Shadow IT in het MKB: het sluipende ransomware-risico
Shadow IT is het verzamelbegrip voor software en clouddiensten die medewerkers zelf gebruiken zonder dat IT ervan weet of het heeft goedgekeurd. Vaak met de beste bedoelingen — een collega vond een handige tool — maar de risico's voor ransomware en datalekken zijn aanzienlijk.
Waarom shadow IT zo riskant is
Onbekende tools zijn niet beveiligd volgens uw beleid: geen MFA, geen SSO, geen backup, geen contract over wat er met de data gebeurt. Daarnaast eindigen bedrijfsdocumenten in persoonlijke accounts die met de medewerker meegaan bij vertrek — een AVG-tijdbom. En tot slot: aanvallers gebruiken shadow IT-credentials vaak als opstap naar uw echte systemen.
Veelvoorkomende shadow IT
In onze audits komen we steevast dezelfde tools tegen — meestal zonder dat de directie het wist.
- Persoonlijke Dropbox, Google Drive of OneDrive accounts voor klantbestanden
- WeTransfer voor delen van grote bestanden zonder retentie-beleid
- Online PDF-converters waar gevoelige documenten worden geüpload
- Gratis vertaaldiensten waar contracten worden geplakt
- Persoonlijke ChatGPT / Claude / Gemini accounts met bedrijfsdata
- Onofficiële mobiele apps gekoppeld aan zakelijke accounts
Aanpak: niet verbieden, maar reguleren
Verbieden werkt niet — medewerkers vinden altijd wegen omheen. Beter is: biedt goedgekeurde alternatieven, maak het makkelijk om nieuwe tools aan te vragen, en monitor via Microsoft Cloud App Security of vergelijkbare oplossingen welke diensten écht worden gebruikt. Faciliteer vervolgens de populaire opties officieel — met SSO, MFA en een data-verwerkersovereenkomst.
Wie shadow IT negeert, weet niet wat er met bedrijfsdata gebeurt. Wij voeren shadow-IT inventarisaties uit en helpen Nederlandse MKB-bedrijven gestructureerd beleid invoeren. Meer op vanrosmalenautomatisering.nl.
Complete IT-beveiliging voor uw bedrijf
Van Rosmalen Automatisering helpt Nederlandse MKB-bedrijven met beheerde cybersecurity: MFA, EDR, backups, monitoring en 24/7 support. Bekijk onze complete dienstenportfolio.
Lees ook
Microsoft 365 veilig inrichten: de essentiële instellingen
Microsoft 365 is voor veel MKB-bedrijven het kloppend hart. Standaard staat het echter niet maximaal veilig. Welke instellingen moet u aanzetten?
Lees meerBring Your Own Device (BYOD): vrijheid met risico's
Medewerkers gebruiken hun eigen telefoon, tablet of laptop voor werk. Dat is praktisch — maar wat zijn de ransomware- en datalek-risico's?
Lees meer10 cybersecurity basismaatregelen voor het MKB
U hoeft geen enterprise-budget te hebben om uw bedrijf goed te beveiligen. Deze 10 maatregelen vormen het minimum waarmee u 80% van de aanvallen tegenhoudt.
Lees meer