In de vele organisaties waar ik mee heb mogen werken, viel mij iets op. Iedere organisatie bestaat uit twee delen: “het bedrijf” en “het koffiezet apparaat”. Zaken die in “het bedrijf” niet even te regelen waren, worden wel snel bij het “koffiezet apparaat” geregeld. Dat heeft zijn voors en zijn tegens.
Het snel even iets aanpakken van een situatie is een voordeel, even snel een klant kunnen helpen of een collega. Het mogelijk iets oprekken van de regels vinden we dan niet erg. We worden in principe ook beloond in ons brein: dopemine. Dus we zullen het niet nalaten om dat nog een keer te gaan doen.
Nadeel is het gevaar dat er twee bedrijven ontstaan binnen één organisatie en het ontstaan van een soort bestuursvacuüm. Dat zien we ook in de IT. In de wandelgangen noemen we dat in mooi Nederlands “Shadow IT” .
De risico’s
Operationeel is dit wel een voordeel, zaken worden sneller opgepakt als dat ad-hoc nodig is. Maar met de focus op de IT zijn er wel een aantal aspecten waarom hier heel omzichtig toegestaan mag worden:
- Informatie beveiliging
Onderzoek wijst uit dat 33% leidt tot een situatie in de iT beveiliging. Dat lijdt dan bijvoorbeeld tot een inbraak zijn of een datalek. Het ondermijnen van de IT regels vertroebelt de gang van zaken, het overzicht ervan boet in. Er ontstaan gaten in de IT beveiliging waarvan niet bekend is dat ze er zijn en komen als een boemerang terug. Medewerkers delen informatie met derden (intern, extern of met remote werkers) en met IT oplossingen vanuit waar de organisatie geen grip of zicht heeft. De kans is aanwezig dat de data dan (vaak onbedoeld) ook in te zien is door personen die dat helemaal niet mogen zien. Of als medewerkers het verwerken van informatie niet fijn vinden in de IT omgeving van het bedrijf. Zij gebruiken dat een IT oplossing die zij kennen vanuit de privé sfeer of van vorige werk situaties. Ook het gebruik van privé apparatuur brengt een groot risico met zich mee als dat niet beheert wordt. - Naleving (Compliance)
IT is belangrijk voor de operatie van ieder bedrijf. Maar IT lijkt ook wel het zorgenkindje. Zo makkelijk als “het water uit de kraan” is het niet meer en eigenlijk ook nooit geweest. Als er iets in de IT fout gaat, beïnvloed dat alle processen. En omdat IT grote aandacht krijgt vanuit de digitale onderwereld, is de beveiliging ervan zeer belangrijk. Daarom zijn er bepaalde richtlijnen waaraan een onderneming en haar medewerkers zich (zouden) moeten committeren. Sommige zijn vanuit de wet geregeld en hebben een regulerende insteek bij schendingen. Denk aan AVG, datalekken en de boetes die dan volgen. Maar intern zijn er ook processen (nodig) die richting geven aan de medewerkers wat wel en niet mag. En wat niet mag in “het bedrijf” mag dan ook niet in “het koffiezet apparaat” anders ontstaat er een onveilige “Shadow IT” omgeving. - Kosten beheersing
Een belangrijk item voor alle bedrijven op ieder vlak, dus ook op IT. Dat wat nodig is accepteren we als kosten. Dus waarom accepteren we schaduw uitgaven op het gebied van IT? Denk aan medewerkers die proef abonnementen nemen op software maar dat niet opruimen en opzeggen. Of niet (meer) gebruikte licenties van medewerker-A maar wel een nieuwe licentie aanschaffen voor medewerker-B. Goed inzicht in het gebruik van software is onontbeerlijk voor kosten beheersing en om “Shadow IT” te detecteren.
Ontrafelen van “Shadow IT”
Bovenstaande betekent niet dat medewerkers een bepaalde flexibiliteit moeten opgeven. Die flexibiliteit leidt namelijk soms tot een efficiëntie verbetering of zelfs verbetering van de bestaande processen. Maar wildgroei en volledige vrije hand is absoluut een nadeel op vele vlakken. Als ondernemer is een bepaald niveau van over- en toezicht nodig om “Shadow IT” zoveel mogelijk te beperken. Ondersteuning van het “Koffiezet apparaat” met processen die vanuit de onderneming bepaald zijn, geven voordelen mits ook gedocumenteerd (in ieder geval achteraf). Maar op het gebruik van gereedschappen die (nog) niet door de onderneming ondersteund worden, is accurate sturing nodig om dat te verbannen.
Daarvoor zijn twee wegen die parallel lopen:
- Toezicht en processen
Door te weten wat er in de IT omgeving gebeurd, is overzicht nodig welke applicaties medewerkers gebruiken, door wie en op welke computer(-s). Met dat inzicht kan er gestuurd worden op ondersteuning tot mogelijk zelfs een verbod om iets te gebruiken.
Door dit te managen met een process, is innovatie nog steeds mogelijk binnen de mogelijkheden die IT security kan toelaten. - Bewustzijn
Medewerkers creëren een “Shadow IT” omgeving meestal onbedoeld. Zij willen graag iets snel geregeld hebben en krijgen een dopemine shot als dat ook lukt. En als het de eerste keer, tweede en zelfs derde keer lukt zonder terug gevloten te worden, transformeert dit naar “het is gewoon, het is ok”. Dat geldt voor alle werkzaamheden en gedrag in de “work-around “sfeer. Medewerkers met regelmaat trainen om inzicht te geven is de beste manier om dit in goede banen te leiden waar ruimte is voor proces verbetering maar binnen te grenzen van veiligheid en continuïteit.
Mocht u hierover met ons in gesprek willen komen kunt u voor een kennismaking direct een 15 minuten afspraak plannen in mijn agenda. Of u belt 085041099.
