Veilige 'schaduw-IT' – kan een organisatie dat wel aan?

Nováccent

Mijn grootvader is 98 en heeft een Facebook-account. Hij gebruikt het steeds minder intensief, maar ik sta er iedere keer nog van te kijken. Hij is zijn hele leven lang geïnteresseerd geweest in techniek en is dus blijkbaar nog steeds in staat om, met gepaste achterstand, internet en sociale media in zijn voordeel te gebruiken. Is het een gave?

Dit staat in schril contrast met de situaties die ik dagelijks tegenkom in diverse organisaties. Ik zie dan het onvermogen om security gestructureerd te organiseren en organisatiebreed in te bedden. Decennialang bieden securityvendoren al geavanceerde technische oplossingen aan. Het lijkt erop dat technisch gezien organisaties hun zaakjes steeds beter op orde krijgen. Maar ze staan voor de volgende uitdaging.

Medewerkers worden namelijk mobieler, de apparatuur wordt diverser en de drang om alles in de cloud te stoppen neemt toe. Hierbij neemt het risico van het ontstaan van zogenaamde schaduw-IT fors toe. Dit betreft cloudapplicaties en apparatuur die buiten het zicht en de controle van de organisatie zelf vallen. Zorginstellingen werken met ZZP-ers en duwen hun Elektronische Client Dossiers naar de cloud. Diverse ondernemingen plaatsen het grootste gedeelte van hun geautomatiseerde bedrijfsvoering eveneens in de cloud. Vaak gebeurt dit omdat de IT-afdeling niet flexibel genoeg kan meebewegen met de veranderende werkvloer.

Als er afspraken vastgelegd worden met cloudaanbieders zijn deze echter zeer beperkt, alsof het ouderwetse uitbesteding betreft. Maandelijks een SLA-rapport over incidenten, wijzigingen en uptime. Eén keer per jaar het recht om een audit uit te voeren en een jaarlijkse pentest. Ook is het onduidelijk voor organisaties op welke apparatuur de vertrouwelijke gegevens worden verwerkt en zijn opgeslagen. IT-afdelingen zijn in veel gevallen de grip op de schaduw-IT kwijt.

Organisaties moeten daarnaast hun security transformeren. Preventie is niet meer afdoende. Digitale inbraakpogingen, of signalen daarvan, moeten in het vizier komen. Vervolgens moet de organisatie snel en adequaat reageren. Eigenlijk moeten ze in staat zijn om een inbraakpoging te kunnen voorspellen. Daarbij komt dat steeds meer zichtbaarheid en verificatie nodig is over het gebruik van laptops, tablets, smartphones en natuurlijk de cloudapplicaties zelf. Zeker in relatie tot het werken met vertrouwelijke gegevens.

Die continue zichtbaarheid en verificatie reikt tot ver buiten de grenzen van de organisatie. Van het eigen netwerk tot in de cloud, en zowel op het apparaat als tijdens het datatransport.

De vraag is of organisaties wel over de juiste kwaliteiten beschikken om dit tot een succes te maken. Een security officer aanstellen voldoet natuurlijk niet. Security groeit intussen van een beheerprofessie uit naar informatiemanagement. De organisatie moet adequaat duiding kunnen geven aan alle securityinformatie. Ook snel beslissen en de juiste middelen beschikbaar stellen horen daarbij. Vervolgens moeten alle securitygerelateerde activiteiten effectief en efficiënt gemanaged worden. Dit vraagt ook om andere kwaliteiten die securitymedwerkers moeten hebben.

Wat mij het meeste zorgen baart is de enorme druk die er gelegd wordt op organisaties. De Meldplicht Datalekken, de toenemende cybercriminaliteit en de constante veranderdrang van bestuurders en managementteams. De stap van preventie naar detectie & reactie, en de switch van securitybeheer naar security-informatiemanagement zijn gigantisch. Andere securitymedewerkers die er nodig zijn, terwijl daar een ernstig tekort van is op de arbeidsmarkt en in de schoolbanken. Tel daarbij de noodzaak tot continue zichtbaarheid en verificatie op. Dan maak jij je toch ook grote zorgen? Lukt het organisaties wel om die schaduw-IT, buiten hun eigen grenzen, veilig te krijgen?

Ik wens iedere organisatie de kwaliteiten van mijn grootvader toe, die zijn hele leven in staat is geweest om techniek in zijn voordeel te laten werken. Dat is toch een gave.

Jan Jaap van der Neut is Security Consultant bij Nováccent

data-competence security-services managed-ict innovation-center