CSM25: Schaduw-IT: hoe krijg je grip op onbeheerde systemen in je organisatie?
Ga direct naar
Je medewerkers werken efficiënter dan ooit. Ze delen bestanden via WhatsApp, slaan documenten op in hun persoonlijke Dropbox en gebruiken de nieuwste AI-tools om sneller te werken. Het probleem? Je IT-afdeling weet van niets. Welkom in de wereld van schaduw-IT, waar productiviteit en beveiliging op gespannen voet staan.
In driekwart van de organisaties is in 2027 sprake van schaduw-IT, verwacht onderzoeksbureau Gartner. Deze onzichtbare technologie vormt een van de grootste uitdagingen voor moderne organisaties en is goed voor 30-40% van alle IT-uitgaven in grote ondernemingen.
Wat is schaduw-IT en waarom is het een risico?
Bij schaduw-IT gaat het om alle technologie die medewerkers gebruiken zonder medeweten of goedkeuring van de IT-afdeling. Het ontstaat vaak uit frustratie over trage IT-processen of uit de behoefte aan specifieke functionaliteit die bestaande systemen niet bieden.
Het tegenstrijdige van schaduw-IT is dat het vaak ontstaat uit de beste bedoelingen. Medewerkers willen hun werk beter doen en stuiten op de beperkingen van het IT-landschap op hun werk.
Moderne schaduw-IT omvat een breed scala aan tools: persoonlijke cloudopslag (Dropbox, Google Drive), communicatieplatformen (Slack, Discord, Telegram), development tools (Visual Studio Code extensions, npm packages, API-libraries), AI-assistenten (ChatGPT, Claude, Gemini), projectmanagementsoftware (Trello, Asana, Monday.com), design-tools (Figma, Canva) en no-code/low-code platformen (Zapier, Bubble, Airtable).
Risico’s van onbeheerde IT-oplossingen
Wat begint als een simpele productiviteitsverbetering kan uitgroeien tot een kostbare bedreiging voor je bedrijf.
Databescherming onder druk
Wanneer medewerkers bedrijfsgegevens uploaden naar onbekende clouddiensten, weet je niet welke beveiligingsmaatregelen er gelden, waar de data wordt opgeslagen en wie er toegang toe heeft. Cybercriminelen richten zich steeds vaker op deze onbeheerde systemen omdat ze vaak minder goed beveiligd zijn dan officiële bedrijfsapplicaties.
Uitdagingen rond compliance
Organisaties die vallen onder regelgeving zoals de AVG, NIS2 of sectorspecifieke wetgeving moeten kunnen aantonen waar ze persoonsgegevens verwerken en hoe ze die beschermen. Schaduw-IT maakt dit onmogelijk, omdat je geen zicht hebt op alle systemen die gevoelige data verwerken.
Financiële impact
De financiële gevolgen zijn aanzienlijk. Gemiddeld verspilt een organisatie €135.000 per jaar aan overbodige SaaS-tools. Daarbovenop komen de kosten van cyberaanvallen gerelateerd aan schaduw-IT, die gemiddeld €4,2 miljoen per incident bedragen. Organisaties zonder gecentraliseerd SaaS lifecycle management zijn volgens Gartner vijf keer gevoeliger voor dataverlies of cyberincidenten.
Operationele risico’s
Schaduw-IT zorgt op verschillende manieren voor operationele kwetsbaarheden. Een veelvoorkomend probleem: wanneer medewerkers het bedrijf verlaten, behouden ze vaak toegang tot de cloud-tools die ze tijdens hun werk gebruikten. Daarnaast wordt informatie die alleen in schaduw-IT-systemen staat vaak niet meegenomen in reguliere back-upprocedures, waardoor bij een incident deze gegevens verloren kunnen gaan.
Schaduw-IT in je netwerk opsporen
Voordat je schaduw-IT kunt beheersen, moet je eerst weten wat er allemaal wordt gebruikt in je organisatie.
Automatische detectie met CASB-tools
Cloud Access Security Brokers (CASBs) zijn gespecialiseerde oplossingen die al het internetverkeer van je organisatie monitoren en ongeautoriseerde clouddiensten detecteren. Deze tools kunnen in realtime waarschuwen wanneer medewerkers nieuwe diensten gaan gebruiken en bieden inzicht in hoeveel data er wordt uitgewisseld.
De belangrijkste CASB-oplossingen zoals Microsoft Defender for Cloud Apps, Netskope en Zscaler CASB werken op drie manieren: ze scannen via API's (voor gedetailleerde inzichten in opgeslagen data), monitoren internetverkeer in realtime en ze analyseren alle communicatie tussen gebruikers en clouddiensten. Deze verschillende benaderingen zorgen ervoor dat zowel beheerde bedrijfsapparaten als persoonlijke apparaten van medewerkers worden gemonitord.
Realtime netwerkmonitoring
Door firewalls en proxy-servers te configureren om uitgaand verkeer te loggen, krijg je zicht op welke externe diensten je medewerkers bezoeken. Tools zoals SolarWinds Network Performance Monitor of PRTG kunnen daarbij helpen. DNS-monitoring met tools als Cisco Umbrella of Infoblox kan patronen ontdekken die wijzen op het gebruik van niet-goedgekeurde tools.
Development security scanning
Voor development-gerelateerde schaduw-IT kun je tools als Snyk of GitLab gebruiken om ongeautoriseerde packages, library’s en development tools te detecteren die zijn geïnstalleerd.
Geïntegreerd SaaS-beheer
SaaS Management Platforms zijn tools die specifiek zijn ontwikkeld om alle software-abonnementen in je organisatie in kaart te brengen. Bekende oplossingen zoals Zylo en Zluri verzamelen informatie uit verschillende bronnen: je inlogsystemen, financiële gegevens en netwerkverkeer. Zo krijg je een compleet overzicht van alle gebruikte applicaties, inclusief wie ze gebruikt, wat ze kosten en welke risico's ze met zich meebrengen.
Het voordeel van deze platformen is dat ze automatisch dubbele software-aankopen detecteren en inzicht geven in welke tools daadwerkelijk worden gebruikt. Dat helpt niet alleen bij het beheersen van schaduw-IT, maar ook om de software-uitgaven binnen de perken te houden.
Financiële controle
Het is altijd verstandig creditcardafschriften en declaraties op abonnementen voor onbekende software-diensten te controleren. Veel medewerkers declareren deze kosten, waardoor ze relatief eenvoudig te traceren zijn.
Beleid ontwikkelen tegen schaduw-IT
Een effectief schaduw-IT-beleid draait niet om verbieden, maar om het vinden van de juiste balans tussen beveiliging en productiviteit.
Snelle goedkeuringsprocedures
Wanneer IT-afdelingen weken of maanden nodig hebben om nieuwe tools goed te keuren, gaan medewerkers hun eigen weg zoeken. Een snelle, transparante beoordeling, idealiter binnen een week, voorkomt frustratie en moedigt medewerkers aan om officiële kanalen te gebruiken.
Governance-frameworks
Implementeer een governance-framework zoals COBIT 2019 of NIST Cybersecurity Framework om structuur te geven aan je beleid. Creëer duidelijke escalatieprocedures voor verschillende risicoprofielen: automatisch goedkeuren voor tools met laag risico, een snelle security review voor tools met medium risico en uitgebreide due diligence voor tools met een hoog risico.
Vooraf goedgekeurde toolsets
Stel een lijst samen van vooraf goedgekeurde tools per categorie. Voor bestandsdeling, communicatie, projectmanagement, development en andere behoeften kun je een selectie aanbieden waar medewerkers vrijelijk uit kunnen kiezen.
Hoe je medewerkers betrekt bij de oplossing
De beste manier om schaduw-IT aan te pakken is door medewerkers als partners te zien, niet als tegenstanders.
Begrijp waardoor schaduw-IT ontstaat
Onderzoek toont aan dat 91% van de teams binnen organisaties zich onder druk gezet voelt om bedrijfsactiviteiten te prioriteren boven beveiliging, en 38% van de medewerkers wendt zich tot schaduw-IT vanwege trage IT-responsetijden. Ook blijkt dat 61% van de medewerkers niet volledig tevreden is met de door het bedrijf geleverde technologieën. Als je dat beseft, is het goed te begrijpen dat medewerkers op zoek gaan naar niet-geautoriseerde tools.
Creëer ambassadeurs en innovatieprogramma's
Organiseer brainstormsessies waarin medewerkers hun ideale werkflow kunnen beschrijven. Creëer ambassadeurs binnen verschillende afdelingen die helpen bij het identificeren van nieuwe tools. Implementeer een speciaal programma waarbij teams nieuwe tools kunnen voorstellen en testen binnen een gecontroleerde omgeving.
Investeer in training
Volgens Gartner zijn medewerkers die getraind zijn in technologie-gerelateerde activiteiten 2,5 keer minder geneigd om cyberrisico's in het bedrijf te introduceren. Beloon gewenst gedrag door medewerkers te erkennen die nieuwe tools via de juiste kanalen aanvragen.
Jouw actieplan tegen schaduw-IT
Schaduw-IT is geen probleem dat je kunt oplossen met een verbod. Het is een symptoom van de kloof tussen wat medewerkers nodig hebben en wat IT kan leveren. Succesvolle organisaties beseffen dat en richten zich op het verkleinen van die kloof.
Start met een grondige inventarisatie van wat er al wordt gebruikt in je organisatie. Beoordeel welke schaduw-IT-tools daadwerkelijk waarde toevoegen en welke vervangen kunnen worden door veiligere alternatieven. Ontwikkel een beleid dat flexibiliteit combineert met verantwoordelijkheid.
Investeer in moderne discovery- en management-tools zoals CASB’s en SaaS Management Platforms. Deze technologieën maken het verschil tussen reactief brandjes blussen en proactief risicobeheer.
Vergeet niet dat dit een continu proces is. Nieuwe tools en diensten komen voortdurend beschikbaar, en de behoeften van je organisatie evolueren. Regelmatige monitoring, evaluatie en aanpassing van je aanpak zijn essentieel om grip te houden op de digitale werkplek van de toekomst.
De organisaties die het beste omgaan met schaduw-IT zijn degene die hun medewerkers zien als partners in plaats van als risico's. Door samen te werken aan oplossingen die zowel productief als veilig zijn, kun je een IT-omgeving creëren die het beste van beide werelden biedt.
Bedankt voor het toelichten!