Het stappenplan tegen shadow-IT: wat kun je doen als IT-afdeling?

Heb je net de ideale tools gevonden om je medewerkers te faciliteren, gebruiken ze vrolijk hun eigen favorieten. Zo eenvoudig kan shadow-IT ontstaan. Wat kun je als IT-manager doen om dit te voorkomen, zonder dat de werknemer te veel beperkt wordt?

Het risico op shadow-IT

We spreken erover met Robert Schmidt, Solutions Advisor bij ACES Direct. “Mensen zoeken altijd de makkelijkste manier van werken,” vertelt Robert. “En als medewerkers niet weten wat er allemaal mogelijk is met de tools die jij aanbiedt, gaan ze zelf alternatieven zoeken.” 

“Wanneer mensen bijvoorbeeld al Office 365 gebruiken, gaan ze vaak toch WeTransfer gebruiken om bestanden te versturen. Tenzij je dit als IT helemaal dichtspijkert omdat je nog conventioneel denkt.”

Ga op zoek naar de oorzaak

Veel IT’ers hebben het gevoel dat ze alternatieve werkwijzen direct moeten verbieden, maar dat is volgens Robert niet de oplossing. Daarvoor moet je kritisch kijken naar de oorzaak. “Je kunt wel alles dichttimmeren, maar het is beter om het open en bespreekbaar te houden.”

“Als er sprake is van shadow-IT, dan is je systeem niet goed, of mensen snappen het niet. Daar kun je iets aan doen, bijvoorbeeld door het beter uit te leggen of een alternatief te implementeren. Het is wel belangrijk om te blijven monitoren.”

Stap 1: Zorg voor je juiste apparaten en software

In de eerste plaats is het essentieel dat je medewerkers met de juiste devices kunnen werken. Robert vertelt: “Wanneer een device niet matcht met de wensen van een medewerker, dan gaan ze waarschijnlijk hun eigen apparaten gebruiken.”

Tip: Zo kies je de juiste zakelijke laptop voor je medewerker.

Dit geeft natuurlijk de nodige beveiligingsrisico’s. “Dan staat er toch een stukje data op een onbeheerd device. Je ziet dat ook gebeuren bij medewerkers die gaan thuiswerken, maar in de traditionele kantooromgeving alleen een vaste pc hadden. Dan pakken ze toch snel hun eigen device.”

Past de software bij de wensen van de gebruikers?

Dit geldt natuurlijk ook voor de software die aangeboden wordt vanuit de IT-afdeling. Wanneer deze niet aansluit bij de wensen en eisen van de medewerkers, gaan ze eigen oplossingen zoeken.

Stap 2: Zorg voor bewustwording

Medewerkers gaan niet expres op zoek naar onveilige tools, ze gaan simpelweg voor de makkelijkste weg.

“Mensen zijn zich niet bewust van de gevaren, daar mist een stukje bewustwording. Wist je bijvoorbeeld dat in de algemene voorwaarden van Google staat dat ze alle data in Google Drive en Gmail mogen gebruiken? Dat geldt bijvoorbeeld ook voor WeTransfer.”

Dat betekent niet dat deze tools helemaal niet gebruikt kunnen worden. “Er is een groot verschil tussen gratis oplossingen en de zakelijke varianten. Zo zijn Gsuite en de zakelijke variant van Slack prima.”

Stap 3: Onderzoek of er nog steeds shadow-IT is

Heb je stap 1 en 2 doorlopen? Dan vraag je je waarschijnlijk af of er nog shadow-IT is binnen je organisatie. “Op een moderne firewall kun je precies GDPR-proof zien welke websites gebruikt worden.” 

“We zien dat er maar weinig sprake is van individuele shadow-IT gebruikers, maar dat het vaak juist een specifieke afdeling is die andere tooling gebruikt. Slack en WeTransfer staan daar op een absolute nummer 1.”

Je kunt vaak al bij stap 1 zien aankomen dat een afdeling een bepaalde tool wil gaan gebruiken wanneer je ze vraagt wat hun voorkeur heeft.

Stap 4: Kies je actie tegen shadow-IT

Als je eenmaal hebt ontdekt dat er toch shadow-IT is, kun je drie dingen doen:

  1. De alternatieve tool onboarden (door de zakelijke variant te faciliteren).
  2. De tool afwijzen, maar wel redenen geven waarom deze niet gebruikt mag worden. Geef de gebruikers een deadline wanneer ze over moeten stappen.
  3. Shadow-IT toestaan en juist de data beveiligen.

“Er zijn tegenwoordig voldoende middelen om niet per se de applicaties, maar juist de data te beschermen. Zo kun je bijvoorbeeld PDF- en Word-documenten beveiligen, zodat ze alleen geopend kunnen worden door geautoriseerde personen. Je kunt er nu zelfs voor zorgen dat mensen geen screenshot kunnen maken.”

Lees ook