17. Samenvatting – Security – Schaduw IT
Dit werkt alleen als IT zich opstelt als
dienstverlener en zijn gebruikers als klanten
beschouwd. Om optimaal controle te houden
zal IT de gewenste flexibiliteit juist moeten
omarmen in plaats van uit handen te geven.
Wanneer een groot deel van je personeel eigen hardware en software gebruikt, ontstaat er al gauw een zogenaamde ‘schaduw-IT’. De ongecontroleerde en onofficiële data flow van al die niet-geautoriseerde apparaten kan de veiligheidsvoorschriften van je IT-afdeling volledig buiten werking stellen. Een goed voorbeeld hiervan is het gebruik van Dropbox. Heel eenvoudig te installeren, maar een groot risico voor organisaties als banken, advocatenkantoren of overheids- en zorginstellingen. Dit verlies van controle over wat er allemaal draait en aangesloten is, zorgt ervoor dat IT-afdelingen de veiligheid van de bedrijfsnetwerken niet meer kunnen garanderen.
Omdat deze trend in de toekomst alleen maar zal doorzetten, moeten systeembeheerders een manier vinden waarop ze de innovatieve werkwijzen van hun gebruikers kunnen ondersteunen, zonder dat de veiligheid en de efficiëntie van de organisatie op het spel komen te staan. De controle moet weer in handen van de IT-afdeling komen, maar de eindgebruiker moet hierbij wel centraal staan.
Hoe kan een bedrijf controle houden over de gegevens en het beheer van bedrijfskritische applicaties, terwijl de eindgebruiker nog steeds in allerlei verschillende scenario’s op zijn eigen, onbeveiligde apparatuur kan werken? Aan de hand van 3 do’s en 3 don’ts...
Tegenwoordig worden de IT afdelingen van bedrijven vaak gezien als trage, bureaucratische organisaties die eerder blokkerend werken als faciliterend door de nieuwe medewerkers anno 2014. Met de juiste tooling is het mogelijk om deze perceptie te veranderen. Overtref de verwachting van de eindgebruikers door diensten proactief te leveren en biedt ze een ‘store’ aan met een vertrouwde interface die het aanbod van traditionele appstore overtreft. Standaardiseer op self-service voor de gebruikers en geef ze een gevoel van ownership door kosten aan IT Diensten te koppelen en een budget toe te kennen.
Op deze manier overtref je de verwachting van eindgebruikers en maak je ze IT Consumenten van je IT winkel versus een goedbedoelende hacker die onbewust aan de poten van de IT organisatie zaagt.
Voor een gebruiker die in de trein of thuis in het weekend werkt, zul je andere beveiligingsregels willen toepassen dan voor iemand die tijdens kantooruren op de bedrijfscomputer werkt. Gedurende de dag kan de rol, de locatie en de tijdzone van het gebruikte apparaat bovendien sterk variëren. Met ‘adaptive security’ kun je hier dynamisch op inspelen door alle mogelijke scenario’s te automatiseren. Zo zorg je ervoor dat de bedrijfsregels en de compliance-vereisten altijd, overal en door wie ook worden nageleefd, zonder dat je er verder naar hoeft om te kijken en voorkom je dat er situaties ontstaan waarbij er bijvoorbeeld gevoelige bedrijfsgegevens op straat komen te liggen .
Een andere uitdaging is het reguleren van niet-geautoriseerde applicaties zoals Dropbox, waarbij je medewerkers niet wil beroven van het gemak en de voordelen die het gebruik ervan oplevert. Je dient te zorgen dat je vergelijkbare diensten aanbiedt, maar dan op je eigen netwerk, conformerend aan je eigen veiligheidsregels. Zo kunnen bedrijven hun mobiele werknemer voorzien in zijn behoefte aan eenvoudige en snelle toegang tot gedeelde data. Je gegevens staan niet meer onbeschermd en ongecontroleerd op het internet, maar veilig en beschermd in je eigen ‘private cloud’.
Eindgebruikers hebben een duidelijke mening over de IT voorzieningen die zij nodig hebben om hun taken zo effectief mogelijk uit te voeren en deze invulling daarvan verschilt van persoon to persoon. De dagen dat er een standaard KA omgeving was die voor iedere medewerker gelijk was zijn voorbij. Vermijd ‘locked-down’ werkplekken en kies in de plaats daar van voor een open werkplek met een mogelijk van grote mate van personalisatie. Laat die personalisatie reiken van de gewenste foto als achtergrond tot het zelf laten kiezen van het juiste applicatie. Voer self-service in waar mogelijk als een standaard en laat security op de achtergrond haar werk doen.
Eindgebruikers van tegenwoordig hebben gemiddeld drie devices (smartphone, tablet, phablet, laptop etc.) die ze zowel tijdens werktijd als buiten werktijd gebruiken. Maak niet de fout om eindgebruikers te blokkeren om deze devices te gebruiken om ‘werk’ te doen. Hiermee creeer je een situatie waarin er twee mogelijk uitkomsten zijn: òf de eindgebruiker zal manier zoeken om het IT beleid te omzeilen om alsnog wat werk gedaan te krijgen – en dat zal ze lukken. In deze situatie hebben we een gefrustreerde eindgebruiker en een IT organisatie die controle verliest. De andere mogelijkheid is dat de eindgebruiker zich beperkt tot een pure 9-5 mentaliteit waarin alleen gewerkt wordt ‘achter de PC’ met als resultaat een medewerker die niet optimaal productief is en die zelf ongelukkig is. Per saldo verliest de busines in beide gevallen.
Werk is allang geen plaats meer waar je naar toe gaat maar is wat je doet ongeacht waar je bent of wanneer je daar bent. Begrippen als flexwerken en de thuiswerkdag zijn in vele organsaties ingeburgerd en worden verwacht door de medewerkers anno 2014. Bedrijven die dat niet kunnen bieden maken minder kans op de arbeidsmarkt.
Richt je IT organisatie zo in dat medewerkers overal kunnen werken, wanneer ze dat willen en laat de security haar werk op de achtergrond doen.