Out of sight, out of mind: de gevaren van Shadow IT

Het is snel gebeurd, een bestand delen met een collega via WeTransfer. Heel wat cloud storage services en file sharing applicaties worden tijdens een onbewaakt moment gebruikt om bestanden op te slaan of te delen met het team. Maar zijn deze tools wel goedgekeurd door het management of de IT-verantwoordelijke? Wist je trouwens dat de nieuwe GDPR-wetgeving specifieke regelgeving voorziet voor de export van data naar niet-Europese providers en servers? Ook worden er -zeker wanneer een degelijke IT security policy ontbreekt- tegenwoordig heel wat apps en tools in gebruik genomen om processen te vereenvoudigen. Denk maar aan ‘to-do-list’-apps op de iPhone, ticketing tools of apps die toegang vragen tot je contactenlijst. Op zich niet fout bedoeld, maar wanneer persoonsgegevens worden opgeslagen in deze apps (en dus gedeeld met derden) is het gebruik van de apps niet meer zo onschuldig. Is jouw IT-afdeling op de hoogte van alle software die jouw werknemers gebruiken in de omgang met persoonsgegevens? Of zou er ook in jouw kmo wel eens Shadow IT aanwezig kunnen zijn?

Wat is Shadow IT?

Wat is dat nu eigenlijk, Shadow IT? Het zou de naam van één of andere obscure hacker kunnen zijn. Maar dat is het gelukkig niet, hoewel Shadow IT ook niet te onderschatten gevaren met zich meebrengt. Onder Shadow IT verstaan we alle hardware, software en tools in een organisatie die niet officieel zijn goedgekeurd door de IT-afdeling en/of het management. Wat valt hier zoal onder? Apparaten die van thuis meegebracht worden en aan het netwerk gekoppeld worden zoals usb sticks, wifi-versterkers of tablets. Maar ook applicaties die op eigen initiatief van de werknemer gebruikt worden zoals Evernote, WeTransfer en Dropbox. En tools en app’jes die zonder medeweten van de IT-afdeling geïnstalleerd en gebruikt worden.

Wat is het gevaar van Shadow IT?

Waarom is Shadow IT nu net zo risicovol? Zo’n 75 procent van de medewerkers ziet er geen graten in om Shadow IT te gebruiken en realiseert zich niet wat de gevaren zijn die hieraan vasthangen. Daarnaast weet 70 procent van de managers of IT-verantwoordelijken niet welke én in welke mate Shadow Cloud Apps en services binnen het bedrijf gebruikt worden. Het feit dat de verantwoordelijken niet op de hoogte zijn van deze tools en software is nog maar het tipje van de ijsberg. Niet alleen worden er zo in sommige gevallen overbodige auditing kosten gemaakt en is er geen duidelijk overzicht meer, het houdt veel grotere risico’s in.

Bedreiging voor GDPR-compliancy

Shadow IT vormt een groot probleem voor bedrijven als het gaat om compliancy met GDPR. Werknemers weten namelijk niet waar de ingevoerde informatie heen gaat. Vaak gaat het over cloudtoepassingen waarbij gegevens op servers staan in het buitenland. Staan deze servers buiten de EU? Dan is de service niet compliant en zijn er strikte GDPR-regels van toepassing. Het is immers van cruciaal belang dat het bedrijf compliance kan aantonen, vervolgens de nodige overeenkomsten bestaan tussen de tool en je bedrijf én dat de verwerkingsactiviteit in je dataregister staat opgenomen. Als het niet te achterhalen is waar de verwerkte persoonsgegevens terechtkomen, kan je je plichten ten opzichte van betrokkenen (zoals klanten en leads) ook niet uitvoeren. Ook dien je te weten wie er toegang tot de data heeft, of ze nog verder gedeeld worden met subverwerkers of partnerbedrijven, hoeveel back-ups er van bestaan en waar deze back-ups zich bevinden. Een groot probleem dus voor iedere kmo die gegevens verwerkt van Europese burgers.

Bedreiging voor de meldplicht datalekken

Vanaf 25 mei 2018 bestaat er ook een meldplicht datalekken. Dit wilt zeggen dat je binnen de 72 uur melding moet maken wanneer er een datalek heeft plaatsgevonden in jouw bedrijf.

Ook hier vormt Shadow IT een groot gevaar. Als je niet weet waar je verwerkte persoonsgegevens zich bevinden, is het moeilijk om de veiligheid van deze gegevens te garanderen en volledig correcte dataregisters op te stellen. Snel en efficiënt ingrijpen wanneer er wat misloopt of wanneer iemand beroep doet op “het recht om vergeten te worden” is dan al helemaal onmogelijk.

Bedreiging voor de veiligheid van jouw KMO

Daarnaast bestaat ook het gevaar dat de gebruikte Shadow Apps of software van slechte kwaliteit zijn en je medewerkers onbewust malware of andere virussen het bedrijf binnensluizen. De rol van mobiele apparaten is in dit opzicht ook niet te onderschatten. Niet iedereen zal bijvoorbeeld de benodigde beveiligingssoftware op zijn telefoon (willen) installeren. Hier is het belangrijk ook de nodige stappen te nemen om je bedrijf en je kostbare gegevens optimaal te beveiligen.

Hoe kan je Shadow IT vermijden?

We geven graag enkele praktische tips waarmee je Shadow IT binnen jouw kmo kan vermijden en je werknemers bewust kan maken van de gevaren die het met zich meebrengt.

  • voorzie een sluitend IT veiligheidsbeleid;
  • voorzie de nodige clausules in de overeenkomsten met je medewerkers;
  • voorzie een transparant thuiswerkbeleid en BYOD (bring your own device) beleid;
  • introduceer als organisatie zelf een beveiligde cloudomgeving die in regel is met de GDPR zodat je team doeltreffend kan werken en samenwerken;
  • registreer alle tools en verwerkingsactiviteiten in je dataregister;
  • verzorg periodieke interne sensibilisering;
  • voorzie een procedure voor het aanvragen van toestemming om een niet-goedgekeurde tool te gebruiken en voor het introduceren van een nieuwe tool.

Vaak heb je als ondernemer zelf geen zicht op het gebruik van persoonlijke cloud storage services of mobiele apps. Vandaar dat wij hier extra aandacht aan besteden in onze GDPR privacy-audit en sensibiliseringsopleidingen op maat. Wij komen ter plaatse, leven ons in in de dagdagelijkse praktische werking van je bedrijf en bekijken het organigram en de communicatiestromen.

Wil jij jouw onderneming ook GDPR-compliant en bedreigingsvrij?
Volg dan een GDPR Traject of een GDPR Workshop bij onze veiligheidsexperts!

Vraag hier informatie over onze GDPR workshops en GDPR trajecten aan!

Interessant artikel? Deel deze pagina met je netwerk!