Ooit had de IT-afdeling de macht over welke software en hardware een organisatie gebruikte. Die tijd is voorbij. Stugge bedrijfssoftware kreeg concurrentie van gebruiksvriendelijke, gratis applicaties. Werknemers gebruiken liever die tools dan de bedrijfsapps; uit onderzoek van softwareleverancier Mobiquity blijkt dat bijna 60 procent van de Nederlandse werknemers de voorkeur geeft aan eigen gedownloade mobiele applicaties.
Schaduw ICT-processen – Shadow IT – worden die ook wel genoemd: werknemers die hun eigen IT-systemen en processen inrichten en gebruiken zonder de expliciete toestemming van de organisatie en IT-afdeling. Onderzoek van de analisten van 451 Group laat zien dat 44 procent van de bedrijven wereldwijd te kampen heeft met werknemers die hun eigen IT-workflow hebben ingericht.
Groot beveiligingsrisico
Hoewel werknemers hiermee op de korte termijn zijn geholpen, kan dit op de langere termijn veel problemen opleveren; lastig te koppelen databases, moeilijk uit te breiden processen en beveiligingsissues. In het 2014 Security Report noemt Inside Check Point Software Technologies schaduw-ICT een van de grootste beveiligingsrisico’s van een organisatie.
IT-afdelingen willen daarom liever niet dat werknemers zelfgekozen apps downloaden en gebruiken. Daarvoor hebben ze verschillende mogelijkheden zoals het voorinstalleren van apps op mobiele apparaten (20%) of het blokkeren van apps op de zakelijke smartphone (25%), zo blijkt uit het onderzoek van Mobiquity.
Geen verbod, maar een gesprek
Maar het blokkeren van het gebruik van eigen software tools is niet de juiste manier. CTO Jamie Marshall van Calyx: ‘Schaduw-ICT is meestal een teken dat IT het specifieke werk van een afdeling niet begrijpt, in plaats van dat er verschil van inzicht is over strategie of richting.’ Eigenlijk, zegt Marshall, vertelt het gebruik van deze eigen IT-toepassingen dat werknemers hun werk juist snel en effectief willen doen en dat dit met de bestaande middelen niet kan. ‘Als een klant hoog en laag springt omdat hij meteen een groot document of bestand nodig heeft en het bedrijf daarvoor geen oplossing biedt, waarom zou je dan je medewerker straffen voor het gebruik van een service zoals Dropbox of WeTransfer?’
In plaats van het verbieden van het gebruik van eigen software, kan een IT-afdeling ook in gesprek gaan. Marshall: ‘Zoek uit welke tools worden gebruikt met welk doel. Zo krijgt u waardevolle informatie over wat de organisatie nodig heeft.’
En bied hulp als een afdeling een bepaalde online tool wil gebruiken. ‘Op die manier laat u zien open te staan voor samenwerking en heeft de IT-afdeling ook inspraak in hoe de cloud wordt gebruikt. Willen uw ontwikkelaars bijvoorbeeld een eigen ontwikkel- en testomgeving in de cloud, help ze dan bij het opzetten. En zorg tegelijkertijd voor goede authenticatie, autorisatie en beveiligingsmechanismen’, is de tip van consultant Andrew Froehlich.
Wees redelijk
Natuurlijk blijft beveiliging een issue. ‘Maar zoek de balans tussen beveiliging en toegankelijkheid. Beveiliging is prioriteit, maar wees ook redelijk over wat u wilt beveiligen en wat de gevolgen van een lek zijn’, vindt Marshall. Ook Froehlich is voor redelijkheid en beseft dat er ook grenzen zijn aan wat mogelijk is. ‘Geef niet alle controle weg. Er zijn bijvoorbeeld situaties waar het gebruik van eigen software tools voor problemen zorgt bij het voldoen aan wet- en regelgeving. Daar komt communicatie om de hoek kijken. Zie het ook als een wake-up call voor de interne communicatie. Hadden de risico’s beter uitgelegd kunnen worden? IT-afdelingen moeten betere luisteraars worden, maar ook het vertellen van hun kant van het verhaal kan in veel gevallen beter’, zegt Marschall.
Een IT-afdeling heeft nu eenmaal niet meer de volledige zeggenschap over het gebruik van servers, endpoint-apparaten, software tools of applicaties. Froehlich: ‘Dat biedt de mogelijkheid om als IT-afdeling op andere manieren de organisatie te ondersteunen.’