Computable vroeg zijn experts naar de trends die zij zien op het gebied van security en hun voorspellingen voor 2012. Het bring your own device-beleid, mobility management en de cloud staan hoog op de agenda.
Mensen en hun werk worden steeds mobieler. Steven Dondorp, managing director Northwave: ‘Hoewel veel security-activiteiten in 2012 nog steeds worden gedreven door regelgevende mandaten, is mobiel werken een belangrijke ontwikkeling uit ‘vrije wil'. De enorme groei aan mobiele apparatuur en cloud-oplossingen vervult die behoefte. De huis-ultrabooks en de iPad worden het verlengde van de kantoorautomatisering. Maar deze ‘bring your own device' (byod) en cloud-ontwikkelingen gaan een steeds groter probleem opleveren, doordat gebruikers zich niet aan de elementaire veiligheidsinstellingen houden.' Want naarmate smartphones en tablets aan populariteit winnen, worden ze een steeds belangrijker doelwit voor cybercriminelen. Malware op APPS zal groeien, verwachten de Computable-experts. ‘Door de toename van mobiele apparaten neemt het aantal mobiele aanvallen ook toe', zegt Fred Streefland, security solutions specialist bij IBM. Volgens Marnix van Meer, cto bij Crypsys, wordt ‘bring your own device' al snel ‘bring your own problem'. ‘Doordat medewerkers hun eigen apparaten mogen gebruiken binnen de organisatie, vervaagt de grens tussen privé en zakelijk voor hard- en software', zegt hij. ‘Dit zorgt voor een uitdaging in beheer en beveiliging.'
Rob van der Staaij van Atos Consulting is het met hem eens: ‘Hackers richten zich meer en meer op mobile devices. Organisaties moeten hier maatregelen tegen nemen, maar ik verwacht dat zij nog een tijdje achter de feiten aan blijven hobbelen.' Maar proactieve maatregelen om mobile devices te beschermen, dus het structureel meenemen hiervan in het reguliere beveiligingsprogramma, zullen we in 2012 nog niet veel zien, denkt hij.
Cloud
De cloud is een andere belangrijke pijler voor de beveiligingsmarkt. Van der Staaij: ‘Omdat gegevens steeds meer in de cloud worden opgeslagen, wordt het direct beveiligen van data ofwel het versleutelen hiervan steeds belangrijker.' Hans Gründemann, consultant bij ID&IT Online, vult aan: ‘Privacy, identity & access management en sterke authenticatie in de cloud zijn belangrijke onderwerpen.'
Die experts denken dat dit positieve effecten heeft voor de branche. De beveiligingsmarkt moet hierdoor volwassen worden. Dondorp: ‘Hoewel er nog steeds standaard aversie bestaat, vanwege de beveiligingsrisico's van cloud computing, moeten security professionals onder druk van de business met de ontwikkeling meegaan. Omdat bedrijven blijven migreren naar cloud-platformen is het zaak energie te steken in het beter doorgronden van de cloud-omgevingen in plaats van ze te bestrijden. Alleen zo kan een aanvaardbaar niveau van volwassenheid worden bereikt in cloud security.'
Cyberwar
Want ict-bedrijfsomgevingen blijven in 2012 een geliefd doelwit, verwachten de Computable-experts. Streefland: ‘Het aantal geavanceerde dreigingen, advanced persistent threats, zal alleen maar toenemen.' Gert Jan Timmerman, hoofd kenniscentrum bij Info Support, herkent dit: ‘Er komen steeds geavanceerdere aanvallen, omdat er steeds meer partijen zijn die veel geld en tijd kunnen en willen uittrekken om een goed georganiseerde aanval op te zetten. De meeste beveiligingssystemen zijn daar niet tegen bestand of op zijn minst is er altijd wel een zwakke schakel die ervoor zorgt dat de aanval slaagt. Beveiligers van systemen moeten dus steeds professioneler te werk gaan en nog beter controleren of alle gaten in de beveiliging werkelijk gedicht zijn.
Volgens Gründemann lopen intrusion detection-systemen duidelijk achter op de hackerswereld. ‘Het lijkt erop dat cyberwar tussen staten nu echt is losgebroken en dat de hackers vooralsnog aan de winnende hand zijn', zegt hij.
Van der Staaij: ‘Ook overheden maken zich steeds vaker schuldig aan hacking. Daarbij moet niet alleen gedacht worden aan voor de hand liggende kandidaten als Iran en Noord-Korea. Ook Rusland en China beginnen op dit terrein een stevige reputatie op te bouwen.' Om deze ontwikkelingen het hoofd te bieden is volgens hem betere internationale samenwerking nodig op het gebied van cybersecurity.
Risico’s
Heeft het dan überhaupt zin de strijd aan te gaan? Jawel, denken de meeste Computable-experts. Van der Staaij: ‘Hoewel het nooit mogelijk zal zijn iets voor honderd procent te beveiligen, is het wel mogelijk iets zo te beveiligen dat cybercriminelen eraan voorbij zullen lopen. Ook een cybercrimineel maakt tevoren een afweging van de moeite die hij moet doen om iets te kunnen hacken en de opbrengst ervan.' Hoewel volledige beveiliging een illusie is, is goede beveiliging dus ook zeker een must, vindt Erik Remmelzwaal, algemeen directeur Medusoft. ‘Beveiliging komt in alle facetten van ons leven – dus ook buiten de it – neer op het afwegen van risico's. Als je de risico's die je loopt goed kent, kun je een gedegen afweging maken. Als mensen iets van je willen stelen, dan gaat het ze lukken. Wanneer je risico's tot een werkbaar en acceptabel minimum beperkt, dan komen incidenten als bij DigiNotar simpelweg niet voor.'
Consultant
Voor consultants werkzaam in het beveiligingsvakgebied is het vooral zaak om bij te blijven en ontwikkelingen op de voet te volgen. Timmerman: ‘Het type werknemer dat nodig is om de bedreigingen het hoofd te bieden, heeft veel specialistische kennis van beveiligingsmechanismes, maar ook voldoende overzicht om snel de zwaktes in een beveiligingssysteem te kunnen ontdekken. Hij moet bereid en in staat zijn om de nieuwste ontwikkelingen bij te benen en zich dus continu blijven bijscholen.'
Streefland vult aan: ‘Cybersecurity is geen technologisch probleem, maar een business challenge. Er zijn dus mensen nodig die de vertaalslag kunnen maken van beleid naar de toepassing daarvan. Die geconstateerde problemen begrijpen en ze tegelijkertijd kunnen oplossen.' Volgens Remmelzwaal zouden bedrijven in de branche meer voor een geïntegreerde aanpak moeten kiezen. ‘Ze adviseren, auditen, schrijven beleid óf implementeren specifieke oplossingen. Daar zit precies het gat dat leidde tot DigiNotar: er was een theoretisch model, er was goed over nagedacht, er werd ge-audit; maar in de praktijk was het een puinhoop.'
Wat is het?
Informatiebeveiliging is een geheel van preventieve, detectieve, repressieve en correctieve maatregelen, procedures en processen. Deze moeten de beschikbaarheid, exclusiviteit en integriteit van alle vormen van informatie binnen een organisatie of een maatschappij garanderen. Doel ervan is de continuïteit van de informatie en de informatievoorziening te waarborgen en de eventuele gevolgen van beveiligingsincidenten tot een acceptabel, vooraf bepaald niveau te beperken.
Computable Consultancy Guide 2012
Dit artikel is opgenomen in de Computable Consultancy Guide 2012. Deze is verschenen op 16 december 2011. In de gids is informatie opgenomen over deelgebieden waarover de consultancy-bedrijven advies leveren.
Je kan al heel wat zorgen wegnemen als je toegang tot bedrijfssystemen regelt met virtualisatie en als je vastlegt dat het delen van bedrijfsdata alleen mag binnen de virtueel toegankelijke werkomgeving. Daarbuiten is BYOD dan grotendeels Take Care of Yourself. En tja, de Android app stores staan helaas wijd open voor niet gevalideeerde applicaties, dus……. Liever Apple als het om Apps en veiligheid gaat?
Zou het een idee zijn om het over de architectuur van de toepassing vanuit de gebruiker gezien te praten? (En daarna te (gaan) doen).
Het artikel gaat helemaal niet zozeer over BYOD, een “Cloud” titel en Security was relevanter geweest.
De hack problematiek is wel evolutionair gezien gunstig. Als onze wereld geen echte virussen zou bevatten, dan zou een eerste virus de mensheid uitroeien. Als er geen hackers waren dan zou de eerste hackaanval in deze tijd desastreus zijn. Het lijkt me dus een goede ontwikkeling dat security in the cloud (lees: Internet) snel volwassen wordt.
En de vergelijking met een bank is helemaal niet zo gek. Wie hebben er meer ervaring met het beveiligen van geld? Jij of de bank? Wie hebben er meer ervaring met het beveiligen van gegevens? De MKB bedrijven en Cloud Providers. Er valt dus heel veel winst te behalen voor een cloud provider die zijn security goed op orde heeft. Het zou leuk zijn als dit een Europees initiatief zou zijn.
@Dick
Wat bedoel je eigenlijk?
Of wil je eigenlijk zeggen dat de BYOD altijd een hulpmiddel moet zijn en nooit een doel mag worden. (die hadden we nog niet gehoord)
Eigenlijk wilde ik zeggen dat niet alleen een Device, of je het nu zelf meebrengt of niet, maar de hele ICT slechts hulpmiddel is; het doel ligt bij de gebruiker en dient dus ook door hem te worden bepaald . . .
Creëren we hier niet ons eigen probleem?
– alles “moet” vandaag de dag in de cloud, op je eigen server iets bewaren is blijkbaar niet efficiënt (mijn vrije vertaling van de trend-artikelen wat “de cloud” betreft)
– we “moeten” met al onze eigen devices overal en altijd bij onze werk-gerelateerde data kunnen (mijn vertaling van de BYOD trend artikelen)
– en dat alles doen we het liefst in een second life omgeving, ofwel, alles zo veel mogelijk virtueel (de derde trend die afgelopen jaar veelvuldig behandeld is)
– en last but not least, dat doen we allemaal met open source code uiteraard.
Iedere trend kent zo haar voor- en nadelen, maar door het combineren van al deze dingen, worden niet alleen de voor, maar ook de nadelen exponentieel versterkt. Dit laatste lijkt nogal eens over het hoofd gezien te worden.
Security is natuurlijk een relatief begrip, maar kijk ik terug naar het goede oude, gesloten, mainframe, dan was dat in ieder geval goed geregeld destijds.
Er zijn goede oplossingen om BYOD op een veilige manier te managen. Afaria is de SAP device management oplossing die door Gartner rechtsboven in het quadrant geplaatst is. Partijen zoals Capgemini en Accenture kunnen dit ook in de cloud aanbieden. http://bit.ly/uoVoYb. En ja ik preek voor eigen parochie 😉
Naar mijn mening moeten we het hier hebben over toegankelijkheid vanaf buiten en niet BYOD! Of dat via BYOD of iets anders is, maakt niet uit.
Als je een visie hebt over toegankelijkheid dan ga je ook nadenken over waar je data in opgeslagen mag worden (lokaal of centraal), hoe de applicaties gepresenteerd gaan worden (apps of desktop, etc), op welke punten en hoe de toegang beveiligd moet worden en uiteindelijk hoe je de architectuur van deze oplossing in elkaar gaat zetten en in welke lagen je de beveiliging gaat realiseren. Hierdoor zou je er achter komen, vanwege security en nog een aantal andere zaken kun je je ICT niet aanpassen aan de device van de gebruikers die ze meenemen en per dag anders wordt, maar wel de gebruikers hun device moeten aanpassen aan de ICT (het gaat toch om werken en niet gadgets!)
De bewering en reactie van Hans Gründemann zijn terecht. Security in Cloud is een integraal proces. Ik verwacht naar mate Cloud meer vorm en inhoud krijgt, lees meer gestandaardiseerd wordt zullen de problemen rondom security in deze oplossing meer aandacht krijgen en opgelost worden.
Terug naar BYOD, ik vind dat dit concept niet alleen geen toegevoegde waarde heeft maar ook de oorzaak van veel geld verspilling binnen ICT gaat worden. Voor de duidelijkheid, ik heb het over BYOD en niet over werkplek onafhankelijk werken!
Dat mensen BYOD en cloud omarmen ligt in het onvermogen van corporate ICT om adequaat in behoeften te voorzien. De risico’s, die er ontegenzeglijk zijn, worden ruimschoots teniet gedaan door de toegenomen nutsfunctie van “consumer-ICT”.
Want laten we eerlijk zijn: alleen een masochist houdt van SAP.
@Erast, ik begrijp dat jij vanuit SAP your own practise preacht, maar device management is slechts een beperkte optie. Je moet een platform aanbieden dat VEILIG genoeg is en waar gebruikers via SSO eenmalig inloggen, zodat ze dan goed en veilig hun werk kunnen doen.