Elk jaar zijn er weer nieuwe technologische ontwikkelingen die de bestaande beveiligingsmechanismen uitdagen. Het securitylandschap is aan continue verandering onderhevig. Hoewel er eindeloos veel trends aan te wijzen zijn om te monitoren, onderscheidt onderzoeksbureau Forrester vijf specifieke macrotrends die beveiligingsprofessionals in 2014 in de gaten moeten houden en volgen.
2014 wordt volgens country manager Benelux Richard Jonker van Netgear het jaar waarin middelgrote organisaties gaan kiezen voor een hybride cloud-vorm; een mix van publieke cloud en private cloud. ‘Bedrijfskritische applicaties en cruciale data worden lokaal gehost, met offsite replicatie’, zegt hij. ‘Daarnaast is de opkomst van mobiele devices onomkeerbaar. Tablets, laptops en smartphones worden door elkaar gebruikt voor werk en privédoeleinden. En gebruikers eisen toegang tot hun data onafhankelijk van de plaats waar ze zijn, het tijdstip, of het soort scherm wat ze net voor hun neus hebben. Het verbinden, het beheer en de beveiliging van die draadloze apparaten die iedereen meesleept, wordt dan ook steeds belangrijker.’
Samen leiden deze trends volgens Jonker tot een enorme toename van het dataverkeer. ‘De prijzen voor snelle netwerken dalen door toegenomen schaalgrootte. Een 10 gigabit switch kost nu minder dan duizend euro, 2014 wordt het jaar van de doorbraak van deze techniek.’
Onderzoeksbureau Forrester voorziet dan ook een verschuiving van een informatie-economie naar een data-economie. Data zelf krijgt steeds meer waarde. Deze ontwikkeling maakt dat datacentrische beveiliging opkomt en zelfs onmisbaar wordt. Want in combinatie met de explosie aan mobiele devices en adoptie van clouddiensten moet data dus zelf beschermd worden. Deze verschuiving maakt een datacentrische beveiligingsorganisatie mogelijk.
Security intelligentie
Ten tweede geven de mogelijkheden om via analyse data automatisch te inventariseren en classificeren security en risk professionals steeds betere handvatten om informatie binnen een organisatie maximaal te beschermen. Door geavanceerdere analysemogelijkheden zijn zwakke plekken in de omgeving of bedreigingen op het netwerk, die gericht zijn op hun data, volgens Forrester snel te ondervangen. Consultant André Zegers van Grabowsky: ‘Gebruikers willen altijd en overal toegang tot gegevens. De traditionele, statische beveiliging van het netwerk zal daarom verschuiven richting een intelligent security-model met aandacht voor de risico’s en de context van data. De classificatie van gegevens zal daarbij een rol gaan spelen. Toegang tot gegevens zal afhankelijk worden van bepaalde context; bepaalde gegevens mogen bijvoorbeeld niet buiten de bedrijfsmuren worden ingezien. Andere mindere gevoelige gegevens weer wel.’ Toegang tot data zal dus steeds meer gegeven worden op basis van de context. Hierdoor zullen volgens Zegers Siem, gebruikersauthenticatie en autorisaties (iam), het detecteren van fraude, en governance, risc & compliance een belangrijke rol spelen in 2014.
Patrick de Goede van Eijk van T-Systems legt uit: ‘Security intelligentie is een belangrijke factor om bedrijven te helpen begrijpen wat er daadwerkelijk gebeurt op hun systemen. Traditionele beveiligingsoplossingen zijn niet afdoende als klanten meer gevarieerde en omvangrijke gegevensstromen willen inspecteren.’
Business development manager Maarten Stultjens van iWelcome is het met Zegers en De Goede van Eijk eens: ‘Identity en Access Management, het goed regelen wie-wat-mag, is een van de pijlers binnen security. Cloud computing en byod blijken echter nieuwe eisen te stellen aan identity en access management, eisen die niet worden ondersteund in de huidige oplossingen en waarvoor opnieuw losse it-systemen moeten worden aangeschaft en beheerd. Identity en access management as a Service (IDaaS) biedt deze functionaliteit min of meer out-of-the-box. Aansluitingen gaan hierdoor veel makkelijker en met weinig consultancywerk. Uiteraard heeft het gebruik van deze gestandaardiseerde omgevingen ook de beperkingen dat er minder ‘gecustomized’ kan worden. Volgens Gartner zullen echter eind 2015 40 procent van alle Identity management projecten as a Service worden afgenomen en zullen de huidige on-premise implementaties stapsgewijs worden vervangen.’
Mensen bepalen
De herdefiniëring van beveiliging wordt gedreven vanuit menselijk handelen. Want meer werknemers dan ooit hebben toegang tot gevoelige bedrijfsinformatie. Een derde trend die Forrester onderscheidt. Hoofd Kenniscentrum bij Infosupport Gert-Jan Timmerman: ‘Ook worden privé devices steeds vaker zakelijk gebruikt en andersom. Dat levert belangrijke securityrisico’s op. Een risico dat daaraan is gerelateerd, is dat veel mensen zakelijke gegevens niet versleuteld meenemen op laptops of andere mobiele apparaten. Er moeten daarom strakkere regels komen van bedrijven over encryptie van zakelijke gegevens.’
Marc Jepkes, business manager bij Fortinet vult aan: ‘Uit een onderzoek dat wij hebben laten uitvoeren blijkt dat 89 procent van de werknemers tussen de 21 en 32 jaar een privéaccount bij een cloud-opslagdienst heeft, zoals DropBox. Van deze groep gebruikt ongeveer tweederde het privéaccount voor werkdoeleinden. Dat hoeft natuurlijk geen probleem te zijn, zolang deze cloud-accounts maar benaderd worden met devices die goed beveiligd zijn.’
En daar schuilt vaak het probleem, zo blijkt ook uit het onderzoek. Bedrijven die duidelijke richtlijnen hebben voor het gebruik van persoonlijke smartphones of laptops hebben werknemers in dienst die hier niet van onder de indruk lijken. Maar liefst 51 procent van de generatie-Y werknemers geeft in het onderzoek aan dat zij elke beleidsregel zouden overtreden die het gebruik van privétoestellen verbiedt op het werk.
Volgens Forrester zijn zeer goed onderlegde beveiligingsspecialisten dan ook hard nodig om datacentrische beveiliging op te kunnen leggen en patronen te indentificeren die op een lek of overtreding wijzen. Organisaties die worstelen met personele problemen op beveiligingsvlak, bijvoorbeeld niet genoeg mensen hebben of niet de juiste vaardigheden, zullen zich steeds vaker wenden tot managed security service providers (mssp’s) en ict-consultants om de kloof te overbruggen.
Bewustzijn groeit
Toch is er ook goed nieuws. Want volgens verschillende experts groeit het bewustzijn bij consumenten en werknemers wel. ‘Gedreven door berichtgeving rond cybercrime en -spionage zal security een prominente rol blijven spelen in de kranten in
Managing Director Steven Dondorp bij Northwave: ‘Fabrikanten van draagbare elektronische apparaten maken beveiligingaspecten steeds eenvoudiger in gebruik. Denk aan de fingerprintscanner van de onlangs uitgebrachte iPhone. Fabrikanten ontfermen zich daarmee steeds meer over de wijze en architectuurreferenties voor de inrichting van account- en login-gegegevensopslag. Want ook al heeft een gebruiker een voldoende complex wachtwoord, wanneer deze wordt opgeslagen op een onveilig gebouwd apparaat kan het gemakkelijk worden gereset door een aanvaller.’
Vanuit diezelfde gedachte denkt Lacroix dat er ook voor de ontwikkeling van nieuwe security software en hardware verplichte veiligheidsstandaarden ontstaan voor fabrikanten. ‘Die zijn er nu al wel, maar veelal nog vrijblijvend. Kijk bijvoorbeeld eens naar de autobranche. Bij de ontwikkeling dient men al rekening te houden met safety, crash en brandveiligheidstandaarden. Anders mag de auto niet eens op de markt gebracht worden. Dit gebeurt niet eens tijdens de ontwikkeling, maar helemaal voorafgaand als eis. Een autostoel had er anders misschien zelfs helemaal anders uitgezien.’
De ciso
Uit al deze ontwikkelingen leidt Forrester een vierde en een vijfde trend af. Nummer vier: De veranderende rol van de security professional. Volgens het onderzoeksbureau is de nieuwe chief information security officer (ciso) niet alleen maar verantwoordelijk voor de back-officebeveiliging maar werkt hij samen met marketing en andere managers aan de bescherming van het merk, het klantvertrouwen en de klantdata. Hiermee garandeert hij de klantbeleving terwijl er tegelijkertijd wel voldoende beveiligingsmaatregelen worden getroffen.
Overzicht van risico’s
Er zijn bovendien zoveel risico’s die de waardevolle data van bedrijven bedreigen dat zij steeds vaker silo’s van risicomanagement integreren, waaronder operationeel risico, informatiebeveiliging, business continuity en de ict-beschikbaarheid. Op die manier houden zij overzicht over alle risico’s die het bedrijf bedreigen en de bijbehorende data.
Lacroix noemt dit ‘Best-of-suite security’. ‘De crisis noodzaakt veel bedrijven om een policy te implementeren waarbij integratie, beheer, tco en verbetering van de beveiliging voorop staan. Een holistisch security oplossing zorgt er namelijk voor dat men met gelimiteerde resources en budgetten toch een hogere mate van security kan afdwingen’, zegt hij.
In afwachting van het moment dat ik zo de keuken in ga, heb de fles bubbeltjes al open getrokken, het is al na 12:00. Ik lees even nog wat in Computable, ik weet het, heel pathetisch.
Security landschap verandert continue
Tja, als dat geen intrappen van een open deur is. Natuurlijk is dat zo.
Maar dan krijgen we weer dezelfde commerciële onzin, tenminste, ik vind het onzin.
Gebruik van privé peripherals
Hier word gesteld dat dat in 2014 een nog hogere vlucht zal gaan nemen en dat die vlucht onomkeerbaar is. Oh ja? Wie bepaald dit? U als commerciele partij met commerciele belangen of zou dit de hele nuchtere IT manager of CITO zijn die daar eens heel goed over na zal denken?
Byod
want er kleven veel meer nadelen dan voordelen aan het hele byod verhaal, hoe zeer men ook hijgerig blijft hypen dat dit een niet omkeerbare proces zou zijn….
Waar stond IT toch ook alweer voor? Oh ja, besparen door automatiseren. Bij mijn weten was en is IT bij uitstek een volkomen materie. Volkomen in de zin dat als je niets doet IT niets doet maar als je met ‘waarde’ gaat werken, (I), je dan ook ‘waarde’ (O) terug krijgt. De fascinatie voor dit ‘volkomen’ gegeven? IT is voorspelbaar. Vooral als je je houd aan de merites van IT houd en je de wetmatigheden van IT volgt.
Volg je die wetmatigheden niet? Dan is de uitkomst ook voorspelbaar. Kostbaar voorspelbaar.
Misschien zou je nog veel meer scoren en bereiken wanneer je eens gaat kijken naar de wetmatigheden waardoor je datgene gaat bereiken waar IT uiteindelijk voor is bedoeld. Het bewerkstelligen van besparingen.
Iedereen een bijzonder succesvol 2014 gewenst.