Steeds meer chief information officers (CIO’s) hebben grote moeite om beveiligingsincidenten en datalekken op te lossen, omdat ze zijn niet meer bekend met alle ICT-toepassingen binnen een organisatie. Business units krijgen steeds vaker hun eigen ICT-budget en halen hun ICT-toepassing buiten de eigen IT-afdeling om. Dit zorgt ervoor dat bedrijven in toenemende mate kwetsbaar zijn voor cyberaanvallen, wat tot grote datalekken, forse boetes en reputatieschade kan leiden.

“Tien jaar geleden bestond de digitale omgeving van een organisatie vooral uit interne ICT-systemen. De IT-afdeling had alles strak in de hand: alle door medewerkers gebruikte apparaten en de aanschaf van nieuwe software viel onder haar verantwoordelijkheid. Tegenwoordig gaat het er echter heel anders aan toe”, zegt Pascal Huijbers Pascal Huijbers, CTO Benelux & Large Accounts EMEIA bij Fujitsu. “Digitale vernieuwingen volgen elkaar steeds sneller op en digitale oplossingen worden als Software as a Service (SaaS)-dienst ontwikkeld. Denk hierbij aan het personaliseren van websites of het vastleggen van klantdata. Business units gaan hierdoor steeds vaker zelf contracten aan met softwareleveranciers zonder dat de IT-afdeling hiervan op de hoogte is.”

Digitale innovatie versus privacy en security
Bedrijven hebben innovatie en digitale vernieuwing tegenwoordig hoog in het vaandel staan. Toch moet de cybersecurity en privacy op peil zijn, waardoor de IT-afdeling alle externe samenwerkingen moet controleren. Bedrijven gebruiken massaal SaaS en andere – al dan niet publieke – clouddiensten en laten de individuele business units zelf afsluiten. Veel nieuwe digitale oplossingen staan daardoor extern opgeslagen zonder verdere betrokkenheid of controle van de IT-afdeling. Dit zorgt ervoor dat veel CIO’s het overzicht kwijtraken wanneer het gaat over privacygevoelige data. Wat met de steeds strengere wetten voor het werken met privacygevoelige informatie een groot probleem is voor organisaties. Andere bedreigingen zijn hoge boetes bij overtredingen, internationale afspraken rondom data-uitwisseling met Amerikaanse partijen en maatregelen voor het niet op orde hebben van de beveiliging.

De verantwoordelijke en de oplossing
Wanneer de organisatie te maken krijgt met bijvoorbeeld beveiligingsincidenten en datalekken, wordt er direct gekeken naar de CIO als verantwoordelijke. “Met het groeiende aandeel van shadow IT is dit echter niet altijd even fair”, aldus Huijbers. De CIO heeft geen overzicht meer van de mogelijke gevaren omdat het inzicht in alle leveranciers en gebruikte toepassingen binnen de organisatie ontbreekt.” CIO’s moeten de omvang van shadow IT inzichtelijk zien te maken (symptoombestrijding) zodat ze weten hoe actueel de gevaren zijn. Verschillende partijen bieden hier diensten voor aan. De oplossing tegen de ongewenste wildgroei wordt geboden met behulp van Hybrid IT, waarin een balans wordt gevonden tussen de traditionele IT-systemen en nieuwe innovatieve omgevingen. Deze zijn vaak een combinatie van externe (cloud-) en interne IT. Hybrid IT biedt een combinatie van deze omgevingen en maakt gebruik van moderne applicaties en microservices. Hierdoor is het gemakkelijk op te schalen, makkelijker en sneller te ontwikkelen.