Home » Over Next Gen Infra » Ik zeg het gewoon: er is te veel focus op security en compliance

Ik zeg het gewoon: er is te veel focus op security en compliance

Deze zag je misschien niet aankomen in een tijd waarbij het in de IT bijna alleen maar over meer security lijkt te gaan. Maar daarin slaan we door. Let wel, hiermee zeg ik niet dat we minder secure moeten worden, maar er is meer.

Mijn observaties: Op het moment dat security in bepaalde IT domeinen de overhand voert, blijkt dit vaak te leiden tot een dogmatische manier van richtlijnen pushen waarbij discussies en nuances verloren gaan.

Dit leidt vaak tot schijnveiligheid, hoge kosten en veel chagrijn bij eindgebruikers en beheer.

Voorbeeld: De werkplek van de gebruiker. Ik bedrijf vaak architectuur rondom de werkplek in relatie tot de business, security en compliance. Vind ik leuk en kan ik goed.

Als ik kijk naar een aantal werkplekken waar ik de afgelopen jaren vanuit architectuur aan mee heb mogen ontwikkelen stond security, als afdeling binnen het bedrijf, vaak vooraan bij het bepalen van de eisen aan de werkplek.

En dit leidde meer dan eens tot een werkplek die voor de gebruikers vervelend was om te gebruiken en voor beheer erg duur en ingewikkeld was om te beheren. En dat moeten we niet willen.
Stel je een millennial voor die de hele dag met een werkplek moet werken waarbij zelf geen applicaties te installeren zijn en veel settings onveranderlijk zijn; de keuze voor de browser staat vast, de zoekmachine is al geconfigureerd en de startpagina staat vast.

Als de gebruiker vervolgens in de pauze even een privé-mailtje wil checken blijkt dat Gmail niet toegankelijk is net als het privé Dropbox account.

Dit vinden we vanuit security perspectief logisch maar leidt onvermijdelijk tot de bekende schaduw IT. De gebruiker zet een forwarder op de privé mail naar ‘de zaak’ dus die mail komt wel binnen. Het Dropbox account wordt vanaf de eigen telefoon benaderd, daar waarmee waarschijnlijk ook de Exchange online zakelijke mail wordt benaderd. En hier is bijna niets aan te doen.

En als de gebruiker op de dichtgetimmerde werkplek een nieuwe applicatie nodig heeft om het werk goed te doen dan is er minstens een complexe appstore nodig en een systeem dat kortstondig verhoogde rechten geeft om applicaties te installeren. Of IT beheer moet de applicatie voor bepaalde gebruikers zelf met het handje installeren.
Ik ken een organisatie waar honderden installatieverzoeken per week binnenkomen, die allemaal door IT uitgevoerd moeten worden. Resultaat: hoge beheerlast en een geërgerde gebruikers want die moeten soms weken wachten tot de applicatie beschikbaar is.

Nou, de millenials die ik ken hebben ondertussen al lang zelf de applicatie geïnstalleerd op hun eigen Macbook en de zakelijke bestanden doorgemaild om te bewerken. Hoezo secure?

In dit geval is het beter om tijdig te kijken naar wat de gebruiker en de beheerders willen. Dan kan een werkplek ontwikkeld worden die veilig genoeg is, prettig werkt en niet te veel IT resources kost.

Ik zie een onderwerpen indeling volgens onderstaande driehoek:

Van belang is dat voor ieder onderdeel door de domeinen Security, User Experience en Beheer onderzocht wordt waar het specifieke onderdeel zich in de driehoek bevindt en wat dat voor consequenties heeft.

Zo zou voor een user portaal security minder van belang kunnen zijn dan de user experience dat is. Een portaal dat gebruikt wordt om toiletrollen te bestellen is nou eenmaal niet zo spannend, maar het is voor de gebruiker wel essentieel dat dit ding prettig en snel werkt. (Ander gaan ze thuis poepen en dat moeten we niet willen ;-)).

Dus onderzoek voor ieder onderdeel in de organisatie waar deze zich in de driehoek bevindt en bepaal met de drie genoemde afdelingen in de organisatie wat dit voor inrichting vereist om de juiste balans tussen veiligheid, bruikbaarheid en kosten te vinden. Richt een vaste werkgroep op met architecten op het gebied van security, user experience en beheer en stel gebalanceerde uitgangspunten op die aan alle domeinen recht doen.

Dit levert toch de meeste kans op oplossingen die veilig zijn, breed gedragen worden en daadwerkelijk gebruikt worden?