Informatiebeveiliging is een continue wedloop. Dat betekent dat er voor aanbieders altijd kansen liggen in de niches. Zij moeten wel af van ‘bangmakerij’ als belangrijkste verkoopargument en niet op de stoel van hun klant willen zitten. “De functie van het kanaal is om te verkopen.”
Informatiebeveiliging is wat Remco Bakker, de directeur van irC2, een 'moving target' noemt. "Het is onmogelijk om alles te beveiligen en op een bepaald moment te zeggen: 'Nu zit alles dicht en kan iedereen aan het werk'. Beveiliging is een proces." Behalve de constante wedloop tussen beveiligers en kwaadwillenden, verschuift ook het gebruik van informatietechnologie.
Bakker noemt de besmetting van alle communicatiekanalen met spam en virussen als een van de belangrijkste problemen. Bovendien is die 'tak van sport' inmiddels ‘geprofessionaliseerd'. "Alles wat in de gewone wereld gebeurt, heeft een evenknie in cyberspace. De georganiseerde misdaad heeft zijn werkterrein allang naar de digitale wereld verlegd."
Inmiddels is de klassieke bedreiging van virussen echter voorbijgestreefd door de problemen die mobiele apparatuur oplevert. "Laptops, pda's en smartphones vormen inmiddels een grotere bedreiging voor de veiligheid dan virussen." Dat zegt Jacques Cazemier, architect informatiebeveiliging bij Verdonk, Klooster & Associates. "Ik denk dat er over tien jaar geen desktops meer zijn. Iedereen gebruikt dan draadloze verbindingen naar zowel netwerk als randapparatuur. De mobiele mogelijkheden zullen sterk toenemen. We zullen daarom blijven worstelen met het beheer van deze apparaten." Het gaat dan om de beveiliging van zowel data en verkeer als van het apparaat zelf. "Eén op de zeven laptops eindigt niet bij de rechtmatige eigenaar."
Mailarchivering
Een andere ontwikkeling is dat papier steeds vaker wordt vervangen door elektronische berichten. "Een groot deel van de zakelijke correspondentie vindt plaats per e-mail. De noodzaak tot archivering daarvan wordt onderschat." Cazemier doelt daarmee niet op de reguliere back-ups, maar op de permanente opslag van elektronische documenten die juridische waarde hebben. "Als een gemeente een aanvraagformulier in de vorm van een pdf binnenkrijgt, dan wordt die meestal nog wel bewaard. Maar als die informatie per mail binnenkomt, wordt die niet permanent opgeslagen."
Opslaan is echter één ding; het kopiëren van alle mail naar een grote bak is niet genoeg. Als je in die enorme brei vervolgens niets meer kunt terugvinden, is deze opslag waardeloos. Cazemier signaleert dan ook een grote behoefte aan mail retention en management systemen. Hetzelfde geldt echter bijvoorbeeld ook voor instant messaging, dat tegenwoordig net zo goed voor zakelijke communicatie wordt ingezet. In feite is dit probleem helemaal niet nieuw. "We hebben hetzelfde meegemaakt met faxen. Dat waren vroeger ook geen juridische documenten. Voor opslag en archivering is er inmiddels een hele industrie ontstaan, maar voor mail is er nog niet voldoende beschikbaar."
Volgens Cazemier gaat de gebruiker met elektronische documenten sowieso anders om dan met papier. "Een offerte in pdf-vorm wordt ondertekend en gemaild. Maar dan heb je nog niets gedaan om de vertrouwelijkheid te beschermen, terwijl papieren offertes door de versnipperaar moeten." Hetzelfde geldt voor complete archieven. Afgedankte computers eindigen soms zelfs op de stoep.
Twee werelden
Cazemier meent dat er nog onvoldoende besef is. "Businessmanagers weten niet eens dat er een probleem is." De belangrijkste oorzaak daarvan is dat de betrokkenen moeite hebben elkaar te begrijpen. "Ik kom binnen op het grensvlak van business en it. Daarbij loop ik altijd tegen twee verschillende werelden aan. De een begrijpt de ander niet. Er zijn te weinig businessmanagers die verstand hebben van it, en te weinig it'ers met gevoel voor de business. Alle projecten waar ik nu mee bezig ben, zijn aangezwengeld door de business. Zij vragen mij hen te helpen om de beveiliging van de informatiesystemen te organiseren. Het merendeel van de inspanningen richt zich op de samenhang van de twee."
Wet- en regelgeving fungeren wat dat betreft als smeerolie. "SOX, Tabaksblat en auditors dwingen de business om met it te praten. Met name De Nederlandsche Bank doet dat heel goed. Zij leggen de vinger op de zere plek. De financiële sector heeft bovendien het geld voor deze investeringen en loopt daardoor voorop."
Binnen de financiële wereld doen de banken het weer beter dan de verzekeraars. Daarna volgen achtereenvolgens de retail, het transport, de landbouw en het mkb. "In het midden- en kleinbedrijf is men gewend om risico's te nemen. Men heeft het geld niet en de belangen lijken daar ook kleiner. Als je de standaardapplicaties gebruikt en een back-up maakt, heb je voor weinig geld al een groot deel opgelost. Met een internetwinkeltje is het een heel ander verhaal, maar dan heb je ook de expertise om de risico's te onderkennen."
Onder controle
Dashboards, waarop zichtbaar is hoe het staat met beveiliging, zijn volgens Cazemier een belangrijk middel om business en it dichter bij elkaar te brengen. "Er zijn wel dashboards, maar die zijn it-georiënteerd. Je moet die it-getallen vertalen naar iets wat de business snapt. Zij willen weten hoe veilig het op dit moment is en in hoeverre ze ‘in control' zijn. De automatiseerders en de business moeten samen nadenken over hoe ze dat vorm willen geven."
Een ander belangrijk bezwaar is dat dashboards en key performance indicators (kpi's) op dit moment vooral voor auditors worden gemaakt. "Je moet het niet voor de auditors doen maar voor de business, al is het maar één enkel scherm. Nu weet alleen de interne controller wat er gebeurt. Die slag moet nog gemaakt worden. De industrie moet daarop inspringen."
De computer is overal
Desondanks blijft de regie volgens Cazemier wel bij de afnemer. "We moeten terug naar noodzakelijk in plaats van wenselijk. Je neemt veiligheidsmaatregelen omdat je ze nodig hebt. Daarvoor zul je een risicoanalyse en een fatsoenlijke business case moeten maken. Informatiebeveiliging is een zakelijke aangelegenheid."
Bakker sluit zich daarbij aan. "De afgelopen jaren is er voor elk bestaand en niet bestaand probleem een oplossing bedacht en verkocht. Dat noemen ze layered security. De gemiddelde desktop hangt scheef van de beveiligingsmaatregelen." Het zijn er niet alleen te veel, maar ze zijn ook nog slecht geïntegreerd. "Dat is een enorme last voor de eindgebruiker en is niet meer te beheren. Hetzelfde zie je aan de perimeter. Informatiebeveiligers hebben het ip-protocol niet begrepen. Vroeger had je TokenRing, dat uit ringen bestond, en later ethernet, opgebouwd uit segmenten. Maar dat geldt niet voor het ip-protocol. Zoals Scott McNealy zei, is het netwerk de computer geworden. We richten onze automatisering nu zo in dat alle it-infrastructuur met de hele wereld is verbonden."
Er zijn geen bastions meer, aldus Bakker: "In de jaren negentig tuigden mensen zelf een webserver op binnen de bedrijfsnetwerken. Daarna deden ze hetzelfde met draadloze netwerken. Als je nu echter een bedrijfsterrein op loopt, zie je bij de poort het Philips-logo, maar in de gangen zie je externe mensen van Atos, de catering, een ontwerpbureau en een transportbedrijf. Het zijn allemaal ketens zonder duidelijke grenzen geworden. De computer zit overal."
Geschiedenisboek
Cazemier merkt echter dat de gegevens die voor het maken van een goed veiligheidsplan nodig zijn, vaak ontbreken. "Als ik bij klanten kom, vraag ik ze naar hun ‘geschiedenisboek', een overzicht van wat er de afgelopen jaren aan incidenten heeft plaatsgevonden. In negen van de tien gevallen hebben ze dat niet. Ik kom meestal bij organisaties waar ‘nooit iets gebeurt', niet omdat ze hun zaakjes zo goed voor elkaar hebben, maar omdat ze incidenten zo goed onder het tapijt vegen."
Ook Bakker onderkent het belang van risico-analyses, maar benadrukt dat het een onderdeel is van informatiebeveiliging. "Als je organisatie nog in de kinderschoenen staat, kun je beter eerst de techniek in orde maken." Je moet je infrastructuur en architectuur onder controle hebben voordat je kunt gaan sturen.
Technologie
De ontwikkelingen die Cazemier hier schetst, zijn volgens hem signalen van een behoefte bij afnemers. Hij vind dat de leveranciers het over het algemeen best goed doen, maar te veel vanuit hun producten opereren. "Zij zijn vanwege hun eigenbelang niet in staat om die return-on-investment-berekeningen voor hun klant te maken." Er moet daarom meer kennis van beveiliging komen bij de afnemers. Dat gaat zowel om technische en beheerkennis van producten als om kennis over de inzet daarvan in organisaties. "De business moet weten dat er technologie is om bepaalde risico's af te dekken."
We zijn echter te gemakkelijk met het inzetten van technologie, en vergeten ons boerenverstand. "We gebruiken het omdat het er is", zegt Bakker. "Maar technologie is maar een deel van de oplossing. Ik vertrouw de techniek wel, maar ik houd een gezond wantrouwen. We zijn veel te gemakkelijk met het overboord gooien van eerdere ervaringen."
Volgens Cazemier zou een bedrijf van ongeveer honderd man een halve fte moeten besteden aan de coördinatie van de informatiebeveiliging. "Als it cruciaal is voor je bedrijfsvoering, zul je daarvoor iemand moeten aanwijzen en opleiden." Voor een niet-it-gedreven organisatie geldt dit vanaf een omvang van een paar honderd man.
Bakker benadrukt daarbij dat uiteindelijk ook de business niet de eigenaar is van het veiligheidsprobleem. "De ciso (chief information security officer) brengt samen met de business, it en legal de boel in kaart en legt het voor aan de directie. De bestuurders moeten de beslissing nemen. Alleen zij kunnen inschatten welke risico's de organisatie kan dragen. De business, die altijd meer en sneller wil, is daarvoor ongeschikt."
Bangmakerij
De meest gebruikte verkooptruc – de bangmakerij – kunnen leveranciers van beveiligingsoplossingen volgens Cazemier beter achterwege laten. "Wij doen dat zelf al jaren niet meer, omdat het niet helpt. Na de zesde ‘ramp' haalt iedereen zijn schouders op en denkt ‘dat gebeurt alleen bij de buurman'."
Hetzelfde geldt voor compliance. Niet zelden wordt bijvoorbeeld HIPAA in Nederlandse presentaties genoemd als een van de standaarden waaraan organisaties zouden moeten voldoen. Zelfs SOX is volgens Cazemier veel minder relevant dan Nederlandse organisaties denken. "Daar hoef je alleen aan te voldoen als je in een keten zit met een Amerikaans, beursgenoteerd bedrijf." Zelf richt Cazemier zich op de vraag wat beveiliging oplevert. Het eerder genoemde ‘geschiedenisboek' is daarbij cruciaal. Dat fungeert als een startpunt om na te denken over wat er moet gebeuren.
Opvoeden
Cazemier is van mening dat leveranciers niet zelf moeten proberen hun spullen aan de business te verkopen. "De it-organisatie moet informatiebeveiliging aan de business verkopen. Zij moeten de business opvoeden. De business stelt vervolgens de eisen op, waarop de it-afdeling hen vertelt hoe die kunnen worden gerealiseerd en tegen welke kosten. Leveranciers verkopen alleen de technologie. Hun rol is de mogelijkheden van hun producten onder de aandacht te brengen. Dat levert meer op dan nog meer rampen en tegenspoed te verzinnen."
Bakker is het daar helemaal mee eens. Hij vindt dat afnemers eens goed naar hun eigen business moeten kijken. "Als je bovenop de berg woont, heb je geen verzekering tegen overstroming nodig."
Niches
Bakker raadt leveranciers van beveiligingsoplossingen aan zich te concentreren op niches. "Maak je keuze afhankelijk van je klanten en de eisen in zijn markt. Houd wel in de gaten waar concentraties plaatsvinden. Maar naast de mainstream-oplossingen voor de dagelijkse gang van zaken, zullen gespecialiseerde oplossingen voor die laatste procenten blijven bestaan. En voor die producten die wel standaard zijn, blijft nog steeds de vraag hoe je die in de rest van de infrastructuur inpast."
Volgens Bakker laat het kanaal zich nu te veel leiden door de producten die ze hebben. "Voor een hamer is de hele wereld een spijker te vinden. Verkopen is helpen kopen. Als je geen doorgeefluik wilt worden, moet je waarde toevoegen. Daarvoor moet je eerst waarde binnenhalen en creëren, kennis opbouwen."
Tegelijkertijd trekt Bakker de grens bij de producten. "De functie van het kanaal is om te verkopen. Expertise moet eerst in producten zitten voordat resellers die kunnen aanbieden." Tegelijkertijd zullen hun klanten moeten leren dat ze moeten betalen voor die meerwaarde. "Die willen te vaak voor een dubbeltje op de eerste rang zitten."