Managed hosting door True
IT Security for Business
Onderstaande bijdrage is van een externe partij. De redactie is niet verantwoordelijk voor de geboden informatie.

Focus op preventie verraadt paniekvoetbal

Dave Vijzelman, Principal Solution Architect IDAM bij Quest Software, Dell

Een maand geleden publiceerde CGI een onderzoek waarin wordt gesteld dat Nederland 520 miljoen euro uitgeeft aan IT-security. Of dit een hoog bedrag is, laat ik even in het midden, maar je kunt je wel afvragen of het geld goed wordt besteed.

Over deze blogger

Dave Vijzelman heeft een ruime ervaring in het ontwerpen en implementeren van Identity en Access Management (IAM)-oplossingen. Zijn focus ligt vooral op toegang en data governance-strategieën. Daarnaast heeft hij ook een brede kennis van de technische aanpak van Identity en Access management (IAM). In zijn huidige functie als Senior Solution Architect voor Dell Software is Dave verantwoordelijk voor de architectonische benadering van Access en Data Governance-oplossingen. Dave heeft een brede ervaring in een aantal zakelijke en industriële sectoren.

Het onderzoek van CGI werd uitgevoerd door een extern bureau, Pierre Audoin Consultants (PAC), dat de investeringen van 257 organisaties analyseerde. 520 miljoen is voor de leek een enorm bedrag, maar toch is dit slechts 0,08 procent van het Bruto Binnenlands Product (BBP) en bovendien redelijk gemiddeld in Europa. Onze Finse buren investeren aanmerkelijk meer in security. Tot zover dus mogelijke mythes over een koppositie op security-gebied. Wat ik stuitender vond, waren de cijfers omtrent de budgetverdeling. Nederland investeert zo’n 83 procent aan preventie van cyber crime. 17 Procent gaat naar de detectie van incidenten. In Duitsland en het Verenigd Koninkrijk is dat zo’n 20 procent, in Finland 21 procent en in Zweden 22 procent.

Security in de Middeleeuwen

Hoge investeringen in preventie verwijzen indirect naar een traditionele opvatting omtrent IT-security. Traditioneel is IT-security georganiseerd als een Middeleeuws fort met daar omheen verschillende beschermende muren. Het security-beleid is er vooral op gericht om te kijken wie er aan de poort is en of hij of zij inderdaad door die poort heen mag. Deze vorm van security is achterhaald. Op de eerste plaats is het niet erg praktisch. Er ontstaan informatiesilo’s die ertoe leiden dat mensen beperkt worden in de toegang tot hun data. En dat zorgt ervoor dat zij security-maatregelen gaan omzeilen. Het succes van bijvoorbeeld single sign-on komt voort uit de onvrede met onpraktische beveiligingsprotocollen.

Een Middeleeuws fort is niet meer van deze tijd, net als de vergelijkbare security-aanpak. Door de komst van cloud tools en het Nieuwe Werken kunnen mensen vanuit verschillende locaties hun taken uitvoeren. Bovendien verhuizen ze daarbij veelal data naar externe clouds, die buiten het beheer van de organisatie vallen. Ook is in het huidige tijdperk het aantal endpoints in sneltreinvaart toegenomen. Hadden we twintig jaar geleden nog maar één werk-pc, nu beschikken we over een smartphone, een tablet en een laptop en vaak gebruiken we al deze apparaten zowel zakelijk als privé.

Paniekvoetbal

Bij het huidige cloud-tijdperk hoort ook een nieuw soort security, die gericht is op de context van de gebruiker. Wanneer een gebruiker zich aanmeldt op het netwerk kijk je eerst waar hij zich bevindt, met welk device hij aanklopt en of die gegevens matchen met de ID. Op basis van dit authenticatieproces geef je de gebruiker een risicostatus en ga je kijken of er extra security-checks nodig zijn. Een gebruiker die vanuit Nigeria aanklopt is bijvoorbeeld verdacht. Een gebruiker die plotseling met een ander device werkt ook. Een policy kan dan zijn dat die persoon een beperkte toegang krijgt of dat die persoon even moet bellen zodat geverifieerd kan worden dat hij het inderdaad is.  Met andere woorden: door verschillende gegevensbronnen te combineren, krijg je een goed beeld van het risico om iemand binnen te laten.

De IT-community gaat steeds meer naar dit soort beveiliging toe. Dat vraagt in de eerste plaats om een business-benadering. Je moet vaststellen welke data echt een security-risico vormen en wat het normale gedrag is van je werknemers op de werkvloer. Werken mensen inderdaad veel thuis? Wat voor regels ga ik afspreken als ik bepaald gedrag verdacht vindt? Maar als ik dan zie dat al het overheidsgeld voor security vooral naar preventie gaat, raak ik droevig gestemd. Dit verraadt paniekvoetbal. Men begint met rennen na een security-incident en denkt niet  constructief na over hoe je IT-security echt moet opzetten.
Dit artikel is afkomstig van Computable.nl (https://www.computable.nl/artikel/5424942). © Jaarbeurs IT Media.
 

Dell EMC Forum 2016

Locatie: World Forum

Churchillplein 10
2517 JW
Den Haag
Nederland
http://www.worldforum.nl/
T +31 (0)70 306 63 66



Stuur door

Stuur dit artikel door

Je naam ontbreekt
Je e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×