Zes redenen waarom mensen in uw organisatie Shadow IT gebruiken

Omgaan met mensen of afdelingen die 'in de fout zijn gegaan' hoort bij het beheren van een grote, complexe IT-omgeving. Shadow IT bestaat nu eenmaal, maar dat betekent niet dat er niets aan te doen is. Het begint allemaal met het begrijpen van de onderliggende oorzaken en triggerpoints. Hier zijn de zes belangrijkste redenen waarom het bestaat en blijft bestaan.

1. Gebrek aan visie

De moderne vertaling van een oud gezegde luidt: "Waar geen visie is, slaan mensen op hol". Wanneer afdelingen binnen een organisatie geen duidelijke richting of visie krijgen, creëren ze hun eigen visie. Dat betekent dat er ook geen doelstellingen zijn waarnaar ze zich kunnen richten. Ken je de 'Texas Sharpshooter Fallacy'? Die gaat over een schutter die eerst schoten lost, en dan een doelwit schildert rond de kogelinslagen. Zo is het makkelijk raak schieten, natuurlijk. Anders gezegd: wie niet weet welke richtlijnen IT uitvaardigt over het gebruik van eigen IT-materiaal, doet het altijd juist, ook als het compleet fout is.

2. Dubbel zicht

Dubbel zicht is bijna erger dan een gebrek aan visie. Concurrerende prioriteiten en doelstellingen die niet in lijn liggen met bedrijfsdoelstellingen of duidelijke standaarden en beleidslijnen, creëren een "run it like you own it" mentaliteit. Efficiënties worden niet gerealiseerd, want als elke afdeling afzonderlijk beslissingen neemt, kan ze niet profiteren van de schaalgrootte van de grotere onderneming. Als hier niets aan wordt gedaan, zullen meerdere afdelingen overbodige systemen en middelen creëren en dubbele of inconsistente processen opzetten. Dat gebrek aan standaarden drijft de kosten van het totale IT-budget op. Meestal valt dit pas op na een grote technische storing, een cyberbeveiligingsincident of een audit. En dan kunnen de extra kosten al snel gaan oplopen.

3. Gebrek aan diensten en flexibiliteit

Soms krijgen afdelingen niet de diensten die ze nodig hebben, voldoen de oplossingen niet die ze krijgen, of worden ze niet zo snel geleverd als gewenst. Dit kan te wijten zijn aan beperkte IT-budgetten, onvoldoende personeel of het meesleuren van een omvangrijke historische ‘technical debt’. Wanneer ze geconfronteerd worden met trage reacties, verouderde of inflexibele systemen, zullen afdelingen lobbyen om een systeem, apparaat of software te bouwen of aan te schaffen die beter past bij hun behoeften. Het is belangrijk op te merken dat de initiële kosten hierbij slechts een fractie zijn van wat nodig is om het systeem te laten draaien en te onderhouden, dus zal er een shadow IT-afdeling ontstaan. Ook Shadow IT komt met een Total Cost of Ownership.

4. Gebrek aan bewustzijn

Bedrijven die duidelijke standaarden en beleidsregels hebben rond IT-services kunnen Shadow IT zien opduiken door een gebrek aan bewustzijn over die beleidsregels. Daarentegen kunnen er gebruikers zijn die opzettelijk en moedwillig de IT-afdeling van het bedrijf omzeilen. Als dat beleid niet wordt gehandhaafd, zal Shadow IT blijven gedijen.

5. Speciale behoeften

Soms zijn de behoeften van een groep zo uniek dat het zinvol kan zijn om een gespecialiseerde IT-afdeling te hebben die de kosten en extra uitgaven rechtvaardigt. Dit kunnen speciale operaties of onderzoeken zijn die apparatuur en software vereisen die streng gecontroleerd moeten worden. Ook afdelingen die zeer strikte toegang vereisen, kunnen ongewenste risico's met zich meebrengen als de centrale IT betrokken is. Deze zijn zeldzaam, maar bestaan wel. Vanwege de hoge risico's zijn dit meestal erg dure afdelingen.

6. Politiek

Triest, maar we horen het vaak: dit is geen ‘technisch probleem’ maar eerder een ‘achtste laag’-probleem. Dat is een wat sarcastische toevoeging aan de 7 lagen van het OSI-model, een universeel netwerkraamwerk. Interne organisatiepolitiek kan een bedrijf om zeep helpen. Individuen of groepen van individuen kunnen giftig worden. Grote ego's kunnen leiden tot het opbouwen van een eigen territorium waar eigen regels gaan gelden, wat leidt tot versplinterde IT-afdelingen. Dit menselijke verlangen naar autonomie en autoriteit leidt vaak tot meerdere mini-feodale koninkrijkjes.

Er zijn veel goede redenen om Shadow IT te voorkomen. De belangrijkste is waarschijnlijk wel dat versplinterde IT moeilijk te beheren is. Endpoints bijvoorbeeld die de centrale IT niet kent, kunnen niet gemanaged en niet gecontroleerd worden. Daardoor kunnen bij deze endpoints kwetsbaarheden ontstaan die belangrijke cyberrisico’s met zich meebrengen. Shadow IT staat haaks op goed beheer en dus ook haaks op goede cybersecurity.