Dat de cloud nu op grote schaal aanslaat is duidelijk. De voordelen die door de aanbieders worden geclaimd worden waargemaakt. Eén van die voordelen – het gemak waarmee clouddiensten in gebruik genomen kunnen worden – blijkt echter tegelijk een nadeel. Het is zó makkelijk, dat veel werknemers zelf cloudapplicaties aanschaffen en in gebruik nemen, zonder dat de IT-afdeling er aan te pas komt. Dit verschijnsel staat bekend als ‘shadow’ IT, of ook wel ‘stealth’ IT, want deze applicaties zijn niet zichtbaar op de radar van de IT. Daar zitten grote risico’s aan, zowel op security- als op compliance-gebied.
Hoe groot is het verschijnsel eigenlijk? Voor ons reden om er onderzoek naar te laten doen.De uitkomst: meer dan 80 procent van de ondervraagden geeft toe voor hun werk SaaS-applicaties - van Office 365 tot Facebook - te gebruiken die niet door de IT-afdeling zijn goedgekeurd. Ironisch is dat uitgerekend de IT-afdeling zelf met 83 procent de grootste gebruiker blijkt te zijn van schaduwapplicaties. De cloud maakt het dus wel erg makkelijk voor werknemers om op eigen houtje applicaties te gaan gebruiken.
Het onderzoek keek natuurlijk ook naar de redenen. De radar van de IT-afdeling is vaak een stoorzender: een derde van de ondervraagden vindt dat het veel te lang duurt of dat het veel te omslachtig is voordat de IT-afdeling goedkeuring geeft. Belangrijker nog is dat de helft aangeeft graag applicaties te gebruiken waar zij vertrouwd mee zijn, terwijl een kwart aangeeft dat de niet-goedkeurde apps beter aan hun behoefte voldoen. Redenen genoeg om allerlei IT-policies te omzeilen.
Blijft de vraag hoe erg deze shadow-IT is. Ons onderzoek maakt helaas geen onderscheid in het soort applicaties of dienst dat buiten de IT-afdeling om wordt gebruikt en gooit alles op één hoop.Het maakt immers toch wel een verschil of het gaat om bijvoorbeeld LinkedIn, dat primair voor privédoeleinden wordt gebruikt, of om Dropbox waarmee gemakkelijk bedrijfsinformatie kan worden bewaard en uitgewisseld. De beveiligingsrisico’s en de impact op de organisaties verschillen daarom sterk.
De grote zorg over deze gang van zaken betreft de beveiliging. Let wel, het onderzoek geeft aan dat shadow-IT gebruikers zelf zich zorgen maken over beveiliging! Veelgenoemde zorgen zijn diefstal van gevoelige data, het in verkeerde handen vallen van loginnaam en wachtwoord, besmetting met malware en of er aan de wet- en regelgeving wordt voldaan. En die zorgen blijken ook terecht: gemiddeld heeft 15 procent te maken gehad met beveiligingsincidenten, vooral met social media (Facebook, Twitter en LinkedIn) , maar ook met Google Apps en Dropbox.
Gezien al deze uitkomsten denk ik dat het duidelijk is dat veel IT-afdelingen moeite hebben om aan de wensen van de gebruikers tegemoet te komen. En zoals ‘bring your own device’ al duidelijk heeft gemaakt: die gebruikers gaan gewoon hun eigen weg. En dat doen ze dus zelfs als ze zich bewust zijn van de veiligheidsrisico’s.We zien dat ook al zijn mensen zich van beveiligingsissues bewust het nemen van beveiligingsmaatregelen niet vanzelfsprekend is. Dat beeld is consistent met de uitkomsten van een onderzoek dat we een jaar geleden hebben laten doen naar IT-beveiliging van bedrijfsrisico’s onder grote organisaties.
In mijn visie moet de focus van de beveiliging daar liggen waar die vanuit een risicoperspectief zou moeten liggen.Daarvoor is een strategisch beveiligingsplan nodig, gebaseerdop een analyse van de business. Deze analyse moet dan ook een taak zijn van de ‘business owners’, aangezien zij de waarde én de risico’s voor hun onderneming het beste kunnen inschatten. In tegenstelling tot de IT-afdeling moeten zij weten wat de ‘kroonjuwelen’ van hun organisatie zijn. Het risicoprofiel van de gebruikte (cloud)applicaties en -diensten moet leidend zijn, waarbij het dan wel duidelijk moet zijn welke precies gebruikt worden. Er doet zich nu het interessante verschijnsel voor dat de business graag zelf bepaalt welke applicaties nodig zijn voor het werk én dat de business het beste in staat is om de risico’s te bepalen. Een prima combinatie, maar wel een dienog duidelijker maakt dat er een strategische aanpak van beveiliging moet komen.
Het lijkt nu misschien of ik geen rol meer zie voor de IT-afdeling, maar dat is zeker niet het geval. De business mag dan het beste kunnen bepalen welke cloud-applicaties het beste zijn en welke risico’s voor het bedrijfbeslist moeten worden afgedekt; het opzetten van een veilige infrastructuur daarvoor is een heel ander verhaal. Het onderzoek toont aan dat veel gebruikers van shadow-IT de gevaren kennen, maar meer voorlichting over veilig gebruik van de schaduwapplicaties blijft belangrijk. Hier kan de IT-afdeling beslist toegevoegde waarde bieden. Zeker als de IT-afdeling zo verstandig is om goed te kijken wat er precies wordt gebruikt, welk risicoprofiel daarbij hoort en beveiligingsoplossingen kiestdie de organisatie een goede balans bieden tussen een vrije keuze voor cloud-applicaties en een adequate beveiliging van de belangrijkste risico’s.
Wim van Campen, Vice President Northern and Eastern Europe bij McAfee
24 en 25 april 2024 Organisaties hebben behoefte aan data science, selfservice BI, embedded BI, edge analytics en klantgedreven BI. Vaak is het dan ook tijd voor een nieuwe, toekomstbestendige data-architectuur. Dit tweedaagse seminar geeft antwoord ...
16 mei 2024 Praktische en interactieve workshop met Nigel Turner Data-gedreven worden lukt niet door alleen nieuwe technologie en tools aan te schaffen. Het vereist een transformatie van bestaande business modellen, met cultuurverandering, een heront...
29 - 31 mei 2024Praktische driedaagse workshop met internationaal gerenommeerde spreker Alec Sharp over herkennen, beschrijven en ontwerpen van business processen. De workshop wordt ondersteund met praktijkvoorbeelden en duidelijke, herbruikbare rich...
3 t/m 5 juni 2024Praktische workshop met internationaal gerenommeerde spreker Alec Sharp over het modelleren met Entity-Relationship vanuit business perspectief. De workshop wordt ondersteund met praktijkvoorbeelden en duidelijke, herbruikbare richtl...
10 t/m 12 juni 2024 Praktische workshop Data Management Fundamentals door Chris Bradley - CDMP-examinatie optioneel De DAMA DMBoK2 beschrijft 11 disciplines van Data Management, waarbij Data Governance centraal staat. De Certified Data Managem...
14 juni 2024 (halve dag online) Praktische en interactieve workshop met Nigel Turner In ons digitale tijdperk willen veel organisaties datagedreven worden en investeren zij fors in nieuwe technologieën om dit mogelijk te maken. Maar deze ...
17 t/m 19 juni 2024Praktische driedaagse workshop met internationaal gerenommeerde trainer Lawrence Corr over het modelleren Datawarehouse / BI systemen op basis van dimensioneel modelleren. De workshop wordt ondersteund met vele oefeningen en prakti...
15 oktober 2024 Workshop met BPM-specialist Christian Gijsels over AI-Gedreven Business Analyse met ChatGPT. Kunstmatige Intelligentie, ongetwijfeld een van de meest baanbrekende technologieën tot nu toe, opent nieuwe deuren voor analisten met i...
Deel dit bericht