Wat niet weet, wat niet deert ? Bij ‘shadow it’ ligt het net iets moeilijker. Toepassingen die bewust onder de radar van de ict-afdeling vliegen, houden wel degelijk risico in. Drie Engelse trefwoorden spreken boekdelen : privacy, security, compliance. En wie is straks – volgens de nieuwe Europese regelgeving – verantwoordelijk wanneer er iets fout loopt met de data ? Juist, het bedrijf dat zich al die tijd van geen kwaad bewust was.

De gebruikte termen laat een zweem van mysterie vermoeden : shadow it, of zo mogelijk met nog meer zin voor intrige : stealth it. In de praktijk gaat het er doorgaans iets prozaïscher aan toe. Het gebruik van ict is in zo’n grote mate verweven met alles wat een onderneming doet, dat het almaar vaker gebeurt dat afdelingen van die onderneming – zoals marketing, finance of human resources – op eigen initiatief ict-toepassingen aankopen of ontwikkelen. Voorstanders zien vooral de nieuwe mogelijkheden die zich zo aandienen. Shadow it zou leiden tot meer en snellere innovatie. Tegenstanders – niet zelden de gepasseerde ict-afdeling – zien vooral risico’s op het vlak van kosten, controle, documentatie, veiligheid en compliance.

In samenwerking met BT en Cisco Systems organiseerde Data News een enquête over shadow it. Er werkten bijna 1.250 respondenten aan mee, afkomstig uit zowel kleine, middelgrote als grote ondernemingen, actief in diverse sectoren. De antwoorden kwamen niet alleen van medewerkers van de ict-afdeling, maar ook – niet onbelangrijk gezien het thema – van medewerkers uit alle afdelingen van de ondernemingen. Om de bevindingen uit het onderzoek aan de praktijk te toetsen, legden we de resultaten voor aan een panel Belgische cio’s.

WIJDVERSPREID

Volgens de enquête gelooft veertig procent van de respondenten dat er in het eigen bedrijf shadow it aanwezig is. Al moeten we daar meteen een kanttekening bij plaatsen. Niet iedereen hanteert dezelfde definitie. “We werken in een Citrix-omgeving”, zegt Jean-Pierre Bernaerts, cio bij Indaver. “Dat houdt in dat je niet zomaar een nieuwe applicatie in gebruik kunt nemen. Maar even goed weten we dat de cloud vandaag een realiteit is. We gaan er dus van uit dat er ook bij ons shadow it in gebruik is.” Het gaat dan om een toepassing als Dropbox, bijvoorbeeld. Die blijkt bij zowat alle bedrijven wijdverspreid. Analyse van het netwerkverkeer volstaat om dat na te gaan. “Ook bij ons is er wellicht sprake van shadow it”, zegt Peter Vermeylen, Europees ict-directeur bij Graphic Packaging International. “De voorbije jaren vond er in de printindustrie een diepgaande digitalisering plaats. Medewerkers gaan daarbij zelf op zoek naar oplossingen wanneer de eigen ict-afdeling die niet meteen kan aanreiken.” In dat geval komen we weer bij onder meer bij Dropbox uit, omdat die toepassing toelaat om op een eenvoudige manier grote grafische bestanden uit te wisselen.

GEWENST OF ONGEWENST

“We werken ook met Citrix”, zegt Johan Guelluy, cio bij Generali. Dat maakt het onmogelijk om onder de radar met nieuwe toepassingen op het bedrijfsnetwerk te komen. “Ik situeer de uitdaging rond shadow it op een ander vlak. We zien steeds vaker dat leveranciers van ict-toepassingen niet langer de ict-afdeling aanspreken om hun oplossingen voor te stellen, maar rechtstreeks contact leggen met de business.” Dat verhoogt de druk op de ict-afdeling om met de business duidelijke afspraken te maken over wie het gebruik van toepassingen initieert, wie initiatief neemt, wie beslist, enzovoort. “Ik denk dat we het onderscheid moeten maken tussen gewenste en ongewenste shadow it”, zegt Filip Michiels, cio voor België, Nederland en Frankrijk bij TUI. “Soms moet een afdeling in staat zijn haar eigen beslissingen te nemen en zich uit de slag te trekken. In dat geval gaat het om gewenste shadow it. De toepassingen die daaruit ontstaan – en de jobs van bepaalde functies efficiënter maken – zijn zeker welkom en ondersteunen we daarna ook vanuit de ict-afdeling.”

De uitdaging ligt veeleer bij ongewenste shadow it. “De vraag is inderdaad hoe je daar op reageert”, vervolgt Michiels. “Repressie heeft doorgaans geen zin. Die maakt de schaduw alleen maar donkerder.” In een strikt gereguleerde industrie als de farmaceutische sector, is er weinig ruimte voor shadow it. En toch. “Ik lees dat er bij grote bedrijven gemiddeld zeshonderd cloudapplicaties in omloop zijn”, zegt Herman De Prins, cio bij UCB. “Wellicht is dat bij ons ook het geval.” De Prins ziet echter meer gevaar in leveranciers die technologie en service als één oplossing verkopen aan de business. “Daar moeten we beter op leren anticiperen. Scherp gesteld moeten we shadow it eigenlijk als yesterday’s problem beschouwen. We moeten meer vooruit kijken.”

INZICHT VERWERVEN

Volgens de enquête zijn op het vlak van shadow it inderdaad vooral de cloudtoepassingen heel populair : applicaties voor filesharing, opslag en archivering, zoals Google Drive, Microsoft OneDrive en Dropbox, naast collaboration tools als Yammer, Facebook Messenger en Whats-App, of productiviteitstoepassingen, zoals Evernote. “Persoonlijk beschouw ik dat niet echt als shadow it”, zegt Filip Michiels. “We moedigen het gebruik van sommige toepassingen zelfs aan.”

WhatsApp kan bijzonder geschikt zijn voor crisiscommunicatie, zo blijkt, omdat de toepassing beschikbaar blijft wanneer het bedrijfsnetwerk uitvalt. Net zo goed maken bedrijven corporate oplossingen aan bij Dropbox of WeTransfer. “Dat is de kern van het vraagstuk”, stelt Thierry Boonen, cloud account manager bij Cisco Systems. “Het gaat erom inzicht en controle te verwerven over de gebruikte toepassingen. Zo vallen ze op slag niet meer onder shadow it.”

Kan de ict-afdeling optreden tegen shadow it ? Is dat überhaupt mogelijk en – vooral – is het wenselijk ? Nee, nee en nog eens nee, horen we. “Je kan het beter omarmen dan je ertegen te verzetten”, vindt Jean-Pierre Bernaerts. “We stellen ons open op, onder meer via werkgroepen waarin business en ict elkaar ontmoeten.” Betrokkenheid blijkt essentieel, bij voorkeur vanaf het prille begin van een project. De ict-afdeling staat niet graag voor een voldongen feit, waarbij ze een bepaalde applicatie – vaak tegen beter weten in – met de rest van de omgeving moet integreren. Jean-Pierre Bernaerts : “Ik vind het beter om duidelijk te maken aan de business dat we in hun wensen willen meegaan, maar dat het belangrijk is om alles van bij het begin samen te bespreken.” Repressief optreden heeft geen zin, klinkt het ook bij de vereniging van ict-managers Beltug. “Maar er moet natuurlijk wel een werkbare oplossing komen”, stelt general manager Danielle Jacobs, “want veel via die shadow it grijpt in op andere toepassingen.”

GROTE BEZORGDHEID

De vraag blijft dan wie de ict-afdeling op de hoogte brengt. Het primaire kenmerk van shadow it is net dat ze onder de radar van de ict-afdeling blijft. Rapportering op basis van budget is dan een mogelijke piste, blijkt uit de praktijk van UCB. “Misschien schuilt daar wel een oplossing in”, zegt Annick Vanmeulder, business development manager bij BT Global Services. “Wanneer bijvoorbeeld de afdeling human resources een aankoop van een stuk technologie uitvoert, zou er via rapportering daarover aan ict een stuk controle kunnen ontstaan.” In de praktijk bevinden de kosten van kleine tools – online aangekocht voor kleine bedragen – zich ergens op een onkostennota, waardoor ze alsnog niet op de radar zouden verschijnen. “De grootste uitdaging is niet zozeer het gebruik van die apps”, zegt Jean-Pierre Bernaerts, “maar wel wat er gebeurt met de data. In het kader van de komende Europese regelgeving rond het beheer en de beveiliging van data, is dat aanleiding voor grote bezorgdheid.”

Data in de cloud, daar gaat het over. Voor de meeste bedrijven schuilt daar het grootste risico van shadow it. Volgens de enquête van Data News heeft twintig procent van de bedrijven er intussen een formele policy voor, die de medewerkers naar eigen zeggen niet kunnen omzeilen. Het blijkt vooral om grote bedrijven te gaan. Nog eens dertig procent van de respondenten bevestigt het bestaan van een beleid, maar voegt daar aan toe dat de richtlijnen in de praktijk wel te omzeilen zijn. Iedereen weet dat een policy maar zin heeft wanneer die in de realiteit afdwingbaar is. Daarnaast bestaat er ook zoiets als risk appetite : de afweging tussen het risico en de mogelijke consequenties. “Vanuit ict-standpunt bekeken, kun je er inderdaad soms voor kiezen een bepaald risico te nemen, op voorwaarde dat je goed weet welke mogelijke kosten er aan verbonden zijn”, stelt Filip Michiels. “Maar dat is een beslissing die de ict-afdeling beter zelf neemt, terwijl shadow it die afweging buiten de ict-afdeling neerlegt.”

De risico’s houden onder meer verband met data en cyberbedreigingen. Het is de job van de ict-afdeling om ervoor te zorgen dat het beheer van de bedrijfsdata correct gebeurt. Daar gaat iedere cio mee akkoord, alleen maakt de cloud het bijzonder moeilijk om de controle over de data te behouden. “Volgens de nieuwe regelgeving ligt de eindverantwoordelijkheid bij het bedrijf”, zegt Danielle Jacobs. “Het is belangrijk dat de medewerkers zich daar bewust van zijn.” De meeste bedrijven beginnen zich voor te bereiden. “We hebben in dat verband intussen een data security officer in dienst”, zegt Johan Guelluy. “Hij rapporteert rechtstreeks aan de ceo.”

MARGE VOOR WENDBAARHEID

Hoeveel geeft een bedrijf uit aan shadow it ? Volgens de respondenten van de enquête gaat het doorgaans over een ‘zeer gelimiteerd budget’. “Wat er met shadow it gebeurt en welke bestedingen daarbij gebeuren, hangt af van de business”, zegt Peter Vermeylen. “Een designafdeling die onder de verantwoordelijkheid van operations valt, bijvoorbeeld, zal mogelijk zelf op zoek gaan naar een oplossing.” Soms zijn de behoeften heel praktisch van aard. “We werken voorlopig zonder Europese hr-afdeling”, vervolgt Vermeylen. “Vanuit die business gaan medewerkers automatisch eigen oplossingen opsporen, waar je dan als ict-afdeling minder snel van op de hoogte bent.” “Zo evident vind ik dat niet”, stelt Herman De Prins. “Op het vlak van onder meer kwaliteit en veiligheid doen we absoluut geen toegevingen.” Eén van de risico’s die met shadow it verband houdt, is dat er doorheen het bedrijf – verspreid over verschillende afdelingen – nieuwe datasilo’s ontstaan. “We baseren onze rapportering op een centraal beheerd datawarehouse”, zegt Johan Guelluy. “Maar zelfs dan heb je nooit echt honderd procent controle. Er blijft altijd wat marge. Dat is ook nodig, om wendbaar te blijven.”

Trouwens, een strikt rigide opstelling slaagt er toch niet in een rem te zetten op shadow it. Medewerkers laten zich vandaag niet snel afschrikken. De respondenten van de enquête vermelden security, privacy en dataverlies als belangrijkste risico’s van shadow it. Tegelijk gaan ze in grote mate akkoord met de stelling dat ze ‘soms de securitymaatregelen moeten omzeilen om goed werk te kunnen leveren’. Ze sussen daarbij het eigen geweten door op te werpen dat ze daardoor beter kunnen werken en dat ze ervan uitgaan dat er eigenlijk geen veiligheidsrisico’s aan verbonden zijn. “Met die stellingen kan ik helemaal niet akkoord gaan”, zegt Herman De Prins. “Wanneer een medewerker beweert dat hij shadow it nodig heeft, omdat hij anders zijn werk niet naar behoren kan doen, dan zit er bij dat bedrijf iets grondig fout.” Misschien grijpt een medewerker naar shadow it, omdat de formele manier van werken te complex is ? “Die redenering is naast de kwestie”, vervolgt De Prins. “Je kunt een inbreuk niet zomaar rechtvaardigen. Het is alsof je de parkeerplaats voor een persoon met een beperking inneemt, omdat het de enige vrije plaats was en je anders te laat zou zijn voor een vergadering.” Snijdt geen hout, dus.

ADVIES

Iedereen is het er intussen over eens dat shadow it tot de realiteit van alledag behoort. Repressief optreden heeft geen zin, zo weten we ook. Of een bedrijf er dan maar blij mee moet zijn, dat is nog iets anders. “Vaak bestaat het idee dat shadow it snelle innovatie mogelijk maakt”, zegt Danielle Jacobs. “Later in de cyclus zien we echter doorgaans dat ict moet ingrijpen om brandjes te blussen en dat het gebruik van shadow it net vertragend werkt.” Ontdekt de ict-afdeling dat er shadow it in gebruik is, dan blijkt het in de praktijk alvast heel moeilijk om die oplossing opnieuw buiten te gooien. En zoals gezegd, de leveranciers gaan daar niet vrijuit, omdat zij er steeds vaker voor kiezen om een bedrijf te benaderen via de business, en niet via de ict-afdeling. “Op dat vlak zie ik inderdaad een belangrijke rol voor de ict-afdeling”, zegt Herman De Prins. “Het is onze taak om te adviseren en de beslissing over de aanschaf van technologie mee te sturen.” Doet de ict-afdeling dat niet, dan bestaat het risico dat de business haar eigen voorkeuren volgt, waardoor ze inderdaad snel naar shadow it kan verglijden. Wellicht is dat nog de grootste uitdaging in het kader van shadow it, dat business en ict meer in dialoog moeten treden. “Helemaal akkoord”, besluit Peter Vermeylen. “De oplossing van het vraagstuk schuilt in de alignering van business en ict.”

Dries Van Damme

“Wanneer de afdeling human resources een aankoop van een stuk technologie uitvoert, zou er via rapportering daarover aan ict een stuk controle kunnen ontstaan”, weet Annick Vanmeulder bij BT Global Services.