Na Shadow-IT komt Shadow-AI – wat zijn de gevaren?

Shadow-IT is het gebruik van IT-systemen en -services zonder de expliciete goedkeuring van de IT-afdeling van een organisatie. Het is uiteraard geen nieuw fenomeen. De omvang en de implicaties ervan zijn echter aanzienlijk toegenomen en worden complexer met de komst van Shadow-AI. Dat maakt het de hoogste tijd om stil te staan bij het concept van Shadow-IT, de oorzaken ervan en de uitdagingen waar we voor staan nu we Shadow-AI zien opkomen. Welke strategische stappen kunnen organisaties nemen om de risico’s van beide fenomenen te beperken?

De sterke groei van cloud services, de verschuiving naar werken op afstand als gevolg van de pandemie en de AI-revolutie hebben de groei van Shadow-IT versneld. Werknemers zijn altijd op zoek naar efficiëntie en gemak. Daarom omzeilen zij vaak de officiële kanalen om informatietechnologie te gebruiken. Dat leidt tot een stortvloed aan ongeautoriseerde apparaten, software en diensten binnen een organisatie. Soms start het heel onschuldig, met een werknemer die een gratis proefabonnement neemt op een nieuwe tool. Of een nieuwe werknemer die thuis op een eigen PC werkt en USB-sticks gebruikt om documenten over te zetten naar de werk-PC.

Deze trend bemoeilijkt niet alleen de IT-governance, maar vergroot ook de risico’s op het gebied van beveiliging, compliance en gegevensbescherming.

Gartner voorspelt dat 75% van de werknemers binnen de komende drie jaar technologie zal hebben aangeschaft, gewijzigd of gecreëerd buiten hun IT-afdeling om. Dat is een aanzienlijke stijging ten opzichte van de 41%  die Gartner in 2023 noteerde. De overgang naar werken op afstand heeft de situatie verergerd, waardoor Shadow-IT een integraal, zij het riskant, onderdeel van de bedrijfsvoering is geworden.

Shadow-IT overschrijdt een nieuwe grens

De opkomst van Shadow-AI vormt een nieuwe grens in deze voortdurende kwestie. Shadow-AI omvat het ongesanctioneerde gebruik van generatieve AI-technologieën voor het maken van documenten, code, afbeeldingen en audio. Dit leidt tot zorgen over de integriteit, privacy en beveiliging van gegevens, omdat deze AI-tools toegang kunnen krijgen tot gevoelige informatie en deze kunnen verwerken zonder goed toezicht of naleving van de wettelijke normen.

Veel organisaties waren totaal niet voorbereid op de doorbraak van ChatGPT anderhalf jaar geleden. Ze hadden daardoor geen tijd om richtlijnen te ontwikkelen. Werknemers kunnen makkelijk informatie laten ontwikkelen met generatieve AI, die niet per se accuraat is, maar toch gebruikt wordt voor bedrijfsdoeleinden. Ontwikkelaars laten AI stukjes code ontwikkelen die zijn weg vindt naar productiesystemen. In de omgekeerde richting laten werknemers misschien bedrijfseigen informatie door publieke AI verwerken – informatie die vervolgens door datzelfde AI-systeem herkauwd wordt in vragen die een medewerker van een concurrerend bedrijf aan een tool als ChatGPT stelt. Een ander gevaar vormt het door AI verwerken van klantengegevens, wat een inbreuk op GDPR of andere regelgevingen kan opleveren.

Hou Shadow-IT onder controle

Is de situatie hopeloos? Nee, maar wel zorgwekkend. Bedrijven kunnen het gebruik van Shadow-IT en Shadow-AI wel degelijk beperken. Om deze uitdagingen aan te gaan, moeten organisaties een veelzijdige aanpak hanteren:

  • Investeer in technologieën voor asset management en detectie. Tools die ongeautoriseerde apparaten, software en services kunnen scannen en identificeren zijn essentieel voor het verkrijgen van inzicht in de omvang van Shadow-IT. Een bedrijf ontdekte onlangs bijvoorbeeld 148 applicaties die onder de radar werkten. Zo is de investering in tools snel terugverdiend.
  • Ontwikkel een overzicht. Na het identificeren van de reikwijdte van Shadow-IT, helpt het maken van een inventarisatie organisaties te begrijpen welke technologieën in gebruik zijn en te evalueren hoe nodig ze al of niet zijn. Bovendien kun je dan inschatten welk veiligheidsrisico ze vormen. Deze inventarisatie dient als basis voor het rationaliseren van IT-middelen en het verbeteren van beveiligingsmaatregelen.
  • Betrek de gebruikers. Aangezien werknemers vaak hun toevlucht nemen tot Shadow-IT om onvervulde behoeften te vervullen of de efficiëntie te verbeteren, is het cruciaal om hen te betrekken bij discussies over hun technologiekeuzes. Begrijpen waarom bepaalde tools de voorkeur krijgen, kan leiden tot de officiële invoering van geschikte(re), goedgekeurde alternatieven. Dat bevordert een cultuur van samenwerking en naleving.
  • Geef prioriteit aan opleiding en training. Bewustwording en begrip van de juiste procedures voor het invoeren van nieuwe technologieën zijn van vitaal belang. Organisaties moeten werknemers voorlichten over de risico’s van Shadow-IT en Shadow-AI en het belang benadrukken van het naleven van richtlijnen. Het creëren van een omgeving waarin veilige praktijken de gemakkelijkste en meest aangemoedigde optie zijn, kan de neiging om ongeautoriseerde IT-oplossingen toe te passen aanzienlijk verminderen.

Bovendien kan het implementeren van duidelijke beleidsregels en processen voor het evalueren en goedkeuren van nieuwe technologieën de integratie van nuttige tools stroomlijnen, terwijl de beveiliging en compliance gewaarborgd blijven. Het aanmoedigen van een transparante, gezamenlijke aanpak voor het invoeren van technologie zorgt ervoor dat aan de behoeften van de organisatie wordt voldaan zonder de governance in gevaar te brengen of de organisatie bloot te stellen aan onnodige risico’s.

Het beheren van Shadow-IT en Shadow-AI vormt een voortdurende uitdaging die een proactieve, inclusieve en strategische aanpak vereist. Door gebruik te maken van technologie om zichtbaarheid te verkrijgen, gebruikers te betrekken bij het besluitvormingsproces, prioriteit te geven aan educatie en duidelijke governancepraktijken op te stellen, kunnen organisaties de risico’s beperken die gepaard gaan met ongeautoriseerd IT-gebruik. Dit verbetert niet alleen de beveiliging en compliance, maar ondersteunt ook een cultuur van innovatie en snel reageren op kansen en trends. Een betere controle hoeft wendbaarheid en gebruikerservaring namelijk helemaal niet in de weg te staan.


Dit is een ingezonden bijdrage van Wytze Rijkmans, Regional Vice President van Tanium. Voor meer informatie over hun diensten kan je hier terecht.

nieuwsbrief

Abonneer je gratis op ITdaily !

  • This field is for validation purposes and should be left unchanged.
terug naar home