Beveiligen, een kwestie van mentaliteit

Wie is verantwoordelijk voor een goede beveiliging binnen bedrijven? Niet één partij, zo bleek uit een rondetafelgesprek dat Computable met een aantal belanghebbende partijen had tijdens The ICT & Networking Event in de RAI. Gebruikers, leveranciers en integratoren moeten samen de kar trekken om het bedrijf te beveiligen tegen aanvallen van buiten.

Cyberterreur Hoe bang is de beveiligingsindustrie voor cyberterreur? Dat blijkt best mee te vallen. "We hebben de laatste tijd een aantal incidenten gezien waarbij politiek gekleurde websites platgelegd werden. Of dit nou onder de noemer van cyberterrorisme valt durf ik niet te zeggen", stelt Tom Weling. "Wel denk ik dat de Denial of Service (DoS) aanvallen die plaats hebben gevonden richting de Internet DNS rootservers in potentie een echte cyberterrorisme aanval genoemd kan worden, maar naar mijn weten zijn de daders en de beweegredenen niet bekend. Vergeet niet dat de wereldeconomie steeds afhankelijker van het internet wordt. Als een DoS aanval richting kritische onderdelen van het internet de zaak tijdelijk plat kan leggen dat zullen er heel wat mensen wakker geschud worden." Eric van Gend vindt cybervandalisme een groter gevaar dan cyberterrorisme: "Pubers die met eenvoudige tools websites lamleggen. Organisaties dienen dan weer tijd en geld te spenderen om deze websites up and running te brengen en beter te beveiligen wat ook weer geld kost."

"Ik vrees dat ik moet zeggen dat het niet onwaar is dat het vaak de gebruikers zijn die de zwakke plek vormen inzake data security," zegt Marie-José Jamin van de Netwerk Gebruikersgroep Nederland. Volgens Joël Stöcker van Citrix is een afdoende beveiliging zowel een technische kwestie als een zaak van mentaliteit. "Vanuit technisch oogpunt is er veel te beveiligen, als je kijkt naar bijvoorbeeld virussen of het dichtzetten van toepassingen. Wat vooral nodig is, is een goede mentaliteit die bedrijfsbreed aanwezig is en wordt uitgedragen door het management dat daarin een voorbeeldfunctie heeft." Volgens Stöcker ontbreekt het momenteel bij het bedrijfsleven nog aan een goede beveiligingspolitiek. "Grote ondernemingen hebben hier vaak meer in geïnvesteerd, omdat ze eerder het doelwit zijn van aanvallen van buitenaf. Meestal gaat het hier echter om technische beveiliging en in mindere mate om fysieke beveiliging en vaak nog minder om het opleiden van gebruikers om zorgvuldig om te gaan met bedrijfseigendommen en hoe ze verstandig kunnen omgaan met bijvoorbeeld e-mail communicatie."

Achterpoortjes open

Toch gaat ook de markt van beveiligingsbedrijven niet helemaal vrijuit. Vaak laten softwareproducten achterpoortjes open waardoor kwaadwilligen vrij baan krijgen in het datanetwerk van een bedrijf. "Hoewel er op dit moment verschillende organisaties en methodes in het leven geroepen zijn om dergelijke kwetsbaarheden in software tot een minimum te beperken, blijft het nog steeds een utopie om 100 procent veilige software te ontwikkelen", zegt Tom Welling van Symantec. "De complexe infrastructuren en bedrijfsprocessen en veeleisende eindgebruikers vragen vaak om een snelle oplossing voor hun ‘probleem’ en daarbij mag dit vaak niet al teveel kosten. De balans tussen functionaliteit en beveiliging slaat meestal door richting de eerste en daarbij moet dit allemaal voor een schappelijke prijs." Welling plaatst er ook nog een kanttekening bij: "met het hanteren van goed patchmanagement kunnen de risico’s tot een minimum beperkt worden en de configuratie van de gebruikte software is vaak de oorzaak van problemen. Organisaties hebben hier ook zelf verantwoordelijkheid te nemen."

Budgetten

Volgens analisten geven bedrijven hoedanook te weinig uit aan beveiliging. Recent nog stelde Aberdeen dat een bedrijf minstens 8 procent van zijn ict-budget zou moeten reserveren voor beveiliging. Toch is er volgens Welling geen vaste formule die kan bepalen welk percentage van het ict-budget ingezet moet worden voor security. "Afhankelijk van de doelstellingen van de organisatie en de gebruikte ict-middelen zal men aan de hand van een risico-analyse moeten bepalen waar de pijnpunten liggen en op welke manier deze risico’s kunnen afgedekt worden." Het kan geen verwondering wekken dat deze beveiligingsleverancier vindt dat er te weinig aan security gespendeerd wordt. "We zien nog te vaak dat dat security een sluitpost is op het ict-budget en niet structureel opgenomen wordt in het financiële plan. Op het moment dat het mis gaat kan er ineens wel geld besteedt worden aan security, maar dergelijke ad-hoc investeringen leiden meestal niet tot een constante verhoging van de beveiliging."
Al even moeilijk is het te bepalen wat de ‘return on investment’ is op beveiligingsproducten. "Je kan ook de roi van een verzekering niet meten," zegt Eric van Gend van Cisco. "Pas als er een incident geweest is, kan je die berekening gaan maken. Er zijn wel studies die aantonen wat de gevolgen en de schade is als men geen beveiliging in huis heeft. De meting vindt vaak achteraf plaats, en dat is nu net wat we willen voorkomen."
Dat bedrijven stevig in de beurs moeten tasten om te beveiligen is duidelijk. Naast de producten mag ook een extra budget uitgetrokken worden om al deze producten te integreren. Goed voor de business van consultants. Toch ziet Johan ten Houten van Logicacmg het liever anders. "Want wij zijn het ook die er op aangesproken worden als het misloopt."< BR>