Schaduw-IT hoeft niet eng te zijn

c't-partner20 januari, 2020• min. leestijd

“Schaduw-IT: het hoeft niet zo eng te zijn als het lijkt”
Wilco Ravestein, Country Manager, Benelux – Paessler

In het meest recente seizoen van de Netflix-serie Stranger Things moeten tieners in het stadje Hawkins vechten tegen kwaadaardige en moorddadige wezens uit ‘the upside down’ – een duister parallel universum dat met het onze is verbonden als gevolg van slecht gepland wetenschappelijk onderzoek. In bedrijfsnetwerken loert een soortgelijk gevaar als werknemers onbekende of niet goedgekeurde infrastructuur gebruiken. Welkom in de duistere wereld van schaduw-IT.

schaduw-IT risico bescherming gevaren beleid voorkomen shadow-it

Bij netwerkbeheerders kan alleen al de gedachte aan onbekende of deels niet vertrouwde IT-infrastructuur op het netwerk genoeg zijn om wakker van te liggen. Bij schaduw-IT kunnen complexe infrastructuren ontstaan als gevolg van dagelijkse praktijken, zonder dat de IT-afdeling hier goedkeuring aan geeft of weet van heeft. Die infrastructuur kan alles omvatten van beheersbare hardware-omgevingen tot complete ERP-oplossingen die dagelijks worden gebruikt binnen het bedrijf – oplossingen die gebruikmaken van data uit het officiële ERP-systeem, maar die niet inzichtelijk zijn voor de IT-afdeling.

Onafhankelijke schaduw-IT ontstaat vaak als gevolg van slecht management of planning. Als een afdeling niet de juiste tools krijgt voor het werk dat ze moeten doen, of als afdelingsmanagers niet doordrongen zijn van het belang van werken met een gecentraliseerd bedrijfsnetwerk, kan het gebeuren dat op de werkvloer oplossingen worden bedacht zonder overleg met de IT-afdeling. Net als de wezens in Stranger Things, kunnen schaduw-IT-netwerken allerlei onheil met zich meebrengen voor netwerken en onwetende IT-afdelingen.

1. Kwetsbaarheden blootleggen

Dit is misschien het eerste risico waar je aan denkt bij onbekende infrastructuur op het netwerk. Infrastructuur die is opgezet zonder de kennis vanuit de IT-afdeling is vaak onvoldoende beveiligd tegen cyberaanvallen. De hardware heeft bijvoorbeeld verouderde firmware of er is geen firewall of virusscanner aanwezig. In een wereld waar het netwerk even sterk is als de zwakste schakel, kan dit een compleet bedrijfsnetwerk kwetsbaar maken voor aanvallen.

2. Rampzalig gegevensverlies

Schaduw-IT-systemen en applicaties zijn geen onderdeel van de back-up- en herstelprocedures van de IT-afdeling. Dat betekent dat kritieke bedrijfsactiviteiten mogelijk plaatsvinden zonder enige vorm van back-up. Als er iets gebeurt, zoals een cyberaanval waarbij gegevens verloren gaan, kan belangrijke bedrijfsdata verdwijnen zonder enige mogelijkheid om die te herstellen. In het ergste geval kan dat aanzienlijke schade berokkenen aan bedrijfsprocessen met mogelijk ernstige financiële gevolgen.

3. Onbeveiligde data

Zelfs als we even het probleem negeren van werken met data zonder voldoende back-up, is er bij schaduw-IT ook geen inzicht in potentiele toegang tot de data. Dat betekent dat aanbieders van externe diensten, onderaannemers en zelfs ex-werknemers toegang kunnen hebben tot gevoelige gegevens. Zonder overkoepelende machtigingen, is het niet mogelijk na te gaan wie toegang heeft tot de data en wat er mee gebeurt.

4. Inefficiënt werken

Hardware en software van schaduw-IT wordt vaak geïnstalleerd zonder de benodigde testen. Hoewel de systemen misschien van pas komen voor de individuele werkzaamheden van degene die ze opzet en dat meestal ook de reden is dat ze verschijnen, kan een niet-getest systeem andere bedrijfskritieke systemen op het netwerk vertragen of zelfs stoppen. Zelfs als schaduw-IT-netwerken vlot draaien, is extra onderhoud en beheer nodig om te zorgen dat de systemen probleemloos werken naast het officiële bedrijfsnetwerk.

5. Compliance

Het is misschien vanzelfsprekend, maar het opzetten van schaduw-IT-processen buiten de gevestigde protocollen van de IT-afdeling is waarschijnlijk in strijd met de compliance-voorschriften. Nog erger is dat de invoering van schaduw-IT voor veel afdelingen een overtreding kan zijn van wettelijke voorschriften en richtlijnen, zoals de AVG. In die gevallen kunnen overtredingen leiden tot (hoge) boetes van toezichthouders en kan zelfs het voortbestaan van het bedrijf in gevaar komen.

Het klinkt allemaal heel eng, maar het hoeft niet zo’n vaart te lopen. Zelfs wijdverbreide schaduw-IT-kwesties zijn controleerbaar als de IT-afdeling en het management de juiste strategieën opzetten. Detecteren is de eerste stap bij het bestrijden van schaduw-IT. Netwerkzichtbaarheid is de belangrijkste factor bij het opsporen en verwijderen van schaduwnetwerken. Zelfs goed verborgen parallelle infrastructuur kan bijvoorbeeld worden gedetecteerd via ongebruikelijk dataverkeer over een router of switch.

Uiteindelijk moet het management passende oplossingen aanbieden, om te zorgen dat parallelle netwerken helemaal niet meer ontstaan. Maar met de juiste tools en genoeg zichtbaarheid, kunnen IT-afdelingen beschikken over voldoende middelen om het gevaar van schaduw-IT te bestrijden. Met een uitgebreide monitoring-oplossing zoals PRTG van Paessler, ben je in staat om limieten, waarschuwingen en triggers te configureren. Die kan PRTG gebruiken om notificaties te sturen via kanalen als Slack en Microsoft Teams, zodat je downtime kunt voorkomen en IT-teams het in de hand kunnen houden. Je kunt PRTG een maand gratis testen, zonder beperkingen. Alle informatie en de PRTG trial vind je hier.

c't-partner

HPE beveiliging: veiligheid van chip tot cloud

HPE beveiliging biedt functies voor HPE ProLiant Gen11-servers die zijn ontworpen om zorgen over computerbeveiliging weg te nemen.

partnerblogs

23/04/2024

Innovatie in vele vormen: ASUS, ‘In search of Incredible’

ASUS is een fabrikant die vaak nieuwe dingen probeert, geheel volgens de slogan 'In search of Incredible'. Bekijk dit overzicht maar eens.

partnerblogs

23/04/2024

Softlink

0 Praat mee

Abonneer

Cookie	Looptijd	Omschrijving
AnalyticsSyncHistory	1 month	No description
bc_view	1 year	No description
cookielawinfo-checbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
cookielawinfo-checkbox-socialmedia	1 year	No description
cxexp	30 minutes	No description available.
cxid	session	No description available.
iutk	5 months 27 days	This cookie is used by Issuu analytic system. The cookies is used to gather information regarding visitor activity on Issuu products.
JSESSIONID	session	Used by sites written in JSP. General purpose platform session cookies that are used to maintain users' state across page requests.
lang	session	This cookie is used to store the language preferences of a user to serve up content in that stored language the next time user visit the website.
li_gc	2 years	No description
li_sugr	3 months	No description available.
PHPSESSID	session	This cookie is native to PHP applications. The cookie is used to store and identify a users' unique session ID for the purpose of managing user session on the website. The cookie is a session cookies and is deleted when all the browser windows are closed.
ROUTEID	session	This cookie is used for directing the users to the same server.
SERVERID	past	This cookie is used to assign the user to a specific server, thus to provide a improved and faster server time. It remembers which server had delivered the last page on to the browser. It also helps in load balancing.
SessionID	session	No description
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_UA-1134343-1	1 minute	A variation of the _gat cookie set by Google Analytics and Google Tag Manager to allow website owners to track visitor behaviour and measure site performance. The pattern element in the name contains the unique identity number of the account or website it relates to.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Cookie	Looptijd	Omschrijving
bscookie	2 years	This cookie is a browser ID cookie set by Linked share Buttons and ad tags.
fr	3 months	Facebook sets this cookie to show relevant advertisements to users by tracking user behaviour across the web, on sites that have Facebook pixel or Facebook social plugin.
GoogleAdServingTest	session	No description
IDE	1 year 24 days	Google DoubleClick IDE cookies are used to store information about how the user uses the website to present them with relevant ads and according to the user profile.
mc	1 year 1 month	Quantserve sets the mc cookie to anonymously track user behaviour on the website.
test_cookie	15 minutes	The test_cookie is set by doubleclick.net and is used to determine if the user's browser supports cookies.
uuid	session	To optimize ad relevance by collecting visitor data from multiple websites such as what pages have been loaded.
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
_fbp	3 months	This cookie is set by Facebook to display advertisements when either on Facebook or on a digital platform powered by Facebook advertising, after visiting the website.
__gads	1 year 24 days	The __gads cookie, set by Google, is stored under DoubleClick domain and tracks the number of times users see an advert, measures the success of the campaign and calculates its revenue. This cookie can only be read from the domain they are set on and will not track any data while browsing through other sites.

Cookie	Looptijd	Omschrijving
bcookie	2 years	LinkedIn sets this cookie from LinkedIn share buttons and ad tags to recognize browser ID.
CONSENT	16 years 2 months 19 days 17 hours	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
lidc	1 day	LinkedIn sets the lidc cookie to facilitate data center selection.
UserMatchHistory	1 month	Linkedin - Used to track visitors on multiple websites, in order to present relevant advertisement based on the visitor's preferences.

Schaduw-IT hoeft niet eng te zijn

1. Kwetsbaarheden blootleggen

2. Rampzalig gegevensverlies

3. Onbeveiligde data

4. Inefficiënt werken

5. Compliance

Lees ook

HPE beveiliging: veiligheid van chip tot cloud

Innovatie in vele vormen: ASUS, ‘In search of Incredible’

Lees ook

Softlink

Blijf op de hoogte!

Schaduw-IT hoeft niet eng te zijn

1. Kwetsbaarheden blootleggen

2. Rampzalig gegevensverlies

3. Onbeveiligde data

4. Inefficiënt werken

5. Compliance

Meer over

Deel dit artikel

Lees ook

HPE beveiliging: veiligheid van chip tot cloud

Innovatie in vele vormen: ASUS, ‘In search of Incredible’

Lees ook

Softlink

Blijf op de hoogte!