Bescherming tegen digitaal onheil is een samenspel tussen de belangen van de gebruikers, techniek en security. Dus waarom de systeembeheerder de schuld geven? | opinie

'De systeembeheerder bepaald niet welke applicatie er wordt aangeschaft of wanneer deze wordt vervangen.' Foto: Shutterstock

Bescherming tegen digitaal onheil is een samenspel tussen de belangen van de gebruikers, techniek en security, stelt Richard Wijngaard. Volgens hem ligt de oplossing in het samenwerken van alle betrokkenen.
Lees meer over
Opinie

In het opiniestuk van Willem Jonker in het Dagblad van het Noorden van 9 april (‘IT-beveiliging vaak onnodig ingewikkeld’) wordt een beeld van de systeembeheerder geschetst die mij doet denken aan de jaren 90 van de vorige eeuw. Als klap op de vuurpijl wordt de systeembeheerder ook nog weggezet als ‘vervelende trol’.

Als het probleem zo eenvoudig was als in zijn stuk wordt geschetst, vraag je je af waarom het probleem er überhaupt nog is. Systeembeheerders weten in de regel prima wat er aan technische mogelijkheden beschikbaar is.

Voor de goede orde: we hebben het over dezelfde systeembeheerders als die het aan het begin van de coronapandemie in no time mogelijk maakten dat iedereen tijdens de lockdown thuis kon werken. Het zal vast niet ideaal zijn geweest, maar organisaties konden daardoor wel blijven functioneren.

Simpele oplossingen versus geld, beleid en governance

Jonker doet alsof alle strubbelingen met een paar simpele handelingen door een systeembeheerder opgelost hadden kunnen worden. Hij vergeet daarbij een aantal belangrijke aspecten: geld, beleid en governance. Natuurlijk zijn er technische oplossingen die aanmeldprocessen voor de gebruiker beter stroomlijnen. Maar die oplossingen kosten geld, veel geld. Het is aan de organisatie of zij de investering waard vindt, niet aan de systeembeheerder. Anders moet die het doen met de middelen die hij heeft.

Uiteraard zou het ideaal zijn als de gebruiker met slechts één keer aanmelden toegang krijgt tot alle bedrijfsfuncties die hij nodig heeft voor zijn werk. Er zijn inderdaad applicaties waar nog een keer extra voor moet worden aangemeld. Of dat met een Single Sign On ervaring kan, hangt sterk af van de applicatie zelf. Daar heeft de systeembeheerder geen invloed op.

De systeembeheerder bepaald niet welke applicatie er wordt aangeschaft of wanneer deze wordt vervangen. Als hij geluk heeft wordt hem gevraagd aan welke criteria een applicatie technisch moet voldoen.

IT-omgeving lijkt op wegennet

De IT-omgeving van een organisatie is een omgeving die overeenkomsten heeft met het wegennet. Het is een gedeelde infrastructuur. Iedere deelnemer kan profiteren van deze infrastructuur. Om dat in goede banen te leiden zijn er verkeersregels afgesproken. Voor de IT-omgeving zijn die verkeersregels vervat in een gedragscode. Van ‘bovenaf’ worden er regels opgesteld die ervoor moeten zorgen dat elke medewerker ongehinderd zijn werk kan doen.

Elke zichzelf respecterende organisatie kent een gedragscode over wat er wordt verwacht van medewerkers, wanneer zij gebruik maken van IT-middelen van hun organisatie. Dat zal op het ministerie waar minister De Jonge werkzaam is niet anders zijn. Net als in andere organisaties zal ook daar wel eens een regel worden overtreden.

Wat anders is, is dat minister De Jonge wordt aangesproken op zijn gedrag. Het is een intelligente man, hij weet ook wel van het bestaan van die regels af. In alle (begrijpelijke) hectiek heeft hij de keuze gemaakt zich niet aan die regels te houden. Dat kan, maar dan niet piepen als je erop wordt aangesproken.

Vaak niet aangesproken op hun gedrag

Vaak worden mensen in organisaties niet aangesproken op hun gedrag als ze bij het gebruik van IT-middelen van de organisatie de gedragscode overtreden. Er wordt dan naar de systeembeheerder gewezen die het maar met techniek op moet lossen binnen de mogelijkheden die hij heeft.

Het is een utopie te denken dat met techniek alle securityrisico’s zijn af te dekken. Daarom wordt een deel van deze risico’s afgedekt in een gedragscode. Die gedragscode is niet door de systeembeheerder opgesteld. Hij zou wel geholpen zijn als de organisatie hem steunt bij het naleven ervan.

Informatiebeveiliging binnen een organisatie gaat vooral over het toepassen van maatregelen die moeten beschermen tegen digitaal onheil. Dat is binnen de kaders van het organisatiebelang (voldoen aan wet- en regelgeving) een samenspel tussen de belangen van de gebruikers, techniek en security. Elk van die belanghebbers heeft een inspanningsverplichting om bij te dragen aan het geheel. Dan helpt het niet om één van hen weg te zetten als veroorzaker van een fout die iemand anders willens en wetens maakt.

Jonker zou zijn oor eens te luister moeten leggen

Als de heer Jonker volgende week weer in de boardroom zit met de CIO, CFO, CISO en de CTO zou ik hem willen adviseren zijn oor eens te luister te leggen bij de CTO. Vraag deze persoon eens of het opiniestuk misschien een klein beetje nuance mist.

Als de heer Jonker tot de conclusie komt dat dit inderdaad het geval is, zou het hem sieren als hij naar de systeembeheerders van zijn organisatie toe gaat en met ze gaat praten. Vraag wat ze nodig hebben. Systeembeheerders willen namelijk ook bijdragen aan de missie en de visie van de organisatie. Ze spreken misschien alleen een ‘andere’ taal. De oplossing ligt in het samenwerken van alle betrokkenen.

Ing. Richard Wijngaard is IT-Engineer in het UMCG

Nieuws

menu