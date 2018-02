Schaduw-IT is bepaald geen onbekend issue voor de meeste IT'ers. Een van thuis meegenomen printertje hier, een onbekend BYOD-apparaat daar en een hele zwik aan data-consumerende apps zorgen ervoor dat documentbeheer, data-integrriteit en compliancy een ware nachtmerrie wordt voor informatiebeveiligers. In het vorige decennium gingen we naar omgevingen met enkel goedgekeurde apparaten en software, maar in het BYOD-tijdperk is dat een gepasseerd station. Hoe nu verder?

Policy's afdwingen

"Zorg ervoor dat je in staat bent om 'ja' te zeggen", herhaalt IT-architect James Plouffe van MobileIron het mantra van veel IT-dienstverleners tegenwoordig. "Want als je te snel 'nee' zegt, dan vinden mensen wel een manier om het zelf te doen." Een strikt beleid of trage ITIL-bureaucratie zijn dé twee redenen dat schaduw-IT zijn weg vindt in bedrijven.

Datzelfde horen we vaker en onlangs nog van VMware: maak software naar wens beschikbaar. Het verschil zit hem in hoe IT-dienstverleners dat bereiken. De virtualisatiespecialist kijkt vooral naar een platform dat omgevingen aan elkaar knoopt om policy's af te dwingen, terwijl security- en EMM-aanbieder MobileIron samen naar een aanpak met Google kijkt voor een app-platform.

Schaduw-data

Apps beschikbaar stellen klinkt in theorie logisch en prima, maar in de praktijk is het vaak lastig. Als een organisatie bijvoorbeeld Office 365 officieel ondersteunt, maar gebruikers zitten massaal op Google Documenten (zonder zakelijk abonnement en dingen als 2FA) raak je al snel de controle kwijt over wie er bij data kan en wanneer. "Het gaat niet om schaduw-IT, maar meer schaduw-data", zegt Plouffe.

In de praktijk is het vaak zo dat personeel liever werkt met de apps die ze gewend zijn. Als de halve afdeling Evernote gebruikt, wordt het erg lastig om de collega's naar OneNote te duwen, of andersom. Als documenten vervolgens beschikbaar worden gesteld via de ondersteunde app, kopiëren gebruikers ze naar de apps op hun eigen apparaten.

Geen beveiliging

Dat betekent dat ze in een clouddienst terecht komen waar IT geen zich op heeft en erger nog, waar geen beveiligingspolicy's op toegepast kunnen worden. Als je Evernote zakelijk beheert, kun je afdwingen dat gebruikers tweestapsverificatie hanteren om in te loggen. Gebruikers kunnen zelf natuurlijk beslissen om hun privéaccount op die manier te beveiligen, maar hoe vaak gebeurt dat? En hoe houd je daar zicht op?

Kortom, het beleid om bepaalde apps af te dwingen werkt niet en leidt er vooral toe dat personeel buiten IT om werkt om te kunnen werken op dezelfde manier zoals ze dat altijd doen. Hoewel 'IT als enabler' mooi klinkt in theorie, is het in de praktijk lastig om voor iedere applicatie een X-aantal alternatieven te ondersteunen met dezelfde beveiligingsniveaus.

Richting marktplaats

De meeste MDM-platforms bewegen daarom richting een manier om software te distribueren, zodat afzonderlijke bedrijven niet steeds het wiel opnieuw hoeven uit te vinden en organisaties een mix kunnen bieden van apps waar bijvoorbeeld een 2FA-policy op actief is. Om die reden werkt MobileIron inmiddels samen met Google die daar marktplaatsplatform Orbitera voor heeft.

Daarmee kunnen bedrijven hun eigen branding koppelen aan de appwinkels en kunnen ze apps op basis van behoefte inkopen die weer in te zien is met analytics. Als je bijvoorbeeld Dropbox beschikbara stelt, met alle zakelijke plussen die je niet hebt met de consumentenversie, maar niemand blijkt het actief te gebruiken, kun je die net zo goed weer uit de bundel halen.

Dat vermijdt het issue van lange wijzigingsbeheer-processen waarbij alles moet worden gekeurd, getest en geïmplementeerd, en kunnen IT-afdelingen de apps waar daadwerkelijk behoefte voor is sneller beschikbaar maken.