Schaduw-IT: waarom het bestaat en hoe je ermee omgaat

Augustus 13, 2021
Kaseya
Cyberbeveiliging

Wat is schaduw-IT?

Schaduw-IT is het gebruik van informatietechnologiesystemen, software, apparaten, diensten en toepassingen buiten of zonder de expliciete goedkeuring van de IT-afdeling. Nu de cloud de laatste jaren steeds meer wordt gebruikt, is schaduw-IT exponentieel gegroeid door het gemak waarmee applicaties en diensten in de cloud kunnen worden gedownload en gebruikt.

IT-afdelingen zijn zich meestal niet bewust van het bestaan van dergelijke applicaties die door individuele werknemers of hele bedrijfseenheden worden gebruikt, vandaar de term "schaduw-IT".

Wat is een andere naam voor schaduw-IT? 

Schaduw-IT wordt ook vaak aangeduid als rogue IT, feral IT, stealth IT, fake IT, embedded IT of client IT. 

Waarom bestaat schaduw-IT?

Uit een onderzoek van Stratecast en Frost & Sullivan blijkt dat 80% van de werknemers zegt tijdens het werk applicaties te gebruiken die niet door IT zijn goedgekeurd.  

Zoals eerder vermeld, heeft de toename van cloudgebruik een impuls gegeven aan de groei van schaduw-IT in de huidige IT-omgevingen. Deze malafide IT-toepassingen, die in het geheim worden gebruikt, vullen de lacunes op die door company toepassingen worden achtergelaten, zodat uw werknemers over de juiste tools beschikken om hun werk zo efficiënt mogelijk uit te voeren.  

Bijna 80% van de werknemers geeft toe SaaS-applicaties op het werk te gebruiken zonder toestemming van de IT-afdeling. Over het algemeen worden deze schaduwoplossingen gebruikt door een werknemer of een team met de bedoeling om de effectiviteit van hun rol te verbeteren en de productiviteit te verhogen. Als een werknemer bijvoorbeeld een betere en efficiëntere oplossing voor het delen van bestanden ontdekt dan de officieel toegestane oplossing, kan hij deze downloaden en gaan gebruiken als schaduw-IT.  

Welke technologie valt onder schaduw-IT?

Shadow IT omvat alle soorten IT-gerelateerde activiteiten en aankopen waarbij de IT-afdeling van een company betrokken is. Het valt doorgaans onder vier categorieën: 

  • Hardware - Laptops, desktops, tablets, smartphones en servers  
  • Software - kant-en-klare, softwarepakketten
  • Toepassingen - Toepassingen van derden zoals productiviteitstools, samenwerkingstools, messagingtools en meer
  • Diensten - Clouddiensten zoals Infrastructure-as-a-Service (IaaS), Software-as-a-Service (SaaS) en Platform-as-a-Service (PaaS).  

Wat zijn enkele voorbeelden van schaduw-IT?

Nu we begrijpen wat schaduw-IT is, laten we eens kijken hoe schaduw-IT vaak in het spel komt: 

  • Persoonlijke e-mailaccounts die werknemers gebruiken om zaken te doen
  • SaaS-applicaties van derden waarover de IT-afdeling geen controle heeft en die worden gebruikt voor bedrijfsactiviteiten
  • Niet-goedgekeurde apparaten die niet vallen onder het BYOD-beleid (bring your own device) van de IT-afdeling 

Is schaduw-IT goed of slecht?

Hoewel werknemers in de meeste gevallen schaduw-IT gebruiken met de bedoeling om hun taakeffectiviteit, efficiëntie en productiviteit te verbeteren, vormt schaduw-IT nog steeds een grote uitdaging voor bedrijven om mee om te gaan. Hoewel schaduw-IT een negatieve connotatie kan hebben, is het de moeite waard om op te merken dat het ook enkele potentiële voordelen biedt. Laten we de voor- en nadelen van schaduw-IT bespreken. 

Wat zijn de voordelen van schaduw-IT?

Om je te helpen schaduw-IT beter te begrijpen, hebben we een lijst samengesteld met voordelen die het organisaties biedt. 

  • Lagere interne kosten - De BYOD-cultuur betekent minder overheadkosten voor IT-afdelingen. 
  • Tevredenheid van werknemers - Als mensen het gevoel hebben dat ze controle hebben, zijn ze vaak gelukkiger dan wanneer ze gedwongen worden om onbekende technologie te gebruiken. 
  • Individuele productiviteit - Werknemers zijn vaak productiever als ze technologie gebruiken waarmee ze vertrouwd zijn. 
  • Mogelijkheid tot ontdekken - Als werknemers een reeks tools gebruiken, is de kans groter dat er betere tools en technologie opduiken of ontdekt worden. 

Wat zijn de risico's van schaduw-IT? 

Medewerkers begrijpen mogelijk niet volledig dat organisaties passende en noodzakelijke maatregelen nemen om de veiligheid te garanderen tijdens het proces van apparaatselectie en goedkeuring van toepassingen. Als nieuwe technologieën niet goed worden doorgelicht, kan schaduw-IT een groot gevaar voor de cyberveiligheid van organisaties blijken te zijn. Enkele nadelen van schaduw-IT zijn: 

  • Security en gegevensverlies – Hoe meer verschillende soorten technologieën worden gebruikt, hoe groter de kans dat een organisatie te maken krijgt met security of incidenten waarbij gegevens verloren gaan. 
  • Compliance en regelgevingskwesties - De implementatie van meerdere verschillende applicaties en oplossingen leidt tot strengere audits en een grotere kans dat de technologie niet voldoet aan de noodzakelijke vereisten. 
  • Inefficiënte samenwerking - Wanneer werknemers verschillende technologieën en applicaties gebruiken, komt de samenwerking vaak in het gedrang. 
  • Innovatiebarrières - De kansen om te innoveren met een bepaalde technologie worden kleiner als organisaties deze niet volledig omarmen. 
  • Minder zichtbaarheid en controle - Niet-gesanctioneerde technologie is moeilijker te volgen en te controleren. 
  • Verspilde tijd en investeringen - Tijd die wordt besteed aan het implementeren van technologie wordt verspild en de ROI op investeringen is beperkt als er niet voldoende buy-in is. 
  • Configuratiebeheer - Het creëren van een configuratiebeheerdatabase (CMDB) en het definiëren van hoe systemen samenwerken wordt steeds rommeliger. 

Hoe om te gaan met schaduw-IT?

Hoewel schaduw-IT een inherent onderdeel is van elke IT-infrastructuur, kunnen IT-beheerders bepaalde maatregelen nemen om het niet alleen te identificeren en te beheren, maar ook om de potentiële risico's ervan voor de integriteit van bedrijfskritische gegevens en systemen te beperken. Hier volgen enkele nuttige strategieën om effectief om te gaan met het probleem van schaduw-IT: 

  • Houd uw IT-omgeving in de gaten – Een van de beste manieren om het probleem van schaduw-IT te beteugelen, is door alle apparaten binnen en buiten het netwerk voortdurend in de gaten te houden, zodat u precies kunt zien waar alle company zich bevinden. Door het netwerk continu te monitoren, kunnen IT-beheerders lijsten tussen scans vergelijken en vaststellen wanneer er nieuwe of onbekende apparaten op het netwerk verschijnen.  
  • Houd een inventaris bij – Naast het monitoren van uw netwerken, moet u zich ook richten op het bijhouden van een inventaris van alle bekende en onbekende resources uw IT-omgeving, en deze regelmatig bijwerken met behulp van een netwerkinventarisatieoplossing. 
  • Richtlijnen voor regelgeving implementeren - Om tegemoet te komen aan de unieke behoeften van verschillende bedrijfseenheden, kan de IT-afdeling een lijst met goedgekeurde applicaties/software maken en met hun werknemers delen die ze naast de standaard meegeleverde software kunnen gebruiken. 
  • Beperk het gebruik van applicaties van derden – Daarnaast kunt u user tot bepaalde applicaties beperken die u niet wilt dat uw werknemers gebruiken. Zorg ervoor dat uw werknemers goed op de hoogte zijn van het company en dat ze geen beperkte applicaties mogen gebruiken voor zakelijke doeleinden. 

Wat is schaduw IT ontdekken?

Shadow IT discovery is het proces waarbij relevante oplossingen worden gebruikt om netwerkverkeer te analyseren met als doel onbeheerde en onbekende applicaties te identificeren die medewerkers mogelijk gebruiken. Naast het ontdekken van deze applicaties moet de oplossing ook helpen bij het maken van een risicobeoordeling van de ontdekte applicaties. De oplossing moet ook helpen bij het identificeren van paden voor het lekken van gegevens die een potentiële toegangspoort voor hackers kunnen zijn om toegang te krijgen tot uw bedrijfskritische gegevens. 

Wat is een schaduw-IT-beleid? 

Hoewel schaduw-IT kan bijdragen aan zelfredzaamheid, technologische vertrouwdheid en user , kan het ook een groot risico vormen voor de naleving van bedrijfsregels en security. Daarom stellen bedrijven vaak een schaduw-IT-beleid op met richtlijnen voor het juiste gebruik van schaduw-IT. Een schaduw-IT-beleid benadrukt ook de beperkingen die gelden voor het gebruik van niet-goedgekeurde applicaties van derden en definieert de verantwoordelijkheden van medewerkers en de IT-afdeling. 

Bestrijd de risico's van schaduw-IT met Kaseya 

Kaseya VSA wordt voortdurend verbeterd en zal binnenkort beschikken over een module om uw Azure- en AWS-cloudinfrastructuur te monitoren, zodat u altijd op de hoogte bent van de bekende en onbekende apparaten op uw netwerk. Daarnaast is het maken van back-ups een zeer belangrijk aspect om de veiligheid van uw bedrijfskritische gegevens te waarborgen.

Bedrijfsonderdelen die niet-goedgekeurde schaduw-IT-applicaties van derden gebruiken, kunnen onbedoeld nalaten een back-up te maken van hun SaaS-gegevens op deze apps. De naadloze integratie van Kaseya VSA met Spanning de mogelijkheid van cloud-naar-cloud SaaS-back-up, waarmee u ook een back-up kunt maken van uw gegevens op schaduw-IT-applicaties. 

Wilt u meer weten over het bestrijden van schaduw-IT? Vraag nu een demo van Kaseya VSA aan! 

Eén compleet platform voor IT- en Security

Kaseya is de alles-in-één oplossing voor het beheer, de beveiliging en de automatisering van IT. Dankzij naadloze integraties tussen cruciale IT-functies vereenvoudigt het de bedrijfsvoering, versterkt het de beveiliging en verhoogt het de efficiëntie.

Vraag een demo aan Ontdek Kaseya

Eén platform. Alles omtrent IT.

Klanten van Kaseya profiteren van de voordelen van de beste IT-beheer- en beveiligingstools in één enkele oplossing.

Ontdek Kaseya

Uw succes is onze nummer 1 prioriteit

Partner First staat voor flexibele voorwaarden, gedeelde risico's en toegewijde support voor uw bedrijf.

Ontdek Partner First Pledge

Wereldwijd MSP rapport 2025

Het Global MSP Report 2025 van Kaseya is uw onmisbare bron van informatie om te begrijpen waar de sector naartoe gaat.

Nu downloaden

Ontdek categorieën

Back-upcontrole is nu nog slimmer: maak kennis met AI-gestuurde screenshotcontrole

In een tijdperk van aanhoudende cyberaanvallen, complexe infrastructuren en steeds hogere verwachtingen van klanten is het niet langer voldoende om alleen maar back-ups te hebben. Back-upsMeer lezen

Lees blogbericht
Richtlijn NIS 2. Europese regelgeving inzake cyberbeveiliging

Tien vragen die u uw IT-team kunt stellen over NIS2-naleving

Zorg ervoor dat uw organisatie klaar is om beveiligingsrisico’s het hoofd te bieden en zich te herstellen na incidenten. Lees de blog om meer te weten te komen over de tien belangrijkste aandachtspunten voor NIS2-naleving.

Lees blogbericht
Concept voor de NIS2-cyberbeveiligingsverordening met digitaal hologram

Of u nu in de EU gevestigd bent of niet, NIS2 is een zaak van bestuurlijk belang die niet genegeerd mag worden. 

Zelfs als uw bedrijf er niet direct door wordt geraakt, heeft u waarschijnlijk wel gehoord van de NIS-richtlijn van de EU en de opvolger daarvan, NIS2. DeMeer lezen

Lees blogbericht