Na jaren van hard werk is het de ict-wereld eindelijk gelukt aandacht te krijgen van het hoogste bestuur voor security. Nu moet het daarmee om leren gaan. In de tussentijd is de wereld flink veranderd.
Deze ontwikkeling is het ongelijk van Wieland Alge, algemeen directeur EMEA bij Barracuda Networks. Hij geeft openlijk toe dat hij altijd zeker heeft geweten dat IT- security niet echt iets is voor het topmanagement: “Iets dat ik jaren heb ontkend, blijkt nu toch te gebeuren. Directies, bestuurders en zelfs regeringsleiders hebben tegenwoordig oog voor ict-security. De redenen daarvoor zijn legio en gegrond. Ernstige incidenten op securitygebied hebben de aandacht getrokken en teveel ict-systemen en -infrastructuren bevatten bugs, mazen en gaten waardoor ze kunnen worden misbruikt. De schijnwerpers staan gericht op ict-security en het topmanagement wil daarover meepraten. Een langgekoesterde wens is uitgekomen, maar toch is het niet helemaal zoals gedacht.”
Vier trends
Alge legt uit dat de wereld niet meer zo eenvoudig in elkaar zit als vroeger. “Het dreigingslandschap is radicaal veranderd en blijft veranderen. Beheer en security van IT worden bovendien bedreigd door vier onontkoombare trends: it-infrastructuur versplintert op divisieniveau, onwetende gebruikers gedragen zich – mede door BYOD – steeds vaker als systeembeheerders, data en applicaties leven en draaien buiten de deur en er is sprake van devices-wildgroei door het Internet of Things (IoT). Desondanks verwacht iedereen dat IT de boel draaiende en veilig houdt. De versnipperde it-infrastructuur moet stabiel en betrouwbaar blijven. Gebruikers moeten beschermd worden, ook tegen zichzelf. De verspreide verzameling van in-house en cloud-based data en applicaties moet bestierd en beschermd worden. De verwachte IoT-wildgroei moet omarmd worden, vanzelfsprekend met bescherming tegen eventuele fouten die de leveranciers van de vele devices maken.”
Lock-down
Hoe krijgt IT deze schier onmogelijk taak geklaard? “Niet met achterhaalde noties zoals unified threat management (UTM),” stelt Alge. “Niet met oplossing A, B of C van leverancier X, Y of Z. De security-aanpak moet vanuit de gebruikersorganisatie komen en gericht zijn op hun eigen veranderende processen, geheimen en kroonjuwelen. De verleiding is groot voor ict-security om tot een lock-down over te gaan. Dat zou een grote vergissing zijn. Dat is hetzelfde als een bodyguard die zijn VIP opsluit in de kelder. Wel zo veilig, of het middel daadwerkelijk het doel dient valt te betwijfelen.”
