De mensheid staat middenin de informatiesamenleving die langzaam maar zeker vorm begint te krijgen. Vreemd genoeg is de ict-industrie, de branche die dit mogelijk maakt, zelf nog in een embryonaal stadium blijven steken. Ik bedoel dat opdrachtgever, leverancier, hoster en gebruiker zich nauwelijks bewust zijn van hun rol.
Als gevolg hiervan hebben we een gebrekkige set aan afspraken om informatie vertrouwd, veilig en correct te verwerken. Zo kunnen verhalen ontstaan van managers die gaan werken bij een organisatie en eisen dat ze hun privé iPhone als werktoestel kunnen gebruiken. Vanwege de extra beveiliging die daarvoor nodig is, kom datzelfde toestel al ‘onwerkbaar’ te boek te staan.
Juist ten aanzien van het management ontstaat er een felle strijd tussen twee belangen: dat van de manager en dat van de bedrijfsprocessen. Aangezien de manager vaak de baas is over de primaire bedrijfsprocessen wint de behoefte aan gadgets – ‘boys will be boys’ – het van het hogere belang. Dit komt niet voort uit onwil, desinteresse of zelfs haat jegens de organisatie, maar meer uit een diepgeworteld ongeloof dat de risico’s, die zelfs in het dagelijks nieuws worden beschreven, realistisch zijn.
En zelfs wanneer het vermoeden bestaat dat er gevaren zijn, dan nog is het voor velen moeilijk invoelbaar dat er consequenties zijn. Wie een buschauffeur ziet spelen met een mobiel tijdens het rijden, begrijpt meteen dat dit gevaarlijk en onwenselijk gedrag is. Toch vinden het meenemen van een eigen apparaat naar het werk en het daar ook gebruiken volstrekt onschuldig.
Het ontbreekt veelal aan duidelijke kaders en risicoanalyses waaruit blijkt wat de gevaren nou echt zijn. De onderbouwing van gevaren is dus mager en als ze er al zijn dan ontbreekt het vaak aan goede mitigerende maatregelen voor de geïdentificeerde risico’s. Maar zelfs als die maatregelen er wel zijn, dan nog zijn verantwoordelijkheden onvoldoende belegd. En wat het helemaal ondoorzichtig maakt is dat niet duidelijk is wie wij op wat kunnen aanspreken.
Precies dat laatste is misschien wel de kern van de zaak. Want door verantwoordelijkheden nadrukkelijk te beleggen wordt de economie aangesproken. Je verandert daarmee het speelveld. In plaats van dat het gaat om een gadget versus een vaag risico voor het proces, gaat het om de strijd tussen een gadget versus een risico voor de medewerker. Het wordt een ‘governance dingetje’ en dat is toch ongemakkelijk.
Het is de hoogste tijd dat we verantwoordelijkheden gaan beleggen waar ze thuis horen. Want juist in informatiebeveiliging is het centrale kenmerk dat de echte slachtoffers (de mensen van wie gegevens worden gestolen) weinig tot geen regie over hun data hebben. Als mensen zelf hun apparatuur willen beheren is dat prima, maar dan moeten ze er ook echt verantwoordelijk voor zijn.
