optimaliseert, zodat uw collega’s geen redenen hebben om andere apps te gebruiken. Daarnaast kunt u medewerkers met kennisgeving het belang van uniforme cloud-oplossingen in laten zien.

Naast deze organisatorische maatregelen bestrijdt u Shadow IT met technische oplossingen. Het blokkeren van bepaalde applicaties door middel van een firewall is achterhaald en heeft weinig zin; de kans is groot dat medewerkers dan een nieuwe app vinden. Beter is het om uw gevoelige bedrijfsinformatie gericht te beschermen. Met applicaties die bekendstaan als Cloud Access Security Brokers (CASB) krijgt u grip op Shadow IT. Deze oplossingen fungeren als een muur tussen cloud-applicaties en gebruikers. CASB-tooling zet u in om de verschillende cloud-oplossingen binnen het netwerk zichtbaar te maken, de beveiliging te verbeteren en security policies van de organisatie af te dwingen.

CASB-tools als IBM Data Security Services en Cisco CloudLock controleren het dataverkeer in uw netwerk, en tonen precies welke cloud-applicaties actief zijn. Daarnaast geeft de tooling weer wie de applicaties gebruiken, wanneer ze gebruikt worden en hoe vaak dat gebeurt. Moderne CASB-oplossingen zijn meer dan alleen monitoring-tools. Met vooraf door u gedefinieerde parameters analyseren zij het netwerk en beschermen uw organisatie gericht. Deze oplossingen brengen in kaart waar uw kritische data opgeslagen wordt, versleutelen data, zorgen dat gevoelige informatie niet zomaar verzonden kan worden en beschermen uw database tegen ongeautoriseerde toegang. Op deze manier zorgt u dat uw security policies overal nageleefd worden: ook in de cloud.