Infoworld

Je hebt IT, en je hebt schaduw-IT.

Schaduw-IT is alle IT die nergens werd gepland of goedgekeurd, maar die volledig wordt uitgekozen, uitgerold en gebruikt door eindgebruikers. De een ziet het als spelen met coole technologie, de ander als spelen met het lot van het hele bedrijf. Als je bepaalde functionaliteit niet voor ze bouwt, dan halen ze het elders. En als je het wel bouwt en het blijkt niet goed genoeg, niet volledig, niet flexibel, of niet simpel te gebruiken, dan gaan ze alsnog ergens anders shoppen.

In de meeste bedrijven hebben de meeste gebruikers er geen enkel probleem mee een IT-systeem dat tegenvalt te negeren en zelf een alternatief te zoeken. Erger nog: ze kiezen daarvoor probleemloos extern gehoste oplossingen die ze als consument gebruiken, en passen dat dan toe in de bedrijfsomgeving. En alle beveiligsmaatregelen dan, die je met zorg hebt opgezet om het bedrijf te beschermen? Grote kans dat werknemers die beveiliging vooral als lastig ervaren, en dat ze juist op zoek gaan naar externe oplossingen omdat ze dan geen last hebben van de beveiliging.

Het is onvermijdelijk dat werknemers in een bedrijfsomgeving de toepassingen die ze krijgen voorgeschoteld gaan vergelijken met de spullen die ze thuis gebruiken. Vandaag de dag staat er voor elke door IT geleverde applicatie een dozijn leukere en gebruikersvriendelijkere varianten op het web die je ook nog eens kunt delen, uitbreiden en op maat snijden.

Een van de redenen voor de hype rond Enterprise Web 2.0 is dat de gemiddelde zakelijke applicatie er simpelweg geen partij voor is. Natuurlijk, de zakelijke versies zijn beter te beheren, te controleren, te beveiligen, en ze passen volledig in de backup, rapportage en workflow strategieën. Maar in de ogen van de werknemer zijn dat allemaal geen ‘functies’ – het zijn hindernissen. Hoe zorg je er als IT-manager voor dat de werknemers goedgekeurde applicaties gebruiken en niet buiten de deur gaan eten?

Simpelweg een afkeurende vinger tonen helpt niet. Een IT-manager kan regels en beleid instellen, of zelfs met controles en straf gaan werken. Maar dat zal werknemers niet weerhouden. Instant messaging was in veel bedrijven ook jarenlang verboden (best mogelijk dat dat hier en daar nog steeds zo is). Netwerkonderzoek toont bijna altijd aan dat er handenvol ‘illegale’ applicaties draaien op het netwerk. Als je te nadrukkelijk met de scepter door de afdeling zwaait, wordt het alleen maar lastiger de illegale applicaties te vinden (serieus – ze gaan desnoods versleuteld IM-en via HTTPS over wisselende TCP-poorten; ze verzinnen van alles!). Een regelrecht verbod zorgt er alleen maar voor dat de zakelijke IT langzaam verzandt; gezonde concurrentie voorkomt dat middelmatige toepassingen eeuwig blijven bestaan. Maar de deuren wagenwijd open zetten voor alternatieve applicaties is ook geen slim idee.

Een betere benadering is een gebalanceerd beveiligingsprogramma, dat de nadruk legt op zowel training en kennis als op controle en straf. Tenslotte zijn de werknemers niet bewust onveilig bezig. In veel van de gevallen zijn ze zich niet op de hoogte van de risico’s de van applicaties die in hun ogen nou juist zo fijn flexibel en ‘deelbaar’ zijn.

IT zou vaker bereid moeten zijn externe applicaties op zijn minst in onderzoek te nemen. Misschien is het best mogelijk zo’n toepassing veilig in de organisatie te integrereren. Als je werknemers toestaat exetren applicaties aan te dragen, en je ze voorzichtig eens naast je interne applicaties legt, creëer je meteen een kans op innovatie én veiligheid. Het alternatief is de struisvogelbenadering: eisen, verbieden, controleren, straffen en aan alle kanten gepasseerd worden door gebruikers die zakelijke IT en beveiliging beschouwen als archaïsche tradities die het succes van de business in de weg staan.