Niet alleen cyberaanvallen zijn tegenwoordig big business, ook cybersecurityspelers schieten als paddenstoelen uit de grond. Hoe weet je zeker dat een securityoplossing voor jouw bedrijf effectief de juiste is? Een vraag die aan actualiteit wint naarmate we meer data produceren en uitwisselen. Het antwoord zit in het advies van ervaren neutrale spelers die alles vanuit een breed ecosysteem bekijken, zoals bijvoorbeeld de providers van datacenterdiensten.
De opmars van slimme technologie valt niet meer te stuiten. We gebruiken steeds meer apparaten en toepassingen die ons leven gemakkelijker maken. Dat is mogelijk omdat al die toestellen en applicaties data uitwisselen en geconnecteerd zijn. Maar alles wat geconnecteerd is, wordt meteen een potentieel doelwit voor hackers. Bovendien vinden nieuwe ontwikkelingen vandaag zo snel ingang bij het publiek dat security en compliance voortdurend achterophinken en een inhaalbeweging moeten maken.
Natuurlijk bestaan er strenge regels met betrekking tot het bewaren en gebruiken van data, maar in de praktijk ligt de eindverantwoordelijkheid in de meeste landen bij de eigenaar zelf. Dat wil zeggen dat providers van datacenterdiensten weinig kunnen doen om de veiligheid van gegevens te bewaren. Ze kunnen hun klanten enkel garanderen dat ze van hun kant de risico’s beperken en de best mogelijke beveiliging voorzien, bijvoorbeeld voor de verbindingen die het verkeer tussen datacenters in goede banen leiden. Toch hoeft het daar niet bij te blijven.
Ongekleurd
Als provider van datacenterdiensten mag je dan niet rechtstreeks verantwoordelijk zijn voor de security van data, je hebt wel kennis en ervaring om een oplossing objectief te beoordelen. Wanneer een bedrijf met een securitypartner in zee gaat, is het niet meer dan logisch dat die partner voor elke uitdaging een oplossing uit het eigen portfolio aanprijst. De klant gaat er door gebrek aan kennis vaak gemakkelijk op in, ook al is niet elke oplossing of setup de beste voor hun specifieke situatie.
Een ervaren datacenterprovider weet hoe een goede architectuur en securityoplossing eruitzien. In de cybersecurityketen is die provider dan ook de ideale partij om een ongekleurde second opinion te geven. Op basis daarvan kan je als klant zeker zijn dat een securityoplossing voldoet of het toch aan te raden valt om eens met een andere partner te gaan praten.
Secundair
Natuurlijk is een datacenterprovider geen cybersecurityspecialist. Daarom blijft het belangrijk om te benadrukken dat het om secundair advies gaan. Een dialoog werkt ook altijd in twee richtingen. Gesprekken met securityspelers maken dat je als datacenterspecialist weet waar die bedrijven mee bezig zijn. Bovendien is het voor securitybedrijven nuttig te weten hoe een datacenter werkt, wat voor soort verbindingen er worden aangelegd en hoe hun oplossingen daarop moeten aansluiten. Een sterk ecosysteem is zeker in it-security van onschatbare waarde.
Om de kracht van dat ecosysteem ten volle te benutten, is standaardisering essentieel. De aansluiting tussen een datacenter in Brussel en een variant in Sydney gebeurt bijvoorbeeld altijd op dezelfde manier. Aangezien die informatie gepubliceerd wordt, kunnen leveranciers van beveiligingstools er op hun beurt met hun eigen ontwikkelingen op inspelen.
Standaardisering kan bijgevolg een troef zijn voor cybersecurity. Waar sommige it-specialisten geneigd zijn om zelf oplossingen te bouwen en eigen beveiligingsarchitecturen op te zetten, kan je dat werk beter overlaten aan experts die daar dagelijks mee bezig zijn. Een goede referentiearchitectuur vormt de ideale basis om gestandaardiseerde en sterke securityoplossingen te ontwikkelen.
(Auteur Erwin uit de Bos is solution architect bij Digital Realty.)
Inleiding is hilarisch en treurig tegelijk omdat de providers van datacenter diensten neutraal noch onafhankelijk zijn, het is veelal de slager die zijn eigen vlees keurt. Er valt dus wat te zeggen over het idee van een second opinion, vreemde ogen dwingen tenslotte. En het is daarom jammer dat de schrijver met een verhaal komt wat doet denken aan een ‘shared responsibility’ met de gebruikelijke exoneratieclausules.
Zou het helpen als de verantwoordelijkheden in de processen duidelijk zijn?
Beveiliging gaat tenslotte niet om het implementeren van een oplossing, het is een proces waarin je constant moet kijken naar de bedreigingen welke net zo veranderlijk zijn als het weer. De dynamiek zorgt voor de paddenstoelen uit de grond want standaardisering is dodelijk omdat niets makkelijker aan te vallen is dan een stilstaand doel. Ik ben geen cybersecurity specialist maar ik was succesvol als aanvaller op basis van een kennis van de processen.
Zoals ik altijd zeg over een klok die niet gestolen wordt maar tijd die verloren gaat is een aanval veel effectiever als je eerst de back-up aanvalt en je dan pas richt op de primaire data. Aan Erwin de vraag of een provider de ratio van een wijziging van data in een kort tijdsbestek kan signaleren?
Het is enigszins als de uitlaatspelialist advies over banden vragen. Als de uitlaatspecialist actief bandenadvies gaat aanbieden kun je je inderdaad de onafhankelijkheid afvragen. Er is natuurlijk wel kans dat ze daar ook wat over banden weten. Al was het maar omdat ze zelf waarschijnlijk ook auto’s gebruiken en er veel onderliggende kennis van auto’s zowel inzake uitlaten als banden relevant is. Bij lagere en hogere netwerkprotocollen volgens mij nog veel meer dan bij deze analogie.