De belangrijke ontwikkelingen op het gebied van ict-beveiliging: ze zijn terug te vinden in deze bijdrage, die onderdeel uitmaakt van de Consultancy Guide 2011.
Wat is het?
Informatiebeveiliging is het geheel van preventieve, detectieve, repressieve en correctieve maatregelen alsmede procedures en processen die de beschikbaarheid, exclusiviteit en integriteit van alle vormen van informatie binnen een organisatie of een maatschappij garanderen, met als doel de continuïteit van de informatie en de informatievoorziening te waarborgen en de eventuele gevolgen van beveiligingsincidenten tot een acceptabel, vooraf bepaald niveau te beperken.
Trends
Malware die zich richt op procescontrole
De Stuxnet-worm is voor zover bekend de eerste malware die zich richt op software voor het aansturen van fabrieksprocessen. De worm probeert om de omwentelingssnelheid van bepaalde elektromotoren in fabrieken te wijzigen.
Aanvalsmethoden van cybercriminelen worden geavanceerder
'Hightechcriminaliteit is zeer aantrekkelijk', schrijven de opstellers van het Nationale Trendrapport Cybercrime en Digitale Veiligheid. Dit rapport kwam onder regie van Govcert tot stand, in samenwerking met onder meer de AIVD, KLPD, en Opta. 'Het kan namelijk met een beperkte investering snel winstgevend zijn, terwijl de pakkans laag is. Cybercriminelen zijn goed georganiseerd en hebben specialisaties die zij als dienstverlening aanbieden. Ze voeren aanvallen uit in tijdelijke samenwerkingsverbanden die zij op internetfora aangaan.'
Virtualisatie wordt beveiligd
VMware brengt een reeks beveiligingsproducten op de markt die zijn geoptimaliseerd voor gevirtualiseerde omgevingen. Ook virtualisatieleverancier Citrix en softwarebeveiliger McAfee hebben een open platform ontwikkeld dat de beveiliging van gevirtualiseerde omgevingen moet optimaliseren. 'Als je traditionele antivirus- en firewalldesktopapplicaties installeert op een virtuele desktop, moest je dat tot nu toe op elke virtuele machine apart doen. Dat levert extra overhead op. Ook zorgt het voor capaciteits- en prestatieproblemen', vertelde McAfee directeur product operations Brian Barney voorjaar 2010 tijdens Citrix Synergy in San Francisco, toen dit platform voor het eerst werd aangekondigd.
De cloud vraagt om een ander beveiligingsmodel
Traditioneel wordt het datacenter van buiten naar binnen beveiligd, vanaf de firewall in lagen tot aan het hart van het netwerk. Doordat afnemers van clouddiensten binnen publieke clouds het netwerkverkeer, de opslagbronnen en de fysieke servers delen met andere klanten, hebben ze beveiliging van binnen naar buiten nodig. Dat zegt beveiligingsadviseur Rik Ferguson van antivirusleverancier Trend Micro. 'Traditioneel wordt het datacenter van buiten naar binnen beveiligd, vanaf de firewall in lagen tot aan het hart van het netwerk', legt Ferguson uit. 'In cloudomgevingen werkt dat model niet meer. Klanten hebben geen controle meer over de rand van het netwerk. Bovendien delen het netwerkverkeer, de opslagbronnen en de servers met andere klanten.' De enige oplossing volgens Ferguson is om 'van binnenuit' te beveiligen, waarbij de firewall aan de rand van de virtuele machine wordt geplaatst. En data moet standaard worden versleuteld, 'zodat de beveiliging mee reist, waar die dat ook heen gaat.'
Privacy staat onder druk
Bedrijven moeten steeds meer gegevens opslaan en afstaan aan de overheid op semivrijwillige basis, zonder dat daar een wettelijke grondslag voor is. Ook de opslagwoede van de overheid neemt steeds grotesker vormen aan. Dat zegt directeur Ot van Daalen van Bits of Freedom. 'Bedrijven worden steeds meer ingezet om als een verlengstuk van de overheid te fungeren', vertelt Van Daalen. 'Zij zullen gegevens moeten opslaan en op semivrijwillige basis afstaan aan de overheid, zonder dat daar een wettelijke grondslag voor is. Dat is een ontwikkeling die we bijvoorbeeld in de vliegindustrie al langer zien: passagiersgegevens werden eerst lange tijd geleverd op semivrijwillige basis geleverd. Vervolgens is daar wet- en regelgeving om gebouwd. Je zult dat steeds vaker zien: dat bedrijven steeds meer toestemming krijgen om allerlei vertrouwelijke persoonsgegevens op te slaan, als ze die maar aan opsporingsinstanties beschikbaar stellen. Dat zie je bijvoorbeeld ook op financieel gebied.'
Wie geeft hierover advies?
Accenture
Atos Origin
Avaya
BT
Capgemini
Centric
Corso
CSC
Ctac
Deloitte
Fujitsu
Getronics (KPN)
HP
Humiq
i3 groep
IBM
Imtech ICT
Inter Access
IT Staffing
KPMG
Logica
Microsoft
Nobel
Ordina
Pecoma Informatica
Qurius
Siemens
Simac Techniek
Tata Consultancy Services
Telindus
Total Specific Solutions
T-Systems
Unisys
VCD IT Groep
VX Company
Selectie adviesbedrijven
Bovenstaande lijst kwam tot stand door aan de veertig grootste adviesbedrijven te vragen over welke ict-deelgebieden zij adviseren.
De selectie van de veertig grootste adviesbedrijven is uitgevoerd door Mazars Berenschot Corporate Finance. Dat gebeurde op basis van omzetgegevens van ict-bedrijven die ict-advisering als hoofdbedrijfsactiviteit hebben. Deze omzetgegevens zijn gehaald uit openbare bronnen.
Consultancy Guide 2011
De Consultancy Guide 2011 is verschenen op 17 december 2010. De gids geeft een overzicht van de belangrijkste deelgebieden in de ict waarover consultancy-bedrijven adviseren. Daarnaast presenteert de gids alle resultaten van het onderzoek dat Motivaction uitvoerde.