Schaduw-IT is méér dan alleen een bedreiging voor jouw IT omgeving, dat legden we al uit in het eerste deel van ons tweeluik over schaduw-IT. Het biedt ook kansen. Wat moet je nou doen als organisatie: vermijden of omarmen? En is het mogelijk te kiezen voor een gulden middenweg? Welke route je ook kiest, de sleutel tot succes ligt uiteindelijk altijd in het begrijpen van de behoefte van je medewerkers.
Uitroeien, snoeien of laten bloeien?
Vroeger luidde de tendens over het algemeen: schaduw-IT, daar maak je korte metten mee. Vandaar de dag kijken steeds meer organisaties juist met veel interesse naar apparaten, applicaties en andere digitale oplossingen die worden gebruikt maar niet door de IT-afdeling zijn geaccordeerd.
Tegenover nadelen als security-risico’s, een fiks prijskaartje, minder efficiëntie binnen de samenwerking tussen teams en datasilo’s staan namelijk ook voordelen. Zo kun je door schaduw-IT te identificeren slimmere software ontdekken: vaak zijn er goede redenen waarom men voor andere software kiest. Laten we eerst eens kijken naar de twee verschillende aanpakken: de nek omdraaien versus omarmen.
De klassieke aanpak: uitroeien
Dit is de klassieke methode. Het idee: schaduw-IT levert security-risico’s op en kost een hoop geld, dus bestrijd je het te vuur en te zwaard. Technisch gezien kun je alle luiken dichtgooien. Zo kun je kiezen voor:
- Monitoring van het netwerkverkeer;
- Een Cloud Access Security Broker (CASB) die het gebruik van niet-geautoriseerde Cloud toepassingen beheert en controleert;
- Een Endpoint Detection and Response (EDR)-oplossing om schaduw-IT-gerelateerde bedreigingen op eindpunten snel te ontdekken en te tackelen;
- Firewalls en webfilters die de toegang blokkeren tot niet-goedgekeurde applicaties en andere diensten.
Wat ook niet mag ontbreken in deze aanpak: ontwikkel en handhaaf beleid dat het gebruik van schaduw-IT ontmoedigt en maak gebruikers bewust van de risico’s van schaduw-IT. De nadelen van deze aanpak? Niet alleen loop je productiviteitskansen mis, ook kan te veel blokkeren wrevel opwekken bij medewerkers.
De kunst van het loslaten: laten bloeien
Het achterliggende idee van deze aanpak: als medewerkers andere apparaten of software gebruiken, ligt daar misschien wel meerwaarde in voor de héle organisatie. Door licht te schijnen op schaduw-IT, leer je bovendien de IT-behoeften van je organisatie beter kennen en kun je ook bestaande systemen, applicaties, processen en beleidsregels verbeteren. Tot slot, niet onbelangrijk, krijgen medewerkers er een groter gevoel van autonomie door.
Om maar een open deur in te trappen: je kunt natuurlijk niet zomaar álles met open armen ontvangen en direct organisatie breed implementeren. Ieder nieuw element in je IT-landschap moet je zorgvuldig onderzoeken, wikken en wegen.
De gulden middenweg: gericht snoeien
Wil je wel profiteren van de kansen van schaduw-IT, maar niet rücksichtslos te werk gaan? Gelukkig bestaat er een gulden middenweg. Het doel daarvan is het faciliteren van (nieuwe digitale wegen tot) productiviteit, waarbij je een evenwicht moet vinden tussen alle voordelen aan de ene kant en zaken als security, governance en budget aan de andere kant.
Hoe bewandel je deze gulden middenweg? Nou, aan de hand van het volgende stappenplan.
Stap 1: stel beleid op
Zorg dat je duidelijk beleid hebt voor nieuwe IT-middelen, inclusief richtlijnen over het gebruik van persoonlijke apparaten en applicaties.
Stap 2: verlaag bureaucratische drempels zoveel mogelijk
Veel schaduw-IT wordt gebruikt omdat medewerkers de officiële weg simpelweg te moeilijk of tijdrovend vinden. Verlaag bureaucratische drempels daarom zoveel mogelijk. Denk bijvoorbeeld aan een intern – mogelijk zelfs geautomatiseerd – systeem waar medewerkers snel goedkeuring kunnen krijgen zonder dat ze door meerdere bureaucratische lagen hoeven te gaan.
Stap 3: identificeer welke schaduw-IT er binnen je organisatie is
Iedereen aan de leugendetector leggen hoeft niet; gelukkig kun je geautomatiseerde uitvinden welke schaduw-IT er leeft binnen je organisatie. Denk aan netwerkmonitoringtools om ongeautoriseerd dataverkeer te identificeren en beheersoftware die controleert welke apps op het bedrijfsnetwerk worden gebruikt.
Stap 4: onderzoek of een nieuwe oplossing aan alle eisen voldoet
Lijkt een nieuwe oplossing veel potentie te hebben? Verricht dan een grondig onderzoek. Neem daarbij in ieder geval de volgende aspecten mee:
- Voldoet het aan de eigen security- en privacystandaarden?
- Is de oplossing compatibel met de rest van je IT-infrastructuur?
- Voldoet de oplossing qua functionaliteit – op papier – aan alle requirements én is ‘ie beter dan de huidige oplossing?
- Vind uit wat de app je organisatie gaat kosten.
- Zijn er alternatieven die mogelijk beter passen qua functionaliteit of budget?
- Hoeveel support wordt er door de leverancier geboden?
- Hoe is het onderhoud van de applicatie geregeld en hoe vaak worden er updates uitgebracht?
- Check of de applicatie compliant is met alle wet- en regelgeving die geldt voor je organisatie.
- Controleer of er voldoende documentatie beschikbaar is.
- Tot slot: verifieer of de oplossing alle benodigde certificeringen heeft, denk aan ISO 27001 en SOC 2.
Stap 5: zet medewerkers bij elkaar en onderzoek de meerwaarde
Zie je nog steeds veel meerwaarde? Identificeer dan alle stakeholders en key users – van iedere relevante afdeling – en betrek hen vroegtijdig bij het proces. Zo verminder je mogelijke weerstand tegen de verandering. Bekijk in dit stadium, liefst ook met medewerkers die de app nog niet kennen, of de applicatie gebruiksvriendelijk is en zal worden geaccepteerd door de gemiddelde gebruiker binnen je organisatie. Belangrijk is ook dat je medewerkers aanhaakt die de oplossing al gebruiken. Wat zijn hun ervaringen?
Stap 6: stel een helder implementatieplan op
Belangrijke onderdelen van dit implementatieplan: identificeer de technische vereisten en zorg voor een veilige en effectieve integratie met de bestaande IT-infrastructuur om beveiligingsrisico's te minimaliseren en productiviteit te garanderen. Besteed ruime aandacht aan het adoptieproces voor medewerkers.
Stap 7: pilotfase
Rol de oplossing eerst uit in een kleinschalige pilotfase voordat je dit organisatie breed doet. Zo kun je namelijk eventuele problemen identificeren en oplossen voordat de volledige implementatie plaatsvindt.
Stap 8: de grote uitrol
Zijn alle issues die uit de pilotfase naar voren zijn gekomen gefikst? Dan is het tijd om de nieuwe oplossing organisatie breed uit te rollen.
Stap 9: adoptie, training en support
Medewerkers trainen in het gebruiken van de software is essentieel. Organiseer trainingssessies waarin je uitlegt hoe medewerkers de tool effectief en efficiënt kunnen gebruiken. Ook moet er voldoende documentatie beschikbaar zijn, bijvoorbeeld via een Sharepoint-omgeving, selfservice portal of een chatbot. Zorg ook dat er rondom de uitrol support beschikbaar is, denk aan een helpdesk of een specialist die een tijdlang op de werkvloer rondloopt om vragen te beantwoorden.
Wellicht ten overvloede: de stappen 4 t/m 9 moet je natuurlijk herhalen bij iedere nieuw geïdentificeerde schaduw-IT-oplossing die je organisatie breed gaat activeren.
Security wordt nóg belangrijker
Nu je frequent(er) nieuwe componenten toevoegt aan je infrastructuur en je aanvalsoppervlak gaat groeien, wordt security nóg belangrijker. Het kan daarom geen kwaad om te onderzoeken of je al je relevante security-aspecten zoals firewalls, endpoint-beveiliging, real-time monitoring en alerting, encryptie, back-up & disaster recovery en een incidentresponsplan op orde hebt.
Tot slot: kom maar door met die ideeën
We zeiden het al in het eerste artikel van dit tweeluik : alles draait om de behoefte van je medewerkers. Nu je schaduw-IT als organisatie omarmt, moet je medewerkers actief betrekken. Dat kun je doen door kanalen te creëren waar men ideeën kan neerleggen of bespreken voor het verbeteren van bestaande IT-componenten of het implementeren van nieuwe. Denk bijvoorbeeld aan tools-gerelateerde discussiegroepen in Microsoft Teams, periodieke enquêtes of een (speciaal onderdeel van een) self-service portal.
Weet je beter wat je medewerkers willen? Dan maak je vanzelf betere strategische keuzes.
Voorkom gedoe met Fivespark
Als Full Service Provider realiseren wij samen met jou de gulden middenweg. Onder de noemer de digitale werkplek zijn wij gespecialiseerd in het compleet uit handen nemen van werkplekbeheer, waarbij de veiligheid van alles voor jouw werkplekken op afstand gemonitord, bewaakt en geback-upt is.
Wil jij ook niet hoeven nadenken over je IT-omgeving? Plan een adviesgesprek met een van onze specialisten. Zij zorgen ervoor dat alles geregeld is.
Lees verder over IT beheer.