Schaduw IT: omgaan met privé-tools op de werkvloer

Schaduw IT

Privé-tools op de werkvloer, de meeste organisaties ontkomen er niet aan. Medewerkers wensen op kantoor nu eenmaal hetzelfde gemak als thuis, met applicaties en hardware die ze kennen en graag gebruiken. Hoe ga je als werkgever om met deze zogenoemde schaduw IT?

Communiceren via dezelfde apps, bestanden opslaan in dezelfde omgeving, fotobewerking met bekende programmatuur. Het liefst maken we op werk gebruik van dezelfde tools als thuis. Als het even kan koppelen we ook graag onze persoonlijke smartphone of laptop aan het bedrijfsnetwerk.

Maar als het aan de IT-afdeling ligt, wordt op de werkvloer alleen goedgekeurde soft- en hardware gebruikt. Tools waarvan de veiligheid gegarandeerd kan worden en die beheersbaar zijn. Zijn die echter te ingewikkeld in gebruik in de ogen van de werknemer, dan bestaat de kans dat hij op zoek gaat naar omwegen en alternatieven.

Niet goedgekeurd

Het gebruik van soft- en hardware die niet officieel is goedgekeurd door de IT-afdeling wordt ook wel ‘Schaduw IT’ genoemd. Hierbij kun je denken aan laptops of smartphones die van huis worden meegenomen, maar ook applicaties en hele IT-projecten die worden uitgevoerd (en beheerd) zonder medeweten van de IT-verantwoordelijken binnen de organisatie.

Medewerkers zijn steeds vaker geneigd buiten de IT-afdeling om te werken als hun voorstellen genegeerd of op de lange baan worden geschoven, bijvoorbeeld door een gebrek aan capaciteit.

Geen technische knowhow

Dat is natuurlijk niet schokkend, gezien het gemak en de beschikbaarheid van (cloud)diensten. Veel SaaS-diensten zijn goedkoop en zonder technische knowhow te implementeren.

Een medewerker kan voor het delen van bestanden in een handomdraai het omslachtige SharePoint vervangen door Dropbox of Google Drive. Of klantinformatie bijhouden in Salesforce, in plaats van een ingewikkeld CRM dat niet op afstand benaderbaar is.

Praktisch elke organisatie heeft dan ook te maken met Schaduw IT. Uit een recente survey onder 200 CIO’s bleek dat bij maar liefst 83 procent van de bedrijven clouddiensten worden gebruikt die niet vooraf zijn goedgekeurd.

Alleen maar nadelen?

De nadelen liggen voor de hand. Zo kunnen er grote beveiligingsproblemen optreden als medewerkers de standaardprocedures omzeilen en gebruikmaken van software en devices die niet zijn geverifieerd en niet worden ondersteund. Richten medewerkers zelf hun IT in, dan kan dit ook de data-uitwisseling met collega’s bemoeilijken.

Schaduw IT vormt een risico voor AVG-compliance. Het is lastig te voldoen aan deze nieuwe data- en privacywetgeving als binnen de organisatie allerhande apps en devices worden gebruikt zonder medeweten van de IT-afdeling.

Zijn die voldoende beveiligd tegen verlies of diefstal van data? Welke apps verwerken data in de cloud en waar wordt die opgeslagen? Inventariseer welke apps in de cloud draaien en hoe het zit met de veiligheidsmaatregelen, dataverwerking en -opslag.

Regels omzeilen

Schaduw IT bestaat inmiddels al zo’n 30 jaar en heeft de afgelopen jaren een sterke groei doorgemaakt. Dat is vooral te danken aan het grote aantal consumenten-apps dat Android en iOS hebben geïntroduceerd.

Die apps zijn zo functioneel en gebruiksvriendelijk dat werknemers ze het liefst ook op kantoor gebruiken. Dat hou je als bedrijf niet tegen, temeer omdat pakweg de helft van de werknemers bereid is de interne regels te omzeilen om hun gewenste apps te downloaden.

Er kleven echter niet alleen nadelen aan Schaduw IT. Het biedt een bepaalde mate van flexibiliteit en maakt werknemers productiever, omdat ze sneller werken met tools die ze kennen.

Daarnaast kan de aanwezigheid van Schaduw IT een signaal zijn dat de werkwijze van de IT-afdeling niet meer past bij deze tijd. Misschien is het goed dat er eens kritisch wordt gekeken naar de effecten van bepaalde opgelegde beveiligingsmaatregelen op de gebruikerservaring.

Wat gebruikers doen met Schaduw IT kan daarnaast inzicht geven in manieren om bedrijfsprocessen te verbeteren. Tot slot kan het kosten besparen, omdat zelfgekozen soft- en hardware niet door de IT-afdeling gefaciliteerd hoeft te worden.

Omgaan met Schaduw IT

Het is hoe dan ook onmogelijk om Schaduw IT tegen te gaan of te negeren. Maak het gebruik liever bespreekbaar, want vaak is het geen gerichte keuze met als doel de IT-afdeling te negeren.

‘Je kunt het fenomeen beter omarmen en erkennen dat de IT en de digitale vaardigheden van werknemers in een toenemende digitale werkomgeving een kans zijn om te innoveren en meer waarde te creëren uit IT en investeringen in de digitale omgeving’, zegt Simon Mingay van onderzoeksbureau Gartner.

Daarnaast kan Schaduw IT gebruikt worden als startpunt om inzicht te krijgen in de behoeften en problemen van werknemers. Bied ze oplossingen die zowel de beveiliging als het gebruiksgemak bevorderen.

Leg bijvoorbeeld de focus op beveiliging van documenten in plaats van de locatie waar ze worden opgeslagen. Werknemers kiezen dan zelf welke (consumenten) apps ze gebruiken voor data-opslag, terwijl de potentiële risico’s van het gebruik van niet-geverifieerde software worden teruggebracht.

Bedrijfs-appwinkel

In de omgang met Schaduw IT kun je er ook voor kiezen een bedrijfs-appwinkel te faciliteren met veilig bevonden applicaties en diensten. Voor het bieden van flexibiliteit en de laatste innovaties, kun je daar een testomgeving aan toevoegen waar medewerkers samen met IT nieuwe toepassingen kunnen onderzoeken en uitproberen.

Zorg tot slot voor bewustwording onder medewerkers over de gevaren van Schaduw IT. Een security awareness-training is een goed uitgangspunt voor een discussie met werknemers over de tools die ze gebruiken. In samenspraak kun je vervolgens op zoek naar tools die zowel gebruiksgemak als beheersbaarheid bieden.

Meer weten hoe je je bedrijfsdata veilig houdt? Download de gratis whitepaper ‘7 securitytips voor het nieuwe werken’.

Lees ook: