Gegevensbeveiliging is tot op heden nauwelijks ernstig genomen op het allerhoogste niveau, stelt Simon Perry, beveiligingsexpert bij Computer Associates, vast. Maar hier zou snel verandering in kunnen komen, nu een gedegen beveiligingsinfrastructuur niet alleen kosten blijkt te besparen, maar ook steeds vaker uitgroeit tot commercieel argument.
Simon Perry is verantwoordelijk voor het verspreiden van CA’s visie op beveiliging binnen Emea, en het promoten van de merknaam eTrust, waaronder alle CA-beveiligingsproducten zijn ondergebracht. "Vijf jaar geleden was dit een samenraapsel van allerlei producten waarbij de uniformiteit meer in de kleur van de dozen zat dan in de technologie," geeft Perry toe, "maar de voorbije jaren hebben we van de technologische integratie echt werk gemaakt. Nu hebben we een integratie bereikt op drie verschillende lagen: visualisatie, ‘messaging’ en infrastructuur. Alle producten in onze beveiligingsportefeuille hebben een behoorlijke codewijziging gekend: minstens dertig procent werd veranderd, sommige producten zelfs tot tachtig procent."
Alarm met sluimerknop
Perry geeft graag toe dat de organisatorische veranderingen en de manier waarop CA met zijn producten de markt benadert, minstens even belangrijk zijn als de technologische wijzigingen. De beveiligingsproductlijn kreeg bovendien een fikse duw in de rug met het exponentieel toenemende aantal virussen en wormen. Al relativeert Simon Perry de bewustwording rond beveiling meteen: "Toen de SQL Slammer-worm begin dit jaar opdook, zei iedereen: ‘dit is een ‘wake-up call’ voor de hele industrie’. Niets daarvan, dacht ik: alle bedrijven hebben gewoon de sluimerknop ingedrukt, tot het volgende alarm afgaat. En jawel, deze zomer met Fsobig en Blaster was het weer zover. Ineens zag je zelfs de grootste bedrijven totaal platgaan, terwijl er nota bene al patches beschikbaar waren om het probleem te vermijden. Een betere illustratie van de relativiteit van die zogeheten ‘wake up calls’ kun je toch moeilijk krijgen?"
Kostenreductie
Toch is Simon Perry ervan overtuigd dat deze situatie snel zal veranderen, omdat een goed beveiligingspakket steeds hoger op de prioriteitenlijst komt te staan. Niet zozeer omdat de bedreiging zoveel groter is geworden, maar louter uit financiële overwegingen, stelt Perry vast: "De grootste drijfveer blijkt kostenreductie: met een goed beveiligingspakket zoals het onze zijn de kosten van het installeren van patches tot een minimum te herleiden. Enige tijd geleden waren we bij een groot farmaceutisch bedrijf, waar vier personen gemiddeld twee weken werken om een nieuwe patch op alle machines te installeren. Door het automatiseren van deze taken worden dus enorm veel manuren bespaard, die nu kunnen worden ingezet voor zinniger taken. Maar ook andere taken, zoals het opnieuw toekennen van wachtwoorden, worden met onze technologie goeddeels uit handen genomen van de it-afdeling: vroeger betroffen zeven op de tien telefoontjes naar de helpdesk een aanvraag voor een nieuw wachtwoord. Na het installeren van CA-software, waardoor de eindgebruiker zichzelf kan behelpen, is dat aantal herleid tot twee op de tien."
Gegevensbeveiliging is stilaan doorgedrongen tot het allerhoogste managementniveau, maar dan als potentiële bedreiging voor de reputatie van het bedrijf en het merk. "De ceo en de voorzitter zijn vooral bekommerd om het inperken van de risico’s voor het bedrijf, en de bedreigingen voor de it-infrastructuur zijn opgeklommen tot het niveau van de risico’s waarmee rekening moet worden gehouden. Niet alleen de winstcijfers, maar ook de reputatie kunnen immers een ernstige deuk krijgen, met alle gevolgen van dien voor de zo belangrijke ‘shareholder value’. Daarom hoor je nu elke ceo publiekelijk verklaren dat zijn beveiligingsplaatje honderd procent klopt, net zoals ze eind vorige eeuw publiek verklaarden dat ze klaar waren voor de millenniumbug."
Norm voor beveiliging
Perry merkt ook op dat gegevensbeveiliging hoe langer hoe meer een commercieel argument wordt: "Bedrijven die op de ‘shortlist’ staan voor een offerte worden steeds vaker gevraagd om via onafhankelijke bronnen te bewijzen dat ze over voldoende beveiliging van hun it-infrastructuur beschikken. Bedrijven die hier niet in slagen, dreigen dus uit de boot te vallen. Zo kan beveiliging een doorslaggevende commerciële troef vormen in een offerte." Een belangrijke trend in dit opzicht is het verschijnen van de Iso-norm voor gegevensbeveiliging, ISO 17799. Dit extern kwaliteitslabel zal op termijn evenzeer gemeengoed worden als populaire broertjes 9002 en 9001, is Perry’s overtuiging.
Dit is ook een grote opluchting voor de overheden, merkt hij op: "Bij vroegere technologische vernieuwingen, zoals in de transportsector, was de overheid eigenaar van de infrastructuur: het wegennet, het spoorwegnetwerk, de luchtvaart, enzovoort. Met enige zorg moesten ze erin berusten dat de infrastructuur voor de informatietechnologie grotendeels in privé-handen ligt, en dat ze zelf niet kunnen instaan voor de beveiliging. Met de toenemende commerciële noodzaak voor een sluitende beveiliging van de informatiesystemen kunnen de overheden weer opgelucht ademhalen."< BR>
Stef Gyssels, Datanews
