Schaduw ICT: een onderschat probleem in het MKB

Hoe veilig is uw bedrijfsdata bij veel gebruikte applicaties als Whatsapp en WeTransfer?
Het niet officieel geautoriseerde gebruik van dit soort (handige) programma’s door medewerkers komt veel meer voor dan organisaties zich realiseren. Deze ontwikkeling wordt ‘shadow IT’ of ‘schaduw ICT’ genoemd. Het is ook niet vreemd dat dit gebeurt: je ziet vaak dat mensen naar dit soort applicaties grijpen, wanneer bedrijfstoepassingen niet voldoende of niet goed werken. Het helpt op dat moment hun frustratie en/of irritatie oplossen, meestal met de beste intenties uiteraard.
COMPLIANCY IN HET GEDING DOOR EXTERNE APPS EN TOOLS?
Met alle goede bedoelingen in acht genomen, maar medewerkers én organisaties staan vaak onvoldoende stil bij de eventuele risico’s die schuilen in het gebruik van dergelijke programma’s in een zakelijke omgeving. Enerzijds wordt wetgeving en regels rondom het bewaren van data en gegevens strenger. Anderzijds willen mensen gemakkelijker en efficiënter kunnen werken en gaat men op zoek naar slimmere werkvormen. Er ontstaat een wirwar van tools binnen de organisatie die (ook) voor zakelijk gebruik worden ingezet. Gevolg is dat door het gebruik van apps en programma’s, (die dus niet door de organisatie geautoriseerd zijn) het voor de ICT verantwoordelijke niet meer duidelijk of de organisatie wel aan de wet- en regelgeving voldoet. Bovendien wordt het traceren van data bij een datalek bijna onmogelijk omdat onduidelijk is welke data het betreft wie deze data in zijn of haar bezit heeft gehad. Medewerkers vergeten vaak dat de bedrijfsdata die men verzendt of ontvangt misschien onvoldoende beveiligd is, waardoor de kans op een datalek toeneemt. Daarnaast realiseren organisaties én medewerkers zich vaak niet, dat niet het bedrijf, maar de zender zélf de eigenaar is/wordt van de data. Als organisatie wil je het gebruik van dergelijke programma’s of tools daarom dus om meerdere redenen voorkomen of onder controle hebben. We mogen daarom concluderen dat de opkomst van ‘Shadow IT’ een onderschat probleem is met betrekking tot de informatiebeveiliging van organisaties. Hierbij willen we nog aanmerken dat het gebruik van dergelijke programma’s is ook niet persé fout of verkeerd hoeft te zijn, zolang het gebruik ervan een bewuste keuze is van de organisatie en de medewerker goed weet welke data wel en niet via deze kanalen gedeeld mag worden. Maar hoe zorg je ervoor dat de medewerkers in je organisatie hier bewust mee omgaan? Daar hebben wij een artikel over gepubliceerd. CTA security assessment