Veel IT-securityspecialisten zeggen zich zorgen te maken om schaduw-IT. Wat ze daar eigenlijk mee bedoelen is dat ze zich zorgen maken om hun baan – en niet geheel onterecht. Anders dan wat veel mensen denken is schaduw-IT op zich namelijk niet het probleem, maar een symptoom. Schaduw-IT is IT die ingekocht is buiten de IT-afdeling om. En ervan uitgaande dat security een onderdeel is van de IT-organisatie, dus ook buiten security om. Niet meer en niet minder. Het wijst op een IT-afdeling die moeite heeft om op tijd te leveren en zo een obstakel vormt voor de business. Het is dan ook hoog tijd dat IT-securityspecialisten zich afvragen: wat voeg ik eigenlijk toe aan de organisatie, behalve bureaucratie?
Op zich is het begrijpelijk dat IT’ers moeite hebben om zaken los te laten. Nog niet zo heel lang geleden, tot de vroege jaren 90, bestond het werk van IT-security uit het geheim houden van het nummer van de modem – de enige digitale schakel tussen binnen en buiten. En zelfs daarna, toen steeds meer mensen op hun werkplek de beschikking kregen over internet, bleef het nog redelijk eenvoudig om de controle te houden. Al het internetverkeer kwam immers maar via één chokepoint het gebouw binnen. De digitale perimeter van het bedrijf beschermen was zo simpel als de beveiliging van dat ene toegangspunt: de spreekwoordelijke firewall.
Teugels aantrekken niet de oplossing
Anno 2018 is er alleen geen perimeter en geen chokepoint meer. Het aantal op het bedrijfsnetwerk aangesloten apparaten, van smartphones tot tablets en laptops, dat rechtstreeks in verbinding staan met het internet is niet meer te tellen. Daarnaast draaien veel applicaties buiten de veilige bedrijfsmuren om in de cloud, waar ook nog eens gevoelige data staan opgeslagen. Daar komt nog eens bij dat diezelfde cloud het de verschillende afdelingen mogelijk maakt om zonder tussenkomst van de IT-afdeling software aan te schaffen. Met de digitale perimeter, zagen IT-securityspecialisten dus ook hun controlerende rol verdwijnen.
Natuurlijk. De verdwenen digitale perimeter en de opkomst van schaduw-IT zorgen ook voor terechte reden tot zorg. Er zijn meer digitale dreigingen dan ooit. En zeker met de komst van de GDPR is het belangrijk dat data ook veilig worden opgeslagen. Maar de teugels aantrekken in een wanhopige poging de controle terug te krijgen is niet de oplossing. Sterker nog, de dwarse houding die veel IT-securityspecialisten aannemen waarbij ze het liefst zoveel mogelijk tegenhouden in het belang van cybersecurity werken alleen maar averechts. Door die houding verandert de afdeling IT in een obstakel die de business maar wat graag omzeilt.
Innovatie gaat hoe dan ook door
Securityspecialisten doen er beter aan om te accepteren dat de tijden zijn veranderd. Hun taak is niet het beschermen van de interne nering van de IT-afdeling; security is té belangrijk om met de traditionele ivoren toren van IT weg te gooien. De business moet immers innoveren om de concurrentie voor te blijven. En dat die dat hoe dan ook gaat doen, met maar ook zónder de hulp van IT. Om van toegevoegde waarde te blijven voor het bedrijf, moet de IT-securityspecialist een andere rol aannemen. Die moet niet meer wachten tot de collega’s uit de business komen vragen of ze bij de gratie van IT een bepaald softwarepakket mogen gebruiken. De moderne IT’er moet de boer op, betrokken zijn bij andere afdelingen en proactief met ze meedenken. Tegen welke problemen lopen ze aan, en hoe kan IT helpen om die op te lossen?
Zeker in het begin zal de transformatie van poortwachter naar adviseur even wennen zijn. Voor IT-securityspecialist omdat die nieuwe vaardigheden moet opdoen. En omdat die zich zal moeten verdiepen in de werkzaamheden van zijn non-IT-collega’s en in de core business van het bedrijf. Maar als na verloop van tijd ook de rest van de organisatie inziet dat IT-security meer is dan een obstakel en dat ze op hun IT-collega’s kunnen rekenen voor hulp bij bijvoorbeeld RFI’s voor nieuwe software, zal de nieuwe rol steeds meer als vanzelfsprekend aanvoelen.
Business vooruit helpen
Binnen veel organisaties wordt IT-security als een noodzakelijk kwaad gezien. Nog wel. Als IT’ers niet succesvol weten te groeien in hun nieuwe rol is het namelijk een kwestie van tijd voordat ze helemaal niet meer als noodzakelijk worden gezien. Dat we daar dichtbij zitten blijkt wel uit het feit dat de salarissen van IT’ers ondanks een tekort op de arbeidsmarkt niet meer groeien. Het is tijd dat securityspecialisten laten zien wat hun toegevoegde waarde is. Uiteindelijk hebben ze immers dezelfde verantwoordelijkheid als elke andere medewerker in een bedrijf: de business vooruit helpen.
Dit is een ingezonden bijdrage van Peter Rietveld, senior security consultant bij Traxion. Via deze link vind je meer informatie over de mogelijkheden van het bedrijf.
22 uur geleden
