Out of sight, out of mind: de gevaren van Shadow IT

10 jan 2018

Het is snel gebeurd, een bestand delen met een collega via WeTransfer. Heel wat cloud storage services en file sharing applicaties worden tijdens een onbewaakt moment gebruikt om bestanden op te slaan of te delen. Maar zijn deze tools wel goedgekeurd door het management of de IT-verantwoordelijke? Wist je dat de GDPR specifieke voorwaarden voorziet voor de export van data naar niet-Europese providers en servers? Daarnaast worden er tegenwoordig heel wat apps in gebruik genomen om processen te vereenvoudigen. Denk maar aan ‘to-do-list’-apps op de smartphone. Op zich niet fout bedoeld, maar wanneer persoonsgegevens worden opgeslagen in deze apps (en dus gedeeld worden met derden) is het gebruik van de apps niet meer zo onschuldig.

Uit een onderzoek van Trend Micro blijkt dat maar liefst 61 procent van de ondervraagde Belgische werknemers toegeeft dat ze niet-werkgerelateerde software gebruiken op bedrijfstoestellen. 74 procent van de ondervraagden geeft zelfs aan al bedrijfsgegevens via zulke niet-toegestane tools verzonden te hebben. Zijn het management en de IT-afdeling van jouw organisatie op de hoogte van alle software die er op de werkvloer circuleert? Of zou er wel eens Shadow IT aanwezig kunnen zijn?

Wat is Shadow IT?

Onder Shadow IT verstaan we alle hardware, software en tools in een organisatie die niet officieel deel uitmaken van het IT-beleid. Wat valt hier zoal onder? Apparaten die van thuis meegebracht worden en aan het netwerk gekoppeld worden zoals usb sticks, wifi-versterkers of tablets. Maar ook applicaties die op eigen initiatief van de werknemer gebruikt worden zoals notitie-apps, websites waar bestanden worden geüpload en cloudsoftware. Het zijn tools en app’jes die zonder medeweten van de IT-afdeling geïnstalleerd en gebruikt worden.

Wat is het gevaar van Shadow IT?

Gemiddeld ziet zo’n 75 procent van de medewerkers er geen graten in om Shadow IT te gebruiken. Ze worden onvoldoende gesensibiliseerd waardoor ze zich niet realiseren wat de gevaren zijn die hieraan vasthangen. Daarnaast heeft een bijna even grote groep van managers of IT-verantwoordelijken er geen helder zicht op in welke mate Shadow IT binnen het bedrijf gebruikt wordt. Dit houdt natuurlijk ernstige risico’s in voor de informatieveiligheid.

Bedreiging voor GDPR-compliancy

Shadow IT vormt een groot probleem voor bedrijven als het gaat om GDPR compliancy. Werknemers staan er namelijk amper bij stil waar de ingevoerde informatie (die persoonsgegevens kan bevatten) in hun mobiele apps of websites werkelijk naartoe gaat. Daarnaast hebben ze bij het eerste gebruik ervan gebruiksvoorwaarden geaccepteerd die de organisatie niet juridisch heeft kunnen aftoetsen. Staan de gegevens op servers buiten de EU? Dan bestaat de kans dat de dienst onvoldoende garanties biedt om op een vertrouwelijke manier met de data om te gaan. Ook zou het kunnen dat er verschillende sub-verwerkers inzage krijgen in de data. Indien de afgesloten overeenkomst ontbreekt in het bedrijf, en de verwerking niet in het dataregister staat ingevuld, spreken we van inbreuken. Bij onwetendheid kunnen plichten ten opzichte van betrokkenen (wanneer er bijvoorbeeld persoonsgegevens worden opgeslagen van prospecten, klanten of medewerkers) niet nagekomen worden. Shadow IT vormt dus een grote uitdaging voor iedere kmo die persoonsgegevens verwerkt van Europese burgers.

Bedreiging voor de meldplicht datalekken

Vanaf 25 mei 2018 bestaat er ook een meldplicht datalekken. Dit wilt zeggen dat je binnen de 72 uur melding moet maken wanneer er een datalek heeft plaatsgevonden in jouw bedrijf. Die melding moet je mogelijk registreren in een register, melden aan de betrokkenen en/of aan de Gegevensbeschermingsautoriteit.

Ook hier vormt Shadow IT een groot gevaar. Als je niet weet waar je verwerkte persoonsgegevens zich bevinden, is het moeilijk om de veiligheid van deze gegevens te garanderen en volledig correcte dataregisters op te stellen. Snel en efficiënt ingrijpen wanneer er wat misloopt of wanneer iemand beroep doet op “het recht om vergeten te worden” is dan al helemaal onmogelijk.

Bedreiging voor de veiligheid van jouw KMO

Daarnaast bestaat ook het gevaar dat de gebruikte Shadow Apps of software van slechte kwaliteit zijn en je medewerkers onbewust malware of andere virussen het bedrijf binnensluizen. De rol van mobiele apparaten is in dit opzicht ook niet te onderschatten. Niet iedereen zal bijvoorbeeld de benodigde beveiligingssoftware op zijn telefoon geînstalleerd hebben.

Hoe kan je Shadow IT vermijden?

Met deze praktische tips kan je Shadow IT binnen je kmo vermijden en kan je werknemers bewust maken van de gevaren die het met zich meebrengt.

  • voorzie een sluitend IT veiligheidsbeleid met alle afspraken omtrent de omgang met data, hardware, software en websites;
  • formaliseer afspraken omtrent de omgang met data in de overeenkomsten met je medewerkers;
  • voorzie een duidelijk omkaderd thuiswerkbeleid en BYOD (bring your own device) beleid;
  • introduceer als organisatie zelf een beveiligde cloudomgeving zodat je team doeltreffend kan (samen)werken;
  • registreer alle tools en verwerkingsactiviteiten in je dataregister;
  • verzorg periodieke interne sensibilisering;
  • voorzie een procedure voor medewerkers die toestemming willen vragen om een niet-goedgekeurde tool te gebruiken en voor medewerkers die een nieuwe tool willen introduceren.

Wil je het IT veiligheidsbeleid formaliseren waardoor shadow IT geen kans krijgt? Of je bedrijf laten auditen om de pain points op te sporen?

Stel je vraag via ons webformulier

Danny

Danny

Data Protection Officer & Ethical Hacker

Hey, ik ben Danny. Ze noemen mij ook wel de IT-genius van Datalink. Ik zorg er niet alleen voor dat je data goed beschermd wordt, maar denk ook proactief mee over de digitalisering van je bedrijf. “Hoe werk je vandaag? Wat kan er beter? Waar zitten de opportuniteiten en risico’s in je netwerk?”

Heb je een plan nodig dat je bedrijf digitaal sterk maakt? Dan is Danny je man! Als ethical hacker en DPO verplaatst hij zich op een discrete manier in de wereld van een hacker om de gaten in de beveiliging van je netwerk te dichten.

“Danny is een zakenman met een hart van goud.” – Jelle

Overtuigen met webinars: 5 tips

Overtuigen met webinars: 5 tips

Vandaag de dag is het door COVID-19 nog steeds niet mogelijk om te gaan netwerken of om workshops en opleidingen te volgen zoals we dat voorheen deden. Het laatste jaar is er dan ook een heuse opmars geweest van online opleidingen, workshops via Zoom of Teams en… van webinars! Hoe je met webinars aan de slag kan gaan én deelnemers kan overtuigen, vertellen we je vandaag aan de hand van 5 tips.

Processen automatiseren via je website? Start met deze 5 tips!

Processen automatiseren via je website? Start met deze 5 tips!

Als ondernemer wil je je kunnen focussen op wat voor jou écht belangrijk is. Dit betekent: op tijd en stond de nodige focustime inplannen om te werken AAN je bedrijf in plaats van IN je bedrijf. Toch ligt er veel werk op je bord: offerteaanvragen  behandelen, opvolgmails uitsturen en opdrachten aan je team delegeren en opvolgen. Vandaag deelt Karen 5 tips om de efficiëntie op de werkvloer te boosten door het automatiseren van processen met behulp van je website.