Gastexpert | Schaduw-IT: hét hoofdpijndossier van de IT-manager

Daan Keuper
Veel organisaties werken aan het digitaliseren van processen. Een probleem dat bedrijven hierbij vaak tegenkomen, is dat zij worden beperkt door het tekort aan softwareontwikkelaars. Zij zijn immers degene die de benodigde digitale middelen moeten bouwen. Maar waarom zou je eigenlijk nog wachten op de IT-afdeling, terwijl er tools zijn waarmee je zelf de applicaties kunt bouwen die je nodig hebt? Deze gedachte klinkt logisch, maar levert de nodige kopzorgen op voor de IT-manager. Want hoe houd je de controle over de risico’s die deze schaduw-IT met zich meebrengt?

Nieuwe technologie als low-code maakt het voor business professionals makkelijker om zelf aan de slag te gaan met software-ontwikkeling. Deze mogelijkheid wordt logischerwijs ook omarmd door de business. Dit wordt eveneens bevestigd door een onderzoek dat Mendix onlangs uitbracht. Hierin zegt 69 procent van de business professionals het een goede zaak te vinden dat er digitale projecten worden gestart zonder hulp van IT. 70 procent van de IT-professionals geeft echter aan niet gecharmeerd te zijn van dit idee.

Als belangrijke reden noemen de IT’ers dat zij doordat applicaties buiten hun gezichtsveld worden ontwikkeld, te weinig inzicht hebben in de securityrisico’s. Een belangrijk onderdeel van het bewaken van de netwerksecurity in een organisatie, is immers overzicht over risico’s. Hier kun je dan vervolgens passende maatregelen tegen nemen. Schaduw-IT zorgt echter voor onbekende risico’s en kan ertoe leiden dat je wordt overvallen door serieuze bedreigingen.

Schaduw-IT is de ideale zwakke plek

Omdat bij schaduw-IT de beveiligingseisen van een bedrijf, zoals het installeren van securityupdates, niet kunnen worden afgedwongen, is het een ideale zwakke plek. Een aanvaller kan daarmee toegang krijgen tot gevoelige gegevens die op schaduw-IT toepassingen staan. Of zelfs om binnen te komen.

Drie stappen om de risico’s van schaduw-IT te beperken

Om te zorgen dat de risico’s van schaduw-IT worden beperkt en de infrastructuur van de organisatie veiliger wordt, zijn de volgende drie stappen onmisbaar:
 

  1. Zorg voor security awareness. Medewerkers brengen vrijwel nooit bewust de security van een organisatie in gevaar. Het ontbreekt hen simpelweg vaak aan kennis over de risico’s en welk gedrag specifieke risico’s in de hand werkt. Zorg daarom dat mensen zich bewuster worden van de risico’s en weten wat zij kunnen doen om deze te beperken. Geef daarbij ook concrete handvatten: hoe kun je bijvoorbeeld zorgen dat je applicaties ook qua beveiliging goed in elkaar zitten? En hoe bewaak je dit tijdens de gehele levenscyclus?
  2. Evalueer je security-beleid. Iedere organisatie heeft wel een vorm van securitybeleid met bijbehorende processen. Kijk of de eisen die je stelt aan de processen evenredig zijn met het potentiële risico. Als je maatregelen instelt die zinloos lijken voor medewerkers, dan nodig je hen bijna uit om hieromheen te werken en een andere oplossing te zoeken (die vrijwel zeker niet voldoen aan jouw securitystandaarden). Maak daarnaast duidelijk wat de achterliggende gedachte is voor bepaalde regels en eisen, zodat mensen begrijpen waarom het belangrijk is zich hieraan te houden.
  3. Breng doorlopend je schaduw-IT in kaart. Dit lijkt een onmogelijke opgave, want het wordt immers niet voor niets schaduw-IT genoemd. Toch zijn er tools beschikbaar die continu je externe en interne netwerk scannen, zodat onbekende systemen en apparaten aan de oppervlakte komen. Via een dashboard krijg je dan inzicht in de veiligheid van je online omgeving. Door inzicht te creëren in schaduw-IT zorg je ervoor dat de onveilige toepassing direct uit de lucht kan worden gehaald als dit nodig is.

 

Door: Daan Keuper

Daan Keuper | Security Researcher | Computest

Namens Computest, een Nederlandse autoriteit op het gebied van security en IT, deelt Daan Keuper met regelmaat zijn expertvisie in WINMAG Pro. Wat begon als een vriendengroep met een passie voor performance, is uitgegroeid tot een bedrijf met ruim 100 ervaren, technische specialisten.

Bekijk alle artikelen van Daan