Gastexpert | Schaduw-IT: hét hoofdpijndossier van de IT-manager
Nieuwe technologie als low-code maakt het voor business professionals makkelijker om zelf aan de slag te gaan met software-ontwikkeling. Deze mogelijkheid wordt logischerwijs ook omarmd door de business. Dit wordt eveneens bevestigd door een onderzoek dat Mendix onlangs uitbracht. Hierin zegt 69 procent van de business professionals het een goede zaak te vinden dat er digitale projecten worden gestart zonder hulp van IT. 70 procent van de IT-professionals geeft echter aan niet gecharmeerd te zijn van dit idee.
Als belangrijke reden noemen de IT’ers dat zij doordat applicaties buiten hun gezichtsveld worden ontwikkeld, te weinig inzicht hebben in de securityrisico’s. Een belangrijk onderdeel van het bewaken van de netwerksecurity in een organisatie, is immers overzicht over risico’s. Hier kun je dan vervolgens passende maatregelen tegen nemen. Schaduw-IT zorgt echter voor onbekende risico’s en kan ertoe leiden dat je wordt overvallen door serieuze bedreigingen.
Schaduw-IT is de ideale zwakke plek
Omdat bij schaduw-IT de beveiligingseisen van een bedrijf, zoals het installeren van securityupdates, niet kunnen worden afgedwongen, is het een ideale zwakke plek. Een aanvaller kan daarmee toegang krijgen tot gevoelige gegevens die op schaduw-IT toepassingen staan. Of zelfs om binnen te komen.
Drie stappen om de risico’s van schaduw-IT te beperken
Om te zorgen dat de risico’s van schaduw-IT worden beperkt en de infrastructuur van de organisatie veiliger wordt, zijn de volgende drie stappen onmisbaar:
- Zorg voor security awareness. Medewerkers brengen vrijwel nooit bewust de security van een organisatie in gevaar. Het ontbreekt hen simpelweg vaak aan kennis over de risico’s en welk gedrag specifieke risico’s in de hand werkt. Zorg daarom dat mensen zich bewuster worden van de risico’s en weten wat zij kunnen doen om deze te beperken. Geef daarbij ook concrete handvatten: hoe kun je bijvoorbeeld zorgen dat je applicaties ook qua beveiliging goed in elkaar zitten? En hoe bewaak je dit tijdens de gehele levenscyclus?
- Evalueer je security-beleid. Iedere organisatie heeft wel een vorm van securitybeleid met bijbehorende processen. Kijk of de eisen die je stelt aan de processen evenredig zijn met het potentiële risico. Als je maatregelen instelt die zinloos lijken voor medewerkers, dan nodig je hen bijna uit om hieromheen te werken en een andere oplossing te zoeken (die vrijwel zeker niet voldoen aan jouw securitystandaarden). Maak daarnaast duidelijk wat de achterliggende gedachte is voor bepaalde regels en eisen, zodat mensen begrijpen waarom het belangrijk is zich hieraan te houden.
- Breng doorlopend je schaduw-IT in kaart. Dit lijkt een onmogelijke opgave, want het wordt immers niet voor niets schaduw-IT genoemd. Toch zijn er tools beschikbaar die continu je externe en interne netwerk scannen, zodat onbekende systemen en apparaten aan de oppervlakte komen. Via een dashboard krijg je dan inzicht in de veiligheid van je online omgeving. Door inzicht te creëren in schaduw-IT zorg je ervoor dat de onveilige toepassing direct uit de lucht kan worden gehaald als dit nodig is.