- ‘Shadow IT’ leidt tot riskant gedrag van medewerkers
- IT-professionals maken vaker gebruik van niet-goedgekeurde SaaS-toepassingen dan andere medewerkers
Schiphol-Rijk, 4 december 2013 - Vier van de vijf medewerkers bij bedrijven gebruiken tijdens het werk SaaS-toepassingen die niet door de organisatie zijn goedgekeurd. Dit is een van de belangrijkste uitkomsten van een onderzoek dat in opdracht van McAfee is uitgevoerd in de VS, het Verenigd Koninkrijk, Australië en Nieuw Zeeland door Stratecast (onderdeel van Frost & Sullivan). Daarbij valt op dat IT-professionals vaker niet-goedgekeurde SaaS-toepassingen gebruiken dan andere medewerkers.
Het is een fenomeen dat ook wel ‘Shadow IT’ wordt genoemd: het gebruik van IT-oplossingen binnen organisaties, die niet zijn goedgekeurd door de IT-afdeling of waarvan niet is gecontroleerd of ze voldoen aan de IT-richtlijnen van het bedrijf. De cloud maakt het voor medewerkers echter relatief gemakkelijk om SaaS-applicaties te kopen en te gebruiken, zonder dat ze daarbij de IT-afdeling nodig hebben. Hierdoor worden veel applicaties door vaste medewerkers en door anderen (zoals tijdelijke medewerkers en zakenpartners) gebruikt zonder dat de IT-afdeling hier weet van heeft. Met alle beveiligingsrisico’s van dien.
Enkele belangrijke uitkomsten van het onderzoek:
- Ruim 80% van de respondenten geeft toe niet-goedgekeurde SaaS-toepassingen te gebruiken voor het werk.
- Bijna 35% van alle SaaS-toepassingen die binnen organisaties wordt gebruikt, is niet goedgekeurd en vormt zo ‘Shadow IT’.
- De meest gebruikte niet-goedgekeurde SaaS-toepassing (9%) is Microsoft Office 365, op de voet gevolgd door Zoho (8%),LinkedIn (7%) en Facebook (7%).
- Gemiddeld 15% van gebruikers hebben bij het gebruik van SaaS wel eens problemen gehad met de beveiliging, met de toegang of met compliancy.
- IT-professionals (83%) maken vaker gebruik van ‘Shadow IT’ dan zakelijke gebruikers (81%).
- 39% van de IT-respondenten maakt gebruik van niet-goedgekeurde SaaS omdat “het mij in staat stelt om IT-processen te omzeilen”, terwijl 18% het eens was met de stelling dat IT-restricties “het mij moeilijk maken om mijn werk te doen”.
“Er kleven risico’s aan het gebruik van niet-geautoriseerde SaaS-toepassingen binnen een onderneming, vooral in relatie tot beveiliging, compliancy en beschikbaarheid”, zegt Lynda Stadmueller, program director van de Cloud Computing analysis service binnen Stratecast. “Zonder de juiste kennis kunnen niet-technische werknemers kiezen voor SaaS-aanbieders of -configuraties die niet voldoen aan de geldende bedrijfsrichtlijnen voor databescherming en gegevens-encryptie. Ze realiseren zich wellicht niet dat ze met het gebruik van dit soort toepassingen het bedrijfsregelement overtreden op het gebied van het gebruik en de opslag van gevoelige klantgegevens, waarmee het bedrijf mogelijk kwetsbaar is en aansprakelijk gesteld kan worden voor inbreuken.”
De reden dat werknemers niet-goedgekeurde toepassingen gebruiken is in de meeste gevallen een onschuldige. Ze willen gewoon hun werk zo goed mogelijk doen of dit gemakkelijker maken. In de huidige, zeer concurrerende zakenwereld zijn ondernemingen voortdurend op zoek naar mogelijkheden om hun marges te verbeteren. Daarbij worden werknemers steeds vaker afgerekend op hun resultaten. In sommige gevallen staat hun baan zelfs op het spel. Zij zullen er daarom alles aan doen om hun doelen te bereiken, in de aanname dat ze daarmee bijdragen aan de zakelijke doelstellingen van het bedrijf.
“Ruim 80 procent van de medewerkers geeft toe niet-goedkeurde SaaS te gebruiken voor hun werk. Het is dus duidelijk dat bedrijven beschermingsmaatregelen moeten nemen. Maar dan moeten ze er wel voor zorgen dat ze toegang bieden tot de applicaties die werknemers helpen om productiever te zijn”, zegt Pat Calhoun, general manager network security bij McAfee. “De beste aanpak is om oplossingen te gebruiken die SaaS-toepassingen (en soorten webverkeer) transparant monitoren en die het mogelijk maken om bedrijfspolicies af te dwingen, zonder dat dit medewerkers beperkt in hun werk. Deze oplossingen bieden niet alleen beveiligde toegang tot SaaS-applicaties, maar bieden ook versleuteling van gevoelige informatie, voorkomen dataverlies, beschermen tegen malware en maken het voor de IT-afdeling mogelijk om ‘acceptable use’ policies af te dwingen.”
Nu de adoptie van SaaS-toepassingen blijft groeien, moeten organisaties policies ontwikkelen die de juiste balans bieden tussen flexibiliteit en controle. IT- en business managers moeten samenwerken om policies op te stellen die het voor medewerkers mogelijk maken om de apps te gebruiken die zij nodig hebben om productiever te zijn, met controlemechanismen om data te beschermen en bedrijfsrisico’s te beperken.
Het onderzoekIn het kader van dit onderzoek zijn ruim 600 IT- en line of business decision makers of influencers ondervraagd in Noord Amerika, het Verenigd Koninkrijk, Australië en Nieuw Zeeland. Twee derde van de ondervraagde medewerkers was afkomstig van bedrijven met 1.000 - 10.000 werknemers, terwijl een derde werkzaam was bij bedrijven met meer dan 10.000 werknemers. Het complete onderzoeksrapport is te downloaden via http://www.mcafee.com/us/resources/reports/rp-six-trends-security.pdf.
Over McAfeeMcAfee, een dochteronderneming vanIntel Corporation, zorgt ervoor dat ondernemingen, de public sector en consumenten veilig de voordelen van internet kunnen benutten. Het bedrijf levert proactieve en bewezen beveiligingsoplossingen en -diensten voor systemen, netwerken en mobiele apparaten over de hele wereld. Met zijnSecurity Connected-strategie, innovatieve benadering van met hardware versterkte beveiliging en uniekeGlobal Threat Intelligence-netwerk, is McAfee volledig op gericht op de beveiliging van zijn klanten. Kijk voor meer informatie op www.mcafee.nl.
Contactpersonen voor de pers
MCS PR, McAfee Persdesk, e-mail mcafee@mcspr.nl, tel. 023 - 562 8208.
OPMERKING: McAfee en/of andere merken van McAfee in dit document zijn gedeponeerde handelsmerken van McAfee, Inc. en/of haar dochterondernemingen in de Verenigde Staten en/of andere landen. McAfee-rood in samenhang met beveiliging is een kenmerk van producten van het merk McAfee. Alle andere gedeponeerde en niet-gedeponeerde handelsmerken in dit document zijn het eigendom van hun respectieve eigenaren. © 2009 McAfee, Inc. Alle rechten voorbehouden.
