Na Shadow-IT komt Shadow-AI – wat zijn de gevaren?

Shadow-IT is het gebruik van IT-systemen en -services zonder de expliciete goedkeuring van de IT-afdeling van een organisatie. Het is uiteraard geen nieuw fenomeen. De omvang en de implicaties ervan zijn echter aanzienlijk toegenomen en worden complexer met de komst van Shadow-AI. Dat maakt het de hoogste tijd om stil te staan bij het concept van Shadow-IT, de oorzaken ervan en de uitdagingen waar we voor staan nu we Shadow-AI zien opkomen. Welke strategische stappen kunnen organisaties nemen om de risico’s van beide fenomenen te beperken?

De sterke groei van cloud services, de verschuiving naar werken op afstand als gevolg van de pandemie en de AI-revolutie hebben de groei van Shadow-IT versneld. Werknemers zijn altijd op zoek naar efficiëntie en gemak. Daarom omzeilen zij vaak de officiële kanalen om informatietechnologie te gebruiken. Dat leidt tot een stortvloed aan ongeautoriseerde apparaten, software en diensten binnen een organisatie. Soms start het heel onschuldig, met een werknemer die een gratis proefabonnement neemt op een nieuwe tool. Of een nieuwe werknemer die thuis op een eigen PC werkt en USB-sticks gebruikt om documenten over te zetten naar de werk-PC.

Deze trend bemoeilijkt niet alleen de IT-governance, maar vergroot ook de risico’s op het gebied van beveiliging, compliance en gegevensbescherming.

Gartner voorspelt dat 75% van de werknemers binnen de komende drie jaar technologie zal hebben aangeschaft, gewijzigd of gecreëerd buiten hun IT-afdeling om. Dat is een aanzienlijke stijging ten opzichte van de 41% die Gartner in 2023 noteerde. De overgang naar werken op afstand heeft de situatie verergerd, waardoor Shadow-IT een integraal, zij het riskant, onderdeel van de bedrijfsvoering is geworden.

Shadow-IT overschrijdt een nieuwe grens

De opkomst van Shadow-AI vormt een nieuwe grens in deze voortdurende kwestie. Shadow-AI omvat het ongesanctioneerde gebruik van generatieve AI-technologieën voor het maken van documenten, code, afbeeldingen en audio. Dit leidt tot zorgen over de integriteit, privacy en beveiliging van gegevens, omdat deze AI-tools toegang kunnen krijgen tot gevoelige informatie en deze kunnen verwerken zonder goed toezicht of naleving van de wettelijke normen.

Veel organisaties waren totaal niet voorbereid op de doorbraak van ChatGPT anderhalf jaar geleden. Ze hadden daardoor geen tijd om richtlijnen te ontwikkelen. Werknemers kunnen makkelijk informatie laten ontwikkelen met generatieve AI, die niet per se accuraat is, maar toch gebruikt wordt voor bedrijfsdoeleinden. Ontwikkelaars laten AI stukjes code ontwikkelen die zijn weg vindt naar productiesystemen. In de omgekeerde richting laten werknemers misschien bedrijfseigen informatie door publieke AI verwerken – informatie die vervolgens door datzelfde AI-systeem herkauwd wordt in vragen die een medewerker van een concurrerend bedrijf aan een tool als ChatGPT stelt. Een ander gevaar vormt het door AI verwerken van klantengegevens, wat een inbreuk op GDPR of andere regelgevingen kan opleveren.

Hou Shadow-IT onder controle

Is de situatie hopeloos? Nee, maar wel zorgwekkend. Bedrijven kunnen het gebruik van Shadow-IT en Shadow-AI wel degelijk beperken. Om deze uitdagingen aan te gaan, moeten organisaties een veelzijdige aanpak hanteren:

Investeer in technologieën voor asset management en detectie. Tools die ongeautoriseerde apparaten, software en services kunnen scannen en identificeren zijn essentieel voor het verkrijgen van inzicht in de omvang van Shadow-IT. Een bedrijf ontdekte onlangs bijvoorbeeld 148 applicaties die onder de radar werkten. Zo is de investering in tools snel terugverdiend.
Ontwikkel een overzicht. Na het identificeren van de reikwijdte van Shadow-IT, helpt het maken van een inventarisatie organisaties te begrijpen welke technologieën in gebruik zijn en te evalueren hoe nodig ze al of niet zijn. Bovendien kun je dan inschatten welk veiligheidsrisico ze vormen. Deze inventarisatie dient als basis voor het rationaliseren van IT-middelen en het verbeteren van beveiligingsmaatregelen.
Betrek de gebruikers. Aangezien werknemers vaak hun toevlucht nemen tot Shadow-IT om onvervulde behoeften te vervullen of de efficiëntie te verbeteren, is het cruciaal om hen te betrekken bij discussies over hun technologiekeuzes. Begrijpen waarom bepaalde tools de voorkeur krijgen, kan leiden tot de officiële invoering van geschikte(re), goedgekeurde alternatieven. Dat bevordert een cultuur van samenwerking en naleving.
Geef prioriteit aan opleiding en training. Bewustwording en begrip van de juiste procedures voor het invoeren van nieuwe technologieën zijn van vitaal belang. Organisaties moeten werknemers voorlichten over de risico’s van Shadow-IT en Shadow-AI en het belang benadrukken van het naleven van richtlijnen. Het creëren van een omgeving waarin veilige praktijken de gemakkelijkste en meest aangemoedigde optie zijn, kan de neiging om ongeautoriseerde IT-oplossingen toe te passen aanzienlijk verminderen.

Bovendien kan het implementeren van duidelijke beleidsregels en processen voor het evalueren en goedkeuren van nieuwe technologieën de integratie van nuttige tools stroomlijnen, terwijl de beveiliging en compliance gewaarborgd blijven. Het aanmoedigen van een transparante, gezamenlijke aanpak voor het invoeren van technologie zorgt ervoor dat aan de behoeften van de organisatie wordt voldaan zonder de governance in gevaar te brengen of de organisatie bloot te stellen aan onnodige risico’s.

Het beheren van Shadow-IT en Shadow-AI vormt een voortdurende uitdaging die een proactieve, inclusieve en strategische aanpak vereist. Door gebruik te maken van technologie om zichtbaarheid te verkrijgen, gebruikers te betrekken bij het besluitvormingsproces, prioriteit te geven aan educatie en duidelijke governancepraktijken op te stellen, kunnen organisaties de risico’s beperken die gepaard gaan met ongeautoriseerd IT-gebruik. Dit verbetert niet alleen de beveiliging en compliance, maar ondersteunt ook een cultuur van innovatie en snel reageren op kansen en trends. Een betere controle hoeft wendbaarheid en gebruikerservaring namelijk helemaal niet in de weg te staan.

Dit is een ingezonden bijdrage van Wytze Rijkmans, Regional Vice President van Tanium. Voor meer informatie over hun diensten kan je hier terecht.

Cookie	Duration	Description
__gads	1 year 24 days	De __gads-cookie, ingesteld door Google, wordt opgeslagen onder het DoubleClick-domein en houdt bij hoe vaak gebruikers een advertentie zien, meet het succes van de campagne en berekent de inkomsten. Deze cookie kan alleen worden gelezen vanaf het domein waarop hij is ingesteld en zal geen gegevens traceren tijdens het surfen op andere sites.
_ga	2 years	Dit is een basis cookie van Google Analytics, om gebruikers te identificeren op onze website. We gebruiken standaard een gelimiteerde versie van Google Analytics voordat cookies zijn geaccepteerd. Hierbij is data geanonimiseerd en marketingfuncties uitgeschakeld.
_gid	1 day	Dit is een basis cookie van Google Analytics, om gebruikers te identificeren op onze website. We gebruiken standaard een gelimiteerde versie van Google Analytics voordat cookies zijn geaccepteerd. Hierbij is data geanonimiseerd en marketingfuncties uitgeschakeld.
cli_user_preference	1 year	Deze cookie zorgt ervoor dat onze cookiemelding goed functioneert. Je voorkeuren worden opgeslagen in een cookie, zodat we dat ook weten bij je volgende bezoek.
CONSENT	2 years	YouTube plaatst deze cookie via ingesloten YouTube-video's en registreert anonieme statistische gegevens.
cookielawinfo*	1 year	Deze cookie zorgt ervoor dat onze cookiemelding goed functioneert. Je voorkeuren worden opgeslagen in een cookie, zodat we dat ook weten bij je volgende bezoek.
IDE	1 year 24 days	Google DoubleClick IDE-cookies worden gebruikt om informatie op te slaan over de manier waarop de gebruiker de website gebruikt om hem relevante advertenties te presenteren en volgens het gebruikersprofiel.
itdaily_lang	1 year	Deze cookie is nodig om de landnotificatie te verbergen. De landnotificatie wordt getoond als je vanuit een land de website bezoekt, waardoor we ook een specifieke Techzine-editie aanbieden. Die melding kan je verbergen middels deze cookie.
itdaily_theme	1 year	Deze cookie slaat op of je de darkmode of de normale versie wilt inschakelen.
PHPSESSID	1 day	Deze cookie komt vooruit uit standaard PHP-applicaties. De cookie wordt gebruikt om een gebruikerssessie op te slaan en te identiiceren. Het is een sessiecookie die direct wordt gewist bij het sluiten van de browser.
test_cookie	15 minutes	De test_cookie wordt ingesteld door doubleclick.net en wordt gebruikt om te bepalen of de browser van de gebruiker cookies ondersteunt.
viewed_cookie_policy	1 year	Deze cookie zorgt ervoor dat onze cookiemelding goed functioneert. Je voorkeuren worden opgeslagen in een cookie, zodat we dat ook weten bij je volgende bezoek.
wordpress_*	30 days	Wordpress gebruikt meerdere cookies om de website goed te laten functioneren, bijvoorbeeld om het redactioneel team te laten inloggen.
wp-*	1 day	Wordpress gebruikt meerdere cookies om de website goed te laten functioneren, bijvoorbeeld om het redactioneel team te laten inloggen.

Cookie	Duration	Description
_li_id.*	2 years	Deze cookie wordt gebruikt door het Leadinfo platform, dit wordt gebruikt door ITdaily voor het versturen en opbouwen van de nieuwsbrief en personalisatie diensten.
_li_ses.*	30 minutes	Deze cookie wordt gebruikt door het Leadinfo platform, dit wordt gebruikt door ITdaily voor het versturen en opbouwen van de nieuwsbrief en personalisatie diensten.
itdaily_views	1 hour	Dit is een basis cookie om bezoekersaantallen per artikel te berekenen.

Cookie	Duration	Description
__gads	1 year 24 days	De __gads-cookie, ingesteld door Google, wordt opgeslagen onder het DoubleClick-domein en houdt bij hoe vaak gebruikers een advertentie zien, meet het succes van de campagne en berekent de inkomsten. Deze cookie kan alleen worden gelezen vanaf het domein waarop hij is ingesteld en zal geen gegevens traceren tijdens het surfen op andere sites.
_li_id.*	2 years	Deze cookie wordt gebruikt door het Leadinfo platform, dit wordt gebruikt door ITdaily voor het versturen en opbouwen van de nieuwsbrief en personalisatie diensten.
_li_ses.*	30 minutes	Deze cookie wordt gebruikt door het Leadinfo platform, dit wordt gebruikt door ITdaily voor het versturen en opbouwen van de nieuwsbrief en personalisatie diensten.
IDE	1 year 24 days	Google DoubleClick IDE-cookies worden gebruikt om informatie op te slaan over de manier waarop de gebruiker de website gebruikt om hem relevante advertenties te presenteren en volgens het gebruikersprofiel.
test_cookie	15 minutes	De test_cookie wordt ingesteld door doubleclick.net en wordt gebruikt om te bepalen of de browser van de gebruiker cookies ondersteunt.
VISITOR_INFO1_LIVE	5 months 27 days	Een cookie dat door YouTube wordt geplaatst om de bandbreedte te meten en dat bepaalt of de gebruiker de nieuwe of de oude spelersinterface krijgt.
YSC	session	YSC-cookie wordt ingesteld door YouTube en wordt gebruikt om de weergaven van ingesloten video's op YouTube-pagina's bij te houden.

Na Shadow-IT komt Shadow-AI – wat zijn de gevaren?

Shadow-IT overschrijdt een nieuwe grens

Hou Shadow-IT onder controle

gerelateerd nieuws

nieuwsbrief