Tot een jaar geleden was er regelmatig aandacht voor shadow-IT. De massale omschakeling naar thuiswerken heeft dat onderwerp naar de achtergrond geduwd. Sindsdien is er veel meer geschreven over de voordelen en risico’s van communicatietools. Dat die categorie applicaties een perfect voorbeeld van shadow-IT kan zijn valt slechts weinigen op.
Shadow-IT bron van zorg
Met het begrip shadow-IT bedoelt zowel hardware als software die zakelijk in gebruik is en die niet door de werkgever en/of IT beheerder is verstrekt. Voor dat gebruik is ook geen toestemming gevraagd en gegeven.
Shadow-IT is rechtstreeks te linken aan het gebruik van cloud diensten. SaaS applicaties en ook IaaS capaciteit zijn razendsnel te activeren en gebruiken. Betaling kan geheel buiten de kantoorboekhouding heen lopen. In een aantal gevallen zijn de afgenomen diensten op het eerste gezicht gratis.
Het gebrek aan overzicht van de afgenomen diensten en de impact daarvan op de bestaande IT infrastructuur is een permanente bron van zorg. IT beheerders en auditors worden geconfronteerd met situaties die zij niet kennen en die niet passen bij het bedrijfsbeleid. De omvang van dat probleem is groot. Elk jaar zijn er meerdere rapporten die omvang en risico’s benoemen. Vaak noemen die ook manieren om deze kwalijke ontwikkeling tegen te gaan. De meest genoemd daarbij is het beschikbaar stellen van genoeg alternatieven zodat de noodzaak voor zelf shoppen verdwijnt.
Communicatietools veroorzaken shadow-IT
Met de migratie van de kantoorwerkplek naar het thuiskantoor is de noodzaak voor communicatietools enorm toegenomen. Microsoft heeft met Teams een goed aanbod. Aanbod dat zich ook laat integreren met andere cloud diensten van het bedrijf. Bedrijven die vertrouwen op Teams verkleinen zo de kans op shadow-IT, maar een probleem blijft bestaan.
Het probleem is namelijk dat niet iedere persoon of bedrijf waarmee men zakelijk communiceert die applicatie gebruikt. Er zijn organisaties die blind vertrouwen op Zoom of Google, terwijl andere zweren bij Teams. Voor contact tussen twee personen zal een er dus een applicatie kunnen gaan gebruiken die niet op de shortlist van de werkgever staat.
Wat op dat moment gebeurt is het door te kiezen voor de communicatietools die de collega, klant of leverancier gebruikt de werknemer onbewust shadow-IT in het leven roept. Is dat een probleem? Ja. Niet iedere IT beheerder heeft 100 procent toegang tot de hardware van de thuiswerkende collega’s. Het is daardoor onmogelijk bij te houden wie er van welke communicatietools gebruik maakt. Die blokkeren is lastig als de medewerker via het gewone internet online is of makkelijk de bedrijfs-VPN kan omzeilen.
Dat het tot nu toe amper tot grote zichtbare problemen heeft geleid wil niet zeggen dat het weinig voorkomt of dat de impact gering is. Het is vooral dat er nog heel weinig op is gecontroleerd. Maar dat zal niet lang meer duren. Inmiddels zijn we in het tweede jaar van het thuiswerkscenario. Elke serieuze audit en security check die nu plaats vindt kan hier op inzoomen. Een deel van de communicatietools zal, per organisatie verschillend, gaan gelden als vorm van shadow-IT die moet worden aangepakt.
