In 2013 zagen we een groeiende complexiteit in de evolutie van de belangrijkste technologieën zoals cloud , big data en mobile computing. Net als een toegenomen bezorgdheid over de impact van geavanceerde malware, social media hacking en 'afluisteren' (PRISM) op operaties en business-continuïteit wereldwijd. Er heerst dus vertwijfeling over de traditionele opvattingen met betrekking tot security en dan met name over waar de bedreigingen vandaan komen en plaatsvinden. Dit was dan ook één van de drukste jaren voor enterprise security. De vraag is nu: wat heeft 2014 voor ons in petto?
Het huidige snelle tempo waarin technologieën zich ontwikkelen, creëren uitdagingen voor bedrijven en voor hun security officers die de strategie uitzetten voor 2014. Ik voorzie hierdoor een aantal interessante ontwikkelingen.
Cloud. Cloud security gaat naar mijn mening verschuiven van ‘mystery and hype’ naar ‘secure and move-on’. Service providers nemen security nog serieuzer, gemotiveerd door klanten die betere en veiligere services verwachten. Voor zowel de publieke als private cloud maken we bovendien technologische vooruitgang in federatie, encryptie, virtualisatie security en monitoring. Reden tot voorzichtig optimisme dus.
Mobile security. Ondanks alle negatieve berichtgeving, ben ik optimistisch over de beveiliging van mobiele apparatuur. Eind 2014 zijn mobiele apparaten veiliger dan laptops vandaag de dag zijn. Fabrikanten van mobiele apparatuur en dienstverleners zullen de inspanningen op security-gebied opvoeren. Momenteel zijn technologieën al verder in ontwikkeling voor een veilig beheer, het encrypten van data, spraak en de virtualisatie van business-omgevingen. Dit gebeurt allemaal terwijl de privéomgeving gewoon gebruikt kan worden voor persoonlijke zaken, zoals social media. Daarnaast verwacht ik dat bedrijven het gebruik van hun mobiele apparatuur in 2014 goed bewaken en inzichtelijk maken. Een voorbeeld van deze ontwikkeling is de SimKo3-telefoon, ook wel de ‘Merkel’-telefoon genoemd. Deze telefoon voldoet aan alle veiligheidsaspecten die gesteld zijn door de Duitse overheid.
Compliance. Het naleven van regelgeving blijft een verrassend krachtige drijfveer: gedreven door schendingen van bijvoorbeeld de Wet Bescherming Persoonsgegevens. De toevloed en complexiteit van geavanceerde bedreigingen zet naleving ervan veelal op een laag pitje. Tevens dreigt er nieuwe aangescherpte Europese regelgeving door de vele inbraken en schendingen en groeit de behoefte aan controle en automatische rapportage aan instanties. Het type data dat bedrijven verzamelen en controleren om geavanceerde bedreigingen te detecteren zal ‘exploderen’ in zowel de variatie als het volume. Dit brengt ook de nodige veranderingen met zich mee.
Intelligence. Security-intelligentie is een belangrijke factor in het helpen van bedrijven over wat er daadwerkelijk gebeurt op hun systemen. Traditionele beveiligingsoplossingen zijn niet afdoende als klanten meer gevarieerde en omvangrijke gegevensstromen willen (laten) inspecteren.
Analyse. De vraag naar data scientists neemt exponentieel toe. Data scientists analyseren de explosief toegenomen stroom aan security-data en ongestructureerde business-data. Daarnaast correleren zij de data, om de spreekwoordelijke beveiligingsrisico-naald in de zakelijke hooiberg te vinden.
Social. Ook verwacht ik dat het delen van gegevens over bedreigingen toeneemt. Organisaties, zowel overheidsinstanties en bedrijven in de privésector, realiseren zich steeds meer dat ze elkaar nodig hebben om veiligheidsrisico’s in kaart te brengen en bedreigingen voor te blijven. Hier ligt een kans voor de overheid, zoals het ‘Amber-Alert’, om het Nederlandse digitale grondgebied beter te beveiligen.
Bedrijven beginnen daarnaast met toezicht op informatie die gedeeld wordt op sociale netwerken (bijvoorbeeld Facebook, Twitter). Organisaties zijn dan ook van mening dat sociale netwerken en hacker communities kunnen worden ontgonnen voor data-aanwijzingen. Die aanwijzingen tonen welke bedrijven mogelijke doelwitten zijn. De informatie kan zowel intern worden geanalyseerd, of via een dienst en/of de overheid worden verkregen.
Andere rol security officers.
Rapporteerden security officers in 2013 nog aan de cio, vanaf 2014 zie ik dat veranderen. De security officer is niet meer de ‘politieagent’, maar denkt mee met de bedrijfsvoering. Hij denkt na over hoe risico’s in de hand kunnen worden gehouden, zonder direct de ‘business’ te raken. Security afdelingen worden daarom zelfstandiger, en gaan meer een rol als adviesorgaan vervullen naar de ceo, cfo en cio.
Tot slot
De beste verdediging is vaak een goede aanval. Om dreigingen voor te zijn, is het belangrijk om nu plannen te maken voor de komende jaren. Zo kunnen zij ict-landschappen nog beter beveiligen en gegevens effectiever beschermen. Net als het afgelopen jaar wordt 2014 naar mijn mening een zeer actief en spannend jaar op het gebied van security.
Met alle Respect voor de auteur in de allereerste plaats natuurlijk. Ik heb de voorbije drie maanden allerlei open deuren ingetrapt zien worden maar telkens draait men een soort van …. om de kern van de materie heen. Tenminste, ik zie niet veel mensen even gewoon een pas op de plaats maken en de moeite nemen eens gewoon naar de basis te kijken.
Hop naar hop, hype naar hype
Er is niets ouderwets aan om gewoon eens een blik te werpen op die lading hypes waarmee men ons sinds, laat ons zeggen 2008, aan het bombarderen is. de ene onzin lokt dan de volgende weer uit.
Vluchtig gevaar
Ik wijs u even op lieden zoals Balkenende, Bos, Verhagen, Donner, Kamp, Rutte, Samsom, Asscher. Ziet u de rode draad? Neen? Ik doe u die graag uit de doeken. Sinds 2008 heeft dit clubje, uiteraard met alle meelopers onder hen, komaf gemaalt van ‘solide’ naar ‘vluchtig’. Men noemde dit VOC, Goed voor de zzp-er, goed voor de economie. Zij riepen vaste aanstellingen niet meer van deze tijd en…..
Enfin, laten we wel zijn, deze lieden, hebben de NL economie al voor, naar schatting, neer dan 50 tot 55 miljard aan schade berokkend en dat cijfer loopt voorlopig nog op. Uiteraard zorgen zij puissant goed voor zichzelf.
De onmiddellijke gevolgen
Eindeloze nergens toe leidende discussies, discriminatie, vluchtige kennis maar vooral, enorme schade. Veel groter dan menig een durft te erkennen laat staan er eens rustig naar te kijken.
Mijn persoonlijke devies?
who Gives A Damn, ik scoorde daar vrij recentelijk geschokte blikken mee op een paar seminars. ‘ Ik hoef namelijk de voorspelbare rekeningen niet te betalen.
Want dat IT een voorspelbare materie is, dat zou een ieder toch moeten weten. De nadelen? Dat vluchtige kennis bijzonder dure kennis is en dus voor de ondernemer uiteindelijk een duurder prijskaartje hangt dan hij zichzelf had kunnen besparen.
Materie IT is daar namelijk voor bedoeld. Voorspelbaar besparen. Alleen is dat natuurlijk niet wat ‘commercie’ wil zien, laat staan na streeft.
@Numo
vat dit nu eens samen in 1 korte zin.
Het artikel zie ik als tamelijk oppervlakkig. De Simko is niet zo te koop. Of het werkelijk veilig is durf ik te betwijfelen.
Dat de nering van Patrick security is wordt wel dudelijk in dit artikel, daar is niks mis mee, de rest is koffiedik kijken.
Dat mobiele apparaten veilg zijn beschouw ik als een sprookje. Mijn ervaringen met Android tonen dat het een uitgeklede linux is die ook een behoorlijk instelbare security mist.
@ jan van Leeuwen
Klaarblijkelijk is materiekennis u niet erg gegeven en voor leraar….. tja.
Probeer u eerst eens te beperken tot enige concrete reflectie op de inhoud van het artikel. Zaken verpersoonlijken staat weinig zakelijk noch professioneel.
@Numo
Over materiekennis gesproken, is dat zoiets als de kwaliteit van de volgende website?
http://www.numoquest.nl/
@Jan van Leeuwen:
De Simko3 is daadwerkelijk te koop, en worden ook gebruikt in Nederland door diverse klanten: https://www.t-systems.com/umn/t-systems-factsheet-simko3-make-your-mobile-communications-more-secure-with-simko3-/1123262_1/blobBinary/Factsheet_SiMKo3.pdf?ts_layoutId=761542
Ontwikkelingen zoals Samsung KNOX, Blackberry’s nieuwe Mobile Security platform en ontwikkelingen voor Apple’s IOS stemmen mij toch positief dat mobiele platformen (Smartphones, Tablets) veiliger gaan worden.
Kijken in de “toekomst” is bijna altijd “koffiedik” kijken, ik spreek dan ook alleen maar verwachtingen uit die hopelijk leiden tot (security gerelateerde) discussies.
@Jan van Leeuwen,
Misschien begrijpt u niet helemaal waar het hier bij Computable om gaat. Het gaat hier om professionele vakmatige benadering van IT en issues die zelden persoonlijk zijn. Dat geld ook voor reacties op…
Er is een wetmatigheid in IT die het volgende zegt,”Never asume, always verify….” Dat geld uiteraard voor meerdere zaken. Doe u zelf een groot plezier en beperk u tot de inhoud van de publicatie en onderwerp.
Laat zaken die hier geen waarde hebben waar ze zijn. Mocht u persoonlijke/zakelijke vragen hebben kunt u andere wegen bewandelen. Dit forum leent zich daar niet voor.
Merci.
Citaten van Numo
“Ik geloof niet dat u a. het artikel goed heeft gelezen”
“Klaarblijkelijk is materiekennis u niet erg gegeven”
“Misschien begrijpt u niet helemaal waar . . .”
Inderdaad houdt u zich aan de inhoud, voor mij is de discussie definitief gesloten.
Eigenlijk komt het op het volgende neer:
1. Ook in 2014 worden onze data bedreigd, worden we gehackt en zijn onze gegevens niet veilig;
2. Beveiliging loopt achter de feiten aan, technologisch en procesmatig en kwa inbedding in de organisaties en natuurlijk privé;
3. Ook in 2014 blijven we plannen en risico analyses maken.
Weinig tot geen veranderingen dus ten opzichte van voorgaande jaren.
Het zou beter zijn om beveiliging vanaf de bron te embedden in organisaties en gegevens en daarmee eens te starten in 2014.