Blog:

De geschiedenis van 30 jaar cybersecurity

Lees verder

Medewerkers in de zorg wisselen iedere dag belangrijke informatie uit met zorgaanbieders, zorgkantoren, verzekeraars, collega’s en vele andere partijen. Communicatie vindt vaak plaats via verschillende kanalen waaronder e-mail of soms via de cloud. Het komt nogal eens voor dat gebruikers of applicaties beperkingen bevatten of dat er tegen ingewikkelde zaken aangelopen wordt. In dergelijke gevallen wordt er weleens ongeautoriseerd gezocht naar alternatieven. Dit leidt tot ‘Shadow IT’. Applicaties, apparatuur en systemen welke niet bekend zijn en niet goedgekeurd zijn voor gebruik door de organisatie. Om te zorgen voor een juiste bescherming van een organisatie is het zeer belangrijk om grip te krijgen en houden op Shadow IT, om zo onnodige risico’s te voorkomen, persoonsgegevens te beschermen en privacy van zorggegevens te borgen.

Shadow IT: ‘IT-middelen welk zonder medeweten van de organisatie worden gebruikt.’

Wat is het probleem?

In eerste instantie denk je wellicht dat Shadow IT niet direct een probleem is, want medewerkers die op zoek gaan naar effectievere oplossingen, die zijn toch extra productief? Helaas is dat te simpel beredeneert. De aanschaf en het gebruik van allerlei applicaties en oplossingen leidt tot een ongeorganiseerd en chaotisch IT-landschap welke moeilijk te beheren valt. Daarnaast wordt het lastiger te achterhalen welke informatie nou waar opgeslagen is, iets dat cruciaal is ten tijde van een datalek of incident en ter bescherming van persoonsgegevens. Bovendien is het kostenefficienter om allemaal een en dezelfde oplossing te gebruiken in plaats van dat iedereen zijn of haar eigen oplossing aanschaft. Het bundelen, verzamelen en analyseren van gegevens wordt bovendien ingewikkelder als het verspreid staat over verschillende oplossingen. Bovendien wordt het onderhoud, patchen , relatieonderheid en beheer van oplossingen en leveranciers een gigantische klus.

Ongeorganiseerd & chaotisch

Verspreide data

Kosteninefficient

Analyse onmogelijk

Onderhoud en beheer

Leveranciersmanagement

Welke maatregelen kun je nemen?

Als organisatie is het belangrijk om keuzes te maken met betrekking tot Shadow IT en daarvoor procedures en protocollen opstelt, zodat het voor iedereen duidelijk is wat wel en niet toegestaan is. Procedures met betrekking tot het delen van informatie, hoe en in welke vorm, via welke applicaties en welke gegevens zijn cruciaal hierin.

Voor medewerkers moet het duidelijk zijn waarom bepaalde keuzes zijn gemaakt voor oplossingen en wat de risico’s en gevaren zijn als er gebruik wordt gemaakt van Shadow IT. Duidelijk moet zijn waarom bepaalde apparaten en applicaties gevaarlijk zijn en waarom ze niet gebruikt mogen worden.

Het is essentieel om toezicht te houden op internetverkeer en logging. Continue monitoring kan helpen in het signaleren en daarna voorkomen van het installeren en gebruik van onbekende, ongeautoriseerde applicaties of software.

Zorgen voor veilige alternatieven is cruciaal. Zorg voor een volledig en duidelijk IT-landschap waarin medewerkers ontzorgd worden en geschikte oplossingen ter beschikken hebben.

Wanneer medewerkers ontevreden zijn of tegen problemen aanlopen, is het belangrijk om te zorgen voor een open cultuur waarin medewerkers oplossingen kunnen aandragen. Zo blijven de medewerkers tevreden en zorg je dat jouw organisatie efficiënter gaat werken en productiever wordt. Hiervoor dien je wel een helder en duidelijk proces te hebben.

Samengevat kun je de volgende maatregelen nemen:

  • Zorg voor beleid en procedures met betrekking tot Shadow IT;
  • Creëer bewustzijn voor medewerkers over Shadow IT;
  • Controleer internetverkeer en logging om Shadow IT te voorkomen;
  • Zorg voor een compleet en veilig IT-landschap;
  • Geef ruimte voor nieuwe ideeën en een open cultuur.

Shadow IT is een kans om je organisatie te verbeteren

Tegenwoordig wordt het steeds lastiger om Shadow IT te voorkomen. Het is daarom erg belangrijk om vooraf na te denken over hoe het te beheersen en onnodige risico’s te voorkomen. Door de behoefte aan Shadow IT te achterhalen en te begrijpen wat de impact kan zijn op je organisatie, kun je uitdagingen oplossen en een cultuur creëren waarom medewerkers zichzelf en hun productie kunnen verbeteren. Hiervoor dien je op strategisch niveau om te gaan met de ontdekking van Shadow IT, het verbinden van alle teams en afdelingen en het creëren van openheid om technische innovatie teweeg te brengen. Uiteindelijk zullen, door op een positieve manier om te gaan met Shadow IT, medewerkers tevredener zijn met de te gebruiken IT-middelen wat zal zorgen voor een positief effect op producten, klanten en groei van je organisatie.

Welke stappen voor veilig thuiswerken en voorkomen Shadow IT?

veilig thuiswerken

Bijna heel Nederland is genoodzaakt thuis te werken door de nare omstandigheden die nu ons land beheersen. Thuiswerken vergt naast het vertrouwen van de werkgever ook discipline van de werknemer. Maar nog veel belangrijker is dat het op een veilige manier gebeurt en de werknemer zich bewust is van de gevaren die er zijn bij het gebruik van externe communicatiemiddelen. Communicatiemiddelen om elkaar te contacten of informatie te delen. Wat zijn nu de risico’s en hoe kun je je hiertegen wapenen?

Risico’s zowel op het gebied van privacy als informatiebeveiliging:
Een van de grootste risico’s die er ontstaat bij thuiswerken is Shadow-IT. Het gebruik maken van tools die niet door de IT-afdeling ondersteund worden zoals Whatsapp, Zoom, Wetransfer, Dropbox of Google Drive, maar ook USB-sticks of het gebruik van privé-laptops. Bij de inzet van deze communicatiemiddelen is er geen controle over de data die verstuurd wordt en inzicht in het veilig gebruik van deze middelen. De IT-afdeling heeft geen controle over de beveiliging hiervan en gebruikers weten vaak niet hoe ze deze veilig moeten gebruiken. Dit noemen we Shadow-IT.

Daarnaast zijn er ook cybercriminelen die misbruik maken van de situatie die ontstaan is en via phishing proberen computervirussen en ransomware te verspreiden of persoonlijke gegevens te achterhalen. Door de grote stroom aan nieuwsberichten over het coronavirus zijn gebruikers minder op hun hoede voor e-mails met ongebruikelijke verzoeken die vanwege het coronavirus nodig zouden zijn.

Welke maatregelen kun je als organisatie nemen?
Als organisatie is het van belang dat je keuzes maakt hoe veilig thuis te werken en daarvoor procedures en protocollen opstelt, zodat het voor iedereen duidelijk is wat wel en niet toegestaan is. Procedures met betrekking tot het delen van informatie hoe en in welke vorm en het gebruik van applicaties met betrekking tot videobellen.

Persoonsgegevens mogen vanwege de AVG alleen worden gedeeld als daar een juiste grondslag (reden) voor is. Het delen van een sheet met persoonsgegevens via Excel met een gehele afdeling kan ook een datalek zijn. Alléén de medewerkers voor wie het noodzakelijk is deze gegevens te ontvangen mogen toegang krijgen. Leg dit vast in een procedure en geef aan met welke communicatiemiddelen deze informatie gedeeld mag worden.

Basismaatregelen die de medewerkers zelf kunnen en moeten hanteren :
• Zorg voor een beveiligde WiFi thuis.
• Gebruik een gezonde vorm van wantrouwen bij het lezen van mail en openen van links.
• Zorg dat de werk PC alleen voor werk gebruikt wordt en niet voor privé-doeleinden.
• Gebruik de applicaties die het bedrijf voorstelt, overleg met IT-beheerders of je andere toepassingen mag gebruiken.
• Printen – indien toegestaan, vernietig de papieren.
• Let op dat er bij vertrouwelijke gesprekken (of eigenlijk altijd) geen Google Home, Alexa of andere apparaten aan staan.
• Tóch informatie delen via een ongebruikelijke weg? Niet alleen via een link of e-mail, maar verpak het bijvoorbeeld in een zip-bestand met een wachtwoord, stuur het wachtwoord via SMS of Whatsapp.

De volgende acties kun je als organisatie nemen:
• Informeer je medewerkers over de risico’s en de maatregelen die de organisatie genomen heeft met betrekking tot veilig thuiswerken, regels en protocollen.
• Systemen en remote gebruikers moeten voorzien zijn van de laatste updates.
• Geef aan dat er een meldplicht geldt voor incidenten zoals het lekken van data en op welke manier en bij wie dit gemeld moet worden.
• Informeer medewerkers dat het aantal phishingmails toeneemt door het coronavirus, zodat ze zich hier bewust van zijn en alert hierop zijn. Geef tevens aan dat er een meldplicht geldt zoals hierboven aangegeven.

Voor ondersteuning of meer informatie neemt u gerust contact met ons op via info@pinewood.nl of via tel.nr. 015-2513636. Wij helpen u graag verder.