In de wereld van cybersecurity is één ding zeker: als je als securityteam “nee” zegt, zullen gebruikers altijd “hoe dan wel?” zeggen — en hun oplossing zal zelden veilig zijn.
Te vaak positioneert security zich als de rem op innovatie. Maar de beste remmen bestaan niet om te stoppen — ze bestaan zodat je veilig sneller kunt gaan. Dat is precies hoe moderne security moet werken: als enabler van gecontroleerde groei, niet als obstakel.
Van ‘Department of No’ naar ‘Department of How’
De geschiedenis herhaalt zich.
Elke keer dat security-teams technologie hebben afgewezen, vonden gebruikers een manier om het tóch te gebruiken:
- Bring Your Own Device (BYOD) – verboden laptops werden stiekem aangesloten, vaak besmet met malware.
- Mobiele e-mail – medewerkers stuurden berichten door naar hun persoonlijke inboxen.
- Wi-Fi – verboden access points werden zelf gekocht en ongecontroleerd geïnstalleerd, met alle gevolgen (en uitval!) van dien
- Cloud & File Sharing – toen het niet mocht, ontstond “shadow IT”, bijvoorbeeld Dropbox terwijl OneDrive het beleid is
- AI – en vandaag zien we hetzelfde gebeuren met shadow AI.
Het patroon is duidelijk: verbieden leidt tot onzichtbare risico’s. Controleren en faciliteren leidt tot zichtbaarheid en veiligheid.
Hoe je “hoe” zegt zonder risico’s te vergroten
- Beoordeel het échte risico – niet alleen het theoretische gevaar, maar ook de risico’s van verbieden.
- Bied veilige alternatieven – bijvoorbeeld een goedgekeurde cloudoplossing of een intern AI-platform.
- Train medewerkers – maak van gebruikers partners in security, niet tegenstanders.
- Ontdek wat er al gebeurt – monitor op shadow IT en shadow AI.
Conclusie
Security die zich opstelt als blokkade verliest de controle. Security die zich opstelt als partner van innovatie behoudt de regie en krijgt de kans aan de innovatie bij te dragen.
Of zoals Jeff Crume van IBM Technology het mooi zegt:
“Het is beter om op de trein te springen en mee te sturen, dan ervoor te gaan staan en ‘stop!’ te roepen.”
Dus: zeg niet nee — zeg hoe.