We moeten ons realiseren dat er verschillende perspectieven op security zijn. Security wordt in zijn essentie nog wel eens als een passion-killer ervaren: vooral bezig met ‘business prevention’.
Over deze blogger
Senior Vice President en Chief Technology Officer voor Capgemini Continental Europa. Bestuurslid van The Open Group. Hoofdauteur van Capgemini’s TechnoVision en Application Landscape Report uitgaven. ‘Digital Transformation’ ambassadeur. Spreekt en schrijft over IT strategie, innovatie, applicaties en architectuur.
De afdeling IT-security werd daarom ook wel eens ‘de afdeling nee’ genoemd. Vaak als iemand een idee of project had dan stuitte dat op security, dan waren dingen niet toegestaan of niet mogelijk.
Tegenwoordig moet er veel meer vanuit een ‘digitaal platform; worden gedacht: een geheel dat IT én security omvat en een springplank biedt voor de bedrijfsvoering om in allerlei richtingen te groeien. Er is vanuit de business nu ook veel meer zuigkracht voor security, er is concrete vraag naar om voor de hand liggende redenen. Daarbij valt er veel voordeel te behalen als bedrijven, IT-afdelingen en security-mensen erin slagen om een platform als veilig geheel neer te zetten, met security proactief ingebakken in plaats van als een toegevoegde gedachte, ergens aan het eind.
Gevraagd: cultuuromslag
Dat geeft dan een veilig gevoel én helpt de business én maakt méér mogelijk. Denk aan nieuwe diensten die nu nog niet goed in zicht zijn. Zet security in als integraal onderdeel van een services-portal, met een keuzemenu aan mogelijkheden; in plaats van als een beperkende sluis die wel of niet gepasseerd kan worden. Deze andere aanpak kan een hele nieuwe generatie aan toepassingen brengen.
Daar is dan misschien ook wel een nieuwe generatie aan security-mensen voor nodig, met een andere basishouding. De realisering van een platformaanpak vereist allereerst een cultuuromslag. Wanneer de stap van het platform-denken is genomen, heeft security al de plaats verworven van een motor voor groei, in plaats van een hinderpaal. Daarna volgt vroeg of laat nog een volgende stap: ‘disruption’ door security. Superieure mogelijkheden op het gebied van security laten je dan als bedrijf dingen doen die voorheen onmogelijk of ondenkbaar waren. Denk aan de nieuwe mogelijkheden met biometrie. Er bestaan al receptie-loze hotels waar je incheckt op basis van biometrische controle; dat is simpelweg veiliger dan je aanmelden bij de receptie met een identiteitskaart. Dan is er opeens een hele tussenstap uit het proces gehaald: er worden nieuwe, ongedachte dingen mogelijk. Dat staat duidelijk lichtjaren ver van de oude securityhouding van ‘You shall not pass!’.
Technologie maakt meer mogelijk
Natuurlijk, criminaliteit blijf je altijd houden, dat is een universeel iets en dus ook in de digitale wereld. Maar pasjes worden ook gestolen; die werden vroeger uit brievenbussen gevist of onderschept op postkantoren. En vergeet niet: dankzij technologie valt criminaliteit ook weer te dwarsbomen. Zo is bijvoorbeeld een gestolen smartphone door remote blokkering nutteloos voor de dief. En dankzij ‘deep security analytics’ – Big Data voor security eigenlijk – kunnen we steeds beter voorspellend werken en eerder verstoringen waarnemen. Met dat alles kunnen we dus beter vertrouwen op ons real-time inzicht en reactievermogen in plaats van vooraf dingen proberen te voorkomen. De veiligste computer is er één waar de netwerkkabels uit zijn getrokken, maar die staat dus op de afdeling ‘business prevention’.
Misschien ben ik te optimistisch, maar de technologie maakt grote sprongen als het gaat over security. Dat geeft een inherent, ingebouwd gevoel van veiligheid. We naderen een ‘inflection point’, een omslagpunt waar security diep ingebouwd is in de oplossingen. Zie maar wat er nu allemaal wordt ingebouwd in hardware, zoals in chips van Intel. Dat is ook onderdeel va het platform-denken.
Trek hebben in risico’s
Het is hoe dan ook een kwestie van psychologie. Voor de gebruiker, voor de business en voor de IT-security-mensen. Vroeger koos je een security-carrière als je een voorzichtig type was dat al snel beren op de weg zag. We hebben nu nieuwe security-denkers nodig: mensen die risico begrijpen maar het niet uit de weg gaan. Daarbij moeten ze natuurlijk niet te naïef zijn, maar risico’s durven inschatten en ze aandurven met de juiste maatregelen. Bij Capgemini verraden we onze Franse oorsprong met de uitdrukking ‘bon risk appétit’: een gezonde trek durven hebben in risico.”
