Onlangs mocht ik weer eens op een IT security-congres spreken. Het bleek een mooi moment om mijn beeld van de beroepsgroep bij te stellen. Er zit namelijk beweging in dit deel van het vakgebied. En dat is geen vanzelfsprekende toestand, kan ik u mededelen. Laten we wel wezen: security-experts hebben van nature een iets bedrukter gemoed dan gemiddeld, anders hadden ze wel een alternatief beroep gekozen, bijvoorbeeld in de marketing of het uitgaansleven*.
Het pad dat de traditionele security-expert volgt, is om onverklaarbare redenen altijd bezaaid met beren. Achter elke boom verbergt zich een potentieel gevaar. Het antwoord blijkt niet zelden te liggen in de comfort zone van het uitsluiten van IT-risico’s, bijvoorbeeld door het instellen van procedures, organisatiestructuren, regels en beperkingen. De security-expert – voortgedreven in diens queeste naar zekerheid en controle – richt daarmee barrières op tegen ongewenste verstoringen.
Helaas is dat niet het enige wat wordt tegengehouden. De bedrijfsvoering bijvoorbeeld, floreert er doorgaans ook niet goed bij. Waar ze aan die kant allang de waarde hebben ontdekt van de cloud, mobiele applicaties, open data, real-time intelligence en sociale platforms voor samenwerking, stuiten ze bij de IT-afdeling op het wantrouwige chagrijn van security-experts. Die trekken zich terug achter hun zelf gegraven tankgrachten als het gaat om nieuwe, onbekende en onbewezen technologieën en oplossingen.
Kan niet, mag niet, kom over twee jaar terug: zonder het te weten of te willen bedreven security-experts de afgelopen jaren actief het nobele ambacht van business-preventie (overigens samen met andere ogenschijnlijk hierin gespecialiseerde beroepsgroepen zoals auditors, risk-managers, inkopers, patentjuristen, testers en enterprise-architecten). De IT-afdeling werd steeds meer de Nee-afdeling.
En maar verbaasd zijn dat niemand naast ze wilde zitten in de bedrijfskantine.
Gelukkig is het tij aan het keren. Er is een groep van security-experts ontstaan die door het rouwproces heen is: schijnzekerheden en de illusie van maakbaarheid zijn opgegeven. Daarvoor is risk appetite in de plaats gekomen, een gezonde belangstelling voor het vinden van een optimale balans tussen de belangen en behoeften van de bedrijfsvoering en risico’s. Je kunt niet elke mogelijke verstoring van tevoren bedenken, maar je kunt wel veel beter worden in het tijdig detecteren ervan. Koppel dat met razendsnel kunnen reageren (bijvoorbeeld via een Computer Emergency Readiness / Response Team) en je bent beter dan ooit voorbereid, zonder de vertragende ballast. Situationeel denken en handelen is geboden, niet alle informatie vereist dezelfde bescherming en hoe dichter de beveiliging bij het object zelf wordt opgericht, hoe flexibeler èn effectiever het werkt.
Flauw maar waar, het is allemaal een kwestie van houding. Toen het standaardisatieconsortium The Open Group een referentiearchitectuur voor security in een open, interoperabel netwerk opstelde, werd gesproken van Collaboration Oriented Architecture. En dat was meer dan holle symboliek.
Security-experts hebben de uitdaging om hun expertisegebied los te laten en – al is het maar voor heel even – te verloochenen. Doe eens gek, je zit niet in businesspreventie maar in businessmogelijkheden. Je kijkt naar de technologische innovaties die enthousiasme bij de bedrijfsvoering opwekken (dus nog maar eens: cloud, mobiel, social media, analytics) en gaat na wat er nodig is om een platform te bouwen dat in staat stelt om optimaal, ongehinderd en – uiteraard – veilig de vruchten ervan te plukken.
Vanuit die hoek bekeken wordt risico bijna iets leuks. Of maken we dan weer net te grote stappen voor de security-gemeenschap?
* Onder de doelgroep verstaan we uiteraard niet de zogenaamde ‘ethical hackers’, die nu juist niets leuker vinden dan zorgvuldig opgebouwde zekerheden lek te prikken. Sociaal/antropologisch gezien komen deze van een andere planeet.
Ron Tolido, Senior Vice President and CTO Applications Continental Europe, Capgemini – Director, The Open Group
