3 stappen om shadow IT tegen te gaan

Publicatiedatum: afbeelding bij

Wist je dat: Gartner heeft voorspelt dat in 2020 een derde van de cyberaanvallen zich focust op shadow IT en IOT-applicaties? Dat is niet niks! Risico’s als datalekken, hoge boetes en imagoschade liggen op de loer. Toch weten veel organisaties niet hoe ze shadow IT kunnen voorkomen of moeten aanpakken. In deze blog vertellen je meer over de risico’s en welke stappen jij kunt zetten.

Wat is shadow IT?

Simpel gezegd scharen we onder shadow IT alle hardware en software die binnen je organisatie wordt gebruikt, maar niet goedgekeurd is door IT-beleid. Denk bijvoorbeeld aan gratis apps zoals Evernote, Zoom en Gmail. Maar het kunnen applicaties zijn zoals Adobe InDesign of Photoshop waarvoor medewerkers niet de juiste licentie betalen.

Waarom is shadow IT gevaarlijk?

Shadow IT zorgt voor een complete ‘schaduw’ omgeving waar je als IT totaal geen controle op hebt. Hierdoor kan het zo maar zijn dat collega’s daar persoonsgegevens van klanten of bedrijfsgevoelige informatie delen. Zonder dat de betreffende apps ook maar enige mate van beveiliging hebben. Hackers weten dit donders goed en zetten hier dus ook actief op in. Dit doen ze bijvoorbeeld door gebruikers te laten inloggen op fraudeleuze sites met hun corporate account, en waarbij de gebruiker eerst een aantal permissies moet geven zoals toegang tot de mail. Denk hierbij ook aan Outlook add-ins die ook meer permissies krijgen dan nodig.

Shadow IT kan dus zorgen voor datalekken, die je in het kader van de AVG moet melden. Maar het is ook mogelijk dat je wet- en regelgeving schendt en boetes krijgt opgelegd.

Lees ook onze blog: Veiliger inloggen hoe doe je dat?

Wat zijn dan de opties?

Ons advies is om shadow IT aan te pakken door te focussen op de drie assen: Mens, Techniek en Beleid.

1. Mens: Werk samen met je gebruikers

Het allerbelangrijkste is dat je samenwerkt en communiceert met je gebruikers. Wat zijn hun wensen en behoeften? Waarom gaan ze op zoek naar andere apps? Vaak is het zo dat medewerkers simpelweg niet weten dat er binnen de organisatie goede alternatieven zijn. Maar het kan natuurlijk ook dat de huidige IT-omgeving volgens hen niet toereikend is.

Werk daarnaast aan het verhogen van security awareness binnen de organisatie. Als gebruikers de risico’s en gevaren van shadow IT niet kennen, zullen zij minder begrip hebben als je bepaalde apps of software verbiedt.

2. Techniek: Monitor je omgeving en neem gepaste actie

Om shadow IT aan te pakken, moet je natuurlijk wel weten of én waar het voorkomt. Monitor daarom continue je netwerkverkeer op onbekende hardware en software.

Binnen Microsoft Cloud App Security (MCAS) heb je drie opties:

  • Integreer MCAS met Microsoft Defender Advanced Threat Protection (ATP) om direct te beginnen met het verzamelen van verkeer van Windows 10 apparaten. Binnen én buiten het interne netwerk.
  • Integreer MCAS met firewalls of proxies om zo data van alle endpoints binnen het netwerk te verzamelen.
  • Controleer alle applicaties die geregistreerd zijn binnen het Azure Active Directory (AAD) door gebruikers of administratoren. Krijg inzicht in de hoeveelheid permissies die een applicatie precies krijgt.

Op basis van de inzichten die je uit je monitoring krijgt kun je actie ondernemen.

  • Identificeer de riciso’s van deze applicaties middels MCAS.
  • Bepaal of de applicatie compliant is met wet- en regelgeving en zoek uit hoeveel gebruikers daadwerkelijk de applicatie gebruiken en of er wellicht veiligere alternatieven zijn.
  • Blijf het proces continue monitoren want er worden dagelijks applicaties beschikbaar gesteld waarbij bestaande applicaties ook steeds veranderen. Nieuwe én bestaande applicaties moeten in scope blijven.|

3. Beleid: Bepaal de mate van controle die je wilt hebben

Security gaat verder dan alleen techniek. Het gaat om mensen. De maatregelen die je neemt moeten veilig maar vooral ook werkbaar zijn. Gebruikers zoeken omwegen als je alles blokkeert, maar maken ook misbruik als je te veel toestaat. Daarom is het belangrijk dat je zoekt naar een juiste balans.

Een goede start is het inrichten van IT governance en het opstellen van een IT-beleid. Samen met kern gebruikers uit de business kan dit document gebruikt worden om bedrijfsprocessen te verbeteren en IT en de business dichter bij elkaar te brengen. Bepaal de regels omtrent device management en communiceer dit met de business. Zonder duidelijke afspraken weet de business niet waar ze aan toe zijn.

Nieuwsgierig?

Wil jij meer weten over shadow IT en hoe je het tegen kunt gaan? Laat het ons weten! We helpen je graag.

Profiel Portiva

Portiva

Portiva is Microsoft Gold Partner en een high-end dienstverlener met de focus op security, samenwerking en kennisdeling.

Profiel Portiva ›