Regeren is vooruitzien, luidt een management-wijsheid. Security moet ook vooruitziend zijn, want reactieve beveiliging is altijd te laat én maakt je hondsmoe.
Over deze blogger
John E. McClurg is vice president en chief security officer van Dell Global Security. McClurg is onder andere verantwoordelijk voor de strategische focus en de tactische operaties van Dell’s wereldwijde beveiligingsdiensten zowel fysiek als voor cyber. Voordat John bij Dell in dienst trad werkte hij als vice president en chief security officer voor Honeywell en Lucent Technologies. Daarvoor werkte hij als speciaal agent bij de FBI (Federal Bureau of Investigation).
We zijn vorig jaar, net zoals het jaar ervoor, op nummer één gezet in de top 500 van Security Magazine. Let op: nummer één als IT-securitybedrijf, niet als generiek IT-bedrijf. Die notering voor twee jaar op rij is te danken aan ons geconvergeerde model voor security en onze strategie voor ‘connected security’. Voor dat laatste hebben we diverse overnames gepleegd, bijvoorbeeld op het gebied van predictive analytics. Daarnaast hebben we zelfontwikkelde tools, van onze beveiligingstak SecureWorks. Dat alles combineren we om op logisch en virtueel niveau predictive pro-active te kunnen worden, of pro-active predictive.
Niet óf maar wannéér
Het is namelijk niet langer afdoende om goede beveiliging te hebben waarmee je kunt reageren op incidenten. Daarmee ben je namelijk altijd te laat en richt je je maatregelen in op wat al is geprobeerd. Een nieuwe aanval, met een andere methode op een andere technologie, verrast je dan telkens weer. Besef je goed: het is niet langer de vraag óf je organisatie wordt gecompromitteerd maar wannéér! Dat is een deprimerende gedachte, waar je wel naar moet handelen. Recente voorbeelden zoals de grote cyberbankroof waar miljarden zijn gestolen, laten niets aan de verbeelding over.
Dus moet je je hele IT-infrastructuur zien te beschermen. Dell gelooft in end-to-end-oplossingen, voor ‘gewone’ IT en ook voor security. Die twee zijn onlosmakelijk verbonden. Michael Dell heeft dat al vroeg ingezien. Je kunt beveiliging niet ergens laten ophouden, omdat de IT daar niet meer jouw product of dienst is. Ik zie dan ook met verbazing dat HP zich nu opsplitst. Gewone pc’s lijken misschien minder belangrijk, maar een aanvaller heeft slechts één ingang ergens in je infrastructuur nodig. De bad guys blijven zoeken naar een zwakke plek. Dus moet je alles afdekken, alles beschermen.
Vage of poreuze grenzen
Thomas Friedman schreef al: de wereld is plat.Traditionele grenzen vervagen, of worden poreus. Dat geldt niet alleen op politiek en economisch gebied. Ook IT-security heeft te maken met een plat geworden wereld, met grenzeloze omgevingen. Zie bijvoorbeeld Mexicaanse drugskartels die eigen telecomnetwerken opzetten en gebruiken om surveillance te ontlopen. Zie ook de vervaagde grens tussen werk en privé, en de security-implicaties die dat heeft voor bedrijven.
Onderschat ook niet de impact van het cyber-domein op de offline wereld! Beurskoerzen worden geraakt door een tweet vanaf een gehackt Twitter-account. Fysieke industrie valt te manipuleren of saboteren door beheersystemen te hacken. Zie online toegankelijke SCADA-systemen en zie de supermalware Stuxnet.
De wederkerige link tussen online en offline
Overigens geldt die link tussen de computerwereld en de fysieke ook andersom. Dat heb ik in de jaren negentig al gezien toen ik als FBI-agent achter hacker Dark Dante aanzat. Hij heeft toen met een lockpick-set ingebroken bij de telefoonmaatschappij om daar met de papieren informatie over het systeem aan de haal te gaan. Na het bestuderen daarvan kende hij het telefoonnetwerk en de centrales beter dan de ingenieurs van Pacific Bell zelf. Vervolgens is Dark Dante daarmee succesvol gaan hacken.
Kortom, security kan niet langer reactief zijn. Daar word je ook hondsmoe van. Niet alleen bedrijven worden er moe van, ook overheden. Zie maar maatregelen zoals die van de Amerikaanse overheid waar toeleveranciers nu een ‘viable incident-response programma’ moeten hebben. Wat is viable [levensvatbaar – red.] in dit opzicht, wat moet je daaronder verstaan? Waarschijnlijk dat je op z’n minst een proces hebt geïmplementeerd waardoor je goed kunt reageren op security-problemen. Simpelweg reageren volstaat misschien naar de letter van die overheidseis. Beter is om pro-actief te zijn.
