Waar vroeger de afhankelijkheid van ict nogal laag was, en de beveiliging daarvan niet heel belangrijk was, staat of valt een hedendaagse organisatie met de eigen ict-omgeving.
Wat is het?
Security is makkelijk gezegd beveiliging, van je ict-omgeving. Een toch al niet simpele taak, die met moderne middelen en mogelijkheden er echter juist níet makkelijker op wordt. Én een taak die steeds belangrijker is. Waar vroeger de afhankelijkheid van ict nogal laag was, en de beveiliging daarvan niet heel belangrijk was, staat of valt een hedendaagse organisatie met de eigen ict-omgeving. De beveiliging van de ict staat dus gelijk aan de beveiliging van het bedrijf. De te beveiligen ict-middelen omvatten niet alleen de gebruikte systemen en applicaties, maar ook – en eigenlijk vooral – de verzamelde en gegenereerde bedrijfsinformatie. Kennis is immers macht, en dat vertaalt zich naar omzet en winst. Die moet je beschermen.
Wat zijn de trends?
Virusuitbraken en malware-besmettingen waren voorheen iets wat je als organisatie toevalligerwijs overkwam. Kwestie van pech. Tegenwoordig is het steeds vaker een doelgerichte aanval die specifiek op jouw organisatie is gericht. Een ‘tussenvorm' bestaat ook nog: een aanval specifiek op software waarvan de aanvaller weet dat er waardevolle informatie in zit. En jouw organisatie is nou net gebruiker van die software. In het geval van een écht doelgerichte aanval is de kwaadwillende op jouw organisatie uit, in het tweede geval is de aanvaller op jouw type organisatie uit. In beide gevallen is er geen sprake van een algemene dreiging. De crackers willen ook geen schade aanrichten, maar juist zaken van waarde buitmaken. Stealth is daarbij hun modus operandi.
Doordat aanvallen steeds minder vaak algemeen zijn, is de waarneming ervan ook dalende. Dat heeft weer gevolgen voor de ontwikkeling van tegenmaatregelen. Die komt niet massaal en later – of zelfs niet – op gang.
Natuurlijk worden gaten in veelgebruikte software wel gedicht, maar de vraag is of dat op tijd gebeurt. Dit ligt zowel aan de beschikbaarheid van patches als aan het netjes installeren daarvan. Vóór installeren moet er ook nog eens getest worden. Je qua security verlaten op alleen patchen, is dan ook niet afdoende. Preventieve maatregelen, zoals ook indringersdetectie (intrusion prevention), zijn aan te raden.
Extra complicatie bovenop deze, reguliere bemoeilijking van security is het veranderende gebruik van ict. Werknemers wíllen niet meer mobiel zijn, ze verwachten het gewoon. Daarnaast brengt de opkomst van SaaS ook enkele beveiligingsproblemen met zich mee.
Security is dan ook niet langer een gescheiden kwestie van óf je netwerk óf je applicaties óf je gebruikersbeheer. De discipline is verweven, of zou dat moeten zijn, in alle aspecten van je ict. Crackers gebruiken immers ook combinaties van meerdere middelen om bij je binnen te komen. Bijvoorbeeld de slim opgestelde mail die door het spamfilter moet komen, met de verlokkelijk geformuleerde boodschap waardoor de ontvanger op de link klikt, die malware activeert voor de op die pc (endpoint) gebruikte webbrowser, die dan weer meer malware binnenhaalt voor de andere, intern waargenomen systemen.
Welke oplossingen zijn er?
De beste aanpak voor security is nog altijd niet bepaald. Waarschijnlijk zal die er ook nooit zijn. Consensus lijkt er wel te zijn over een preventieve en meerlagige opzet van moderne beveiliging, die je ook regelmatig moet controleren. Een stevige voordeur, maar met een waakhond daarachter en een stevige deur naar het kantoor, die je geregeld naloopt op zwakke plekken – los van vermoeden dat er een inbreker in je wijk rondloopt.
Daarnaast zijn er verschillende gedachten over wat de betere aanpak is. De ene ‘stroming' pleit juist voor beveiliging van je eigen systemen, de andere stelt dat je vooral je informatie moet beveiligen, en weer een ander beide combineert met de stelling dat het gaat om beveiligen naar waarde. Laatstgenoemde komt neer op risicobeheer (risk management) en lijkt uit te gaan van het besef dat niet alles altijd voor de volle 100 procent valt te beveiligen. Of in ieder geval niet voor wat het je dan kost. Hierbij speelt de factor tijd ook een belangrijke rol; is oudere informatie misschien minder kostbaar, of juist niet?
Consultancy Guide 2009
Dit artikel is onderdeel van de Consultancy Guide 2009. Deze gids geeft een overzicht van de trends en ontwikkelingen op de Nederlandse markt voor consultants. Daarnaast bevat de gids de resultaten van een onderzoek, uitgevoerd door TNS NIPO, naar de ervaringen van ict'ers met consultants. De Consultancy Guide 2009 verschijnt op 19 december 2008 in druk.
