It- en met name security-oplossingen kunnen nog zo mooi zijn, als ze de gebruiker ook maar op een of andere manier hinderen in zijn werk, dan zal hij de oplossing niet gebruiken. Sterker nog, dan zal hij er alles aan doen de oplossing te omzeilen. Uiteindelijk gaat het erom dat security transparant moet zijn én uitlegbaar. De gebruiker wil iets, it faciliteert dit en zorgt vervolgens dat het veilig gebeurt.
We kennen het verhaal dat de it-afdeling ooit bekendstond als het Department of No. In de afgelopen decennia zijn er mooie ontwikkelingen geweest, maar de it-afdeling (en vooral de security-tak) stond niet te springen om nieuwe technologieën en werkwijzen te ondersteunen. Dit is langzaam aan het veranderen, waarbij het begint met de fundamentele stap: onderzoek waarom de gebruiker iets wil en probeer hem daarin te faciliteren,
Verleden
In het verleden heb ik al heel wat omslachtige processen de revue zien passeren. Ontwikkelaars die gebruik wilden maken van de cloud om agile te werken, hebben doorgaans geen tijd om een paar weken te wachten tot de it-afdeling een verzoek heeft goedgekeurd. Daar is de gebruiker dus niet mee gebaat. Het liefst creëer je een situatie waarbij transparant is wat je wil en de gebruikers ook nog voordelen ervaren, bijvoorbeeld omdat de performance verbetert. De geboden oplossing moet goed worden doordacht en eenvoudig zijn. Een gebruiker wil gewoon zijn werk doen en niet nadenken over de beste of veiligste manier om verbinding te maken met het netwerk of een applicatie in de cloud. Hij moet zijn werk kunnen doen en infrastructuur moet zo zijn ingericht dat alles vanzelf gaat.
We zien dat it-afdelingen meer faciliteren in plaats van regisseren en minder vaak ‘nee’ zeggen. Ze zijn steeds meer een business enabler en denken mee met de business en gebruikers. In deze Covid-19-crisis zien we ook dat it een belangrijke rol heeft in het faciliteren van thuiswerken en op die wijze bijdragen aan de bedrijfscontinuïteit. Dit moet niet alleen in zeer korte tijd zijn geregeld, maar betekent ook een security-uitdaging. Hoe krijg je het voor elkaar dat al die gebruikers veilig werken vanuit de thuisomgeving?
We zien veel organisaties worstelen met het verkeer van ál die thuiswerkers. Die moet alsnog terug geleid worden naar het hoofdkantoor, onder meer voor de security-checks. Dat werkt ontzettend veel performance-issues in de hand met ook weer allerlei bijkomende problemen, zoals gebruikers die de officiële ‘wegen’ omzeilen.
Security sluit niet aan
En zo zijn er meer voorbeelden van situaties waarin de security niet goed aansluit op de behoefte van de gebruiker, maar ook op de it-afdeling. Denk aan virtuele firewalls. Leuk dat die firewall in de cloud draait, maar het blijft gewoon dezelfde firewall die alleen maar ergens anders draait. Zo zal deze nog steeds geprovisioned moeten worden.
Of de ‘mooie belofte’ van hybride security – nog zo’n instinker. Het klinkt leuk om te verkondigen dat je ook gebruikers ‘wat security’ gaat bieden op momenten dat je niet de volledige check kunt doen. Maar hier ontstaat wél een enorm zwakke schakel. Security is security. En als het voor de ene gebruiker belangrijk is, dan is dat ook voor de ander. Hier zou geen onderscheid gemaakt moeten worden. Je gaat als bedrijf voor ‘optimale beveiliging’ en niet voor ‘optimale beveiliging, behalve als…’. Ondenkbaar.
Voor mij geldt: maak het transparant, neem de gebruiker mee in je verhaal en zorg voor de beste security op álle vlakken. Want hoe beter je kunt uitleggen waarom het nodig is, hoe groter de kans dat de gebruiker hier ook rekening mee houdt. En zorg er in elk geval voor dat het hem niet hindert. Bijvoorbeeld door security-checks overal ter wereld dicht bij de gebruiker aan te bieden, waardoor er geen extra vertraging optreedt en ook de laptop niet extra wordt belast.
De allerbelangrijkste boodschap: onderschat je gebruikers niet. Zij hebben een heel ander doel, dus zullen er ook alles aan doen dat zo eenvoudig mogelijk te bereiken. Maak het voor hen dus zo gebruiksvriendelijk. Dan zullen gebruikers juist een security-aanwinst blijken.
