President Gene Hodges van Network Associates, leverancier van antivirus- en beheersoftware, stelt dat volledige beveiliging niet mogelijk is. Een opmerkelijke uitspraak uit de mond van de topman van een bedrijf dat beveiligingsproducten levert. Toch ondermijnt dit het bestaansrecht van zijn onderneming niet, betoogt hij.
|
"NAI haalt ongeveer twee derde van de omzet uit beveiliging en oplossingen daarvoor. 20 tot 25 procent komt uit netwerkbeheer, onze Sniffer-productlijn. Die twee takken, beveiliging en beheer, verenigen we nu in één productreeks. Daarnaast bouwen we ook ons aanbod aan managed services (in te huren diensten, red.) uit. Verder werken we aan nieuwe terreinen. We hebben bijvoorbeeld in de Verenigde Staten een samenwerking opgezet met Sonicwall. Daarbij combineren we hun hardware-firewall met onze antivirus-software."
Gezien uw takenpakket vraag ik me af wat ceo George Samenuk nog doet.
"Ik ben president en ga over de technologie. George is ceo, ofwel chief everything officer. Hij is verantwoordelijk en aansprakelijk voor alles. En hij stuwt de technologie voort, hij heeft daar veel kennis van. Ik verzorg de uitvoering. We werken zo goed samen."
Bent u dan minder bezig met technologie?
"Nee, zeker niet. Voor zakelijke klanten is echter eerst vertrouwen van belang en dan pas de technologie. Je technologie moet wel heel goed zijn, maar het hoeft niet altijd de beste te zijn. Wie de beste technologie heeft, wisselt; dat gaat nu eenmaal met pieken en dalen."
Wat is de invloed van de recessie op uw klanten?
"Een aantal klanten doen nu veel meer aan beveiliging en planning voor bedrijfscontinuïteit, wat zowel calamiteitenbescherming als herstelprocedures omvat. Dat zijn er echter niet veel."
Stellen klanten opwaarderingen uit vanwege de dip?
"Dat gebeurt wel. Daartegenover staat dat veel klanten, ook zij die nog even wachten met opwaarderen, wel bezig zijn met het verbeteren van hun processen, bijvoorbeeld voor het doorvoeren van patches (lapmiddelen, red.). Dan heb je het over procedures en beantwoorden aan regels en voorschriften, dus consultancy. Dat leveren wij ook. Een groot deel van beveiliging ligt namelijk in veranderingsmanagement, het overzien en gecontroleerd doorvoeren van veranderingen, in de ict-infrastructuur en in de organisatie. De directeur beveiliging zegt dan ook: wat wij n�et weten is onze zwakste plek."
Bestaat de cso (directeur beveiliging) buiten de VS?
"Het is inderdaad voornamelijk een Amerikaans en Australisch fenomeen. Die taak, het beveiligingsbeleid, valt in Europa onder de cto (technologiedirecteur, red.). De verantwoordelijkheid voor beveiligingsmaatregelen hoort echter breder te liggen. Die macht hoort bij bijvoorbeeld de cio (directeur informatie en ict). Een en ander is wel afhankelijk van de marktsector; beveiliging is veel belangrijker als informatie de kern van je bedrijfsvoering is, zoals bij financiële instellingen."
| Gene Hodges is bij NAI (Network Associates Incorporated) binnengekomen toen dat in september vorig jaar voormalig dochter McAfee.com weer inlijfde. Dat bedrijfsonderdeel was in 1999, ten tijde van de internet-hype, verzelfstandigd. "McAfee.com was als starter opgezet; enthousiast en puur gericht op groei. We hadden ook veel abonnees. Een groot verschil met andere starters is dat wij succesvol waren", lacht Hodges. Bij moederbedrijf NAI heeft hij een breed takenpakket: hij is verantwoordelijk voor de technologische ontwikkeling, de strategie en de uitvoering, en overziet daarnaast de verkoop en marketing van alle bedrijfsgroepen. Formeel staat hij onder ceo George Samenuk, die in januari 2001 aantrad. |
"Ja. Bovendien neemt de complexiteit alsmaar toe, en complexiteit kweekt zwakke plekken. Het aantal meldingen van aanvallen en beveiligingsgaten groeit dus ook. Voor grote bedrijven is het dan ook bijna onmogelijk dat bij te houden. Je kunt je dus nooit helemaal beveiligen. Dat is een moeilijke boodschap in het gesprek met de bedrijfsmanagers."
Wat vertelt u hun dan?
"Beveiliging draait om gradaties. Je moet je afvragen wat het belangrijkst is, wat het op een na belangrijkst is enzovoort. Het gaat om je bedrijfsmiddelen, maar die hoeven niet allemaal maximaal beveiligd te zijn. Er is nu een trend naar toenemende bescherming, voor de aanvoerketen van elektronische handel. Daarnaast is er aandacht voor erp-achtige systemen (bedrijfsautomatisering, red.). Dat omvat meer dan alleen je productieomgeving; aan het eind van het kwartaal zijn de boekhoudsystemen ineens veel bedrijfskritischer dan normaal."
Zijn klanten sceptisch ten opzichte van uw verkooppraatje?
"Als leverancier moet je niet teveel beloven. Discussie met je klanten is echter niet nutteloos. Praat over die gradaties. Ik heb in wezen te maken met twee soorten mensen: de directeur beveiliging en de bedrijfsmanager. Die kijken heel verschillend naar beveiliging. De manager vraagt wat de roi (return on investment, red.) en het risico zijn. Dat zijn geen simpele vragen. Je moet beveiliging zien als een verzekering, of een preventief medicijn. Als het goed is, zul je er nooit achter komen wat het je gekost zou hebben als je het niet had gedaan. Wat is dan de roi? Dat is niet echt te beantwoorden."
Maakt dat uw baan niet heel moeilijk?
"Dat valt mee. Het besef van de noodzaak van deze ‘verzekering’ verschilt sterk per industrie. In de financiële sector zijn instellingen hier diep van doordrongen. Daar doen ze ook aan meekijken met en doorlichten van transacties, om identiteits- en creditcard-diefstal direct te kunnen detecteren en tegenhouden. Dat levert een vrij duidelijke roi op. Overigens is het voor ons moeilijk om dergelijke klanten als referentie op te geven; ze willen hun beveiliging niet uit de doeken doen. Dat speelt in de markt voor netwerkbeheer veel minder. Het beveiligingsbesef dringt nu gelukkig ook door in andere markten, denk aan de infrastructuursector en de gezondheidszorg. In die laatste sector spelen ook privacy en de nationale wetten daarvoor een rol."
NAI reorganiseert teruggekocht McAfee.com
https://www.computable.nl/artikels/buitlan2/i3802sdx.htm
Interview George Samenuk (maart 2001)
https://www.computable.nl/artikels/archief1/d12jb108.htm
Jasper Bakker
