Al enige tijd wordt security als een volwassen en volwaardig ict-vakgebied gezien, maar toch laten acceptatie en adoptie van nieuwe technologieën vaak op zich wachten. “Vreemd”, menen de resellers, distributeur en fabrikanten die met elkaar in discussie gingen over security. “Het lijkt wel of organisaties eerst hun hoofd moeten stoten voordat er wat gebeurt.”
De sponsors van deze Selling Security zijn rond de tafel gebracht om eens met elkaar in discussie te gaan over security. Organisator distributeur Noxs vond het voor het tegenwicht belangrijk dat ook de it-dienstverleners en resellers Axians en Dimension Data aan het gesprek meededen. Op voorhand was al vastgesteld dat zaken als data leakage, managed security service, websecurity, ssl vpn, mobile security en network access control (nac) aan bod zouden komen. "Maar eigenlijk draait het allemaal om telewerken", meent Paul van der Wilk (regional manager Benelux bij Aruba Networks). "Dat speelt binnen alle security-vakgebieden. Iedereen zit momenteel om telewerkoplossingen te springen."
Grote verschuiving
Telewerken lijkt inderdaad het sleutelwoord van de bijeenkomst. De overige deelnemers, Jan-Paul Oosterom (portfolio manager security bij Axians), Edwin Beerentemfel (sales manager bij Noxs), Ian Walker (enterprise distribution sales manager Benelux bij Symantec), Guido Crucq (business development manager security bij Dimension Data), Martijn van Weede (sales manager midmarket Benelux bij McAfee) en Raf Vervloessem (manager emerging technologies Northern Europe bij Juniper Networks), zijn het met Van der Wilk eens. "Neem bijvoorbeeld een nieuwe technologie als mobile security", zegt Van Weede. "Die stelt eisen aan de it-manager over openstelling van het netwerk. In zo'n geval biedt nac ook weer mogelijkheden."
Van der Wilk is het daarmee eens, maar ziet binnen de gehele beveiligingsmarkt een grote verschuiving plaatsvinden. "In het verleden werd alles vooral poortcentrisch geregeld, maar je ziet steeds meer dat de gebruiker centraal komt te staan bij security. Security wordt niet meer per locatie geregeld, maar de gebruiker krijgt bepaalde bevoegdheden. Daar ligt een enorme markt." Vervloessem wil het zelfs nog breder trekken. "Het gaat dan niet alleen meer om security, het draait om het netwerk en quality of service." "Helemaal mee eens", vervolgt Crucq. "Het breder trekken naar bijvoorbeeld unified communications, VoIP, je laptop of user presence via een onafhankelijk kanaal, zijn zaken die in het hart van je netwerk geregeld moeten worden en niet aan de rand ervan."
Business mislopen
Nieuwe technologieën betekenen over het algemeen dat een reseller op een andere manier moet verkopen. Dit levert echter snel problemen op, zeker bij partijen die zich niet volledig op security richten. "Zulke oplossingen verkoop je niet, maar zitten ingebakken in jouw oplossing", meent Oosterom. "De reseller moet aangeven dat hij visie heeft en dat die visie door alle oplossingen die hij verkoopt of alle systemen die hij neerzet wordt gedekt." Crucq vult zijn collega-integrator aan: "Daarbij vertrouw ik er volledig op dat mijn vendor goede technologieën neerzet. Zodoende sta ik altijd sterk bij mijn klant. Als er eens een keer een probleem is, dan moet ik er ook op kunnen vertrouwen dat mijn leverancier het oplost. Dergelijke omvangrijke trajecten doe je niet in één keer; het is een framework dat geleidelijk gestalte krijgt." Oosterom: "Het einddoel is duidelijk; eerst dicht je de grootste gaten en uiteindelijk vul je het hele security-vraagstuk in. Veel resellers hebben een dergelijke aanpak niet, waardoor ze veel business mislopen."
Resellers laten ook grote kansen liggen op de middenmarkt. Hier is momenteel wel het besef van de noodzaak van goede security doorgedrongen, maar er wordt nog weinig mee gedaan. Volgens Van Weede ziet de it-manager het gevaar wel, maar de directie niet. "De directie legt de verantwoordelijkheid bij de it-manager neer, maar het budget is niet toereikend." Volgens Walker ligt hier een schone taak voor resellers in het verschiet. "Wij moeten hen tools geven om die directie te overtuigen." Oosterom: "Kijk bijvoorbeeld naar storage, daar wordt in de middenmarkt niet gekocht zonder een consultant te raadplegen. Dat mis ik bij security; we hebben echte specialisten nodig." Beerentemfel is het daar weer mee eens. "De poule van resellers die zich puur op security richten, is op slechts enkele handen te tellen. Als resellers meer zich op security richten en het minder ‘erbij' doen, dan valt er ook voor hen goed te verdienen. De middenmarkt is een potentiële groeimarkt, waar resellers de brug moeten slaan." Crucq heeft nog wel wat andere zaken die de business van de reseller kunnen verbeteren. "Verklein je vendor-aantal en richt je slechts op een aantal merken. Zo lever je een betere kwaliteit en is het makkelijker om je te certificeren. Ook zouden vendors, net als distributeurs al doen, hun erp-systemen moeten koppelen. Dat maakt het voor resellers makkelijker om informatie te vergaren die nodig is om een goede dienstverlening aan de eindklant te kunnen leveren."
Bewustwording creëren
Het legt een reseller dus geen windeieren als hij zich volledig toelegt op security, als we de deskundigen mogen geloven. De heren zijn het er dan ook wel over eens dat er op security-gebied een verschuiving plaatsvindt van dozenschuivers naar partijen met concepten. Neem bijvoorbeeld data leakage-preventie, een technologie die voorkomt dat bepaalde informatie op straat komt te liggen. Werknemers van bedrijven realiseren zich vaak niet dat zij informatie (kunnen) lekken. Denk aan die begroting die mee naar huis genomen wordt om 's avonds nog even aan te werken of die printjes die je hebt gemaakt van die uiterst vertrouwelijke presentatie die je nu per ongeluk bij een kennis thuis hebt laten liggen. "Het is zaak dat we bewustwording creëren bij het personeel en bij het management, zodat men voorzichtiger met informatie omgaat", zegt Van Weede. Crucq gaat daar als it-dienstverlener op in: "De oplossing hiervoor is uitstekend geschikt, maar een klant moet er rekening mee houden dat medewerkers al snel een ongemakkelijk gevoel krijgen als Big Brother ze in de gaten houdt. Er ontstaat dus een spanningsveld tussen management en werkvloer. Een reseller moet dus het personeel van zijn klant uitleggen waarom een dergelijke maatregel noodzakelijk is."
Oosterom ziet juist prachtige kansen als de reseller ook verantwoordelijk wordt voor de bewustwording van het personeel van de klant. "Dat is toch een prachtige binnenkomer! Als hij een bedrijf ervan kan overtuigen dat het noodzakelijk is om data leakage tegen te gaan, heeft hij kans dat hij de gehele security-roadmap mag doen. Belangrijk is dan wel dat de it-manager makkelijker naar een ceo of cfo kan stappen en dat er meer budget voor security beschikbaar komt. Ik zou dan alleen niet data leakage als eerste gaan doen, maar eerst eens de echt grote gaten dichten." Vervloessem beaamt dat en ziet data leakage toch meer in de belangstelling staan op het moment dat een incident in de media komt. "Dan is er ineens enorm veel aandacht voor, terwijl het probleem er niet groter door is geworden."
Weinig adoptie
Door incidenten als de laptop van Tonino en rondslingerende usb-sleutels van Defensie heeft dataencryptie een enorme vlucht genomen. Een draadloze beveiligingscheck in Amsterdam in 2001 heeft er uiteindelijk toe geleid dat wireless beveiliging algemeen aanvaard werd. Toch staat mobile security nog in de kinderschoenen. "Het wachten is op de eerste telefoon met bedrijfsgevoelige informatie die op straat gevonden wordt", zegt Oosterom. Crucq vult aan: "Blijkbaar moeten we eerst ons hoofd stoten voordat er wat gebeurt. Bedrijven onderschatten nog altijd het belang van informatiebeveiliging. Dat is ook een belangrijke taak van de reseller: die moet zijn klant op de hoogte brengen van nieuwe technologieën. Het is een slechte zaak als we gaan zitten wachten op het volgende incident."
Naast het communiceren zijn alle aanwezigen voorstander van standaardisatie van technologieën. Probleem is echter dat vooral de grotere spelers in de markt allemaal eigen standaarden in het leven roepen. "Er moet een paraplu gecreëerd worden waaronder vendors uniforme oplossingen leveren", zegt Beerentemfel. "Standaardisatie brengt interoperatibiliteit en lagere kosten. Helaas gaat standaardisatie langzaam, terwijl er om geroepen wordt."
Pure security-bedrijven verliezen
"Binnen security nemen steeds meer partijen security serieus, maar de pure security-bedrijven blijven vooral in nichemarkten opereren, waardoor ze delen van de markt missen", meent Crucq. "Zo zijn er de linken met mobiele en vaste netwerken en geavanceerde datanetwerken. Dat zijn vakgebieden waar een gemiddeld puur security-bedrijf niet aan kan komen. Neem bijvoorbeeld operation management. Is een klappende router een netwerk- of een security-incident? Een klappende router in combinatie met een klappende firewall is wel degelijk een security-incident. Die werelden groeien steeds meer naar elkaar toe."
Vervloessem is het daarmee eens, en denkt dat de pure security-bedrijven zullen verliezen en meer en meer evolueren naar bedrijven die zich richten op intelligente netwerken. Dit zijn platte netwerken waaraan intelligentie als extra laag wordt toegevoegd. "Het gaat dan niet alleen om security", aldus Vervloessem. "Het heeft dan ook met quality of service en applicatieacceleratie te maken." Oosterom is het daar wel mee eens: "Momenteel zijn binnen bedrijven vooral telefonie en e-mail de belangrijkste bedrijfskritische applicaties. Als de e-mail er een uurtje uit ligt is dat vervelend, maar als de telefoon een uur niet werkt, is dat een hele uitdaging. Dan komen de pure security-spelers in de problemen."
Renewalls big business
Walker denkt dat veel van de beveiligingsproblemen kunnen worden opgelost door op een managed model over te stappen. "Er vindt een transitie plaats van standaard antivirus op de desktop naar managed omgevingen met een secure endpoint. Renewalls op antivirus zijn wel big business voor resellers, maar eindgebruikers werken vaak met een beveiligingsvisie. Dan volstaat antivirus alleen niet en moet je kijken wie het beveiligingsvraagstuk van de klant kan invullen: de var of de gewone reseller? De renewalls op antivirus worden vaak in het gewone resellerkanaal gedaan, de expertise gaat via de var. Die doet dan meer en houdt zich ook bezig met zaken als archivering en back-up. Wel vind ik dat beide type resellers via de distributeur bediend moeten worden. Certificaties geven dan het onderscheid tussen de partijen aan. We proberen dan ook onze partners bij nieuwe dreigingen met de daaraan gekoppelde nieuwe producten telkens opnieuw te trainen."
Van Weede is het wel met zijn concurrent Symantec eens. "Het is heel belangrijk dat een leverancier van security-producten onderscheid maakt tussen zijn resellers en zijn partners. Daarbij moet hij telkens weer proberen beiden kennis bij te brengen van nieuwe ontwikkelingen. Momenteel verkopen per kwartaal in Nederland nog vier- tot vijfhonderd resellers onze antivirusproducten, maar deze groep proberen we over te hevelen van een suite als Active Virus Defense, die drie jaar geleden nog volstond, naar de security-producten die je tegenwoordig moet hebben, zoals McAfee's Total Protection. Dat is een uitdaging die we samen met distributie oppakken. Partners zijn echter een andere groep verkopers die zich certificeren en waarmee je gezamenlijk businessplannen opzet om de markt te bewerken. Die help je met verkopen, want zij redden het echt niet meer alleen met een Gartner-rapport waaruit blijkt hoe belangrijk security is."
Abonnement telewerken
Het feit dat fabrikanten en resellers steeds weer aan de eindgebruikers moeten vertellen hoe belangrijk goede security is, is opvallend. Uit eerder onderzoek blijkt dat Nederland in technologisch opzicht voorop loopt, maar dat de acceptatie en adoptie van nieuwe security-technologieën achterblijft bij de rest. "Eindgebruikers weten het zo goed, maar kopen: ho maar", zegt Van Weede ietwat gefrustreerd. "Kijk naar ssl vpn, behalve bij breedband lopen we daarin ver achter", vult Beerentemfel aan. "We ondervinden hinder bij de adoptie van die technologie." Oosterom denkt dat ssl vpn een zaak wordt van de internet service providers en Vervloessem is het met hem eens. "Ik vind het een goede zaak dat de technologie ssl vpn in Nederland steeds meer als een abonnement voor telewerken wordt verkocht."
Van der Wilk gaat zelfs nog een stap verder door te zeggen dat vpn's overbodig zijn als er encrypted tunnels gebruikt worden. "Misschien dat het daarom wel achter blijft. Als je bij telewerken beleidsmatig je beveiliging afhandelt met enctypted tunnels, dan maakt het niet uit waar je je bevindt, maar dan is het opzetten van een vpn niet nodig. Er wordt al tien jaar gepraat over wireless en er zijn allerlei proefballonnetjes opgelaten, maar het komt niet van de grond. Dit komt doordat er constant een spanningsveld is tussen mobility en security. Doordat wij echter identity based security doen, is draadloos geen aanhangsel meer voor ons. Voor resellers is dit wel anders verkopen, omdat het niet meer uitmaakt hoe de bestaande infrastructuur eruit ziet, van welke vendor die ook is. Uiteindelijk leiden alle behandelde security-onderwerpen tot meer mogelijkheden tot telewerken. Daarbij is het goed dat networking gericht is op 'follow the user' en niet meer op 'follow the port' of 'follow the box'. Bij telefonie werkt dit allang – mijn applicaties werken gewoon weer als ik mijn telefoon in het buitenland aanzet – maar waarom werkt dit bij een notebook niet? Het gaat hierbij om dezelfde soort toegang als met de telefoon. Gelukkig wordt daar nu steeds vaker serieus werk van gemaakt."