Schaduw-IT: Betekenis en de impact op jouw organisatie

    17-10-2023
    Featured Image

    In dit blog

      Schaduw-IT: hangt dat niet als een donkere wolk boven iedere IT-afdeling? Ja en nee. Zeker, schaduw-IT kan risico’s en disproportioneel hoge kosten met zich meebrengen. Daar staat tegenover dat het ook kansen biedt om je productiviteit te verhogen en het werkplezier te vergroten. In dit eerste deel van ons tweeluik leggen we uit wat schaduw-IT is, waarom het voorkomt, wat de risico’s zijn en hoe je het probleem te lijf kunt gaan door te focussen op de behoefte van je medewerkers. 

      IT die op eigen houtje wordt gebruikt

      We spreken van schaduw-IT als medewerkers apparaten, applicaties en andere digitale oplossingen gebruiken die niet zijn geaccordeerd door de IT-afdeling. Denk bijvoorbeeld aan SaaS-applicaties die buiten medeweten van IT om worden gebruikt, maar ook aan persoonlijke apparaten en mailadressen die medewerkers voor hun werk gebruiken.

      Schaduw-IT komt op grote schaal voor. Uit een onderzoek van Gartner blijkt dat zo’n vier op de tien medewerkers zich er ‘schuldig’ aan maakt. En dit aantal lijkt steeds meer te groeien. Een belangrijke oorzaak is de opkomst van SaaS: medewerkers hoeven niets meer te installeren en kunnen de applicatie overal en op ieder apparaat gebruiken. Door de risico’s en kosten die het met zich meebrengt, is schaduw-IT een serieuze uitdaging voor CIO’s en CTO’s.

      Wat zijn de oorzaken van schaduw-IT?

      Goed om te benadrukken: schaduw-IT wordt vaak met de beste intenties gebruikt, het valt dan ook beslist niet onder de categorie ‘insider threats’. Medewerkers willen hun werk simpelweg op een productieve en plezierige manier doen en gebruiken daarom een bepaalde applicatie of checken nog even hun werkmail op hun privélaptop.

      Enkele veelvoorkomende oorzaken en redenen waarom medewerkers grijpen naar schaduw-IT:

      • Gemak: De tools die door de organisatie beschikbaar worden gesteld, voldoen niet aan alle wensen van gebruikers.
      • Noodzaak: Voor een bepaalde functie is nog geen ‘officiële’ software voor handen. Als de IT-afdeling er lang over doet om nieuwe applicaties te implementeren – of medewerkers weten überhaupt niet dat dit officieel via IT moet – dan kunnen medewerkers op eigen houtje starten met het gebruiken van bepaalde software.
      • Frustratie: Een bedrijfsapplicatie is traag of loopt aan de lopende band vast.
      • Thuiswerken: Medewerkers werken een groter deel van de week thuis, waardoor ze ook steeds vaker gebruikmaken van privé-apparaten.
      • Innovatie: Slimmer en sneller werken: wie wil dat niet? Innovatiegedreven medewerkers gaan vaak op zoek naar – en experimenteren graag met – applicaties waarmee ze hun werkwijze kunnen verslimmen.
      • Gewenning: De organisatie heeft een nieuw systeem of nieuwe applicatie geïmplementeerd. Maar omdat te weinig aandacht is besteed aan de adoptie óf omdat medewerkers de software niet fijn vinden, blijven ze de oude (legacy-)software gebruiken.

      Voorbeelden van schaduw-IT

      Volgens Statista zijn dit de meestvoorkomende voorbeelden van schaduw-IT:

      42% - Persoonlijke e-mailadressen die voor werkdoeleinden worden gebruikt.

      38% - Persoonlijke berichtenplatformen zoals WhatsApp die voor werkgerelateerde zaken worden ingezet.
      35% - Videobelplatformen.
      35% - Diensten om bestanden op te slaan zoals Dropbox en Google Drive.
      27% - Samenwerkingstools zoals Trello en Asana.
      21% - Diensten om bestanden te verzenden of delen, zoals WeTransfer .

      De laatste jaren – zeker sinds de opkomst van hybride werken – heeft vanzelfsprekend het zakelijk gebruiken van persoonlijke apparaten zoals laptops, tablets en smartphones een grote vlucht genomen. Afhankelijk van het Bring Your Own Device (BYOD)-beleid van een organisatie, kan dit onder schaduw-IT vallen.

      Wat zijn de risico’s en nadelen van schaduw-IT?

      Schaduw-IT kán je organisatie ook een hoop goeds brengen (waarover later meer), maar er kleven wel degelijk risico’s en andere nadelen aan.

      Een deuk in de cybersecurity van je organisatie

      Hoe je ook tegenover shadow-IT staat… Wat onomstotelijk vaststaat: het brengt extra security-risico’s met zich mee. Onder meer doordat de software niet is onderzocht op veiligheid door IT en niet is geïntegreerd in de security-workflows van je organisatie (denk aan updatebeheer en toegangscontrole). Daarnaast vergroot het je aanvalsoppervlak en kan een kwetsbaarheid in de software de deur openen voor aanvallen door hackers en malware zoals ransomware. Tot slot: data die in de schaduw-IT wordt opgeslagen, wordt waarschijnlijk niet geback-upt.

      Fiks prijskaartje

      Volgens Gartner gaat bij grote organisaties zo’n 30 tot 40 procent van de totale IT-kosten op aan schaduw-IT. Vaak moeten er immers relatief dure individuele licenties worden betaald, terwijl je – als de software organisatiebreed wordt gebruikt – mooie kortingen kunt bedingen. Doorgaans geldt dat investeren in het verbeteren van de officiële IT-infrastructuur beter rendeert dan schaduw-IT.

      Een wig tussen de samenwerking van teams

      Stel, Trello is de officiële projectmanagementtool van een organisatie. De marketingafdeling gebruikt echter Asana. Samenwerking van de andere teams met het marketingteam wordt dan lastig en inefficiënt. Bijvoorbeeld omdat de communicatie moeilijker is en bestanden, taken en updates over twee verschillende systemen verspreid zijn.

      Systeemspaghetti en het silosyndroom

      Schaduw-IT leidt tot systeemspaghetti: een gefragmenteerd IT-landschap waarbij systemen en applicaties niet (optimaal) met elkaar zijn geïntegreerd. Een gevolg is het silosyndroom: data blijft hangen in z’n silo, waardoor duplicate data en inconsistenties in de gegevens kunnen ontstaan – met als gevolg dat je niet beschikt over één bron van waarheid.

      Ieder nadeel heb ze voordeel

      Zoals we in een later artikel over schaduw-IT nog zullen uitleggen, kan het omarmen ervan juist ook voordelen hebben. Het kan zelfs de productiviteit en innovatiekracht van je hele organisatie vergroten. Vanzelfsprekend moet het in beheer nemen ervan wel gepaard gaan met de nodige checks & balances.

      DEX versus schaduw-IT

      Waar schaduw-IT in essentie om draait: de behoefte van je medewerkers. Voldoet de IT niet aan hun wensen, dan zoeken medewerkers hun heil in schaduw-IT. Dit raakt aan het concept van digital employee experience (DEX), dat draait om alle technologie-ervaringen die medewerkers hebben binnen jouw organisatie. Mensen vinden technologie tegenwoord enorm belangrijk. Uit onderzoek van Ivanti blijkt bijvoorbeeld dat bijna één op de vijf Nederlandse IT’ers overweegt om z’n functie op te zeggen omdat ‘ie niet beschikt over de juiste technologie om productief te kunnen zijn.

      En wat doen mensen als ze niet beschikken over de juiste IT? Dan grijpen ze naar… Enfin.

      Focus op de behoefte van je medewerkers

      Dé wijze les is dus: focus op de behoefte van je medewerkers. Wordt aan alle wensen voldaan? Dan vervalt immers de noodzaak om schaduw-IT te gebruiken. Met als bijkomend voordeel dat je je DEX verbetert, waardoor mensen meer plezier krijgen in hun werk en je beter in staat bent om de War on Talent te winnen.

      Wat je kunt doen om die behoefte te vervullen? Goed naar je medewerkers luisteren. Stuur er bijvoorbeeld periodiek een enquête uit. Sommige organisaties stellen zelfs een multidisciplinair DEX-team samen, dat als taak heeft om de technologie-ervaringen van medewerkers zo goed mogelijk te maken.

      Fivespark: van donkere wolk naar zonnige kans

      Fivespark kan je helpen om schaduw-IT uit de schaduw te trekken en te transformeren van donkere wolk boven je organisatie tot zonnige basis voor meer innovatie en efficiëntie. Zo zijn we onder meer gespecialiseerd in gebruikersadoptie, wat als resultaat heeft dat alle medewerkers je nieuwe systeem of applicatie ook echt gaan gebruiken.

      Je weet nu wat schaduw-IT is, maar wat moet je ermee? In deel 2 van deze reeks leggen we je uit wat de mogelijkheden zijn voor jouw organisatie - word het snoeien, bloeien of uitroeien? Lees hier verder

      Lees verder over IT beheer

      gerelateerde berichten

      Wat apen ons kunnen leren over cyberveilig gedrag

      Tijdens het webinar 'Apenstreken en cybersecuregedrag!' georganiseerd door het Overheidsbreed Cyberprogramma, nam gedragsbioloog Patrick van.

      Steeds meer cyberdreigingen voor jongeren

      De maand oktober staat wereldwijd in het teken van cybersecurity. Een belangrijk moment om aandacht te vragen voor een groeiend probleem: cy.

      Use IT voortaan Fivespark: Een nieuwe fase in IT beheer

      Op 14 oktober markeren we een belangrijke mijlpaal: Use IT stopt als zelfstandig merk en gaat voortaan verder onder de vlag van Fivespark. D.