Wat is shadow IT en waarom is het een risico?
Shadow IT, software die medewerkers gebruiken zonder goedkeuring van IT, is groter en gevaarlijker dan de meeste organisaties beseffen. Wat het is, hoe het ontstaat en hoe je het aanpakt.
- 1 oktober 2024
- 5 min
Shadow IT is een van de grootste blinde vlekken in het beheer van bedrijfssoftware. De term verwijst naar alle technologie, software, apps, cloudopslag en communicatietools die medewerkers gebruiken zonder expliciete goedkeuring van IT of aankoop. En het is groter dan de meeste organisaties beseffen.
Hoe ontstaat shadow IT?
Shadow IT ontstaat bijna altijd vanuit een reëel probleem. Een medewerker heeft een tool nodig om zijn werk te doen, de goedkeuringsprocedure duurt te lang of het door IT aangeboden alternatief is onhandig. De snelste weg is een gratis account aanmaken of een klein abonnement op de zakelijke kredietkaart zetten.
Wat begint als één persoon met één tool, groeit snel. Collega’s sluiten aan, er worden bestanden gedeeld via niet-goedgekeurde platforms en bedrijfsgevoelige data belandt op servers buiten de EU, zonder dat iemand het merkt.
Waarom is shadow IT een probleem?
Shadow IT heeft drie concrete gevolgen:
1. Veiligheidsrisico’s. Niet-goedgekeurde tools worden niet gescreend op beveiliging, niet geüpdatet en niet gemonitord. Ze vormen een open uitnodiging voor datalekken en cyberaanvallen.
2. Compliancerisico’s. Data die via niet-goedgekeurde tools wordt verwerkt, valt buiten de AVG-controle van de organisatie. Bij een datalek is de organisatie desondanks aansprakelijk.
3. Verspilling. Organisaties betalen voor gecentraliseerde tools terwijl medewerkers parallel gratis of goedkope alternatieven gebruiken. Consolidatie is onmogelijk zonder overzicht.
Shadow IT en NIS2
Met de komst van NIS2 wordt shadow IT een nog groter risico. De zorgplicht verplicht organisaties om een actueel overzicht te hebben van alle software en leveranciers, inclusief tools die buiten het formele aankoopproces zijn aangeschaft. Shadow IT maakt dit overzicht per definitie onvolledig.
Hoe pak je shadow IT aan?
De aanpak begint niet met verbieden, maar met begrijpen. Waarom gebruiken medewerkers bepaalde tools? Wat ontbreekt er in het goedgekeurde aanbod? Pas als je die vragen beantwoordt, kan je effectief consolideren en het formele softwareaanbod verbeteren.
Praktische stappen: analyseer kredietkaartafschriften en facturen op onbekende software-abonnementen, voer een medewerkersenquête uit over gebruikte tools, en geef de bevindingen terug aan IT en aankoop voor een geconsolideerde aanpak.
Veelgestelde vragen
De meest gestelde vragen over dit onderwerp.
Wat is shadow IT precies?
Shadow IT is alle software en technologie die medewerkers gebruiken zonder goedkeuring of medeweten van IT of aankoop. Denk aan gratis tools, persoonlijke cloudopslag of niet-goedgekeurde communicatieplatformen.
Hoe groot is het shadow IT-probleem in de gemiddelde organisatie?
Onderzoek toont aan dat gemiddeld 40-60% van de SaaS-tools binnen een organisatie niet centraal wordt beheerd. De werkelijke omvang van shadow IT wordt structureel onderschat.
Hoe ontdek ik welke shadow IT er in mijn organisatie is?
Begin met een software-audit via kredietkaartafschriften, factuuranalyse en een medewerkersenquête. Daarnaast kunnen tools zoals Zylo, Torii of Blissfully helpen bij het automatisch detecteren van SaaS-gebruik.
Klaar om te besparen op software?
SoftVaro onderhandelt namens jou de scherpste deal bij 4.000+ leveranciers. Onafhankelijk, transparant, binnen 24 uur.