Orange Cyberdefense: “Ongecontroleerde aanschaf digitale tools is onaanvaardbaar bestuursrisico” 

In veel organisaties is het nog steeds gangbaar dat afdelingen zelfstandig digitale applicaties aanschaffen, zonder goedkeuring of controle vanuit IT of security. Volgens Matthijs van der Wel-ter Weel, Strategic Advisor bij Orange Cyberdefense, ontstaat hierdoor een onacceptabel bestuursrisico. Met de opkomst van generatieve AI versnelt deze trend: het risico van ‘shadow IT’ breidt zich nu uit naar ‘shadow AI’. Organisaties moeten snel maatregelen nemen om grip te houden op digitale besluitvorming.

Het is volgens Van der Wel-ter Weel vreemd dat we bij IT andere normen hanteren dan bij declaraties. “Het is ondenkbaar dat afdelingen zelfstandig grote financiële beslissingen nemen. Voor de aanschaf van tools lijken andere normen te gelden, terwijl de risico’s ervan minstens zo groot zijn.”

De verantwoordelijkheid voor compliance van cybersecurity komt in de praktijk vaak terecht bij de Chief Information Security Officer (CISO) in plaats van de compliance-afdeling. Volgens Van der Wel-ter Weel is dat onterecht. “De NIS2-richtlijn maakt duidelijk dat compliance een verantwoordelijkheid is van de hele organisatie en niet alleen van de securityafdeling. Toch blijven nog te veel organisaties hangen in de reflex om alles bij security neer te leggen.”

NIS2 uitgesteld, maar risico’s blijven
Hoewel de implementatie van de NIS2-richtlijn wederom is uitgesteld, blijft de noodzaak om risico’s te beheersen onverminderd groot. “NIS2 dwingt organisaties om verantwoordelijkheid te nemen”, aldus Van der Wel-ter Weel. “Dat vraagt om structurele samenwerking tussen bestuur, security, audit en compliance. Niet pas als de wet in werking treedt, maar nu al.”

Drie maatregelen om digitale controle terug te pakken
Hoe keren organisaties dit tij? Volgens Orange Cyberdefense zijn er drie strategische maatregelen nodig om de regie over digitale besluitvorming terug te pakken:

1. Voer IT-governance gelijkwaardig aan financiële governance
Organisaties moeten volgens Van der Wel-ter Weel hun IT-governance op gelijke hoogte brengen met hun financiële governance. Waar niemand zomaar een dure laptop of bedrijfswagen mag aanschaffen zonder goedkeuring, gebeurt dit bij digitale tools nog opvallend vaak wél. Afdelingen en zelfs individuele medewerkers kiezen eigenhandig cloudsoftware of AI-tools, buiten het zicht van IT of security.

Om dit te voorkomen moeten organisaties centrale goedkeuringsprocedures instellen voor alle digitale toepassingen, ongeacht de kosten”, zegt Van der Wel-ter Weel. Ook helpt het om een toegankelijke lijst met goedgekeurde tools te publiceren en actief te monitoren op afwijkende digitale uitgaven. Bijvoorbeeld via corporate creditcards of analyse van het internetverkeer.

2. Versterk de rol van internal audit en compliance
Daarnaast is het volgens hem van belang dat de afdelingen interne audits en compliance veel structureler worden betrokken bij digitale risico’s. In veel organisaties houden zij zich vooral bezig met financiële of juridische controle, terwijl hun toetsende blik ook van grote waarde is bij IT-compliance en cybersecurity.

Door interne audits bijvoorbeeld periodiek te laten toetsen of afdelingen zich houden aan het centrale IT-beleid, ontstaat beter zicht op risico’s. Ook zouden compliance-afdelingen actief moeten meedenken over beleid rondom AI en data, in samenwerking met IT, security en juridische afdelingen. Een multidisciplinair governance-team helpt hierbij om toezicht en beleid beter op elkaar af te stemmen.

3. Introduceer expliciet AI-beleid en trainingen
De opkomst van generatieve AI vraagt om duidelijk beleid en training. Veel medewerkers hebben geen idee welke risico’s er kleven aan het gebruik van niet-gevalideerde AI-tools, plug-ins of browserextensies. Zonder duidelijke richtlijnen blijven zij in goed vertrouwen experimenteren, met alle risico’s van dien.

Van der Wel-ter Weel: “Stel daarom heldere gedragsregels op over wat wel mag, wat niet, en waarom niet. Combineer deze regels met praktische awareness-sessies, zodat je bouwt aan bewustwording zonder de innovatie te remmen. Een laagdrempelige interne ‘AI-helpdesk’ of aanspreekpunt kan medewerkers bovendien helpen bij twijfel of vragen.”

Blinde vlek
Zonder dit gedeeld eigenaarschap blijft IT een blinde vlek in de bestuursstructuur en dat is precies waar shadow IT en shadow AI kunnen gedijen. Van der Wel-ter Weel: “De kern van het probleem zit niet in de techniek, maar in besluitvorming en gedrag. Pas als bestuur, compliance, audit en security samenwerken vanuit gedeelde spelregels, ontstaat er duurzame grip op digitale risico’s. En dat is cruciaal, want AI en digitalisering zullen het tempo alleen maar opvoeren.”