Spotlight op Shadow It, UK National Cyber Security Centre

Spotlight op Shadow IT: Wat het is, waarom het een risico vormt en hoe je het beheerst (gebaseerd op NCSC-richtlijnen)

Op 13 maart 2025 publiceerde het UK National Cyber Security Centre (NCSC) een blogpost genaamd “Spotlight op Shadow IT”. Dit benadrukt een groeiende zorg voor organisaties van elke omvang: het gebruik van niet-goedgekeurde IT-systemen en -diensten door werknemers, bekend als “Shadow IT”. Dit artikel legt uit wat Shadow IT is, waarom het een risico vormt en hoe je het effectief kunt beheersen, gebaseerd op de NCSC-richtlijnen en best practices.

Wat is Shadow IT?

Shadow IT verwijst naar de IT-systemen, apparaten, software en diensten die werknemers gebruiken zonder de expliciete goedkeuring of medeweten van de IT-afdeling van een organisatie. Dit kan variëren van het gebruik van persoonlijke cloud storage-accounts (zoals Dropbox of Google Drive) tot het installeren van niet-goedgekeurde software op werkapparatuur, of zelfs het implementeren van hele cloud-gebaseerde applicaties.

Waarom ontstaat Shadow IT?

Er zijn verschillende redenen waarom werknemers overgaan tot het gebruik van Shadow IT:

• Gemak en snelheid: Soms is de officiële IT-procedure om bepaalde software of diensten te verkrijgen te omslachtig of te traag. Werknemers zoeken dan naar snellere, direct beschikbare alternatieven.
• Functionaliteit: Misschien voldoet de door de IT-afdeling geleverde software niet aan de specifieke behoeften van een werknemer of team. Shadow IT kan dan een manier zijn om de benodigde functionaliteit te verkrijgen.
• Onwetendheid: Sommige werknemers zijn zich simpelweg niet bewust van de risico’s van Shadow IT of van de bestaande IT-richtlijnen van de organisatie.
• Gebrek aan communicatie: Een slechte communicatie tussen IT en de rest van de organisatie kan ertoe leiden dat IT niet op de hoogte is van de behoeften van de werknemers, waardoor Shadow IT een logische oplossing lijkt.
• Gebrek aan training: Het ontbreken van de juiste training kan werknemers ertoe aanzetten om zelf oplossingen te zoeken, zonder te beseffen dat er veiligere alternatieven beschikbaar zijn.

De risico’s van Shadow IT:

Hoewel het gebruik van Shadow IT soms onschuldig lijkt, brengt het aanzienlijke risico’s met zich mee voor de organisatie:

• Beveiligingsrisico’s: Niet-goedgekeurde software en diensten kunnen kwetsbaarheden bevatten die hackers kunnen misbruiken. Dit kan leiden tot datalekken, malware-infecties en andere cyberaanvallen.
• Compliance-problemen: Het gebruik van niet-goedgekeurde systemen kan de organisatie in strijd brengen met wet- en regelgeving, zoals de GDPR of andere sectorspecifieke normen.
• Dataverlies: Wanneer data wordt opgeslagen in niet-goedgekeurde systemen, is er een groter risico op dataverlies door bijvoorbeeld het verlies van een apparaat, het sluiten van een dienst of het niet maken van backups.
• Integratieproblemen: Shadow IT kan leiden tot fragmentatie van data en systemen, waardoor het moeilijker wordt om informatie te delen en processen te stroomlijnen.
• Verhoogde kosten: Het onderhouden en beveiligen van Shadow IT kan leiden tot onnodige kosten, omdat IT-afdelingen systemen moeten ondersteunen die niet gepland of budgetteerd waren.
• Minder controle: Organisaties verliezen de controle over hun data en IT-infrastructuur wanneer werknemers Shadow IT gebruiken. Dit maakt het moeilijk om de beveiliging te waarborgen en de compliance te handhaven.

Hoe Shadow IT te Beheersen:

Het bestrijden van Shadow IT vereist een holistische aanpak, die zowel preventieve als detecterende maatregelen omvat. Hier zijn enkele belangrijke stappen, in lijn met de aanbevelingen van het NCSC:

1. Bewustwording creëren:

2. Voorlichting: Informeer werknemers over de risico’s van Shadow IT en het belang van het gebruik van goedgekeurde systemen.

3. Training: Geef medewerkers training over IT-beveiligingsbest practices en hoe ze de juiste IT-oplossingen kunnen aanvragen.

4. IT-beleid en procedures verduidelijken:

5. Duidelijk beleid: Definieer een duidelijk IT-beleid dat het gebruik van Shadow IT expliciet verbiedt en de consequenties van overtreding beschrijft.

6. Goedgekeurde tools: Bied een lijst van goedgekeurde software en diensten aan die voldoen aan de behoeften van de werknemers.

7. Inzicht verkrijgen en monitoren:

8. IT-audits: Voer regelmatig IT-audits uit om Shadow IT te identificeren.

9. Netwerkmonitoring: Implementeer netwerkmonitoringtools om ongebruikelijke activiteiten en niet-goedgekeurde verbindingen te detecteren.
10. Cloud Access Security Brokers (CASB’s): Gebruik CASB’s om cloud-applicaties te monitoren en te controleren, en om datalekken te voorkomen.

11. Regelmatige surveys: Vraag je medewerkers rechtstreeks naar hun gebruik van Shadow IT tools. Dit kan helpen bij het identificeren van problemen en het verzamelen van feedback.

12. Alternatieven bieden en IT-processen verbeteren:

13. Gebruikersfeedback: Vraag de gebruikers feedback over de huidige IT-systemen en de redenen waarom ze Shadow IT gebruiken.

14. Responsieve IT: Stroomlijn IT-processen en maak het voor werknemers gemakkelijker om de benodigde IT-oplossingen te verkrijgen.

15. Flexibiliteit: Overweeg de mogelijkheid om bepaalde vormen van Shadow IT, die weinig risico opleveren en de productiviteit verhogen, te accepteren en te integreren in de IT-omgeving (na een grondige risicoanalyse).

16. Actie ondernemen bij ontdekking:

17. Risico-evaluatie: Evalueer de risico’s van de ontdekte Shadow IT.

18. Saneren: Neem passende maatregelen om de risico’s te beperken, zoals het verwijderen van de software, het blokkeren van de dienst of het overzetten van data naar een goedgekeurd systeem.
19. Verbetering: Gebruik de lessen die zijn geleerd van de ontdekking van Shadow IT om het IT-beleid en de procedures te verbeteren.

Conclusie:

Shadow IT is een complex probleem dat een serieuze bedreiging vormt voor de beveiliging en compliance van organisaties. Door de richtlijnen van het NCSC te volgen en een proactieve aanpak te hanteren, kunnen organisaties de risico’s van Shadow IT effectief beheersen en een veilige en efficiënte IT-omgeving creëren. Het is essentieel om niet alleen repressief op te treden, maar ook te begrijpen waarom werknemers Shadow IT gebruiken en hun behoeften te adresseren met goedgekeurde, veilige alternatieven. Door bewustwording, duidelijke beleidsregels, monitoring en een responsieve IT-afdeling kan de organisatie een evenwicht vinden tussen beveiliging en de flexibiliteit die werknemers nodig hebben om hun werk effectief te doen.

Spotlight op Shadow It

De AI heeft het nieuws geleverd.

De volgende vraag werd gebruikt om het antwoord van Google Gemini te genereren:

Op 2025-03-13 08:35 is ‘Spotlight op Shadow It’ gepubliceerd volgens UK National Cyber Security Centre. Schrijf alstublieft een gedetailleerd artikel met relevante informatie op een begrijpelijke manier.

128