De stille bedreiging binnen organisaties

De meeste organisaties investeren flink in firewalls, endpoint security en netwerkbeveiliging. Toch ligt een groot risico vaak niet in de IT-afdeling zelf, maar in de werkgewoonten van medewerkers. Shadow IT, het gebruik van niet-goedgekeurde applicaties en tools – groeit sneller dan ooit. Vaak met de beste bedoelingen, maar met grote gevolgen voor security, compliance en bedrijfscontinuïteit.

In deze blog leggen we uit:

1. Wat Shadow IT is en waarom het ontstaat

2. Welke risico’s eraan verbonden zijn

3. Hoe Joinly een oplossing biedt

4. Hoe Entra ID en Active Directory hierin een sleutelrol spelen

Wat is Shadow IT?

Shadow IT ontstaat wanneer medewerkers applicaties of cloudservices gebruiken zonder toestemming van de IT-afdeling. Denk aan:

• Een Dropbox-account om snel bestanden te delen

• Een Trello- of Asana-board voor projectmanagement

• ChatGPT of andere AI-tools waar gevoelige data wordt ingevoerd

• Persoonlijke Gmail-accounts om bedrijfsinformatie te versturen

De reden is bijna altijd praktisch: medewerkers willen sneller werken, toegang tot gebruiksvriendelijke tools of gewoon hun werk gedaan krijgen zonder bureaucratische processen. Het klinkt onschuldig, maar de gevolgen zijn vaak groot.

Waarom grijpen medewerkers naar Shadow IT?

Medewerkers grijpen vooral naar Shadow IT wanneer officiële processen te traag zijn of wanneer het applicatielandschap binnen de organisatie onvoldoende aansluit op hun behoeften. Veel tools die online beschikbaar zijn, voelen eenvoudiger aan dan wat intern wordt aangeboden. Bovendien realiseren veel medewerkers zich niet dat hun ‘snelle oplossing’ tegelijk een beveiligingsrisico vormt. Shadow IT is dan ook zelden het resultaat van kwaadwillend gedrag, maar eerder van efficiëntie en frustratie.

Het gaat dus zelden om kwaadwillend gedrag, maar om frustratie of efficiëntie.

De risico’s van Shadow IT

De risico’s die hieruit voortkomen zijn divers. Gevoelige informatie kan in onbeveiligde applicaties terechtkomen, met mogelijke datalekken tot gevolg. Voor organisaties die moeten voldoen aan normen zoals ISO 27001 of AVG/GDPR zorgt Shadow IT voor grote uitdagingen, omdat niet duidelijk is waar data zich bevindt. Ook het ontbreken van monitoring en logging bemoeilijkt audits en incident response. Bovendien kunnen ex-medewerkers soms nog toegang hebben tot zelfgekozen tools die nooit in het officiële accountsysteem zijn opgenomen. Tel daarbij op dat ongecontroleerde abonnementen al snel kosten opdrijven, en de impact van Shadow IT is compleet.

Joinly als antwoord op Shadow IT

De oplossing is niet het verbieden van tools of het straffen van medewerkers. Shadow IT is namelijk een symptoom van een tekort aan goed Identity & Access Management. IAM kan het gedrag van medewerkers in positieve banen leiden. Dit werkt op de volgende manier:

1. HR-driven provisioning

   Nieuwe medewerkers krijgen vanaf dag één automatisch de juiste toegangsrechten, gebaseerd op hun functie. Geen frustratie meer door ontbrekende tools.

2. Single Sign-On (SSO)

   Met één set inloggegevens direct toegang tot alle goedgekeurde applicaties. Dit maakt het gebruiksgemak vergelijkbaar met de ‘snelle oplossing’ van Shadow IT.

3. Self-service toegang

   Medewerkers kunnen zelf extra applicaties aanvragen via een gecontroleerde workflow. Toegang wordt automatisch goedgekeurd en ingericht, zonder administratieve rompslomp.

4. Automatische deprovisioning

   Wanneer iemand uit dienst gaat, worden alle rechten direct ingetrokken. Zo voorkom je dat ex-medewerkers toegang behouden tot systemen.

De rol van Entra ID en Active Directory

Veel organisaties gebruiken nog steeds Active Directory (AD) als ruggengraat van hun identity management. AD is sterk in on-premise omgevingen, maar sluit minder goed aan bij de cloudwereld. Daar komt Microsoft Entra ID (voorheen Azure AD) in beeld.

Active Directory (AD)

• Geschikt voor on-premises netwerken

• Beheert traditionele accounts, printers, servers en werkplekken

• Sterk in Windows-omgevingen

Entra ID

• Ontworpen voor cloud en hybride werkvormen

• Ondersteunt duizenden SaaS-applicaties (Microsoft 365, Salesforce, etc.)

• Biedt geavanceerde features zoals Conditional Access en Identity Governance

De kracht zit in de combinatie: organisaties die AD én Entra ID slim integreren, krijgen een uniform overzicht van identiteiten, zowel voor on-prem als cloud. Dit verkleint de kans dat medewerkers zelf naar externe tools grijpen.

Voorbeeld uit de praktijk

Een nieuwe medewerker start bij een organisatie. Zonder IAM duurt het dagen voordat hij toegang heeft tot de HR-applicatie, het CRM-systeem en de interne kennisbank. Uit frustratie gaat hij zelf documenten opslaan in zijn persoonlijke Google Drive en een gratis trial van Slack gebruiken om te communiceren met collega’s.

Met Joinly verloopt dat heel anders: het HR-systeem maakt automatisch een account aan, Joinly koppelt deze aan AD en Entra ID en binnen enkele minuten heeft de medewerker via SSO toegang tot alles wat hij nodig heeft. Toegang tot andere applicaties wordt ingericht via RBAC of ABAC. Een nadere uitleg wat dit precies inhoud kunt u hier vinden: https://joinly.app/blog/rbac-vs-abac-wie-krijgt-de-sleutel-tot-je-digitale-huis

Resultaat: geen Shadow IT, hogere productiviteit en een veilige werkomgeving.

Conclusie

Shadow IT is niet het probleem, maar een signaal dat medewerkers onvoldoende gefaciliteerd worden. Identity & Access Management maakt het verschil door gemak en veiligheid te combineren. Met HR-driven provisioning, SSO, Entra ID en AD-integratie voorkom je dat medewerkers hun eigen weg zoeken en creëer je een omgeving waarin security en productiviteit hand in hand gaan.

👉 Wil je weten hoe Joinly organisaties helpt Shadow IT te verminderen en IAM te vereenvoudigen? Neem contact met ons op voor een demo.