'Informatie beveiliging' is het makkelijkst te omschrijven als een serie van maatregelen om het risico van verlies, diefstal of misbruik van informatie(systemen) tot, voor een organisatie, acceptabel niveau te brengen. Hoewel het makkelijk te omschrijven is, is het geen makkelijke taak voor een organisatie om dat niveau te bepalen. De beschikbaarheid van een website kan voor een retailer minder zwaarwegen dan voor een webwinkel. Daarnaast is het een continu proces om de risico’s af te blijven dekken omdat aanvallers nu eenmaal meer tijd en geld voor research hebben om diefstal, misbruik of verlies van informatie(systemen) te realiseren. Waar een organisatie zich moet 'verdedigen' over de hele linie, kan een aanvaller zich volledig richten op net dat ene zwakke punt in de schakel.
Het is dan ook niet vreemd dat de huidige risico's voor een organisatie niet veel verschillen van die van vorig jaar of de jaren daarvoor. Een spamrun is kennelijk nog steeds lucratief genoeg voor spamrunners gezien het aantal spam-emails dat we dagelijks voorbij zien komen. Ook op het botnetfront zien we geen vermindering van de aantallen en wordt het aantal besmette computers op het internet inmiddels geschat op enkele tientallen miljoenen (10% van alle aangesloten computers op hetInternet). Sterker nog, met de introductie van allerlei nieuwe ontwikkelingen zoals Web 2.0 en het groeiende gebruik van VOIP en RFID worden de risico's voororganisaties alleen maar groter.
Betekent dit dat je als organisatie maar even moet wachten met het in gebruik nemen van deze nieuwe technologieën? Natuurlijk niet. Zoals met elke business tool dient er ingeschat te worden of een nieuwe ontwikkeling meer oplevert dan dat het kost.
Juist een organisatie die zijn zaken 'beveiligingstechnisch' voor elkaar heeft, kan sneller en gemakkelijker overzien welke risico's een nieuwe technologie met zich mee brengt en welke maatregelen er genomen moeten worden om deze risico's te beperken. Deze organisaties kunnen daardoor sneller nieuwe technologieën adopteren en hiervan eerder dan de concurrentie voordelen mee behalen.
Wanneer we ons focussen ophet beveiligen van het netwerk, en dan met name op het heilige huisje de firewall, dan blijkt uit rapporten van o.a. Gartner dat tegen het einde van 2007 een percentage van 75% van de ondernemingen met traditionele netwerkbeveiligingsmaatregelen (firewall en anti-virus) ongemerkt geinfecteerd zullen zijn door malware van aanvallers die zich willen verrijken met of door de informatie(systemen) van deze enterprises. Ik herhaal het nog maar eens. Vijf-en-zeventig procent!
Het is dus voor een organisatie zaak om de huidige infrastructurele oplossingen tegen het licht te houden. De 'kasteeloplossing' kan vroeger prima gewerkt hebben, maar met de verwatering van 'binnen' en 'buiten' door technieken als client VPN, 3rd party VPN en andere Internet services zijn de grenzen aan het vervagen.
Een organisatie zou niet langer alleen moeten vertrouwen op de slotgracht (firewall) en burgwal (anti-virus) om de aanvallers buiten te houden. Er dient een versterkte poort controle plaats tevinden (Intrusion Prenvention Systemen). Er zal ook op de binnenplaats gepatroullieerd moeten worden (Host Protectie) en naar verdacht gedrag gekeken moeten worden (Anomaly Detectie Systemen).
Tenslotte zullen er processen geimplementeerd moeten worden om de good guys binnen te laten (Identity Management en Access Control).
Alleen zo kan een organisatie zich wapenen tegen de huidige geavanceerde aanvalstechnieken van aanvallers op het netwerk. Of u zou gewoon kunnen stoppen met het gebruik van het Internet. Aanu de keuze!
Vergeet ook niet dat de toegang van de “binnenkant” van het netwerk naar het Internet toe goed gecontroleerd moet worden. Als een gebruiker per ongeluk een stukje malware op zijn computer binnenhaalt die vervolgens mailtjes gaat versturen of allerlei andere vervelende dingen gaat doen, kan je firewall met intrusion detection nog zo goed zijn, maar als je de toegang naar buiten niet beperkt door bijvoorbeeld alleen de poorten 80, 443 en 21 (FTP) naar buiten toe te laten (+ natuurlijk enkele uitzonderingen voor mailservers etc.) hebben de scriptkiddies alsnog vrij spel.