Computable vroeg zijn experts naar de trends die zij zien op het gebied van security en hun voorspellingen voor 2012. Het bring your own device-beleid, mobility management en de cloud staan hoog op de agenda.
Mensen en hun werk worden steeds mobieler. Steven Dondorp, managing director Northwave: ‘Hoewel veel security-activiteiten in 2012 nog steeds worden gedreven door regelgevende mandaten, is mobiel werken een belangrijke ontwikkeling uit ‘vrije wil'. De enorme groei aan mobiele apparatuur en cloud-oplossingen vervult die behoefte. De huis-ultrabooks en de iPad worden het verlengde van de kantoorautomatisering. Maar deze ‘bring your own device' (byod) en cloud-ontwikkelingen gaan een steeds groter probleem opleveren, doordat gebruikers zich niet aan de elementaire veiligheidsinstellingen houden.' Want naarmate smartphones en tablets aan populariteit winnen, worden ze een steeds belangrijker doelwit voor cybercriminelen. Malware op APPS zal groeien, verwachten de Computable-experts. ‘Door de toename van mobiele apparaten neemt het aantal mobiele aanvallen ook toe', zegt Fred Streefland, security solutions specialist bij IBM. Volgens Marnix van Meer, cto bij Crypsys, wordt ‘bring your own device' al snel ‘bring your own problem'. ‘Doordat medewerkers hun eigen apparaten mogen gebruiken binnen de organisatie, vervaagt de grens tussen privé en zakelijk voor hard- en software', zegt hij. ‘Dit zorgt voor een uitdaging in beheer en beveiliging.'
Rob van der Staaij van Atos Consulting is het met hem eens: ‘Hackers richten zich meer en meer op mobile devices. Organisaties moeten hier maatregelen tegen nemen, maar ik verwacht dat zij nog een tijdje achter de feiten aan blijven hobbelen.' Maar proactieve maatregelen om mobile devices te beschermen, dus het structureel meenemen hiervan in het reguliere beveiligingsprogramma, zullen we in 2012 nog niet veel zien, denkt hij.
Cloud
De cloud is een andere belangrijke pijler voor de beveiligingsmarkt. Van der Staaij: ‘Omdat gegevens steeds meer in de cloud worden opgeslagen, wordt het direct beveiligen van data ofwel het versleutelen hiervan steeds belangrijker.' Hans Gründemann, consultant bij ID&IT Online, vult aan: ‘Privacy, identity & access management en sterke authenticatie in de cloud zijn belangrijke onderwerpen.'
Die experts denken dat dit positieve effecten heeft voor de branche. De beveiligingsmarkt moet hierdoor volwassen worden. Dondorp: ‘Hoewel er nog steeds standaard aversie bestaat, vanwege de beveiligingsrisico's van cloud computing, moeten security professionals onder druk van de business met de ontwikkeling meegaan. Omdat bedrijven blijven migreren naar cloud-platformen is het zaak energie te steken in het beter doorgronden van de cloud-omgevingen in plaats van ze te bestrijden. Alleen zo kan een aanvaardbaar niveau van volwassenheid worden bereikt in cloud security.'
Cyberwar
Want ict-bedrijfsomgevingen blijven in 2012 een geliefd doelwit, verwachten de Computable-experts. Streefland: ‘Het aantal geavanceerde dreigingen, advanced persistent threats, zal alleen maar toenemen.' Gert Jan Timmerman, hoofd kenniscentrum bij Info Support, herkent dit: ‘Er komen steeds geavanceerdere aanvallen, omdat er steeds meer partijen zijn die veel geld en tijd kunnen en willen uittrekken om een goed georganiseerde aanval op te zetten. De meeste beveiligingssystemen zijn daar niet tegen bestand of op zijn minst is er altijd wel een zwakke schakel die ervoor zorgt dat de aanval slaagt. Beveiligers van systemen moeten dus steeds professioneler te werk gaan en nog beter controleren of alle gaten in de beveiliging werkelijk gedicht zijn.
Volgens Gründemann lopen intrusion detection-systemen duidelijk achter op de hackerswereld. ‘Het lijkt erop dat cyberwar tussen staten nu echt is losgebroken en dat de hackers vooralsnog aan de winnende hand zijn', zegt hij.
Van der Staaij: ‘Ook overheden maken zich steeds vaker schuldig aan hacking. Daarbij moet niet alleen gedacht worden aan voor de hand liggende kandidaten als Iran en Noord-Korea. Ook Rusland en China beginnen op dit terrein een stevige reputatie op te bouwen.' Om deze ontwikkelingen het hoofd te bieden is volgens hem betere internationale samenwerking nodig op het gebied van cybersecurity.
Risico’s
Heeft het dan überhaupt zin de strijd aan te gaan? Jawel, denken de meeste Computable-experts. Van der Staaij: ‘Hoewel het nooit mogelijk zal zijn iets voor honderd procent te beveiligen, is het wel mogelijk iets zo te beveiligen dat cybercriminelen eraan voorbij zullen lopen. Ook een cybercrimineel maakt tevoren een afweging van de moeite die hij moet doen om iets te kunnen hacken en de opbrengst ervan.' Hoewel volledige beveiliging een illusie is, is goede beveiliging dus ook zeker een must, vindt Erik Remmelzwaal, algemeen directeur Medusoft. ‘Beveiliging komt in alle facetten van ons leven – dus ook buiten de it – neer op het afwegen van risico's. Als je de risico's die je loopt goed kent, kun je een gedegen afweging maken. Als mensen iets van je willen stelen, dan gaat het ze lukken. Wanneer je risico's tot een werkbaar en acceptabel minimum beperkt, dan komen incidenten als bij DigiNotar simpelweg niet voor.'
Consultant
Voor consultants werkzaam in het beveiligingsvakgebied is het vooral zaak om bij te blijven en ontwikkelingen op de voet te volgen. Timmerman: ‘Het type werknemer dat nodig is om de bedreigingen het hoofd te bieden, heeft veel specialistische kennis van beveiligingsmechanismes, maar ook voldoende overzicht om snel de zwaktes in een beveiligingssysteem te kunnen ontdekken. Hij moet bereid en in staat zijn om de nieuwste ontwikkelingen bij te benen en zich dus continu blijven bijscholen.'
Streefland vult aan: ‘Cybersecurity is geen technologisch probleem, maar een business challenge. Er zijn dus mensen nodig die de vertaalslag kunnen maken van beleid naar de toepassing daarvan. Die geconstateerde problemen begrijpen en ze tegelijkertijd kunnen oplossen.' Volgens Remmelzwaal zouden bedrijven in de branche meer voor een geïntegreerde aanpak moeten kiezen. ‘Ze adviseren, auditen, schrijven beleid óf implementeren specifieke oplossingen. Daar zit precies het gat dat leidde tot DigiNotar: er was een theoretisch model, er was goed over nagedacht, er werd ge-audit; maar in de praktijk was het een puinhoop.'
Wat is het?
Informatiebeveiliging is een geheel van preventieve, detectieve, repressieve en correctieve maatregelen, procedures en processen. Deze moeten de beschikbaarheid, exclusiviteit en integriteit van alle vormen van informatie binnen een organisatie of een maatschappij garanderen. Doel ervan is de continuïteit van de informatie en de informatievoorziening te waarborgen en de eventuele gevolgen van beveiligingsincidenten tot een acceptabel, vooraf bepaald niveau te beperken.
Computable Consultancy Guide 2012
Dit artikel is opgenomen in de Computable Consultancy Guide 2012. Deze is verschenen op 16 december 2011. In de gids is informatie opgenomen over deelgebieden waarover de consultancy-bedrijven advies leveren.
Voor een organisatie is het belangrijk om een risicoanalyse te doen en data te classificeren. In deze risicoanalyse dient dan tevens BYOD als risico-object te worden meegenomen. Wordt alleen openbare of publieke informatie gedeeld, dan heb je nauwelijks een probleem. Wordt ook vertrouwelijke informatie beschikbaar gesteld op het device, dan moet je maatregelen nemen. Denk dan ook eens aan het beveiligen van de informatie zelf en wat minder aan het device of het netwerk.