Security wordt te vaak gezien als slechts een verzekering; iets om schade te beperken. Maar het kan juist ook voordeel brengen. Goede security betekent optimalisatie van bedrijfsprocessen.
Over deze blogger
Stefan Sijswerda is binnen Dell adviseur informatiebeveiliging. Hij is verantwoordelijk voor de begeleiding van informatiebeveiligingstrajecten bij relaties van Dell. De specifieke kennisgebieden liggen rondom Identity & Access Management/ Governance en netwerkbeveiliging. Hij studeerde bedrijfskunde en heeft zich verder ontwikkeld op het vlak van bedrijfsprocesautomatisering. Daarnaast doorloopt hij samen met relaties de opbouw van business cases en assisteert bij de transitie van bedrijven om informatiebeveiliging te gebruiken bij verbeteren en vereenvoudigen van bedrijfsprocessen.
Processen zijn belangrijk en die kun je vastleggen in automatisering. Juist in het kader van krimpende IT-budgetten is het zaak processen goed te automatiseren. Een Security Framework helpt daarbij. Zo’n raamwerk bepaalt: wat kan, mag en moet een persoon hebben voor de uitvoering van zijn of haar werk. Dat levert niet alleen een beter beveiligingsniveau op, maar leidt ook tot toegevoegde waarde voor de bedrijfsvoering. Controle en inzicht geven de mogelijkheid tot verbetering middels een iteratief proces.
Belemmering om je werk te doen
Mensen werken namelijk veelal om securitymaatregelen heen omdat ze hun werk willen doen. Dat is in 99 procent van de gevallen dé reden om beveiligingsregels te omzeilen of schenden. Als iemand méér nodig heeft om zijn of haar werk te doen, dan moet de organisatie een gemakkelijke en geautomatiseerde manier bieden om dat aan te vragen en in te regelen. De betrokken verantwoordelijke of leidinggevende heeft inzicht in behoeften en kan dit beoordelen. Security ligt hierdoor dichter bij de eigenaar van het bedrijfsproces. Het securityniveau én de security-awareness wordt hiermee verhoogd.
Als zo’n aanvraag een conflict oplevert met de bedrijfspolicies dan moet er automatisch en direct een alert komen. Het kan dan niet langer gebeuren dat er dingen wordt gedaan of toegestaan die in strijd zijn met het securitybeleid van de organisatie. Tegelijkertijd zorgt het gemak van een geautomatiseerde methode voor inzicht in de behoefte van eindgebruikers aan bepaalde permissies of functionaliteit.
Toetsen en bijsturen, in beide richtingen
De toetsing aan de bedrijfspolicies hoort dan ook tweewegverkeer te zijn. Als er vaak of veel aanvragen zijn, kunnen dat best reden zijn om een policy te herzien. Indien dat gebeurt, is dat dan wel om duidelijk herleidbare redenen. Zo’n aanpak levert onder andere de volgende belangrijke voordelen op. Één: het securityniveau gaat omhoog. Twee: de processen zijn duidelijk, ook voor de gebruiker om wie het allemaal gaat. Drie: de beheerlast voor de IT-afdeling wordt verminderd.
Veel IT-afdelingen zijn nog deels belast door het schijnbaar ouderwetse werk van accounts aanmaken, permissies geven, uitzonderingen toekennen, enzovoorts. Daarbij speelt ook dat leidinggevenden niet altijd goed in zicht hebben wie er wat nodig heeft om zijn of haar werk te vervullen. Dit aanpakken met goede, inzichtelijke processen maakt IT-mensen vrij voor innovatie, wat weer het hele bedrijf ten goede komt.
Verandering en versnelling
Waarom is bijvoorbeeld Dropbox zo populair bij veel bedrijven? Omdat IT kennelijk niet een makkelijke mogelijkheid voor filesharing biedt, die ook toegankelijk is voor de buitenwereld. Mensen grijpen dan naar dat soort ‘externe’ middelen om hun werk efficiënter, beter of sneller te kunnen doen. Dit wordt aangejaagd door nieuwe technologie, de snelheid van ontwikkelingen en de veranderende businesswereld.
Heel veel organisaties kunnen dat tempo niet goed bijbenen. Niet alleen qua applicaties, maar ook toegang daartoe voor de gebruikers. Wanneer iemand in een nieuwe rol, of als nieuwkomer bij een organisatie, moet wachten op een account of rechten dan is dat zonde. Zowel voor die persoon zelf als voor de afdeling of het bedrijf. Dat is niet altijd direct een securitykwestie, maar goede securitymiddelen kunnen wel de basis zijn.
