Met alle goede bedoelingen in acht genomen, maar medewerkers én organisaties staan vaak onvoldoende stil bij de eventuele risico’s die schuilen in het gebruik van dergelijke programma’s in een zakelijke omgeving. Enerzijds wordt wetgeving en regels rondom het bewaren van data en gegevens strenger. Anderzijds willen mensen gemakkelijker en efficiënter kunnen werken en gaat men op zoek naar slimmere werkvormen. Er ontstaat een wirwar van tools binnen de organisatie die (ook) voor zakelijk gebruik worden ingezet. Gevolg is dat door het gebruik van apps en programma’s, (die dus niet door de organisatie geautoriseerd zijn) het voor de ICT verantwoordelijke niet meer duidelijk of de organisatie wel aan de wet- en regelgeving voldoet. Bovendien wordt het traceren van data bij een datalek bijna onmogelijk omdat onduidelijk is welke data het betreft wie deze data in zijn of haar bezit heeft gehad. Medewerkers vergeten vaak dat de bedrijfsdata die men verzendt of ontvangt misschien onvoldoende beveiligd is, waardoor de kans op een datalek toeneemt. Daarnaast realiseren organisaties én medewerkers zich vaak niet, dat niet het bedrijf, maar de zender zélf de eigenaar is/wordt van de data. Als organisatie wil je het gebruik van dergelijke programma’s of tools daarom dus om meerdere redenen voorkomen of onder controle hebben. We mogen daarom concluderen dat de opkomst van ‘Shadow IT’ een onderschat probleem is met betrekking tot de informatiebeveiliging van organisaties. Hierbij willen we nog aanmerken dat het gebruik van dergelijke programma’s is ook niet persé fout of verkeerd hoeft te zijn, zolang het gebruik ervan een bewuste keuze is van de organisatie en de medewerker goed weet welke data wel en niet via deze kanalen gedeeld mag worden. Maar hoe zorg je ervoor dat de medewerkers in je organisatie hier bewust mee omgaan? Daar hebben wij een artikel over gepubliceerd. CTA security assessment