Jim Ebzery, senior vice president Identity and Security Management bij Novell, heeft een aantal belangrijke onderwerpen voor de security markt beschreven die in 2008 belangrijk worden. Dat zijn regelgeving, eigen personeel en identiteit.
Internet heeft het leven in veel opzichten makkelijker gemaakt, aldus Ebzery. Het is makkelijker geworden om informatie te vinden, het is makkelijker geworden om allerlei services te bestellen. Maar laten we eerlijk zijn, internet is ook een gevaarlijke omgeving voor onze computers. Elke dag worden er nieuwe vormen van malware ontwikkeld, wormen verspreid en spam-mails verzonden met als enige doel het achterhalen van persoonlijke gegevens voor geldelijk gewin. Om dat te voorkomen, worden in het bedrijfsleven elk jaar opnieuw enorme bedragen uitgegeven aan IT-beveiliging. Maar waar gaat dat geld nu precies naar toe? Voor 2008 zijn drie gebieden te noemen waar een groot deel van het beveiligingsbudget zal worden besteed.
Regelgeving en conformiteit
SOX, MITS, HIPAA, FERPA, PCI, BASEL II… De lijst van afkortingen en acroniemen wordt alsmaar langer en met elk nieuw regelstelsel heeft het bedrijfsleven er weer een probleem bij. Er zijn de laatste jaren steeds strengere, internationale voorschriften gekomen waaraan volgens steeds strakkere deadlines moet worden voldaan en in het licht van die ontwikkeling hebben de meeste ondernemingen hun beveiligingsbeleid grondig moeten herzien.
Voor 2008 valt te verwachten dat de overheid zich nog nadrukkelijker zal manifesteren op het gebied van conformeringseisen. Voor het bedrijfsleven roept dat twee belangrijke vragen op. "Hoe kunnen we bij audits aantonen dat we aan de geldende voorschriften voldoen en wat kunnen we doen om dat proces te vereenvoudigen?" Dat vraagt om een technische oplossing en technologieën die in staat zijn tot automatisering en het valideren van netwerkactiviteit zal dan ook steeds belangrijker worden.
Eigen personeel – dreiging van binnenuit
Naarmate meer belang wordt gehecht aan nieuwe vormen van samenwerking, mobiliteit en gedeeld gebruik van digitale informatie, wordt ook het risico dat het eigen personeel vertegenwoordigt voor elke onderneming alsmaar groter. Laptops, PDA’s en USB-geheugensticks bevatten maar al te vaak vertrouwelijke bedrijfsinformatie en gevoelige persoonlijke gegevens. En juist omdat ze zo compact en mobiel zijn, ligt het gevaar van verlies of diefstal voortdurend op de loer. Wachtwoordbeveiliging, gegevensversleuteling en persoonlijke firewalls worden ook voor dit soort apparatuur van essentieel belang om informatielekken te voorkomen.
Een medewerker die probeert toegang te krijgen tot informatie waarvoor hij of zij geen autorisatie heeft, vormt ook een beveiligingsrisico. Of dat nu gebeurt uit kwade opzet of met de oprechte intentie persoonlijke taken beter uit te kunnen voeren, is uit oogpunt van beveiliging van ondergeschikt belang. Waar het om gaat is dat een onderneming moet weten welke informatie in het netwerk door welke medewerkers wordt benaderd. Analyseren van de manier waarop systemen intern, door het eigen personeel, worden gebruikt, zal dan ook een belangrijk aandachtspunt worden. Net als het actief beperken van toegangsrechten wanneer medewerkers de gestelde grenzen, met welke bedoeling dan ook, overschrijden.
Diefstal van identiteit
Om identiteitsdiefstal tegen te gaan, is een strengere vorm van gebruikersidentificatie en identiteitscontrole een absolute noodzaak. Meervoudige identificatiemethoden, bijvoorbeeld met behulp van PIN-codes of vingerafdrukscanners en andere biometrische technieken, zijn niet alleen betrouwbaarder, ze zijn ook effectiever bij de bestrijding van fraude. Als er niets tussen u en uw bankrekening staat behalve een gebruikersnaam en een wachtwoord, heeft u alle reden om u zorgen te maken. Die trend van meervoudige identiteitscontrole zal ook gepaard gaan met een ontwikkeling in de richting van gecombineerde IT-beveilging en fysieke beveiliging. Een ontwikkeling die momenteel hoofdzakelijk beperkt blijft tot de overheidssector, maar die in 2008 ook in de commerciële sfeer, bij zorginstellingen en in het bankwezen op gang zal komen. Ook daar zal steeds meer gebruik worden gemaakt van kaarten en codes om de toegangsbeveiliging te verhogen en identiteitsfraude te voorkomen.
Regelgeving en conformiteit, bestrijding van dreigingen van binnenuit en het voorkomen van identiteitsdiefstal. Het zijn geen nieuwe uitdagingen, het zijn vaste onderdelen van een totaal beveiligingsbeeld die ook nu nog een centrale rol spelen. Ondernemingen zullen in 2008 dan ook meer en meer investeren in de juiste combinatie van technologieën om deze risico’s terug te dringen. Bijvoorbeeld door toenemende integratie van identiteitsmanagement en security event monitoring en door consolidatie van identiteitsmanagement in endpoint beveiligingsmethodieken.
Over de auteur:
Jim Ebzery is senior vice president Identity and Security Management bij Novell. Voordat hij bij Novell in dienst kwam, was hij actief als president van Viisage, een vooraanstaande organisatie op het gebied van identiteitsmanagement die later werd overgenomen door L-1 Identity Solutions. Daarvóór is hij twee jaar werkzaam geweest als vice president of operations bij de Internet Capital Group. Jim Ebzery begon zijn loopbaan in de Sales-afdeling van IBM, waar hij in een periode van 17 jaar diverse functies bekleedde in sales management, business development en algemeen management. Zijn laatste functie bij IBM was die van worldwide solutions executive in de Supply Chain-divisie. Hij is als Bachelor of Science afgestudeerd aan het Boston College, met als specialisatie Computer Science.
