Als zakelijke beslissers besluiten de securityregels te omzeilen, doen ze dat in de regel om operationele efficiƫntie te verbeteren en niet om de organisatie willens en wetens in gevaar te brengen. Maar de weg naar de hel is geplaveid met goede voornemens.

Een recent onderzoek van Code42 wijst uit dat CEO's, de algemene directeuren dus, de grootste aanjagers zijn van schaduw-IT, terwijl ze best weten dat dat een risico vormt. Het onderzoek toonde aan dat 75 procent van de CEO's en meer dan de helft van de zakelijke beslissers in een bedrijf toegeven dat ze applicaties of programma's gebruiken die niet zijn goedgekeurd door hun IT-afdeling.

Rick Orloff, CSO bij Code42, zegt dat dit een duidelijk voorbeeld is van het dwingende gedrag van beslissers. "Ze willen het op hun manier doen. Dit gedrag is mogelijk een indicatie dat hun IT-leider of securityprofessional niet wordt betrokken in de hoogste rangen van de organisatie."

Als de IT-leiders of chief security officer (CSO) rapporteren aan de CEO of COO krijgen ze een beter inzicht in hetgeen gebeurt en kunnen ze maatregelen nemen om tools te implementeren die dan op de juiste manier kunnen worden gebruikt, zegt Orloff. "Het is een probleem dat makkelijk kan worden voorkomen als de CSO of IT-leider rapporteert aan de directie."

Natuurlijk zijn de directeuren niet de enige die schuldig zijn aan security-ontwijkend gedrag. In sommige gevallen zijn het de securitymensen zelf die risico nemen, zegt Orloff. "Ze downloaden een tool en het blijkt dan dat die tool allerlei risico's met zich meebrengt."

Een voorbeeld hierin zou een white hat-hacker zijn die een wachtwoordkraker downloadt om de wachtwoorden in de organisatie te testen. "Het kraken van wachtwoorden levert complianceproblemen op", zegt Orloff, die eraan toevoegt dat "er manieren zijn om dat te doen zonder risico te nemen, maar het moet allemaal wel heel zorgvuldig en doordacht gebeuren."

In het geval van managers die zich bezighouden met schaduw-IT, zegt Orloff dat het waarschijnlijk is dat ze geen goede relatie hebben met de securitymensen. Maar, zo vindt Ryan Stolte, CTO van Bay Dynamics, securityprofessionals die hun eigen regels omzeilen, hebben te maken met een informatie-overload.

"Het steeds maar weer terugkomende probleem dat hen de grenzen doet opzoeken is dat er veel te veel informatie op hen afkomt over kwetsbaarheden en bedreigingen", stelt Stolte. En als securityprofessionals zich ondergesneeuwd voelen, dan schakelen ze terug naar hun instinct. "Ze vertrouwen op hun ervaring en wantrouwen de binnenkomende informatie."

Organisaties zijn kwetsbaar en lijken vanuit alle hoeken en gaten aangevallen te worden. Het is daarin makkelijk om bedolven te raken onder alle alarmsignalen. En als dat gebeurt "vallen ze terug op hetgeen in het verleden goed heeft gewerkt. In ondoorzichtige situaties vallen ze terug op wat ze kennen."

Securityprofessionals die verzuipen in de materie nemen een jachthouding aan en negeren de data op een gegeven moment. "Ze nemen er vluchtig kennis van en zoeken naar specifieke patronen die ze kennen vanuit het verleden", zegt Stolte.

En na een incident, als de forensische experts binnenkomen, merken ze dat het bewijs onder hun ogen lag, maar dat ze het niet hebben gezien.