Onder schaduw-IT vallen alle systemen in een organisatie die zich buiten het zicht van de IT-afdeling bevinden. Schaduw-IT vormt een beveiligingsrisico omdat het niet wordt beveiligd zoals andere IT-systemen in de organisatie.
Vormen van schaduw-IT
Er zijn verschillende vormen van schaduw-IT. Soms zijn het IT-systemen die in de vergetelheid zijn geraakt en niet meer worden geüpdatet. Het kunnen ook diensten zijn die medewerkers buiten de IT-afdeling om (laten) ontwikkelen. Een voorbeeld hiervan is een actiewebsite voor een marketingcampagne waarbij klanten gegevens moeten achterlaten. Er is dan vaak niet nagedacht over data security of is er vanuit de app een interne link met het bedrijfsnetwerk waarmee de site in feite een ‘stepping stone’ kan worden voor hackers. Het komt ook voor dat medewerkers hun eigen apparatuur aansluiten op het bedrijfsnetwerk. Zo is in het verleden de NASA gehackt omdat een medewerker een Raspberry Pi, een mini-computer, aansloot op het interne netwerk.
Hoe ontstaat schaduw-IT?
Er zijn verschillende oorzaken voor het ontstaan van schaduw-IT. Wij noemen er een paar:
Onwetendheid bij medewerkers - Medewerkers brengen meestal niet bewust de security van een organisatie in gevaar. Het ontbreekt hen simpelweg vaak aan kennis over welk gedrag specifieke risico’s in de hand werkt.
Moedwillig omzeilen IT-afdeling - Soms vinden medewerkers dat een IT-afdeling niet snel genoeg op de vraag inspeelt. Als gevolg hiervan ontstaan schaduw-IT toepassingen waarover de IT-afdeling met opzet niet is geïnformeerd.
Vergeten IT-systemen - Schaduw-IT ontstaat ook door IT-medewerkers zelf. Denk hierbij bijvoorbeeld aan een beveiligingscamera die gekoppeld is aan het bedrijfsnetwerk door een systeembeheerder die inmiddels uit dienst is. Als hij zijn collega’s niet heeft geïnformeerd over deze installatie, dan wordt zo’n camera niet meer geüpdatet en gemonitord. Als er zich dan een kwetsbaarheid voordoet, zal er ook niet snel gedacht worden aan dit systeem, simpelweg omdat niemand het meer weet.
Wat zijn de risico’s van schaduw-IT?
Dit zijn de voornaamste risico’s van schaduw-IT in je bedrijf:
Kwetsbaarder voor aanvallen - Omdat schaduw-IT buiten het zicht valt, worden deze systemen niet gemonitord en ontvangt de IT-afdeling ook geen alerts als er vreemde dingen gebeuren binnen het systeem. Ook wordt schaduw-IT niet meer geüpdatet. Je bedrijf wordt hierdoor veel kwetsbaarder voor aanvallen van buitenaf.
Compliance issues - Om te voldoen aan de wet- en regelgeving moeten bedrijven kunnen aantonen waar hun data opgeslagen staat. Bij een schaduw-IT omgeving is niet bekend waar alle gegevens opgeslagen staan met alle compliancerisico’s van dien.
Welke maatregelen moeten bedrijven nemen om schaduw-IT zoveel mogelijk te voorkomen?
- Maak medewerkers bewust van de risico’s van schaduw-IT
Zorg dat medewerkers weten wat schaduw-IT is en leg goed uit wat de risico’s ervan zijn. Waarom moeten ze zo snel mogelijk de nieuwste updates installeren? En waarom is het belangrijk ervoor te zorgen dat een campagne-website veilig is? Ga daar als IT-afdeling over in gesprek. - Zorg voor een security aware IT-afdeling
Ook binnen de IT-afdeling zelf is niet iedereen zich even bewust van de securityrisico’s van schaduw-IT. Als IT-manager kun je het bewustzijn van je medewerkers vergroten door ze bijvoorbeeld een security awareness training te laten volgen. - Ga voor maximale beveiliging én gebruiksvriendelijkheid
Medewerkers zullen sneller een schaduw-IT omgeving creëren als ze het idee hebben dat de IT-afdeling security maatregelen neemt die onzinnig zijn en dat levert irritatie op. Let er daarom op dat als je als IT-afdeling security maatregelen implementeert je medewerkers binnen de veilige kaders maximale flexibiliteit biedt. Laat medewerkers bijvoorbeeld wel USB-sticks gebruiken om bestanden te delen, maar zorg voor standaard versleuteling. Daarmee komt de gebruiksvriendelijkheid niet in gevaar, maar is de veiligheid wel gegarandeerd.
Meer weten over schaduw-IT?
Wil jij meer weten over hoe je schaduw-IT binnen jouw bedrijf kunt opsporen of wil je meer weten over hoe je schaduw-IT in jouw bedrijf zo veel mogelijk kunt voorkomen? Neem dan contact op met de experts van Computest of lees er meer over in deze blog over de belangrijkste oorzaken van schaduw-IT.