Hoe de risico's beheren en beperken
van schaduw-IT in uw bedrijf

Schaduw-IT - de niet-gesanctioneerde apps die op de loer liggen in je bedrijfsportfolio - kan je bedrijf blootstellen aan verborgen risico's. Detecteer het nu, voordat het tot een dure verrassing leidt. Detecteer het nu, voordat het tot een dure verrassing leidt.

Het is makkelijk om schaduw-IT over het hoofd te zien. Dit omvat ongeautoriseerde software en cloudservices die werknemers gebruiken zonder toestemming van IT. Maar hoe langer deze tools onopgemerkt blijven, hoe gevaarlijker ze worden.

Veel werknemers melden zich zonder toestemming aan voor deze apps, omdat ze denken dat ze de productiviteit zullen verhogen of beter in hun behoeften zullen voorzien. Dat werkt misschien op de korte termijn, maar het zet de deur open voor serieuze beveiligingsrisico's.

Deze niet-goedgekeurde tools worden niet gecontroleerd op kwetsbaarheden of getoetst aan de beveiligingsprotocollen van het bedrijf. Het gevolg is dat ze een doelwit bij uitstek worden voor datalekken en cyberaanvallen.

Een recente Aanval Servicebeheer Uit een rapport blijkt dat ongeveer 70% van de organisaties beveiligingsincidenten heeft meegemaakt die verband hielden met niet-geautoriseerde technologie. In dit artikel kijken we naar veelvoorkomende voorbeelden van schaduw-IT, de risico's die ermee gepaard gaan en hoe je ze effectief kunt beheren.

Wat is schaduw-IT?

Er is sprake van schaduw-IT als werknemers niet-goedgekeurde technologie - software, apparaten of diensten - gebruiken zonder toestemming van IT. Dit omvat vaak SaaS-tools die ze op eigen houtje gebruiken om hun werk te stroomlijnen.

Hoewel deze apps de productiviteit op de korte termijn kunnen verhogen, hebben ze serieuze nadelen: gaten in de beveiliging, compliance risico's en verborgen kosten door een gebrek aan IT-toezicht.

Zelfs met goede bedoelingen stellen werknemers die gebruik maken van externe tools het bedrijf onbewust bloot aan datalekken en compliance fouten door buiten de goedgekeurde beveiligingsmaatregelen te werken.

Vervolgens kijken we naar veelvoorkomende voorbeelden van schaduw-IT die vaak onopgemerkt blijven op de werkvloer van vandaag.

Veel voorkomende vormen van schaduw-IT

Schaduw-IT valt meestal uiteen in drie hoofdcategorieën: niet-geautoriseerde software, niet-goedgekeurde cloudservices en persoonlijke apparaten die verbinding maken met bedrijfsnetwerken. Dit zijn de gebieden waarop IT-afdelingen vaak het overzicht verliezen, waardoor het risico op datalekken en compliance-overtredingen toeneemt.

Naast deze gangbare vormen worden persoonlijke cloudopslag en berichtenplatforms steeds algemener omdat werknemers op zoek zijn naar snelle, handige manieren om samen te werken en bestanden te delen. 

Met de opkomst van telewerkHet is zelfs makkelijker voor medewerkers om deze tools te introduceren, waardoor de kans toeneemt dat gevoelige gegevens op onbeveiligde locaties terechtkomen die buiten de controle van IT vallen.

Organisaties zonder sterke IT-governance zijn extra kwetsbaar, omdat werknemers zich tot deze niet-goedgekeurde apps wenden voor meer flexibiliteit in hun workflows. Het identificeren en beheren van deze schaduw-IT-bedreigingen is de eerste stap naar het verminderen van hun risico's.

Schaduw IT-risico's die u niet kunt negeren

Met de toename van cloud-gebaseerde applicaties wordt niet-goedgekeurde software een steeds groter probleem voor organisaties van elke omvang. Gartner meldt zelfs dat wereldwijd SaaS-uitgaven overschreden $195 miljard in 2023 - een stijging van 16,7% ten opzichte van het voorgaande jaar.

Deze groeiende afhankelijkheid van clouddiensten benadrukt de dringende noodzaak om de risico's van onbevoegde en onbeheerde apps aan te pakken. Naarmate meer werknemers deze tools gebruiken voor dagelijkse taken, neemt de kans op beveiligingsproblemen en financiële inefficiëntie alleen maar toe.

We hebben vijf grote risico's geïdentificeerd die samenhangen met schaduw-IT en waar elke organisatie zich bewust van moet zijn. Deze risico's kunnen ernstige gevolgen hebben voor gegevensbeveiliging, compliance en budgetbeheer.

Risico #1: Grotere kans op datalekken

Een van de grootste risico's van schaduw-IT is de verhoogde kans op datalekken. Wanneer werknemers niet-goedgekeurde apps gebruiken, omzeilen ze vaak de beveiligingsmaatregelen die door IT zijn ingesteld.

In 2023 zal de gemiddelde kosten van een datalek: $9,44 miljoenVolgens IBM zijn veel incidenten terug te voeren op niet-goedgekeurde, niet-geautoriseerde software zonder de juiste beveiliging.

Deze niet-goedgekeurde apps kunnen gevoelige bedrijfsgegevens, zoals persoonlijk identificeerbare informatie (PII) of intellectueel eigendom, blootstellen aan hackers. Zonder beveiligingen zoals SSO (Single Sign-On) of MFA (Multi-factor Authentication) worden deze tools een gemakkelijk doelwit voor cyberaanvallen.

Risico #2: Afnemende naleving van regelgeving voor gegevens en privacy 

Voor industrieën die vallen onder strikte wetgeving op het gebied van gegevensprivacy, zoals GDPR, HIPAA of de California Consumer Privacy Act (CCPA), kan het gebruik van niet-goedgekeurde software een groot nalevingsrisico vormen. Medewerkers kunnen onbewust gevoelige informatie opslaan op ongeautoriseerde cloudservices, waardoor de regelgeving wordt overtreden en het bedrijf kan worden blootgesteld aan boetes die kunnen oplopen tot miljoenen.

Volgens Gartner zullen complianceschendingen door niet-goedgekeurde SaaS-applicaties steeds vaker voorkomen naarmate bedrijven steeds vaker cloudgebaseerde tools gebruiken zonder IT-toezicht. 

Regelgeving zoals GDPR vereist volledige zichtbaarheid van en controle over de manier waarop persoonlijke gegevens worden verzameld, opgeslagen en verwerkt. Ongeautoriseerde apps brengen die controle in gevaar, waardoor het voor bedrijven moeilijker wordt om compliant te blijven en dure boetes te voorkomen.

Risico #3: Ongecontroleerde en niet-gecontroleerde kosten

IDC schat dat 70% van alle SaaS-aankopen worden gemaakt buiten IT-budgetten om. Deze verschuiving betekent dat meer afdelingen en werknemers zelf software aanschaffen en uitgeven, wat een stijging van ongeautoriseerde technologie in de hand werkt.

Het resultaat? Organisaties betalen vaak voor overbodige diensten of abonnementen die onder de radar blijven. In bedrijven met meer dan 50 werknemers komt het vaak voor dat verschillende afdelingen zich onbewust abonneren op dezelfde software, waardoor onnodige dubbele kosten ontstaan. 

Zonder een gecentraliseerd systeem voor leveranciersbeheer (B2B SaaS)Het wordt moeilijk om abonnementen, verlengdata en daadwerkelijk gebruik bij te houden, wat leidt tot verspilde bronnen en opgeblazen softwarebudgetten.

Risico #4: Hogere kosten door dubbele uitgaven

Dubbele uitgaven is een veel voorkomend neveneffect van ongeoorloofd softwaregebruik. Wanneer verschillende afdelingen of werknemers dezelfde tools onafhankelijk van elkaar aanschaffen, loopt het bedrijf volumekortingen mis en krijgt het geen kans om contracten op ondernemingsniveau af te sluiten.

Deze overlap komt vaak voor bij tools zoals communicatieplatforms, projectmanagementsoftware of cloudopslag, waarbij werknemers kiezen voor de oplossingen van hun voorkeur in plaats van zich te houden aan de goedgekeurde oplossing van de organisatie.

Naast inefficiënte software-uitgaven kan dit wrijving veroorzaken tussen teams die verschillende tools gebruiken, waardoor samenwerking moeilijker en minder efficiënt wordt.

Risico #5: Ongeplande automatische verlengingen 

Veel SaaS-contracten bevatten clausules voor automatische verlenging. Zonder goed toezicht kunnen niet-goedgekeurde apps automatisch worden verlengd, waardoor de kosten onverwacht oplopen.

Gemiddeld heeft een bedrijf elke maand te maken met meerdere verlengingen en als er ongeautoriseerde tools tussen zitten, kunnen de uitgaven snel uit de hand lopen. Als IT niet op de hoogte is van deze verlengingen, is het onmogelijk om te evalueren of de tools nog steeds nodig of relevant zijn voor het bedrijf.

Zodra IT-leiders de risico's van ongeautoriseerde technologie begrijpen, kunnen ze beginnen met het aanpakken van het probleem. 

Gevaarlijke schaduw-IT voorbeelden

Schaduw-IT kan vele vormen aannemen, van niet-goedgekeurde software tot persoonlijke apparaten die worden gebruikt voor werktaken. Hoewel sommige gevallen onschuldig lijken, kunnen andere de organisatie blootstellen aan grote beveiligingsrisico's, datalekken en financiële gevolgen.

Hier zijn voorbeelden uit de praktijk die de gevaren van ongeautoriseerde technologie illustreren en hoe het de beveiligings- en compliance-inspanningen van een organisatie kan ondermijnen.

Vaak kwetsbare schaduw-IT-applicaties

Enkele van de meest kwetsbare en meest gebruikte ongeautoriseerde toepassingen zijn:

• Productiviteitsapps: Tools zoals Slack, Asana en Trello kunnen gevoelige communicatie blootstellen aan beveiligingsrisico's als ze zonder IT-toezicht worden gebruikt.
• Cloudopslag: Niet-goedgekeurde diensten zoals Google Drive, Dropbox en OneDrive kunnen beveiligingsmaatregelen omzeilen, wat kan leiden tot het lekken van gegevens.
• Communicatiemiddelen: Platforms zoals WhatsApp en persoonlijke e-mailaccounts voldoen vaak niet aan de beveiligingsprotocollen van bedrijven, waardoor er grote gaten ontstaan.
• Hulpmiddelen voor projectbeheer: Toepassingen zoals Monday.com en Jira kunnen gevoelige projectgegevens opslaan, die mogelijk onvoldoende beveiligd zijn buiten de goedgekeurde technische stapel.
• Persoonlijke apparaten: Laptops, smartphones en tablets die zonder toestemming van het bedrijf worden gebruikt, vormen een ernstig risico als ze niet worden beheerd volgens het beveiligingsbeleid van de organisatie.

Hoewel deze applicaties de productiviteit kunnen verhogen, vormt het onbeheerde gebruik ervan een aanzienlijke bedreiging voor de bedrijfsactiviteiten, zoals blijkt uit de volgende voorbeelden uit de praktijk.

Voorbeelden uit de praktijk van schaduw-IT-risico's

Het datalek bij Truecaller

• Slachtoffers: 47,5 miljoen gebruikers
• Uitgave: Door een kwetsbaarheid in de app konden cybercriminelen gebruikersprofielen wijzigen en kwaadaardige koppelingen invoegen die malwarescripts uitvoerden zonder toestemming van de gebruiker.
• Resultaat: Persoonlijk identificeerbare informatie (PII), waaronder namen, e-mailadressen en telefoonnummers, werd verkocht op het dark web, waardoor gebruikers werden blootgesteld aan mogelijke phishing-aanvallen en identiteitsdiefstal.

Deze zaak onderstreept de gevaren van niet-gesanctioneerde apps die omgaan met gevoelige klantgegevens. Zonder IT-doorlichting kunnen apps als Truecaller kwetsbaarheden introduceren die leiden tot ernstige gegevensschendingen.

Docker's vertrouwensbreuk

• Slachtoffers: 190.000 ontwikkelaars
• Uitgave: Door een datalek konden hackers gebruikersgegevens stelen, waardoor cybercriminelen mogelijk de applicaties die op het platform zijn gebouwd konden wijzigen of compromitteren.
• Resultaat: De inbreuk brengt de gegevens van de ontwikkelaars in gevaar en brengt de applicaties die ze hebben gebouwd in gevaar, wat gevolgen kan hebben voor eindgebruikers.

Deze inbreuk laat zien hoe ongeautoriseerde applicaties kunnen bestaan, zelfs in ontwikkelomgevingen waar beveiliging een topprioriteit zou moeten zijn. Zonder IT-monitoring kunnen ontwikkeltools zoals Docker leiden tot grootschalige kwetsbaarheden.

Historisch datalek bij Yahoo

• Slachtoffers: 3 miljard gebruikers
• Uitgave: Een reeks datalekken tussen 2012 en 2016 heeft persoonlijke gegevens blootgelegd als gevolg van phishingaanvallen en slechte beveiligingspraktijken.
• Resultaat: Yahoo moest een schikking treffen voor $117,5 miljoen en verloor zijn positie als toonaangevende aanbieder van webdiensten, wat laat zien hoe kwetsbaarheden kunnen bijdragen aan financiële en reputatieschade op de lange termijn.

In dit geval konden cybercriminelen door zwakke beveiligingsprotocollen misbruik maken van zwakke plekken in schaduw-IT, wat leidde tot een van de grootste datalekken in de geschiedenis.

De vijf gevaarlijkste vormen van schaduw-IT

Naast deze voorbeelden uit de praktijk brengt niet-goedgekeurde software risico's met zich mee op verschillende belangrijke gebieden:

• Kwetsbaarheidsbeheer. Bij niet-goedgekeurde apps ontbreekt vaak een goede scan op kwetsbaarheden en patchbeheer. Zonder IT-toezicht kunnen deze applicaties kritieke beveiligingsupdates missen, waardoor ze een ideaal doelwit worden voor cybercriminelen.
• Identiteits- en toegangsbeheer (IAM). Ongeautoriseerde software kan leiden tot onbeheerde gebruikersaccounts, waaronder verweesde accounts van voormalige werknemers. Deze malafide accounts creëren mogelijkheden voor ongeautoriseerde toegang, waardoor het risico op bedreigingen van binnenuit en externe inbreuken toeneemt.
• Privileged toegangsbeheer (PAM). Niet-compliant apps kunnen medewerkers bevoorrechte toegang geven zonder dat IT daarvan op de hoogte is. Dit kan resulteren in buitensporige machtigingen voor gebruikers die deze niet nodig hebben, waardoor de kans op beveiligingslekken toeneemt.
• Gegevensverlies en compliance-overtredingen. Veel niet-goedgekeurde applicaties voldoen niet aan het beveiligingsbeleid van bedrijven of aan wettelijke normen zoals GDPR en HIPAA. Dit kan leiden tot verkeerd gebruik van gevoelige gegevens, met boetes, gegevensverlies en reputatieschade tot gevolg.
• Risico's van automatische verlenging. Veel ongeautoriseerde applicaties hebben functies voor automatische verlenging die onopgemerkt kunnen blijven, wat leidt tot onnodige kosten. Zonder IT-toezicht kunnen bedrijven blijven betalen voor diensten die niet meer worden gebruikt, waardoor waardevolle financiële middelen verloren gaan.

Hoe schaduw-IT opsporen en voorkomen

Het opsporen en beheren van niet-compliant technologie is cruciaal om de gegevens van je bedrijf veilig en compliant te houden. Ongeautoriseerde tools kunnen gemakkelijk infiltreren in de dagelijkse werkzaamheden, wat leidt tot gaten in de beveiliging en financiële verspilling. Dit is hoe u ongeautoriseerde software in uw organisatie kunt identificeren en voorkomen.

Regelmatige software-audits. Begin met het controleren van alle software die in het bedrijf wordt gebruikt. Dit proces helpt bij het opsporen van niet-goedgekeurde apps die medewerkers mogelijk zonder toestemming van IT hebben gedownload. Regelmatige controles houden de lijst met tools up-to-date, zodat IT-teams alle gebruikte applicaties kunnen volgen.

Medewerkers opleiden en betrekken. Werknemers wenden zich vaak tot niet-geautoriseerde applicaties wanneer ze het gevoel hebben dat door het bedrijf goedgekeurde tools niet aan hun behoeften voldoen. Het is essentieel om medewerkers te informeren over de risico's van niet-goedgekeurde software. Zorg ervoor dat ze de gevolgen van datalekken en compliance-overtredingen begrijpen en moedig ze aan om met IT te overleggen voordat ze nieuwe tools gebruiken. Duidelijke communicatie kan de drang om op zoek te gaan naar niet-goedgekeurde oplossingen aanzienlijk verminderen.

Gebruik SaaS-beheertools. B2B SaaS-beheersoftware biedt realtime inzicht in alle applicaties die door het bedrijf worden gebruikt. Tools zoals Spendbase voor Chrome houden het app-gebruik bij wanneer werknemers inloggen met hun bedrijfsaccounts en signaleren direct ongeautoriseerde software. Hierdoor kunnen IT-teams malafide technologie beheren zodra deze zich voordoet, waardoor risico's worden voorkomen voordat ze escaleren. 

Spendbase biedt ook inzicht in app-adoptie, zodat je op basis van actuele gebruiksgegevens kunt beslissen of je abonnementen moet verlengen of opzeggen.

Door regelmatige audits uit te voeren, open communicatie met werknemers te stimuleren en tools zoals Spendbase voor Chrome te gebruiken, kunt u schaduw-IT effectief opsporen en voorkomen en ervoor zorgen dat uw bedrijf veilig en compliant blijft.