Wedje maken?

Portret Marco Lesmeister, Country manager indirect sales HP Enterprise Group

Security is niet één ding. Het is allesomvattend en komt steeds hoger op de agenda van de CEO (inderdaad, er staat niet CIO). Een inbraak in de it-omgeving die publiekelijk bekend wordt kan vele miljoenen aan koersverlies opleveren. Reputatie komt te voet, maar gaat te paard.

Dus wordt er geïnvesteerd in firewalls, virusprotectie, authenticatie en authorisatie software en ga zo maar door. Niet alleen creëer je zo een lappendeken, waarbij op de naden van de deken zwakke plekken ontstaan. Veel erger is dat de lappendeken complete stukken mist. De security is dan een brandkluis met een gat erin.

Technologie is niet het echte probleem. Je kunt 99 procent veiligheid verkrijgen, maar dat percentage keldert zodra de menselijke factor mee gaat spelen. Mensen maken fouten (bewust of onbewust), zijn hebberig, kunnen verleidingen slecht weerstaan, zijn omkoopbaar en onder druk te zetten. De menselijke factor is een constant risico.

Toch ligt het grootste probleem binnen security bij de enorme weerstand die de traditionele it’er en it-manager soms ineens tentoonspreidt. Vragen vanuit de business over de veiligheidsrisico’s van IT worden vaak als beledigend ervaren. ‘Natuurlijk hebben we dat onder controle! Dat je het überhaupt durft te vragen, zeg!’ Een andere houding is klagen over het gebrek aan investeringsmogelijkheden. Bij securityproblemen kan je je daar goed achter verschuilen.

De waarheid is dat het securityprobleem bijna onmogelijk groot is geworden. Niet voor niets heeft HP security aangewezen als één van de wereldwijde ‘Big Bets’. Naast big data, mobility en cloud wordt dit namelijk een groeiend probleem wat op een structureel andere manier moet worden benaderd.

IT moet allesomvattend worden beveiligd. Daarvoor moet het intrinsiek onderdeel worden van de totale it-infrastructuur: netwerk, servers, storage, devices en software. Ieder deelgebied dat als afzonderlijk element beveiligd wordt, is als een caravan met een stalen deur. Lekker stevig, maar het raampje van plastic ligt er zo uit.

Bij virussen in de gezondheidszorg is inmiddels geaccepteerd dat preventie niet altijd waterdicht te krijgen is. Zodra een nieuw virus de kop opsteekt, moet de schade zo snel mogelijk worden beperkt. Dat doe je door ‘patient zero’ te zoeken, de eerste drager van het virus en dus de bron van alle ellende. Het beveiligingsbeleid moet niet alleen genezen, maar tegelijkertijd ook voorkomen. Dat laatste doen we door beveiliging in ieder component van de infrastructuur een intrinsiek onderdeel te maken van de ontwerpdoelstellingen. Dat is een compleet andere instelling dan een Intel server met Windows te voorzien van een antiviruspakketje. De server moet al in het ontwerp veilig zijn en kunnen worden bijgewerkt om veilig te blijven. Hetzelfde geldt voor het netwerk, de storage en de software die deze infrastructuur aanstuurt en beheert.

We moeten af van de overtuiging dat we alles kunnen voorkomen. Dat is een illusie. Wel moet beveiliging een uitgangspunt zijn in ieder basisontwerp. Wedden dat security dan beter wordt?

Marco Lesmeister is Country manager indirect sales HP Enterprise Group

Geef een reactie

Gerelateerde berichten...