Joost Gadellaa - Oh nee, Schaduw-ICT!
Abstract
Schaduw-ICT is een terugkerend fenomeen in allerlei discussies over informatiebeveiliging, privacy en compliance. Voor SURF heb ik onderzoek gedaan naar mogelijke risico’s die het veroorzaakt in het hoger onderwijs en denk dat de bevindingen breed toepasbaar zijn. Schaduw-ICT verwijst naar ICT-middelen die zonder officiële goedkeuring of zelfs kennis van een ICT-afdeling worden gebruikt. Bestaand onderzoek suggereert dat dit verlies van controle ernstige gevolgen heeft voor de cyberbeveiliging, maar over technische details (of oplossingen) van die gevolgen blijft het vaak op de vlakte. Mijn afstudeeronderzoek bij SURF omvatte een literatuurstudie en interviews met elf informatiebeveiligingsprofessionals over hun ervaringen met schaduw-ICT. Uitkomsten tonen aan dat schaduw-IT veelvormig is en in alle lagen van allerlei organisaties voorkomt en een boel risico’s met zich mee kan brengen, maar ook dat de oplossingen niet ver weg zijn. De resultaten leidden tot de identificatie van verschillende typen risicos en mogelijke tegenmaatregelen. Het blijkt dat een verantwoorde omgang met schaduw-ICT heel haalbaar is, mits organisaties hun bestaande verdedigingsmaatregelen aanpassen. Verbieden van schaduw-IT is noch haalbaar noch wenselijk; de uitkomsten van dit onderzoek geven aanbevelingen om verantwoord Schaduw-ICT toe te laten.
Biografie
Joost is Technisch Productmanager bij SURF, de ict-coöperatie van onderwijs en onderzoek in Nederland. In zijn rol is hij betrokken bij het leveren van diverse securitydiensten, zoals emailbeveiliging en certificateninfrastructuur. Hij werkt nauw samen met de leden van de coöperatie om nieuwe behoeften in cybersecurity te identificeren. Op het moment is hij bijvoorbeeld bezig met het ondersteunen van weerbaarheidstesten (red teaming, hacking-evenementen, attack surface mapping, etc.).
Zijn interesse in open-source en open standaarden, probeert hij zowel professioneel als in zijn hobbies in de praktijk te brengen. Joost heeft een master in Bedrijfsinformatica behaald aan de Universiteit Utrecht en een bachelor in Economie, met focus op governance, gedrag en de raakvlakken met Informatica. Bij SURF heeft hij een masterscriptie geschreven over de rol van Schaduw ICT binnen de informatiebeveiliging van onderwijsinstellingen, iets waar hij nog graag over doorpraat.
Spreker
