Dat de cloud nu op grote schaal aanslaat is duidelijk. De voordelen die door de aanbieders worden geclaimd worden waargemaakt. Eén van die voordelen – het gemak waarmee clouddiensten in gebruik genomen kunnen worden – blijkt echter tegelijk een nadeel. Het is zó makkelijk, dat veel werknemers zelf cloudapplicaties aanschaffen en in gebruik nemen, zonder dat de IT-afdeling er aan te pas komt. Dit verschijnsel staat bekend als ‘shadow’ IT, of ook wel ‘stealth’ IT, want deze applicaties zijn niet zichtbaar op de radar van de IT. Daar zitten grote risico’s aan, zowel op security- als op compliance-gebied.
Hoe groot is het verschijnsel eigenlijk? Voor ons reden om er onderzoek naar te laten doen.De uitkomst: meer dan 80 procent van de ondervraagden geeft toe voor hun werk SaaS-applicaties - van Office 365 tot Facebook - te gebruiken die niet door de IT-afdeling zijn goedgekeurd. Ironisch is dat uitgerekend de IT-afdeling zelf met 83 procent de grootste gebruiker blijkt te zijn van schaduwapplicaties. De cloud maakt het dus wel erg makkelijk voor werknemers om op eigen houtje applicaties te gaan gebruiken.
Het onderzoek keek natuurlijk ook naar de redenen. De radar van de IT-afdeling is vaak een stoorzender: een derde van de ondervraagden vindt dat het veel te lang duurt of dat het veel te omslachtig is voordat de IT-afdeling goedkeuring geeft. Belangrijker nog is dat de helft aangeeft graag applicaties te gebruiken waar zij vertrouwd mee zijn, terwijl een kwart aangeeft dat de niet-goedkeurde apps beter aan hun behoefte voldoen. Redenen genoeg om allerlei IT-policies te omzeilen.
Blijft de vraag hoe erg deze shadow-IT is. Ons onderzoek maakt helaas geen onderscheid in het soort applicaties of dienst dat buiten de IT-afdeling om wordt gebruikt en gooit alles op één hoop.Het maakt immers toch wel een verschil of het gaat om bijvoorbeeld LinkedIn, dat primair voor privédoeleinden wordt gebruikt, of om Dropbox waarmee gemakkelijk bedrijfsinformatie kan worden bewaard en uitgewisseld. De beveiligingsrisico’s en de impact op de organisaties verschillen daarom sterk.
De grote zorg over deze gang van zaken betreft de beveiliging. Let wel, het onderzoek geeft aan dat shadow-IT gebruikers zelf zich zorgen maken over beveiliging! Veelgenoemde zorgen zijn diefstal van gevoelige data, het in verkeerde handen vallen van loginnaam en wachtwoord, besmetting met malware en of er aan de wet- en regelgeving wordt voldaan. En die zorgen blijken ook terecht: gemiddeld heeft 15 procent te maken gehad met beveiligingsincidenten, vooral met social media (Facebook, Twitter en LinkedIn) , maar ook met Google Apps en Dropbox.
Gezien al deze uitkomsten denk ik dat het duidelijk is dat veel IT-afdelingen moeite hebben om aan de wensen van de gebruikers tegemoet te komen. En zoals ‘bring your own device’ al duidelijk heeft gemaakt: die gebruikers gaan gewoon hun eigen weg. En dat doen ze dus zelfs als ze zich bewust zijn van de veiligheidsrisico’s.We zien dat ook al zijn mensen zich van beveiligingsissues bewust het nemen van beveiligingsmaatregelen niet vanzelfsprekend is. Dat beeld is consistent met de uitkomsten van een onderzoek dat we een jaar geleden hebben laten doen naar IT-beveiliging van bedrijfsrisico’s onder grote organisaties.
In mijn visie moet de focus van de beveiliging daar liggen waar die vanuit een risicoperspectief zou moeten liggen.Daarvoor is een strategisch beveiligingsplan nodig, gebaseerdop een analyse van de business. Deze analyse moet dan ook een taak zijn van de ‘business owners’, aangezien zij de waarde én de risico’s voor hun onderneming het beste kunnen inschatten. In tegenstelling tot de IT-afdeling moeten zij weten wat de ‘kroonjuwelen’ van hun organisatie zijn. Het risicoprofiel van de gebruikte (cloud)applicaties en -diensten moet leidend zijn, waarbij het dan wel duidelijk moet zijn welke precies gebruikt worden. Er doet zich nu het interessante verschijnsel voor dat de business graag zelf bepaalt welke applicaties nodig zijn voor het werk én dat de business het beste in staat is om de risico’s te bepalen. Een prima combinatie, maar wel een dienog duidelijker maakt dat er een strategische aanpak van beveiliging moet komen.
Het lijkt nu misschien of ik geen rol meer zie voor de IT-afdeling, maar dat is zeker niet het geval. De business mag dan het beste kunnen bepalen welke cloud-applicaties het beste zijn en welke risico’s voor het bedrijfbeslist moeten worden afgedekt; het opzetten van een veilige infrastructuur daarvoor is een heel ander verhaal. Het onderzoek toont aan dat veel gebruikers van shadow-IT de gevaren kennen, maar meer voorlichting over veilig gebruik van de schaduwapplicaties blijft belangrijk. Hier kan de IT-afdeling beslist toegevoegde waarde bieden. Zeker als de IT-afdeling zo verstandig is om goed te kijken wat er precies wordt gebruikt, welk risicoprofiel daarbij hoort en beveiligingsoplossingen kiestdie de organisatie een goede balans bieden tussen een vrije keuze voor cloud-applicaties en een adequate beveiliging van de belangrijkste risico’s.
Wim van Campen, Vice President Northern and Eastern Europe bij McAfee
7 november (online seminar op 1 middag)Praktische tutorial met Alec Sharp Alec Sharp illustreert de vele manieren waarop conceptmodellen (conceptuele datamodellen) procesverandering en business analyse ondersteunen. En hij behandelt wat elke data-pr...
11 t/m 13 november 2024Praktische driedaagse workshop met internationaal gerenommeerde trainer Lawrence Corr over het modelleren Datawarehouse / BI systemen op basis van dimensioneel modelleren. De workshop wordt ondersteund met vele oefeningen en pr...
18 t/m 20 november 2024Praktische workshop met internationaal gerenommeerde spreker Alec Sharp over het modelleren met Entity-Relationship vanuit business perspectief. De workshop wordt ondersteund met praktijkvoorbeelden en duidelijke, herbruikbare ...
26 en 27 november 2024 Organisaties hebben behoefte aan data science, selfservice BI, embedded BI, edge analytics en klantgedreven BI. Vaak is het dan ook tijd voor een nieuwe, toekomstbestendige data-architectuur. Dit tweedaagse seminar geeft antwoo...
De DAMA DMBoK2 beschrijft 11 disciplines van Data Management, waarbij Data Governance centraal staat. De Certified Data Management Professional (CDMP) certificatie biedt een traject voor het inleidende niveau (Associate) tot en met hogere niveaus van...
3 april 2025 (halve dag)Praktische workshop met Alec Sharp [Halve dag] Deze workshop door Alec Sharp introduceert conceptmodellering vanuit een non-technisch perspectief. Alec geeft tips en richtlijnen voor de analist, en verkent datamodellering op c...
10, 11 en 14 april 2025Praktische driedaagse workshop met internationaal gerenommeerde spreker Alec Sharp over herkennen, beschrijven en ontwerpen van business processen. De workshop wordt ondersteund met praktijkvoorbeelden en duidelijke, herbruikba...
15 april 2025 Praktische workshop Datavisualisatie - Dashboards en Data Storytelling. Hoe gaat u van data naar inzicht? En hoe gaat u om met grote hoeveelheden data, de noodzaak van storytelling en data science? Lex Pierik behandelt de stromingen in ...
Deel dit bericht