Wat is shadow IT en waarom is het een risico?
Shadow IT, software die medewerkers gebruiken zonder goedkeuring van IT, is groter en gevaarlijker dan de meeste organisaties beseffen. Wat het is, hoe het ontstaat en hoe je het aanpakt.
- 1 oktober 2024
- 5 min
Shadow IT is één van de grootste blinde vlekken in enterprise softwarebeheer. De term verwijst naar alle technologie, software, apps, cloudopslag en communicatietools die medewerkers gebruiken zonder expliciete goedkeuring van IT of aankoop. En het groeit sneller dan de meeste organisaties denken.
Hoe ontstaat shadow IT?
Shadow IT ontstaat bijna altijd vanuit een oprecht probleem. Een medewerker heeft een tool nodig om zijn werk te doen, de goedkeuringsprocedure duurt te lang of het door IT aangeboden alternatief is ongemakkelijk. De snelste oplossing is een gratis account aanmaken of een klein abonnement op de zakelijke kredietkaart zetten.
Wat begint als één persoon met één tool, groeit snel. Collega’s haken aan, er worden bestanden gedeeld via niet-goedgekeurde platformen en bedrijfsgevoelige data belandt op servers buiten de EU, zonder dat iemand het merkt.
Waarom is shadow IT een probleem?
Shadow IT heeft drie concrete gevolgen:
1. Veiligheidsrisico’s. Niet-goedgekeurde tools worden niet gescreend op beveiliging, niet geüpdatet en niet gemonitord. Ze vormen een gemakkelijke ingang voor datalekken en cyberaanvallen.
2. Compliancerisico’s. Data die via niet-goedgekeurde tools wordt verwerkt, valt buiten de AVG-controle van de organisatie. Bij een datalek blijft de organisatie echter aansprakelijk.
3. Verspilling. Organisaties betalen voor gecentraliseerde tools terwijl medewerkers erbij gratis of goedkope alternatieven gebruiken. Consolidatie is onmogelijk zonder overzicht.
Shadow IT en NIS2
Met de komst van NIS2 wordt shadow IT een nog groter risico. De zorgplicht verplicht organisaties om een actueel overzicht te hebben van alle software en leveranciers, inclusief tools die buiten het formele aankoopproces zijn aangeschaft. Shadow IT maakt dat overzicht per definitie incompleet.
Hoe pak je shadow IT aan?
De aanpak begint niet met verbieden, maar met begrijpen. Waarom gebruiken medewerkers bepaalde tools? Wat ontbreekt er in het goedgekeurde aanbod? Pas als je die vragen beantwoordt, kun je effectief consolideren en het formele softwareaanbod verbeteren.
Praktische stappen: analyseer kredietkaartoverzichten en facturen op onbekende softwareabonnementen, voer een medewerkersenquête uit over gebruikte tools, en koppel bevindingen terug aan IT en aankoop voor een gecoördineerde aanpak.
Veelgestelde vragen
De meest gestelde vragen over dit onderwerp.
Wat is shadow IT precies?
Shadow IT is alle software en technologie die medewerkers gebruiken zonder goedkeuring of medeweten van IT of aankoop. Denk aan gratis tools, persoonlijke cloudopslag of niet-goedgekeurde communicatieplatformen.
Hoe groot is het shadow IT-probleem in de gemiddelde organisatie?
Onderzoek toont aan dat gemiddeld 40-60% van de SaaS-tools in een organisatie niet centraal wordt beheerd. De werkelijke omvang van shadow IT wordt structureel onderschat.
Hoe ontdek ik welke shadow IT er in mijn organisatie is?
Begin met een softwareaudit via kredietkaartoverzichten, factuuranalyse en een medewerkersenquête. Aanvullend kunnen tools als Zylo, Torii of Blissfully helpen bij het automatisch detecteren van SaaS-gebruik.
Klaar om te besparen op software?
SoftVaro onderhandelt namens jou de scherpste deal bij 4.000+ leveranciers. Onafhankelijk, transparant, binnen 24 uur.