Hoe krijg je grip op schaduw IT?

schaduwWelke organisatie heeft er niet mee te maken? Schaduw IT: IT die gebruikt wordt door eindgebruikers zonder dat de IT-afdeling er grip op heeft of er überhaupt weet van heeft. Het kan daarbij zowel om hard- als software gaan. Met de opkomst van steeds meer cloud-oplossingen komt het steeds vaker voor. Met alle mogelijke beveiligingsrisico’s van dien. Hoe hiermee om te gaan? Het gebruik verbieden en het netwerk dicht zetten? Of zijn er ook andere oplossingen?

 

Omvang problematiek

Over de omvang van de problematiek zijn nog niet zoveel cijfers bekend. Voor zover het om software gaat hebben volgens Gartner IT-afdelingen gemiddeld zicht op slechts 7% van de toepassingen die in hun organisatie gebruikt worden en buiten het IT-beheer vallen. Dit hoeft op zich geen probleem te zijn als via die toepassingen geen cruciale bedrijfsgegevens worden opgeslagen. Maar ja, dat weet je dus in veel gevallen niet. Voor hetzelfde geld slaan medewerkers bijvoorbeeld gespreksverslagen op in Dropbox. Omdat dit zo handig werkt of zij delen gespreksverslagen met elkaar via Whatsapp of een ander chatprogramma. Om te weten welke beveiligingsrisico’s je als organisatie loopt moet je dus toch grip zien te krijgen op de schaduw IT.

 

Verschillende aanpakken mogelijk

Er zijn daarbij verschillende aanpakken mogelijk. De eerste is dat je als organisatie het gebruik van schaduw IT verbiedt, er zware sancties op zet en het netwerk “dicht timmert”. Medewerkers mogen dan alleen werken met door de IT-afdeling beheerde hard- en software. Dit kunnen overigens ook cloud-oplossingen zijn, maar die zijn dan vooraf wel getoetst en opgenomen in de omgeving. Een tussenvorm is dat medewerkers uitsluitend met door de IT-afdeling beheerde software werken, maar wel ook hun eigen hardware kunnen gebruiken. Dit laatste onder de voorwaarde dat de IT-afdeling op dat apparaat een afgeschermde “bedrijfsomgeving” installeert.

Ik kan mij voorstellen dat bovenstaande benaderingen binnen bijvoorbeeld een justitieel apparaat nog wel te handhaven zijn, maar in het onderwijs zouden zij volgens mij niet werken. Bovendien moet je het naar mijn mening ook niet willen omdat het een rem zet op de innovatie van het onderwijs met behulp van IT.

Veel beter past mijns inziens een benadering waarbij je als organisatie een aantal kaders meegeeft, verantwoordelijkheden vastlegt werkt aan risicobewustzijn van eindgebruikers (awarenes), die eindgebruikers maximale vrijheden biedt om software uit te proberen en aan te schaffen, en zorgt dat de IT-afdeling weet waar de eindgebruikers mee bezig zijn.

 

Benodigde maatregelen om open benadering te laten werken

De huidige trend bij software-ontwikkelaars is dat zij een zogenaamde “cloud-first” strategie hanteren. Alle nieuwe software die ontwikkeld wordt is in eerste instantie cloudbased. Wat dat betreft is het niet zinvol om ervan uit te gaan dat je als organisatie cloudbased software buiten de deur zou kunnen houden. Accepteer het als een gegeven en ga er op een goede manier mee om. Bijvoorbeeld door een enterprise cloud strategie te ontwikkelen. Volgens Gartner omvat deze de volgende elementen:

  • maak afspraken over welk type cloudtoepassingen in welke situatie kunnen worden gebruikt: dit veronderstelt dat data-classificatie plaatsvindt en dat je met elkaar afspreekt welke eisen worden gesteld aan een toepassing waarin bepaalde data worden verwerkt;
  • leg vast welke risico’s acceptabel zijn;
  • leg vast wie waarvoor verantwoordelijk is;
  • zorg dat op adequate wijze invulling wordt gegeven aan identity- en accessmanagement;
  • zorg voor adequate monitoring van zowel aanbieders alsook het gebruik van de toepassingen (bijvoorbeeld via een cloud acces security broker)
  • zorg dat er goede afspraken zijn over meldingen van incidenten (denk aan datalekken) en recovery van data (bijvoorbeeld op het moment dat een dienstverlener failliet gaat)

De business is leidend

Een element wat sterk in de aanpak van Gartner verwerkt is, is dat niet de IT-afdeling leidend is en overal verantwoordelijk voor is maar dat de business verantwoordelijk is en zich verantwoordelijk voelt. De business laat zich ondersteunen door IT die de benodigde expertise in huis heeft. Op die manier voorkom je dat de IT-afdeling gezien wordt als degene die constant op de rem trapt. Daardoor is de kans groter dat de IT-afdeling wordt gezien als strategisch partner waardoor in termen van onderstaande afbeelding de organisatie als totaal kan groeien van een fase van chaos (waarin de meeste organisaties, als de cijfers kloppen nu, verkeren) naar een fase van minstens governance.

schermafbeelding-2016-12-28-om-17-20-00

Op deze manier kan de IT-afdeling beter invulling geven aan de controlerende functie die zij toch ook altijd nog heeft, krijgt de organisatie als totaal meer grip op de schaduw IT en nemen de beveiligingsrisico’s dus af.

 

Rolperceptie en awareness zijn cruciaal

Let op: dit vraagt wel om een goed ontwikkelde rolperceptie van alle betrokkenen en een hoge mate van awareness met betrekking tot het belang van informatiebeveiliging bij met name ook de eindgebruikers. Het is zodoende niet het eenvoudigste scenario maar volgens mij op langere termijn wel het enige haalbare. De mens is uiteindelijk toch de zwakste schakel op het gebied van informatiebeveiliging. Een goede rolperceptie en een hoge mate van awareness zijn zodoende in alle gevallen van het grootste belang. De technische beperkingen die eventueel worden ingebouwd zullen dan namelijk begrepen worden en niet worden gezien als iets wat opgelegd wordt maar iets waarmee men mee geholpen wordt.

 

 

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *