Shadow IT, ik hoor het je denken: “wat is dat nou weer?” In de wereld van IT en marketing hebben ze er nogal een handje van om mooie afkortingen en termen te verzinnen. Bij voorkeur hanteren we in Nederland ook nog graag de Engelse variant. Dat maakt het allemaal niet begrijpelijker. Yellow arrow is de moeilijkste niet en legt het je graag uit. Het is écht de moeite waard om verder te lezen want Shadow IT kan grote gevolgen hebben voor jouw organisatie. 

Shadow IT, wat is het dan?

Als organisatie maak je vaak gebruik van een vaste groep aan applicaties en diensten. Denk bijvoorbeeld aan Teams, OneDrive, Word, Outlook, noem maar op. Deze vaste set met applicaties wordt in de meeste gevallen beheerd door de IT-partner. Zo'n mooie IT-term daarvoor is het applicatie landschap. 

Als organisatie ga je ervan uit dat deze groep aan applicaties wordt gebruikt door de gebruikers. En, dat dit de enige applicaties zijn waar de gebruikers al hun werkzaamheden mee uitvoeren. Helaas is dit vaak niet het geval. Wanneer medewerkers een bepaalde functionaliteit missen, of niet weten hoe ze moeten werken met de applicaties die worden aangeboden, wordt er een alternatief bedacht. Medewerkers verzinnen omwegen om toch hun doel te bereiken of gaan met eigen applicaties werken.

Twee goede voorbeelden zijn het delen van bestanden of het opslaan van wachtwoorden. Gebruikers zijn in dat geval op zoek naar iets wat ze ‘even snel’ kunnen instellen of gebruiken. Om vervolgens weer door te gaan met hun eigen werkzaamheden. Shadow IT is dus het gebruik van zowel software als hardware, die buiten het beheer van de IT-afdeling valt. 

Oké, maar dat is toch niet zo erg?

Laten we het opslaan van wachtwoorden eens pakken als voorbeeld. Dat doen we vanuit de gedachtegang van een gebruiker. Stel een gebruiker ontvangt de inloggegevens van een bepaalde dienst of applicatie. Bijvoorbeeld voor het inloggen in de boekhoudingsoftware van een klant. De organisatie waar de gebruiker werkt biedt niets aan op het gebied van veilig wachtwoordbeheer.  

Hoe de gebruiker denkt en handelt: 

“Help... dat is een lang en complex wachtwoord. Hmm, die kan ik natuurlijk niet onthouden. Overtypen vanaf een blaadje is ook niet realistisch. Weet je, ik maak wel even een Exceldocumentje. Dan zet ik daar gewoon al mijn wachtwoorden in. Dat is tenslotte een applicatie die ik ken en waar ik veel gebruik van maak. Ik sla hem wel even op mijn bureaublad op, dan kan ik hem makkelijk terugvinden. Top, het wachtwoord kan ik nu mooi makkelijk terugvinden via dit documentje. Dat heb ik mooi geregeld.” 

Een paar dagen later krijgt de gebruiker een teams berichtje van een collega: 
“Jij had toch de inloggegevens ontvangen voor die boekhouding?” “Klopt inderdaad.” “Kan je die ook even met mij delen?” “Ja tuurlijk, het staat in dit Exceldocumentje opgeslagen, succes! Misschien is het handig als we alle wachtwoorden van ons team hierin verzamelen? Dan kan iedereen daar makkelijk bij!” 

 

Zie je wat hier gebeurt?

De betreffende gebruiker heeft zojuist een oplossing bedacht, ingericht en organisatie breed uitgerold. Dat ontstaat omdat de organisatie de functionaliteit van veilig wachtwoordbeheer niet aanbiedt. Gebruikers vallen dan terug op applicaties of diensten die ze goed kennen. Bijvoorbeeld omdat ze dat in een andere situatie, bijvoorbeeld privé ook gebruiken. Denk bijvoorbeeld aan WeTransfer of zoals in dit geval Microsoft Excel.  

In dit voorbeeld is de IT-partner en/of directie op geen enkele manier betrokken geweest bij de vorming van dit nieuwe proces. Niemand, behalve het team zelf, weet dat de wachtwoorden op deze manier toegankelijk zijn in samenwerkingsverband. Dit kan grote gevolgen hebben voor de organisatie. Denk aan de beveiliging en de continuïteit van de oplossing. Om nog maar even te zwijgen over het feit dat het gebruik van Excel niet wenselijk is voor het opslaan en delen van wachtwoorden. Er bestaat specifieke software in de vorm van een wachtwoordmanager die centraal uitgerold en beheerd kan worden. Vraag ons daar gerust een keer naar. 

Controle over de wachtwoorden

Waar is het Exceldocumentje met wachtwoorden uit het voorbeeld ondertussen allemaal opgeslagen? Als er een medewerker vertrekt kan hij of zij dan nog steeds bij de wachtwoorden? Is er een back-up van het Exceldocument? Of zijn alle wachtwoorden verloren als het bestandje per ongeluk wordt verwijderd? Wie kan er ondertussen allemaal bij?

Zoals je begrijpt is er geen controle meer over deze situatie. Misschien komt de directie of IT-partner zelfs nooit iets te weten over deze situatie. De veiligheid en continuïteit van deze oplossing is vrij onzeker. Wat zijn de gevolgen als een van de wachtwoorden in verkeerde handen vallen? Kortom een goed bedoelde oplossing van de medewerker of team kan tot grote gevolgen leiden voor de organisatie en bijhorende klanten. 

Wat heftig, hoe voorkomen we dit? 

In dit voorbeeld gaat het over de mogelijke gevolgen van het ontbreken van een wachtwoordmanager. Shadow IT kan natuurlijk voor veel meer functionaliteiten of diensten ontstaan. Het is daarom iets wat continu aandacht vereist. 

Hoe voorkom je het of hoe spoor je het op? 

• Loop eens steekproefsgewijs met een aantal medewerkers door hun dagelijkse werkzaamheden heen. Hoe voert deze medewerker zijn werkzaamheden uit op de computer en welke applicaties of diensten gebruikt de medewerker? Zijn al deze applicaties in beheer bij de IT-partner?
• Vraag aan je medewerkers of zij bepaalde functionaliteiten missen in de IT-omgeving? Geef ze bij voorkeur wat inspiratie, zodat ze weten waar je op doelt. Bijvoorbeeld het opslaan van wachtwoorden. 
• Vraag aan gebruikers of ze ergens lastig mee uit de voeten komen. Wat vinden ze omslachtig of niet efficiënt? Dit is waar Shadow IT meestal ontstaat. Het gaat vaak om een werkwijze die de gebruiker te omslachtig of lastig vindt. 
• Er zijn ook tools zoals Microsoft Defender voor Cloud Apps. Deze tool scant de IT-omgeving en kijkt welke clouddiensten of applicaties er worden gebruikt. Via deze tool is precies te zien welke gebruiker de betreffende dienst of applicatie gebruikt. Dit kan helpen bij het in kaart brengen van Shadow IT.