In veel organi­sa­ties is het nog steeds gangbaar dat afdelingen zelfstandig digitale appli­ca­ties aanschaffen, zonder goedkeu­ring of controle vanuit IT of security. Volgens Matthijs van der Wel-ter Weel, Strategic Advisor bij Orange Cyber­de­fense, ontstaat hierdoor een onaccep­tabel bestuurs­ri­sico. Met de opkomst van genera­tieve AI versnelt deze trend: het risico van ‘shadow IT’ breidt zich nu uit naar ‘shadow AI’. Organi­sa­ties moeten snel maatre­gelen nemen om grip te houden op digitale besluitvorming. 

Het is volgens Van der Wel-ter Weel vreemd dat we bij IT andere normen hanteren dan bij decla­ra­ties. “Het is ondenk­baar dat afdelingen zelfstandig grote finan­ciële beslis­singen nemen. Voor de aanschaf van tools lijken andere normen te gelden, terwijl de risico’s ervan minstens zo groot zijn.”

De verant­woor­de­lijk­heid voor compli­ance van cyber­se­cu­rity komt in de praktijk vaak terecht bij de Chief Infor­ma­tion Security Officer (CISO) in plaats van de compli­ance-afdeling. Volgens Van der Wel-ter Weel is dat onterecht. “De NIS2-richt­lijn maakt duide­lijk dat compli­ance een verant­woor­de­lijk­heid is van de hele organi­satie en niet alleen van de securi­ty­af­de­ling. Toch blijven nog te veel organi­sa­ties hangen in de reflex om alles bij security neer te leggen.”

NIS2 uitgesteld, maar risico’s blijven

Hoewel de imple­men­tatie van de NIS2-richt­lijn wederom is uitge­steld, blijft de noodzaak om risico’s te beheersen onver­min­derd groot. “NIS2 dwingt organi­sa­ties om verant­woor­de­lijk­heid te nemen”, aldus Van der Wel-ter Weel. “Dat vraagt om struc­tu­rele samen­wer­king tussen bestuur, security, audit en compli­ance. Niet pas als de wet in werking treedt, maar nu al.”

Drie maatregelen om digitale controle terug te pakken

Hoe keren organi­sa­ties dit tij? Volgens Orange Cyber­de­fense zijn er drie strate­gi­sche maatre­gelen nodig om de regie over digitale besluit­vor­ming terug te pakken:

1. Voer IT-governance gelijkwaardig aan financiële governance

Organi­sa­ties moeten volgens Van der Wel-ter Weel hun IT-gover­nance op gelijke hoogte brengen met hun finan­ciële gover­nance. Waar niemand zomaar een dure laptop of bedrijfs­wagen mag aanschaffen zonder goedkeu­ring, gebeurt dit bij digitale tools nog opval­lend vaak wél. Afdelingen en zelfs indivi­duele medewer­kers kiezen eigen­handig cloud­soft­ware of AI-tools, buiten het zicht van IT of security. 

Om dit te voorkomen moeten organi­sa­ties centrale goedkeu­rings­pro­ce­dures instellen voor alle digitale toepas­singen, ongeacht de kosten”, zegt Van der Wel-ter Weel. Ook helpt het om een toegan­ke­lijke lijst met goedge­keurde tools te publi­ceren en actief te monitoren op afwij­kende digitale uitgaven. Bijvoor­beeld via corpo­rate credit­cards of analyse van het internetverkeer.

2. Versterk de rol van internal audit en compliance

Daarnaast is het volgens hem van belang dat de afdelingen interne audits en compli­ance veel struc­tu­reler worden betrokken bij digitale risico’s. In veel organi­sa­ties houden zij zich vooral bezig met finan­ciële of juridi­sche controle, terwijl hun toetsende blik ook van grote waarde is bij IT-compli­ance en cybersecurity. 

Door interne audits bijvoor­beeld perio­diek te laten toetsen of afdelingen zich houden aan het centrale IT-beleid, ontstaat beter zicht op risico’s. Ook zouden compli­ance-afdelingen actief moeten meedenken over beleid rondom AI en data, in samen­wer­king met IT, security en juridi­sche afdelingen. Een multi­dis­ci­pli­nair gover­nance-team helpt hierbij om toezicht en beleid beter op elkaar af te stemmen.

3. Introduceer expliciet AI-beleid en trainingen

De opkomst van genera­tieve AI vraagt om duide­lijk beleid en training. Veel medewer­kers hebben geen idee welke risico’s er kleven aan het gebruik van niet-gevali­deerde AI-tools, plug-ins of browser­ex­ten­sies. Zonder duide­lijke richt­lijnen blijven zij in goed vertrouwen experi­men­teren, met alle risico’s van dien. 

Van der Wel-ter Weel: “Stel daarom heldere gedrags­re­gels op over wat wel mag, wat niet, en waarom niet. Combi­neer deze regels met prakti­sche aware­ness-sessies, zodat je bouwt aan bewust­wor­ding zonder de innovatie te remmen. Een laagdrem­pe­lige interne ‘AI-helpdesk’ of aanspreek­punt kan medewer­kers boven­dien helpen bij twijfel of vragen.”

Blinde vlek

Zonder dit gedeeld eigenaar­schap blijft IT een blinde vlek in de bestuurs­struc­tuur en dat is precies waar shadow IT en shadow AI kunnen gedijen. Van der Wel-ter Weel: “De kern van het probleem zit niet in de techniek, maar in besluit­vor­ming en gedrag. Pas als bestuur, compli­ance, audit en security samen­werken vanuit gedeelde spelre­gels, ontstaat er duurzame grip op digitale risico’s. En dat is cruciaal, want AI en digita­li­se­ring zullen het tempo alleen maar opvoeren.”