Wat is schaduw-IT en wat zijn de risico’s voor jouw overheidsorganisatie

Technologie is niet meer weg te denken uit ons dagelijks werk. We gebruiken het voor alles: communicatie met collega’s via WhatsApp, samen aan bestanden werken in Google Drive en plannen in Trello. Nog nooit waren er zoveel middelen beschikbaar om samenwerking te ondersteunen. Gratis tools die ook nog eens eenvoudig in gebruik zijn. Maak in luttele seconden een account aan en je kunt meteen aan de slag. Er hangt alleen vaak een onzichtbaar prijskaartje aan het gebruik van deze tools…

Wat is schaduw-IT?

Als jij of je collega’s deze tools gebruiken buiten het zicht van jouw organisatie en in uitvoering van jullie werkzaamheden, dan noemen we dit schaduw-IT. Het kan hierbij gaan om (cloud) software en hardware. Online voorbeelden zijn onder andere Dropbox, Google Drive, Trello, Slack, WeTransfer, WhatsApp en ontelbare aantallen andere tools. De informatie die men in deze omgevingen opslaat, is niet zichtbaar voor jouw organisatie, met alle gevolgen van dien!

Groeiende populariteit

De invloed van het internet op ons dagelijks werk blijft maar groeien.. De populariteit van schaduw-IT tools stijgt daarmee explosief. En met een goede reden: zolang je maar een internetverbinding hebt, kun je altijd bij je werk. Onafhankelijk van plaats en tijd. Je hoeft geen toestemming te vragen aan je eigen organisatie en je kunt deze tools bovendien vaak gratis gebruiken! Door de corona-crisis en iedereen die thuis is gaan werken is dit een alleen maar groter probleem geworden (bron: Informatiebeveiligingsdienst - pagina inmiddels verwijderd).

Over gratis tools: “If the product is free, you’re Not the Customer; You’re the Product.”

Zo staat er, zonder enige beperking, een enorm netwerk aan tools en data waar organisaties geen enkele grip op krijgen. Versplintering ligt op de loer! Medewerkers nodigen elkaar uit om samen te werken in Google Drive of voegen elkaar toe aan een WhatsApp-groepsgesprek om onderling te communiceren. Het gebruik breidt zich vervolgens uit als een olievlek door de organisatie.

Medewerkers kennen de tools in hun privéleven vaak al en nemen deze gewoonte over op het werk. De informatie die zich vervolgens in deze omgevingen ophoopt, is niet zichtbaar voor organisaties, waarmee er risico’s op het gebied van informatiebeveiliging ontstaan.

Er kleven serieuze risico’s aan

Het gebruik van Google Drive, Trello of WhatsApp lijkt onschuldig. We gebruiken ze immers vaak ook privé. Toch brengt dit zakelijk gezien grote risico’s met zich mee, bijvoorbeeld op datalekken. Gebruikers maken laagdrempelig een account aan. Vaak met een eenvoudige gebruikersnaam/wachtwoord-combinatie. Het is voor kwaadwilligen vervolgens vaak kinderspel om bij deze informatie te komen. Ook ontstaat er het risico op schending van privacywetgeving (bijvoorbeeld de AVG). Gebruikers zijn zich niet altijd bewust van het feit dat hun data soms openbaar vindbaar is via een eenvoudige Google zoekopdracht of buiten de EU wordt opgeslagen.

De Informatiebeveiligingsdienst noemt schaduw-IT niet voor niets ’DE driver voor ongewenste risico’s zoals bijvoorbeeld datalekken, overtredingen van de wet en ongeautoriseerde toegang’.

Een alternatief

Het is verleidelijk voor organisaties om het gebruik van schaduw-IT terug te dringen via beperkingen. Wij willen hen uitdagen om juist in dialoog te gaan met medewerkers. Waarom gebruiken zij nu juist deze toepassingen? Wat missen zij in de bestaande middelen die aangeboden worden door de organisatie?

Alleen als je exact de triggers weet te vinden die gebruikers aanzet tot het gebruik van schaduw-IT dan kun je hier wat aan doen. Vervolgens is het aan de organisatie om goede alternatieven beschikbaar te stellen en IT uit de schaduw te halen. Het mooiste is het natuurlijk als deze oplossingen vervolgens ook naadloos aansluitend op bestaande systemen zoals je kantoorautomatiseringsoplossingen, officepakket of je zaaksysteem.

Laagdrempelig en slim samenwerken

Als het aankomt op samenwerken met collega’s en externen is het al snel verleidelijk om ook hiervoor schaduw-IT in te zetten. Onnodig, dit leidt geheid tot versplintering van informatie en documenten! Om over de risico’s van het gebruik nog maar te zwijgen.

Dan kun je beter kiezen voor een geïntegreerde oplossing zoals Microsoft Teams. Eén oplossing die alle benodigde functionaliteiten in zichzelf verenigt en op een laagdrempelige en veilige manier aanbiedt aan zowel interne medewerkers als externe betrokkenen.

Wil je zien hoe de functionaliteit van Microsoft Teams zich verhoudt tot andere (losse) applicaties en wat je krijgt als je dit combineert met de kracht van een zaaksysteem zoals Djuma, klik dan hier.