Anti-virus, firewall, toegangsbeveiliging – gebruikers moeten onderhand wel weten wat beveiliging in beperkte zin aan producten en processen impliceert. Tegenwoordig mikken beveiligingsbedrijven echter op een breder gebied, waarbij alles gericht is op bedrijfscontinuïteit.
Het doel van ‘security’ is het beschermen van de bedrijfsactiviteiten tegen de veelheid aan gevaren en dreigingen van binnenuit en buitenaf. In het bijzonder de continuïteit van die activiteiten moet worden gegarandeerd. Het besef groeit dat beveiliging concreet moet helpen bij de bescherming van de voor de voortgang nodige elementen. Immers, wat is de zin van bijvoorbeeld een perfecte toegangsbeveiliging als de onderneming op apegapen ligt door verlies of aantasting van de bedrijfsgegevens? Zonder die gegevens is een onderneming tegenwoordig zo goed als dood.
Toekomstgerichte beveiligingsverantwoordelijken doen er dan ook goed aan hun rol opnieuw te definiëren. Zij moeten dat doen met het oog op een bredere dienstverlening, die meer gericht is op het creëren en beheren van een infrastructuur die zowel weerstand biedt als snel te herstellen is.
Wakker schrikken
Voor John Thompson, ceo en voorzitter van Symantec, was het ‘Slammer’-gebeuren van begin 2003 een scharniermoment. Razendsnel veroverde Slammer de wereld, waarna het dagen en enorm veel geld kostte voordat de gevolgen waren weggewerkt. “Voor mij was dat de gebeurtenis die iedereen wakker moest schrikken”, aldus Thompson. Nooit eerder was de impact van een beveiligingsprobleem zo sterk gevoeld, terwijl dit nog een aanval was zonder een ‘kwaadaardige lading’ (een ‘malicious payload’, die bijkomende schade aanricht). Symantec en andere bedrijven hadden wel een waarschuwing doen uitgaan, maar dat was blijkbaar niet voldoende.
“We leerden toen dat onze visie te beperkt is”, stelt Thompson. “Na Slammer vroegen de klanten ons ook andere diensten.” Te meer daar de gevaren nog toenemen (spam, spyware enzovoort) en zowel van menselijke (onder andere terrorisme) als natuurlijke (natuurrampen bijvoorbeeld) oorsprong kunnen zijn. Voorts laten de aanvallen ook steeds minder tijd voor het vooraf opzetten van een verdediging.
Kortom, “we moeten pro-actief en holistisch werken”, stelt Thompson. Niet alleen moeten de klassieke beveiligingsfaciliteiten zo sterk mogelijk zijn, het systeem moet ook zo automatisch mogelijk bedreigde cruciale elementen (zoals dataopslag en kritieke diensten) beschermen of herstellen. Dat vereist tevens inzicht op het hoogste bedrijfsniveau, ook al vanwege de gevolgen voor het naleven van een goed ‘corporate governance’ beleid. Alle mogelijke beveiligingsexperts hameren dan ook op de noodzaak om in een bedrijf minstens een c(i)so (chief (information) security officer) te hebben, en liever nog een cro (chief risk officer), kortom, iemand die hiervoor duidelijk zichtbaar verantwoordelijk is.
Keerpunt
Dergelijke overwegingen impliceren naast een puur beveiligingsbeheer volgens Thompson ook aandacht voor het beheer van ict-bedrijfsmiddelen en opslag in heterogene en gedistribueerde omgevingen. Deze overwegingen leidden bij Symantec tot de overname van opslagbeheerspecialist Veritas. Deze aankoop maakt de onderneming een breder bedrijf op het gebied van risicovermindering, aldus Thompson, met een breder product- en dienstenaanbod op meer platformen en met behoud van de gerichtheid op beveiliging en continuïteit.
Hij meent dat de hele beveiligingssector op een keerpunt staat, vergelijkbaar met de wijze waarop UPS, de marktleider op de Amerikaanse pakketvervoermarkt, de pakketindustrie compleet veranderde door van alleen pakketjes over te gaan naar het bieden van wereldwijde logistieke diensten. Op dezelfde manier moeten ook beveiligingsbedrijven meer waarde bieden aan hun klanten, meer diensten die de complexe problemen van beveiliging en continuïteit helpen aanpakken. Een markt met leveranciers van totaaloplossingen zit er volgens Thompson niet meteen in, maar wel een consolidatie (via fusies en overnames) van bedrijven om die complexe problemen bij de klanten makkelijker aan te kunnen.