Tegenwoordig investeren en implementeren bedrijven technologie om processen te verbeteren en om het risico van menselijke fouten, die invloed hebben op de bedrijfsvoering, te minimaliseren. Zelfs met jaren van verbeteringen aan security oplossingen en de continue intelligentie die is toegevoegd aan security technologieën zoals firewalls, ben ik nog steeds van mening dat de security van een organisatie zo goed is als het vermogen van de persoon die het beheert.
Ik twijfel in geen geval aan de onderwijsachtergrond of expertise van it-managers. Echter, op basis van een recent firewall onderzoek – waaruit bleek dat 80 procent van de bedrijven niet weet wat al hun firewall-rules doen – meen ik dat de potentiële uitdaging ligt bij de it- of security-beheerder die de grote complexiteit van de technologie van vandaag gewoon niet meer kan bijhouden. Die complexiteit veroorzaakt meer kansen op menselijke fouten.
De beperkingen van de mens
Bij het beheren van firewalls zorgt het aantal rules en de correlatie tussen de rulesets voor de complexiteit. Het menselijk brein kan slechts een beperkte hoeveelheid informatie tegelijk aan. Dit betekent dat wanneer een it-beheerder kijkt naar de beheerconsole op het computerscherm, hij of zij maar ongeveer 25 rijen met rules kan verwerken.
Security rules en profile rulesets komen vaak voor in organisaties om hun medewerkers en it-systemen te beschermen, nu en in de toekomst. Sommige bedrijven hebben tot dusver ongeveer vijfhonderd rules die worden gebruikt op een bepaald moment. Bedrijven met dat aantal firewall-rules hebben een significant hogere kans op onjuiste configuratie, simpelweg omdat de it-manager die de firewall beheert geen duidelijk overzicht heeft van de beveiliging van de organisatie, of omdat hij of zij moeilijk tegenstrijdige rule-elementen kan opmerken. Het is niet verwonderlijk dat meer dan 55 procent van de bedrijven een gat in de beveiliging heeft ervaren als gevolg van een verkeerd geconfigureerde firewall-rule. De helft van de gevallen leidde tot uitval van het systeem.
Laat technologie werken
Zelfs als de huidige rules werken en ze hoge beveiligingsniveaus verstrekken, is er geen garantie dat dit zo zal blijven in de toekomst. Marktdynamiek en zakelijke behoeften veranderen voortdurend, dus het is geen optie om zuinig te zijn met het toevoegen en wijzigen van de security-rules en -instellingen. Het is zeer waarschijnlijk dat het aantal rules zal blijven groeien, waardoor het nog moeilijker voor de it-manager wordt om een duidelijk overzicht te houden .
De industrie moet opstaan en met een antwoord komen op deze mismatch tussen de capaciteit van de menselijke hersenen en de hoeveelheid informatie die technologie levert. Als gebruiksgemak net zo’n hoge prioriteit krijgt als functionele technologische verbeteringen, zullen it-managers in staat zijn om de technologie te laten werken voor hun organisatie. Een beheerconsole die een duidelijk overzicht biedt van de security-rules die zijn ingevoerd en de tegenstrijdige configuraties, is de sleutel tot het creëren en onderhouden van een omgeving die bedrijven op de best mogelijke manier beschermt en beveiligt.
Wie beschermt de IT afdeling tegen de meningen van Sales Directors ?
He jij daar !
Je moet je richten op niet meer dan 25 klanten, anders raak je de klantrelatie kwijt. En gebruik een goeie CRM tool anders wordt het nooit wat.
Kristof,
Kan ik dit onderzoek nog ergens terug lezen?
Op zich heb je wel een valide punt. Je ICT omgeving en de beveiliging daar van is zo sterk als de zwakste schakel. En vaak is dat de mens.
Dit is een interessant artikel. Ik denk dat we nu inderdaad op een punt zijn beland waar de verhouding tussen technologie en mens op cruciaal punt is. We kunnen niet meer zonder technologie maar aan de andere kant zijn we ook gedeeltelijk de controle verloren. Ik had er nog nooit zo over nagedacht. Bedankt voor dit artikel.
@Ruud
De resultaten van het onderzoek kun je hier vinden: https://barracudalabs.com/2013/09/survey-results-show-frustration-with-firewall-industry-trends/.
De IT-manager beheert de firewall?
Maar één bedrijf meegemaakt waar dat zo was en deze had effectief dus geen firewall. Was trouwens een Belgische IT-manager die het verdomde om Nederlands of Engels te spreken, de beveiliging werd om dus met de ‘Franse slag’ gedaan.
Mijn vraag is echter waar dit verhaal – onderzoek – over gaat want alleen een perimeter firewall is tegenwoordig echt niet meer genoeg.