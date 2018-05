Al tientallen jaren zoeken CIO's en IT-managers naar manieren om schaduw-IT te ontdekken en uit te bannen, omdat ze weten dat deze tools gevaarlijke risico's opleveren voor security, compliance en workflow.

Maar een klein maar groeiend aantal IT-leiders zien schaduw-IT in een nieuw perspectief. Ze zien in dat het bestuderen van de heimelijke praktijken hen kan helpen in het identificeren van de behoeften en voorkeuren van de eindgebruikers, waardoor je beter in staat bent geautoriseerde software en diensten te ontwikkelen die diezelfde werknemers in staat stellen tevreden hun werk beter te doen.

Hier zijn zeven manieren om schaduw-IT naar je hand te zetten.

1. Begrijp waarom de schaduw-IT-tool wordt gebruikt

Veel medewerkers kunnen met technologie omgaan, en draaien hun hand er niet voor om om apparaten, software en apps te gebruiken als dat hun werk verlicht of efficiënter maakt. In hun privéleven hebben ze het gemak van op consumenten gerichte platforms en dat gemak willen ze ook hebben op de werkplek. Een IT-systeem dat juist vertraging oplevert of barrières opwerpt in de wens om 24 uur per dag toegang te hebben tot hetgeen nodig is, maakt dat werknemers op zoek gaan naar andere tools om die barrières te omzeilen. Werknemers worden immers vooral beoordeeld op de resultaten die ze boeken, niet hoe ze zich conformeren aan de standaarden, zeker niet als die standaarden ze juist hinderen in het bereiken van resultaten.

2. Bestudeer hoe werknemers de schaduw-IT-tool gebruiken

De wijze waarop je met schaduw-IT-tools moet omgaan is het beste te bepalen door de gebruikers te vragen welke waarde de technologie hen biedt en de specifieke problemen die het voor hen oplost. Hetzelfde doe je immers in de evaluatie van nieuwe technologieën, behalve dat de schaduw-IT-tool al onderdeel uitmaakt van een deel van de workflow. Als blijkt dat je team niet die voorzieningen kan leveren, is het tijd om dieper op de zaak in te gaan en oplossingen te vinden die aan de behoefte van de business tegemoet komt.

Een van de meest bekende voorbeelden is het gebruik van publieke clouddiensten. Werknemers delen bestanden, geven elkaar toegang tot documenten of gebruiken Dropbox of Google Docs als backup voor belangrijke bestanden. Die zijn makkelijk in het gebruik, maar geven tevens een risico als het gaat om gevoelige data. Voor die diensten zijn genoeg alternatieven via zakelijke cloudplatforms die meer gericht zijn op beveiliging, zoals de optie om bestanden te versleutelen.

3. Bepaal of de schaduw-technologie een securityrisico is

Nadat je bepaald hebt welke schaduw-IT in de organisatie leeft, door bijvoorbeeld het uitgaande verkeer op het netwerk te monitoren, is het tijd om een security assessment te doen. Dat kan op eenzelfde manier gebeuren als met andere typen software en diensten. Het gebruik van een network access control-systeem dat real-time informatie geeft over elke persoon, systeem en apparaat dat verbinding heeft met de bedrijfsinfrastructuur is een efficiënte methode om schaduw-IT te ontdekken. Daarnaast kunnen user and entity behavior analytics-tools (UEBA) helpen in het detecteren en schade voorkomen van verborgen bedreigingen die binnen zijn geslopen langs je parameter-defensielaag..

4. Evalueer de potentiële waarde van de schaduw-technologie

De simpelste en makkelijkste manier om de waarde van een schaduw-tool te bepalen is het te bespreken met de gebruikers ervan. Je medewerkers weten immers meer dan leveranciers, verkopers, security-experts en infrastructuurteams hoe ze het bedrijf meer efficiënt maken en hun werk meer productief. Als zij schaduw-IT gebruiken hebben ze daar dus een gegronde reden voor. En die moet je achterhalen. Bij het introduceren van mogelijke alternatieven kunnen de gebruikers worden betrokken en zij kunnen verschillende opties testen. Zorg er wel voor dat de alternatieve tools niet complexer zijn dan de schaduw-IT.

5. Werk samen met de leverancier van de schaduw-technologie

Als IT heeft bepaald dat er een solide zakelijke reden is om een schaduw-technologie om te zetten in een goedgekeurde business-tool, dan zou de organisatie naar de ontwikkelaar moeten stappen om bepaalde behoeften en doelen te bepraten. Veel leveranciers hebben verschillende versies van hun producten en zijn bereid samen te werken om te zorgen dat hun product voldoet aan de vereisten van een organisatie. Tien jaar geleden voldeden veel van de consumententools die de organisatie binnenslopen niet aan de bedrijfsstandaarden in security en compliance. Die tijd is geweest.

6. Zorg dat de oorspronkelijke voordelen van de schaduw-tool behouden blijven

Op het moment dat besloten is dat een officiële goedkeuring van de schaduw-technologie mogelijk is, zou IT zich moeten zorgen dat die technologie ook in een volledige werkbare en veilige staat wordt ingericht. Maar zorg er wel voor dat de belangrijkste redenen waarom personeel die schaduw-tool gebruikte, bewaard blijven, anders heeft het geen zin. Anders zal je later opnieuw met een alternatieve schaduw-IT worden geconfronteerd.

De snelste manier waarop een schaduw-tool onder de IT-paraplu kan worden gebracht in een veilige staat met behoud van zijn originele bruikbaarheid is te praten met de provider, uit te leggen wat de specifieke behoeften zijn van de organisatie en je er vervolgens van verzekeren dat de provider zijn beloften gestand heeft gedaan via tests en pilot-deployments. Het is eveneens belangrijk in te zien dat sommige schaduw-IT-tools nooit worden aangeboden in een (groot-)zakelijke versie en dat ondersteuning op de traditionele IT-manier vrijwel onmogelijk zal zijn.

7. Blijf waakzaam

IT moet altijd een oogje in het zeil houden en waakzaam zijn op nieuwe schaduw-technologie die op kan duiken. Aan de andere kant kunnen organisaties die een serie succesvolle schaduw-IT-implementaties hebben ondervonden zelf wel tot de conclusie kunnen komen dat er mogelijk een grote omissie zit in het leveren van betrouwbare oplossingen door IT. Dat zou kunnen komen door een gebrek aan communicatie en een gebrek aan vertrouwen. Geen enkel individu, team, afdeling of bedrijf kan succesvol werken als die onderliggende oorzaken blijven sluimeren.

Ten slotte zou IT nooit mogen toegeven en een twijfelachtige schaduw-tool goedkeuren, alleen maar om aan de vraag van de werknemers te kunnen voldoen. Als er namelijk een security-incident voorkomt zal de verantwoordelijkheid uiteindelijk liggen bij de CIO of CTO, zelfs als zij niet degenen zijn die de overeenkomst met de leverancier van schaduw-IT hebben gesloten. Om ervoor te zorgen dat de integriteit van de onderneming niet wordt geschaad, moet de IT-organisatie er zeker van zijn dat als er schaduw-IT wordt gebruikt, het voldoet aan alle standaarden en eisen die de organisatie hanteert.