Wat is shadow IT en waarom is het een risico?
Shadow IT, software die medewerkers gebruiken zonder goedkeuring van IT, is groter en gevaarlijker dan de meeste organisaties beseffen. Wat het is, hoe het ontstaat en hoe je het aanpakt.
- 1 oktober 2024
- 5 min
Shadow IT is één van de grootste blinde vlekken in enterprise software-beheer. Het begrip verwijst naar alle technologie, software, apps, cloudopslag, communicatietools, die medewerkers gebruiken zonder expliciete goedkeuring van IT of inkoop. En het is groeier dan de meeste organisaties beseffen.
Hoe ontstaat shadow IT?
Shadow IT ontstaat bijna altijd vanuit een oprecht probleem. Een medewerker heeft een tool nodig om zijn werk te doen, de goedkeuringsprocedure duurt te lang of het door IT aangeboden alternatief is onhandig. De kortste weg is een gratis account aanmaken of een klein abonnement op de zakelijke creditcard zetten.
Wat begint als één persoon met één tool, groeit snel. Collega’s sluiten aan, er worden bestanden gedeeld via niet-goedgekeurde platforms en bedrijfsgevoelige data belandt op servers buiten de EU, zonder dat iemand het doorheeft.
Waarom is shadow IT een probleem?
Shadow IT heeft drie concrete gevolgen:
1. Veiligheidsrisico’s. Niet-goedgekeurde tools worden niet gescreend op beveiliging, niet geupdated en niet gemonitord. Ze vormen een open deur voor datalekken en cyberaanvallen.
2. Compliancerisico’s. Data die via niet-goedgekeurde tools wordt verwerkt, valt buiten de AVG-controle van de organisatie. Bij een datalek is de organisatie desondanks aansprakelijk.
3. Verspilling. Organisaties betalen voor gecentraliseerde tools terwijl medewerkers parallel gratis of goedkope alternatieven gebruiken. Consolidatie is onmogelijk zonder overzicht.
Shadow IT en NIS2
Met de komst van NIS2 wordt shadow IT een nog groter risico. De zorgplicht verplicht organisaties om een actueel overzicht te hebben van alle software en leveranciers, inclusief tools die buiten het formele inkoopproces zijn aangeschaft. Shadow IT maakt dit overzicht per definitie onvolledig.
Hoe pak je shadow IT aan?
De aanpak begint niet met verbieden, maar met begrijpen. Waarom gebruiken medewerkers bepaalde tools? Wat ontbreekt er in het goedgekeurde aanbod? Pas als je die vragen beantwoordt, kun je effectief consolideren en het formele softwareaanbod verbeteren.
Praktische stappen: analyseer creditcardoverzichten en facturen op onbekende software-abonnementen, voer een medewerkersenquête uit over gebruikte tools, en koppel bevindingen terug aan IT en inkoop voor een geconsolideerde aanpak.
Veelgestelde vragen
De meest gestelde vragen over dit onderwerp.
Wat is shadow IT precies?
Shadow IT is alle software en technologie die medewerkers gebruiken zonder goedkeuring of medeweten van IT of inkoop. Denk aan gratis tools, persoonlijke cloudopslag of niet-goedgekeurde communicatieplatformen.
Hoe groot is het shadow IT-probleem in de gemiddelde organisatie?
Onderzoek toont aan dat gemiddeld 40-60% van de SaaS-tools in een organisatie niet centraal wordt beheerd. De werkelijke omvang van shadow IT wordt structureel onderschat.
Hoe ontdek ik welke shadow IT er in mijn organisatie is?
Begin met een software-audit via creditcardoverzichten, factuuranalyse en een medewerkersenquête. Aanvullend kunnen tools als Zylo, Torii of Blissfully helpen bij het automatisch detecteren van SaaS-gebruik.
Klaar om te besparen op software?
SoftVaro onderhandelt namens jou de scherpste deal bij 4.000+ leveranciers. Onafhankelijk, transparant, binnen 24 uur.