Toestaan is de nieuwe blokkade

De term ‘Shadow IT’ is dan misschien nog niet zo bekend bij de meesten, als ik het toelicht met ‘bedrijfsdata opslaan op een ‘niet’ bedrijfsnetwerk dan zal je beslist (glimlachend) erkennen dat je weet wat shadow IT moet voorstellen. De informatie van het bedrijf wordt opgeslagen op plaatsen die je kent, pc schijven, USB sticks en in e-mailbestanden. Daarnaast ken je cloud oplossingen als Box, Dropbox, Google Docs, Jira en Workday, en wellicht nog meer.

Medewerkers vinden altijd oplossingen om hun werk nog makkelijker, sneller, efficiënter en flexibeler te doen, zelfs als ze op de hoogte zijn van het beleid van het bedrijf. Echter, onderzoek heeft, recent, aangetoond dat 90% van de gebruikte (cloud) applicaties niet gereed zijn om gebruikt te worden binnen de applicaties en netwerken van het bedrijf.

Om gebruikers van de bedrijfsinformatie te faciliteren, geef ik hieronder acht alternatieven om met applicaties in de cloud om te gaan:

1. Analyseer het (mogelijke) risico van het gebruik van een applicatie.
Een overwogen beslissing wordt genomen of en op welke wijze informatie mag worden uitgewisseld. In het beleid wordt opgenomen dat de app kan worden gebruikt, en voor welk soort informatie.
2. Meten op afwijkingen.
Geeft aan wat- en waar het gebruik afwijkt van het gemiddelde. Dat kan duiden op risicovol gebruik of zelfs een aanval van buitenaf.
3. Blokkeer het gebruik, niet de app.
Beter dan het blokkeren van de app is het blokkeren van het gebruik, zodra blijkt dat er risicovolle handelingen worden uitgevoerd. Denk hierbij aan downloaden op een prive apparaat wat niet bekend is of delen met iemand buiten het bedrijf.
4. Monitor het gebruik.
Voorbeelden zijn bekend van bedrijven die het doel, de business case, en het risico van de app hebben gedocumenteerd. IT is in staat het aantal gebruikers en het gebruik te meten. Een dergelijke meting (gebruik, delen van informatie, downloaden) onderbouwt een business case voor consolidatie. De informatie kan ook een mogelijk verhoogd risico laten zien waardoor het beleid juist moet worden aangepast.
5. Beveilig informatie.
Belangrijk bij het meten van risico’s is niet alleen de informatie op zich, maar vooral ook in combinatie met andere informatie. Deze combinaties zijn vooral bij upload en delen met (onbevoegden) anderen, een risico.
6. Zorg voor alternatieven.
De IT afdeling is nu vaak en vooral een probleem oplosser. Door middel van goed luisteren en helpen oplossen vergroot de kans dat IT de volgende keer gevraagd zal worden om een advies.
7. Praat met gebruikers.
Voor een optimaal gebruik van apps, maar ook een weloverwogen gebruik, treed je in gesprek met je gebruikers. Hierbij kan je van elkaar leren over toepassing en gebruik. Begrip voor elkaars’ afwegingen is van toegevoegde waarde voor business en gebruiker.
8. Vertrouwen is goed, maar controle moet ook.
Wanneer goed gebalanceerd is er niets mis mee om te controleren wat afgesproken is.