Het gevaar van schaduw-IT

Het gebruik van diverse diensten en programma’s waar uw IT-afdeling noch beveiliging vanaf weten kan problemen creëren. Wij leggen uit hoe u die kunt voorkomen.

Het is praktisch onmogelijk om software-tools uit te kiezen waar iedereen blij mee is. Er is altijd minimaal één werknemer die een gratis service kent die tien keer beter is dan de keuze van het bedrijf. Als die persoon begint met het actief aanraden van die andere optie aan zijn collega’s, ontstaat het fenomeen dat als schaduw-IT bekend staat. Soms helpt het het bedrijf om een oplossing te vinden die beter aansluit op de bedrijfsbehoeftes, maar het is vaker zo dat dit vooral kopzorgen veroorzaakt.

Als mensen beter wisten, zouden ze hun ideeën eerst voorleggen aan de beveiligingsafdeling. Maar de wereld waar we in leven is niet perfect, en werknemers gebruiken vaak diensten voor het delen van bestanden, web-e-mail-applicaties of messengers zonder daar verder bij na te denken, en pas later (al dat überhaupt al gebeurt) denken ze aan de consequenties hiervan.

Het probleem is niet per se dat die nieuwe gratis messenger een tool is die in een handomdraai in elkaar gezet is. Het kan ook om een gerenommeerde dienst gaan. Het probleem is dat noch de beveiligingsspecialisten, als uw bedrijf die al heeft, noch IT weten wat er gaande is. En dat betekent dat deze niet-geautoriseerde app buiten de infrastructuurdreigingsmodellen, data flow diagrams en eenvoudige planningsbeslissingen valt. En dat is vragen om problemen.

Waarschijnlijkheid van lekken

Wie weet welke valkuilen er op de loer liggen bij het gebruik van tools van derden? Elke applicatie, of die nu cloud-gebaseerd is of lokaal gehost wordt, kan tal van subtiele instellingen bevatten die de privacy beheren. En het is zeker niet zo dat alle werknemers evenveel kennis van software hebben. Er zijn bijvoorbeeld tal van gevallen waarbij een werknemer tabellen met persoonlijke informatie onbeveiligd in Google Documents achterliet.

Daarnaast kunnen diensten kwetsbaarheden bevatten waardoor een derde partij toegang tot uw gegevens kan verkrijgen. De makers kunnen die lekken dan wel snel dichten, maar wie garandeert dat werknemers alle benodigde patches voor client-side apps ook echt installeren? Zonder inmenging van IT kunt u er niet zeker van zijn dat ze ook maar een memo krijgen over updates. Bovendien is het zeldzaam dat iemand de verantwoordelijkheid neemt voor het beheren van toegangsrechten in ongeautoriseerde applicaties en diensten (bijvoorbeeld door toegangsrechten in te trekken na ontslag of vertrek). En dat is als zo’n optie zelfs maar beschikbaar is. Kortom: niemand is verantwoordelijk voor de beveiliging van verzonden of verwerkte gegevens bij het gebruik van diensten die niet door IT of beveiliging zijn goedgekeurd.

Schending van regelgevende eisen

In deze tijd kennen landen over de hele wereld hun eigen wetten waarin is uiteengezet hoe bedrijven met persoonlijke gegevens moeten omgaan. Tel daarbij op de vele industriestandaards wat betreft hetzelfde onderwerp. Bedrijven moeten regelmatige audits ondergaan om aan de eisen van verschillende regelgevende instanties te voldoen. Als bij een audit plotseling wordt ontdekt dat de persoonlijke gegevens van klanten en werknemers worden verzonden met gebruik van onbetrouwbare diensten en IT hier niets vanaf wist, kan dit bedrijf een flinke boete tegemoet zien. In andere woorden: een bedrijf heeft niet eens een echt gegevenslek nodig om in de problemen te komen.

Weggegooid budget

Het gebruik van een alternatieve tool in plaats van de aanbevolen optie kan als een kleinigheidje klinken, maar voor het bedrijf betekent dit in het beste geval geldverspilling. Als IT namelijk licenties aanschaft voor elke goedgekeurde deelnemer in de workflow en vervolgens iedereen hun eigen tools gebruikt, is dat weggegooid geld.

Wat kunt u aan schaduw-IT doen?

Schaduw-IT moet beheerd worden, en niet bestreden. Als u het onder controle kunt houden, kunt u niet alleen de gegevensbeveiliging bij uw bedrijf verbeteren, maar u kunt ook nog eens echt populaire en nuttige tools vinden die over de hele breedte van het bedrijf kunnen worden ingezet.

Op dit moment, te midden van een pandemie waarin we zo veel mogelijk thuiswerken, nemen de risico’s die zijn geassocieerd met het gebruik van niet-ondersteunde applicaties en diensten toe. Werknemers worden gedwongen om zich aan nieuwe omstandigheden aan te passen, en zullen vaak proberen om nieuwe tools te vinden waarvan ze denken dat die geschikter zijn voor het thuiswerken. Daardoor hebben we wat extra features toegevoegd aan de geüpdatete versie van Kaspersky Endpoint Security Cloud voor het detecteren van het gebruik van niet-geautoriseerde diensten en applicaties.

Bovendien kan Kaspersky Endpoint Security Cloud Plus het gebruik van zulke diensten en applicaties ook blokkeren. Deze versie van de oplossing geeft het bedrijf tevens toegang tot Kaspersky Security voor Microsoft Office 365, wat een extra beveiligingslaag biedt rond Exchange Online, OneDrive, SharePoint Online en Microsoft Teams.

U vindt meer informatie over onze oplossing en kunt hem aanschaffen op de officiële pagina Kaspersky Endpoint Security Cloud.

Tips