Schaduw IT

15 mei 2017

U kent hem vast wel; Henk. Henk is een goede vent, werkt hier al jaren. Hij doet zijn werk zo goed en zo efficiënt mogelijk zodat hij maximale waarde kan toevoegen voor zijn bedrijf en de klanten waarvoor hij werkt. Hij houdt namelijk van zijn werk en het bedrijf waar hij dit voor. En toch is Henk een potentiele dure schadepost van vele miljoenen. En Henk is niet de enige. Elke dag zijn er grote groepen medewerkers die, om hun werk goed te kunnen doen, gebruik maken van “schaduw IT”. Hiermee verdwijnen grote hoeveelheden data buiten het zicht van de organisatie, met alle gevolgen van dien.

Per 1 januari gaan de nieuwe Europese richtlijnen in (GDPR) voor het beschermen van persoonsgegevens. Het kwijtraken van deze gegevens kan vanaf dan zorgen voor een miljoenenboete (maximaal 4% van uw wereldwijde omzet of 20 miljoen euro). En dan wordt het ondernemende, goed bedoelde gedrag van Henk ineens een zeer reële dreiging voor zijn bedrijf….

Wat is er nu precies aan de hand? Om zijn werk goed te kunnen doen maakt Henk voor 90% gebruik van de software die beschikbaar wordt gesteld door de IT afdeling. Soms past deze software echter net niet in zijn werkproces. Bijvoorbeeld als hij snel een groot bestand wil delen met een klant. Met e-mail kan dat niet, het bestand is te groot om naar buiten te mogen gaan. En dus zoekt Henk naar een alternatief. Hij vraagt een collega om advies. Dat blijkt even simpel als effectief: “zoek even op het internet, het stikt er van de tooltjes en apps”. Dat doet die collega namelijk zelf ook altijd. En initiatief nemen en ondernemerschap tonen wordt toch gewaardeerd door het management? En klanten bedienen staat centraal, dus wat kan er mis gaan?

Henk zoekt en vindt een app die dit proces heeft versimpelt en gebruiksvriendelijk heeft gemaakt, maakt een account aan met zijn werkgegevens en gebruikt voor het gemak hetzelfde wachtwoord als voor zijn werkcomputer (want dat is immers een sterk wachtwoord en makkelijk te onthouden). Hij uploadt het bestand en deelt het via deze service met de klant. Probleem opgelost! Of niet?

Wat gaat hier mis? Henk werkt hard, heeft hart voor de zaak, is initiatiefrijk en lost zijn eigen problemen op. Dat is toch prima en juist wat je verwacht van een goede werknemer? Toch moet je als bedrijf waakzaam zijn voor bovenstaande situatie. Henk heeft namelijk niet in de gaten dat de bedrijfsdata die hij deelt met deze klant op een platform staat dat niet is gecheckt door de IT afdeling en dus in potentie onveilig is. Als deze service wordt gehackt dan kunnen er dus bedrijfsgegevens op straat komen te liggen. En erger nog, de hacker heeft dan ook het wachtwoord dat Henk op zijn werk gebruikt terwijl de IT afdeling van niets weet.

Bovenstaande situatie wordt ook wel omschreven als "schaduw-IT" (92% van de bedrijven (!) heeft hiermee te maken, zie studie). De definitie is ongeveer "hardware en software binnen een bedrijfsomgeving die niet wordt ondersteund door de IT afdeling van het bedrijf". Dit wordt vaak gezien als een onwenselijke situatie, het levert immers een reële bedreiging voor de veiligheid van de bedrijfsdata op, en dat terwijl de beweegredenen vaak erg positief zijn. Bijvoorbeeld snel en efficiënt het werk willen doen, ondernemerschap tonen en de klantervaring verbeteren. Dit zorgt in veel gevallen voor innovatie en procesoptimalisatie.

Schaduw IT is een van de meest voorkomende en makkelijk herkenbare symptomen van een sterke behoefte aan Employee Empowerment. Het is een teken dat er een cultuur is ontstaan dat het geaccepteerd is om deze tools te gebruiken. Onafhankelijk van de consequenties. Tegelijkertijd is het de sterkste business case over de potentiele waarde wanneer een organisatie wel zorgt voor de juiste tools voor medewerkers.

Nieuwsgierig geworden over de Business cases van Employee Empowerment of hoe Employee Empowerment ook voor uw organisatie kan werken? Lees er dan meer over in onze whitepaper: De waarde van Employee Empowerment.

Harry Boers
Strateeg

Meer weten?