Shadow IT in het thuiskantoor brengt bedrijfs-IT in gevaar

Werken in een thuiskantoor heeft een aanzienlijke impact op de IT-beveiliging van bedrijven, zo blijkt uit een onderzoek van cybersecurityspecialist Forcepoint. Dit komt doordat de meerderheid van de Duitse thuiswerkers gebruik maakt van schaduw-IT.

Het gebruik van privé-apparatuur en softwaretools in het thuiskantoor, die niet worden beheerd, gecontroleerd en beveiligd door de centrale IT in bedrijven, stelt bedrijven en hun gegevens bloot aan een hoog veiligheidsrisico. In een onderzoek van Forcepoint zegt 63 procent van de respondenten dat ze privé-apparaten gebruiken om toegang te krijgen tot documenten en diensten van hun werkgever. 58 procent slaat werkgegevens op of zet ze over op persoonlijke USB-sticks. 55 procent zegt privé-e-mail of clouddiensten voor het delen van bestanden te gebruiken voor werkdoeleinden.

De respondenten noemen redenen voor het gebruik van schaduw-IT: Ten eerste maakte het hen gemakkelijker om bepaalde werkgerelateerde taken uit te voeren (56%); ten tweede maakte het bedrijfsbeleid het hen moeilijk om hun werk überhaupt zonder schaduw-IT te beheren (50%).

Onzorgvuldige omgang

Naast het gebruik van schaduw-IT gaan Duitse thuiswerkers ook nogal onzorgvuldig om met de fysieke werkdocumenten en apparatuur van hun werkgever. Zo zegt 67 procent van de respondenten documenten af te drukken op apparaten die door meerdere mensen in hun huishouden worden gebruikt. 55 procent laat werkdocumenten in huis rondslingeren. Bovendien gebruikt bijna de helft van de respondenten (47%) door de werkgever verstrekte apparaten ook voor privédoeleinden. 36 procent staat zelfs toe dat familieleden apparaten van het bedrijf gebruiken.

De boosdoeners

Binnen de groep van schaduw-IT-gebruikers waren er soms aanzienlijke verschillen. Mannen gebruiken bijvoorbeeld vaker privéapparatuur en -software voor het werk dan vrouwen. Mensen die in hun thuiskantoor zorgwerk doen, zoals op hun kinderen passen, maken ook vaker gebruik van schaduw-IT. Het grootste verschil is echter te zien in de verschillende leeftijdsgroepen. Jongere werknemers maken aanzienlijk vaker gebruik van schaduw-IT dan hun oudere collega’s.

“Thuiswerken lijkt op bepaalde groepen een negatiever effect te hebben dan op andere. Vooral jongere werknemers klagen over een grotere negatieve impact op hun werk en beroepsleven dan oudere werknemers,” zegt Dr Margaret Cunningham, hoofdonderzoeker bij Forcepoint, over deze verschillen. “Zij kunnen voor schaduw-IT kiezen omdat zij meer persoonlijke apparaten en accounts bezitten en gebruiken, of omdat zij meer vertrouwd zijn met verschillende persoonlijke softwaretools. Onze studie registreerde echter ook hogere stressniveaus bij deze groep. Dit zou erop kunnen wijzen dat zij zich meer onder druk gezet voelen door tijd en werkverplichtingen en daarom riskanter gedrag vertonen om hun werk af te krijgen. Dit kan bedrijven blootstellen aan een verhoogd risico op het gebied van cyberbeveiliging.”

Geen kwade opzet

Er mag echter niet worden geconcludeerd dat werknemers zich uit kwade opzet risicovol gedragen. Ze proberen gewoon hun taken af te krijgen op een moeilijk moment in hun werkende leven, legt Forcepoint uit. Meer dan 65 procent van de Duitse respondenten zegt dat zij rekening houden met cyberbeveiligingsrisico’s wanneer zij gebruik maken van schaduw-IT. Eenenzestig procent geeft aan extra training en ondersteuning te krijgen van hun werkgever.

Extra stress brengt beveiliging in gevaar

Extra stressfactoren in het thuiskantoor kunnen ook een negatief effect hebben op de IT-beveiliging. Meer dan de helft van de respondenten (52%) vindt het moeilijk om dagelijkse beslissingen te nemen wanneer ze thuis werken, en 59% vindt het moeilijk om werk en privé gescheiden te houden.

“Lockdown is een stressvolle tijd voor alle betrokkenen. Werkgevers doen bewonderenswaardig werk door thuiswerken te ondersteunen met technologie en connectiviteit, maar ze mogen de menselijke factor niet over het hoofd zien,” zei Cunningham. “Onderbrekingen, afleidingen en verdeelde aandacht kunnen fysiek en emotioneel slopend zijn en een negatieve invloed hebben op de prestaties. In sommige gevallen kan dit zijn weerslag hebben op de kwaliteit van de output of resulteren in ondeugdelijke werkproducten.”

Medewerkers met zorgtaken worden in het bijzonder getroffen. Zo zegt 54% van hen vergeetachtiger te zijn – vergeleken met 36% van de werknemers zonder zorgtaken. 58 procent van de eerste groep maakt vaker kleine fouten en voor 59 procent heeft afleiding een negatieve invloed op de besluitvorming. In de tweede groep geldt dit slechts voor respectievelijk 32% en 45%. Als werknemers met zorgtaken geen extra ondersteuning krijgen van hun werkgever, kan dit er ook toe leiden dat zij afwijken van vooraf vastgestelde en aangeleerde IT-beveiligingsregels, waardoor hun bedrijven aan nog grotere veiligheidsrisico’s worden blootgesteld.

“Bedrijven en hun managers moeten rekening houden met de speciale psychologische en fysieke situatie van hun thuiswerkers om een doeltreffende IT-bescherming te waarborgen. Zij moeten ervoor zorgen dat hun werknemers zich ook in het thuiskantoor op hun gemak voelen en met elkaar communiceren, hun bewust maken van IT-beveiligingsproblemen en zelf ook het goede voorbeeld geven. Ze moeten ook een balans tussen werk en privé aanmoedigen en nadenken over regelmatige vrije vergaderdagen en ondersteuning,” zegt Cunningham.

Schaduw-IT heeft ook voordelen

“Mensen in thuiskantoren gebruiken schaduw-IT meestal niet uit kwaadaardigheid of achteloosheid, maar om productiever te zijn. Je zult ze daar niet van kunnen weerhouden,” zegt Carsten Hoffmann, Manager Sales Engineering bij Forcepoint. “In feite kan schaduw-IT juist leiden tot innovatie en een hogere productiviteit. Een zwart-witbeleid dat de toegang eenvoudigweg blokkeert, leidt alleen maar tot meer omwegen. De nadruk moet daarom liggen op het blootleggen van het gebruik van schaduw-IT en het opzetten van nieuw beleid waar nodig. Bedrijven moeten er ook voor zorgen dat kritieke gegevens worden gedefinieerd en adequaat worden beschermd, want de nieuwe vormen van flexibel werken en werken op afstand zullen standhouden.”