It-uitdagingen zoals ransomware, malware, phishing en identiteitsfraude maken de rol van de ciso complexer dan ooit tevoren; het is een wapenwedloop die organisaties per definitie verliezen. Waarom wordt de ogenschijnlijk eenvoudige oplossing voor deze situatie – het verminderen van blootstelling aan de boze buitenwereld en de bijbehorende bedreigingen – van alle kanten bemoeilijkt door constante en dagelijkse veranderingen binnen it?
Terwijl it-tools vroeger werden geleverd en beheerd door een groep specialisten van de it-afdeling, spelen medewerkers nu een veel grotere rol bij het bepalen van de tools die worden gebruikt. it-services en -applicaties werden vroeger wel intern beschikbaar gesteld, maar medewerkers hadden geen inspraak in (of controle over) hoe, wat of waar die tools te gebruiken op kantoor. Met de komst van de cloud en services in de cloud, zijn we in de afgelopen tien jaar langzaamaan getuige geworden van de democratisering van it.
Verwachtingen veranderen mee
De hoofdreden voor deze verandering is de groeiende impact van technologie op het leven van mensen; de verwachtingen van gebruikers veranderen mee. De toenemende afhankelijkheid van het internet en de groeiende populariteit van sociale media zorgen ervoor dat it gestaag is uitgegroeid tot een verlengstuk van ons leven. Dit verandert de verwachtingen van individuen over hoe, wanneer en in welke mate zij toegang hebben tot technologie.
Vroeger werd it enkel geassocieerd met een zakelijke omgeving. Inmiddels is it niet meer weg te denken uit ons privéleven. Individuen verwachten technologie steeds vaker en op steeds meer plekken te kunnen gebruiken: thuis, op kantoor, onderweg, in winkels, et cetera. Nog uitdagender is de verwachting dat die it-ervaring naadloos verloopt, waarbij zakelijk en privé gebruik van it ongemerkt in elkaar overloopt. Mensen willen (en verwachten) volledige controle over hun it-ervaring, waarbij applicaties zich aanpassen op basis van het apparaat dat zij gebruiken. Mensen maken vandaag de dag aanspraak op het recht om zelf te bepalen hoe ze it gebruiken.
It is inmiddels veel meer dan slechts een tool voor het openen of organiseren van informatie op de werkvloer; het is een tool die medewerkers gebruiken voor nagenoeg elk aspect van hun werkzaamheden. Alles bevindt zich in de it-suite van het bedrijf: van communicatie en documentatie tot organisatie en bedrijfsmanagement. Nu organisaties zo sterk afhankelijk zijn van it, is het binnen no-time ook een belangrijk onderdeel van het bedrijfsmodel geworden.
Vervaagde grens
Het concept van een desktop op een bureau bestaat nog steeds, maar is wel degelijk veranderd door de introductie van de smartphone. Persoonlijke apparaten die worden meegenomen naar kantoor vervangen nog niet de devices waarin de werkgever voorziet, maar spelen al wel een aanzienlijke rol in het vervagen van de grens tussen werk en privé. De attitude ten opzichte van technologie in de werkomgeving ontwikkelt zich. De invloed van ‘bring-your-own-device’ (byod) zorgt ervoor dat it-teams moeten voorzien in een efficiënte, beheersbare strategie die tegemoet komt aan steeds veeleisendere werknemers die hun eigen apparaten willen gebruiken.
Zowel vanuit een werknemers- als organisatieperspectief heeft een meer mobiele beroepsbevolking duidelijke voordelen. Het zorgt echter ook voor een nieuwe uitdaging voor it-afdelingen die gevoelige bedrijfsinformatie moeten beschermen. Of het nu om een eigen iPhone of een zakelijk toestel gaat: medewerkers zullen het apparaat waarschijnlijk voor zowel zakelijke als persoonlijke doeleinden gebruiken. Ze zullen applicaties downloaden en openen, en daarvoor persoonlijke online inloggegevens en Apple id’s gebruiken. Dit roept de belangrijke vraag omtrent controle op.
Vijftien jaar geleden konden werknemers hun zakelijke devices enkel personaliseren door een andere screensaver te kiezen. Tegenwoordig willen ze hun interface op alle mogelijke manieren aanpassen. Als gevolg daarvan heeft elke device andere apps, documenten en gegevens – afhankelijk van de applicaties die de eigenaar kiest. Er is een duidelijke trend van organisaties die hun werknemers zelf laten beslissen hoe ze hun werk managen, waarbij de focus ligt op de beoogde resultaten en niet op de input (tools) van de organisatie. Medewerkers hebben nu dus veel meer te zeggen over welke tools ze gebruiken op welke manier. Wat betekent dat voor de security?
Opmars van zero trust
Het is goed om te zien dat medewerkers inspraak hebben, maar organisaties moeten rekening houden met de daaruit voortkomende risico’s. Het is zoeken naar een balans tussen de democratisering van it en nieuwe security-risico’s als gevolg daarvan. Met corporate assets in zowel het ‘traditionele’ datacenter als private en public clouds, is het essentieel om een device en de persoon daarachter te verifiëren – onafhankelijk of deze zich binnen of buiten de perimeter van het netwerk bevinden. Het nieuwe buzz-woord ‘zero trust networking’ vraagt om strikte identiteitsverificatie van iedereen die toegang vraagt tot bedrijfsmiddelen, waarbij niet zomaar iedereen binnen de perimeter vertrouwd wordt.
Het ‘zero trust’-concept is een sterke verandering van aanpak, maar het is natuurlijk geen heilige graal. Het dreigingslandschap zal blijven veranderen, en er zijn constant allerlei maatregelen voor (en controles van) processen, mensen en technologieën benodigd om op te blijven boksen tegen bedreigingen. Organisaties kunnen de democratisering van it niet negeren en moeten hun medewerkers de controle en toegang geven die zij nodig hebben. Tegelijkertijd moet er binnen bedrijven een shift plaatsvinden van gecentraliseerde bescherming naar bescherming op individueel niveau. Een belangrijk aspect daarbij is het behouden van bewustzijn en begrip van de gebruikersomgeving. Daarvoor moet een moderne ciso precies weten op welke manier medewerkers – ook wel ‘zakelijke inwoners’ genoemd – it gebruiken, en hoe de organisatie omgaat met de dagelijkse it-veranderingen. Alleen met dat bewustzijn en door de reactie die daarop volgt, kunnen organisaties profiteren van de best haalbare resultaten.
Moderne technologie biedt ons de mogelijkheid om individuen toegang en controle te geven op medewerkersniveau. Zero trust networking zal een belangrijke rol spelen in de nieuwe wereld van gedemocratiseerd gebruik van it. Het geeft it-afdelingen mandaat terug: controle over hun netwerkverkeer gaat gepaard met een verbeterde houding ten opzichte van security binnen de gehele organisatie.
“Organisaties kunnen de democratisering van it niet negeren en moeten hun medewerkers de controle en toegang geven die zij nodig hebben.”
Democratisering van IT is gezien de hiërarchische verhoudingen een onjuiste term, het gaat dan ook fout bij het moeten. Organisaties kunnen de wil van de medewerker eenvoudig negeren door even te wijzen op wie de rekening voor al die aanvullende beveiligingen moet betalen.
prive IT : facebook, gmail, google maps, tweakers, marktplaats : democratisch zal allemaal wel
business IT : Jira, SAN, Active Directory, LDAP, VPN naar office, AWS, Azure, IaaS, PaaS : zero trust, oauth, 2 factor, IP check, firewall.
om nog eens naar Pafkes https://www.computable.nl/artikel/opinie/development/4799651/1509029/in-de-ict-bestaat-de-niet.html te wijzen.
En zolang bring-your-own-salary niet populair is, heeft Ewout ook een punt.