Shadow-IT – software, hardware en dataverbindingen die medewerkers gebruiken zonder toezicht of toestemming van de IT-afdeling – levert allerlei risico’s op. Ook in contactcenters is het beheersen van shadow-IT een uitdaging. Wat doe je als technologiegebruik onzichtbaar wordt?
In contactcenters is de IT-omgeving vaak extra goed dichtgetimmerd en gestandaardiseerd. Dat is nodig omdat er vaak veel personeelsverloop is én er intensief met klantgegevens wordt gewerkt. Wanneer medewerkers vanuit huis mogen werken, neemt de kans op het gebruik van shadow-IT toe. Hierbij gaat het niet alleen om gebruik van software waar de IT-afdeling geen zicht op heeft, maar ook om dataverbindingen (wifi, 4/5G en routers) en hardware zoals smartphones. Wat zijn de oorzaken van het gebruik van shadow-IT, wat zijn de risico’s voor contactcenters en wat kan je doen om die te beperken?
Wat zijn oorzaken van shadow-IT?
- De functionaliteit van de officiële software voldoet niet meer. De applicatie is bijvoorbeeld sterk verouderd, niet (meer) gebruiksvriendelijk (denk aan alt-tab of verschillende beeldschermen) of het ontwikkelen van nieuwe benodigde functionaliteit laat (te) lang op zich wachten.
- De software is niet goed geïmplementeerd (met voldoende aandacht voor software-adoptie). Het inloggen of het gebruik is bijvoorbeeld ingewikkeld of de software is niet geschikt om specifieke taken uit te voeren.
- Medewerkers hebben per direct bepaalde behoeften die ze snel en gemakkelijk kunnen vervullen met zelf-gevonden software; ze willen niet wachten op de IT-afdeling totdat die met toestemming of een even goed alternatief komt.
- Medewerkers hebben thuis beperkte toegang tot applicaties en/of data en gebruiken eigen work-arounds om toch volledige toegang te hebben. Thuiswerken is een belangrijke oorzaak van shadow-IT.
- Het opzetten van toegestane dataverbindingen is ingewikkeld, ze werken traag of hebben vaak last van storingen, waardoor IT-eindgebruikers hinder en/of vertraging ondervinden bij het doen van hun werk en liever andere connectiviteit gebruiken.
- Het gebruik van shadow-IT wordt actief aangemoedigd door collega’s of managers, om zo meer innovatieve of alternatieve oplossingen te gebruiken. Binnen de overheid is dit een tijd lang toegestaan. In het boek Nieuwe ideeën en praktische tips om te werken in overheid 2.0 wordt gesproken over “andere manieren van samenwerken en je een weg banen door een alsmaar groeiende berg aan informatie”.
- Het gebruik van bestaande applicaties verandert door nieuwe functionaliteit, die niet is toegestaan, maar die desondanks toch wordt gebruikt. Denk aan het delen van bestanden via WhatsApp, niet de primaire gebruiksfunctie van de app.
- Medewerkers gebruiken hun privé-hardware (denk aan een iPad of een MacBook) voor zakelijke doeleinden, omdat ze de zakelijke laptop niet aantrekkelijk of onhandig vinden.
- Interne procedures om software officieel aan te vragen duren te lang, zijn te ingewikkeld of worden actief ontmoedigd.
- Bij aanschaf van bepaalde apparatuur blijkt specifieke software nodig te zijn en om vertragingen bij de ingebruikname te voorkomen wordt IT omzeild.
- Er is geen IT-budget voor nieuwe software beschikbaar, maar alternatieve oplossingen kunnen wel via andere budgetten aangeschaft worden. Denk aan cloudcapaciteit van bijvoorbeeld AWS, die je online kunt aankopen met een creditcard.
Shadow-IT: Voorbeelden in klantcontact – Contactcenters die minder volwassen zijn in IT- en data-governance moeten er rekening mee houden dat medewerkers onderling individuele klantgegevens uitwisselen – bijvoorbeeld door een screenshot of letterlijk een foto van een scherm te nemen. Soms worden aparte apps gebruikt om te kunnen communiceren met collega’s buiten het zicht van de leiding om. Ook kan gebruik worden gemaakt van e-mail, app- of bestandsuitwisselingsprogramma’s om gegevens ook thuis beschikbaar te hebben. Shadow-IT kan ook een rol spelen bij hardware en dataverbindingen. Denk aan werken vanaf huis, vanaf een mobiele locatie of vanuit het buitenland waarbij openbare of open wifi-netwerken of hotspots van mobiele telefoons worden gebruikt.
Veel ‘praktische’ shadow-IT is online beschikbaar als SaaS-oplossing of is online verkrijgbaar als app voor een smartphone of tablet of als downloadbare applicatie. Zelfs wanneer de IT-afdeling het downloaden en installeren hiervan op de bedrijfs-hardware onmogelijk heeft gemaakt of heeft verboden, kunnen deze oplossingen nog wel op privé devices worden geplaatst en gebruikt worden voor het binnenhalen, bewerken, opslaan en uitwisselen van bedrijfsdata via andere programma’s.
Andere oplossingen die volop voor work-arounds worden ingezet, zijn conversieprogramma’s voor bijvoorbeeld het bewerken van pdf’s of transcriberen van audiobestanden; klembordtoepassingen en screenshot-toepassingen, low-code en no-code toepassingen en het zelfstandig inkopen van clouddiensten om te gebruiken bij data-analyses.
Het meest recente voorbeeld van risicovolle shadow-IT is het massale gebruik (veelal uitproberen) van ChatGPT en andere oplossingen van OpenAI. In veel gevallen is functionaliteit eenvoudigweg te vinden op een website: upload data en krijg ze in bewerkte vorm via een download terug. Het risico is dat er bedrijfsdata worden geüpload en in sets met trainingsdata belanden.
Risico’s van shadow-IT
Het gebruik van schaduw-IT brengt meerdere risico’s met zich mee.
Data en gegevensbestanden kunnen in verschillende formaten op devices van medewerkers worden opgeslagen en/of op verschillende plekken in de cloud belanden, met het risico van datadiefstal en datalekken.
Misschien wel het grootste gevaar voor organisaties komt van toepassingen met universele klemborden. In deze toepassingen kan iemand zijn zakelijke machine gebruiken om iets op een klembord te zetten om het van de ene toepassing naar de andere over te brengen voor een werkgerelateerde activiteit, maar die informatie kan ook thuis worden geraadpleegd wanneer hij op zijn persoonlijke machine dezelfde toepassing gebruikt. Informatie kan zo gaan zwerven.
Het belangrijkste risico is echter dat zowel omvang als intensiteit van het gebruik van shadow-IT niet bekend zijn. Daardoor is ook de omvang van het security-risico onduidelijk. Vast staat in ieder geval dat met het gebruik van shadow-IT de ‘aanvalsoppervlakte’ van hackers wordt vergroot: het maakt je organisatie kwetsbaarder. Ook de kwaliteit (betrouwbaarheid en stabiliteit) van shadow-IT is niet altijd bekend; niemand houdt toezicht op updates of upgrades.
Gebruik van zakelijke e-mailadressen
Voor sommige shadow-IT moeten gebruikers voorafgaand aan het gebruik zich registreren. Als hierbij zakelijke e-mailadressen en zakelijke creditcards worden gebruikt, kan dit problemen opleveren wanneer de aanbieder malafide is of de beveiliging rondom gebruikersgegevens niet goed op rode heeft.
Een ander probleem rond shadow-IT heeft te maken met kosten, beheer en onderhoud. Afgezien van het feit dat shadow-IT niet wordt beheerd en onderhouden, is ook niet duidelijk wat de netwerkbelasting ervan is. Bij software implementaties, cloudmigraties of transformaties kunnen onvoorziene obstakels naar boven komen, omdat essentiële stappen in alledaagse processen niet gedocumenteerd zijn.
Financiële tegenvallers bij outsourcing
Dit kan ook voor financiële verrassingen zorgen – betaalde oplossingen staan niet op het budget van IT; functionaliteit die wel nodig is voor bepaalde processen, wordt niet mee begroot in softwarevernieuwing of bij outsourcing, want de post is niet bekend bij IT.
Wanneer kosten op een andere kostenplaats dan IT worden geboekt, kunnen kosten doorlopen omdat gebruikers vergeten bepaalde functionaliteit ‘uit te zetten’ of op te zeggen en de IT-afdeling niet kan toezien op het lifecycle management van software. Dit komt met name veel voor bij de afname van cloudtoepassingen.
Tot slot zijn er juridische risico’s. Van organisaties wordt verwacht dat zij compliant zijn aan geldende wet- en regelgeving. Wanneer shadow-IT wordt gebruikt, is dit niet meer te garanderen. Organisaties die geen beleid op dit vlak hebben, lopen aansprakelijkheidsrisico’s.
Tips en suggesties voor het beheersen en/of monitoren van shadow-IT
Realisten in IT zeggen dat je shadow-IT niet kunt voorkomen. Zij pleiten liever voor vergroting van de bewustwording en training op verantwoord IT-gebruik, eenvoudigweg omdat in iedere grote organisatie vele honderden shadow-IT-oplossingen worden gebruikt. Andere maatregelen zijn:
1. Clean desk policy – Privacy en security zijn van groot belang in contactcenter. Wil je voorkomen dat agents gebruik maken van shadow-IT, dan moet je het softwaregebruik standaardiseren en actief zorgen voor naleving van een clean desk policy. Dat betekent: geen papier en schrijfmaterialen en geen andere elektronica op de werkplek dan beeldscherm, headset, toetsenbord en muis. Floorwalkers en teamleiders kunnen toezicht houden en je kunt medewerkers verplichten de mobiel tijdens het werk in een kluisje op te bergen. Wie desondanks bereikbaar moet zijn, kan het telefoonnummer van een supervisor doorgeven.
2. Volledige monitoring – Als je thuiswerken faciliteert, is het voorkomen van gebruik van shadow-IT een stuk lastiger. Er zijn contactcenters die volledige call/screen-recording aanhouden én de medewerker verplichten tijdens het werk een webcam te gebruiken die de werkplek registreert. Als je daarbij een bedrijfslaptop aan toevoegt waarmee geen screenshots kunnen worden gemaakt, kom je een heel eind. Daarnaast zijn er apps en monitoroplossingen waarmee shadow-IT kan worden opgespoord en de risico’s ervan kunnen worden geanalyseerd. Ook netwerk-activiteiten kunnen worden gemonitord. Daarnaast is de IT-helpdesk een belangrijke informatiebron, net als alle medewerkers zelf.
3. ‘Comply or explain’ – Wie een stap verder wil gaan, kan inzetten op ‘comply of explain’: maak medewerkers verantwoordelijk voor hun eigen keuzes wanneer ze buiten de IT-afdeling om zelf aan de slag gaan met software, devices of dataverbindingen. Idealiter combineer je dit met beleid op het vlak van shadow-IT: wie mag wat, hoe ga je er mee om, wat documenteer je wel en niet, wie zorgt voor beheer en betalingen, welke eisen stel je aan applicaties en devices en aan de leveranciers? Daarmee maak je shadow-IT tot gedoogbeleid – niet iedere CIO is daar even enthousiast over.
Luister naar je IT-eindgebruiker, ook in het contactcenter
Een van de betere tips is natuurlijk om te investeren in software die steeds optimaal aansluit op de eisen en behoeften van eindgebruikers en waarbij praten over het gebruik en vermijden van shadow-IT geen taboe is. Aangezien die eisen en behoeften van IT-eindgebruikers doorlopend veranderen, is investeren in nieuwe software of het verbeteren en uitbreiden van bestaande functionaliteit ook een doorlopend proces. (Ziptone)
Ook interessant
-
Alle inkopers van de overheid krijgen een set met eisen die ze kunnen stellen aan toegankelijkheid bij aanbestedingen.
-
Veel klanten – van elk type bedrijf, zowel B2B als B2C – hebben de ‘het draait allemaal om mij’-houding aangenomen.
-
"Wat doet het met je ademhaling als er veel emoties op je afkomen in een gesprek? Veel medewerkers zijn binnen…