Schaduw-IT is méér dan alleen een bedreiging voor jouw IT omgeving, dat legden we al uit in het eerste deel van ons tweeluik over schaduw-IT. Het biedt ook kansen. Wat moet je nou doen als organisatie: vermijden of omarmen? En is het mogelijk te kiezen voor een gulden middenweg? Welke route je ook kiest, de sleutel tot succes ligt uiteindelijk altijd in het begrijpen van de behoefte van je medewerkers.
Vroeger luidde de tendens over het algemeen: schaduw-IT, daar maak je korte metten mee. Vandaar de dag kijken steeds meer organisaties juist met veel interesse naar apparaten, applicaties en andere digitale oplossingen die worden gebruikt maar niet door de IT-afdeling zijn geaccordeerd.
Tegenover nadelen als security-risico’s, een fiks prijskaartje, minder efficiëntie binnen de samenwerking tussen teams en datasilo’s staan namelijk ook voordelen. Zo kun je door schaduw-IT te identificeren slimmere software ontdekken: vaak zijn er goede redenen waarom men voor andere software kiest. Laten we eerst eens kijken naar de twee verschillende aanpakken: de nek omdraaien versus omarmen.
Dit is de klassieke methode. Het idee: schaduw-IT levert security-risico’s op en kost een hoop geld, dus bestrijd je het te vuur en te zwaard. Technisch gezien kun je alle luiken dichtgooien. Zo kun je kiezen voor:
Wat ook niet mag ontbreken in deze aanpak: ontwikkel en handhaaf beleid dat het gebruik van schaduw-IT ontmoedigt en maak gebruikers bewust van de risico’s van schaduw-IT. De nadelen van deze aanpak? Niet alleen loop je productiviteitskansen mis, ook kan te veel blokkeren wrevel opwekken bij medewerkers.
Het achterliggende idee van deze aanpak: als medewerkers andere apparaten of software gebruiken, ligt daar misschien wel meerwaarde in voor de héle organisatie. Door licht te schijnen op schaduw-IT, leer je bovendien de IT-behoeften van je organisatie beter kennen en kun je ook bestaande systemen, applicaties, processen en beleidsregels verbeteren. Tot slot, niet onbelangrijk, krijgen medewerkers er een groter gevoel van autonomie door.
Om maar een open deur in te trappen: je kunt natuurlijk niet zomaar álles met open armen ontvangen en direct organisatie breed implementeren. Ieder nieuw element in je IT-landschap moet je zorgvuldig onderzoeken, wikken en wegen.
Wil je wel profiteren van de kansen van schaduw-IT, maar niet rücksichtslos te werk gaan? Gelukkig bestaat er een gulden middenweg. Het doel daarvan is het faciliteren van (nieuwe digitale wegen tot) productiviteit, waarbij je een evenwicht moet vinden tussen alle voordelen aan de ene kant en zaken als security, governance en budget aan de andere kant.
Hoe bewandel je deze gulden middenweg? Nou, aan de hand van het volgende stappenplan.
Zorg dat je duidelijk beleid hebt voor nieuwe IT-middelen, inclusief richtlijnen over het gebruik van persoonlijke apparaten en applicaties.
Veel schaduw-IT wordt gebruikt omdat medewerkers de officiële weg simpelweg te moeilijk of tijdrovend vinden. Verlaag bureaucratische drempels daarom zoveel mogelijk. Denk bijvoorbeeld aan een intern – mogelijk zelfs geautomatiseerd – systeem waar medewerkers snel goedkeuring kunnen krijgen zonder dat ze door meerdere bureaucratische lagen hoeven te gaan.
Iedereen aan de leugendetector leggen hoeft niet; gelukkig kun je geautomatiseerde uitvinden welke schaduw-IT er leeft binnen je organisatie. Denk aan netwerkmonitoringtools om ongeautoriseerd dataverkeer te identificeren en beheersoftware die controleert welke apps op het bedrijfsnetwerk worden gebruikt.
Lijkt een nieuwe oplossing veel potentie te hebben? Verricht dan een grondig onderzoek. Neem daarbij in ieder geval de volgende aspecten mee:
Zie je nog steeds veel meerwaarde? Identificeer dan alle stakeholders en key users – van iedere relevante afdeling – en betrek hen vroegtijdig bij het proces. Zo verminder je mogelijke weerstand tegen de verandering. Bekijk in dit stadium, liefst ook met medewerkers die de app nog niet kennen, of de applicatie gebruiksvriendelijk is en zal worden geaccepteerd door de gemiddelde gebruiker binnen je organisatie. Belangrijk is ook dat je medewerkers aanhaakt die de oplossing al gebruiken. Wat zijn hun ervaringen?
Belangrijke onderdelen van dit implementatieplan: identificeer de technische vereisten en zorg voor een veilige en effectieve integratie met de bestaande IT-infrastructuur om beveiligingsrisico's te minimaliseren en productiviteit te garanderen. Besteed ruime aandacht aan het adoptieproces voor medewerkers.
Rol de oplossing eerst uit in een kleinschalige pilotfase voordat je dit organisatie breed doet. Zo kun je namelijk eventuele problemen identificeren en oplossen voordat de volledige implementatie plaatsvindt.
Zijn alle issues die uit de pilotfase naar voren zijn gekomen gefikst? Dan is het tijd om de nieuwe oplossing organisatie breed uit te rollen.
Medewerkers trainen in het gebruiken van de software is essentieel. Organiseer trainingssessies waarin je uitlegt hoe medewerkers de tool effectief en efficiënt kunnen gebruiken. Ook moet er voldoende documentatie beschikbaar zijn, bijvoorbeeld via een Sharepoint-omgeving, selfservice portal of een chatbot. Zorg ook dat er rondom de uitrol support beschikbaar is, denk aan een helpdesk of een specialist die een tijdlang op de werkvloer rondloopt om vragen te beantwoorden.
Wellicht ten overvloede: de stappen 4 t/m 9 moet je natuurlijk herhalen bij iedere nieuw geïdentificeerde schaduw-IT-oplossing die je organisatie breed gaat activeren.
Nu je frequent(er) nieuwe componenten toevoegt aan je infrastructuur en je aanvalsoppervlak gaat groeien, wordt security nóg belangrijker. Het kan daarom geen kwaad om te onderzoeken of je al je relevante security-aspecten zoals firewalls, endpoint-beveiliging, real-time monitoring en alerting, encryptie, back-up & disaster recovery en een incidentresponsplan op orde hebt.
We zeiden het al in het eerste artikel van dit tweeluik : alles draait om de behoefte van je medewerkers. Nu je schaduw-IT als organisatie omarmt, moet je medewerkers actief betrekken. Dat kun je doen door kanalen te creëren waar men ideeën kan neerleggen of bespreken voor het verbeteren van bestaande IT-componenten of het implementeren van nieuwe. Denk bijvoorbeeld aan tools-gerelateerde discussiegroepen in Microsoft Teams, periodieke enquêtes of een (speciaal onderdeel van een) self-service portal.
Weet je beter wat je medewerkers willen? Dan maak je vanzelf betere strategische keuzes.
Als Full Service Provider realiseren wij samen met jou de gulden middenweg. Onder de noemer de digitale werkplek zijn wij gespecialiseerd in het compleet uit handen nemen van werkplekbeheer, waarbij de veiligheid van alles voor jouw werkplekken op afstand gemonitord, bewaakt en geback-upt is.
Wil jij ook niet hoeven nadenken over je IT-omgeving? Plan een adviesgesprek met een van onze specialisten. Zij zorgen ervoor dat alles geregeld is.
Lees verder over IT beheer.