‘Veel bedrijven slecht beveiligd’
Toch blijkt maar een op de drie bedrijven de beveiliging van zijn eigen netwerk goed te hebben geregeld. Slechts 20 procent noemt beveiliging een zaak waar het hele bedrijf zich actief mee moet bezighouden. Opvallend is dat bijna 40 procent van de Europeanen vindt dat de beveiliging van bedrijfskritische informatie alleen een taak is van de ITafdeling, terwijl in de Verenigde Staten maar 1 op 10 directieleden die beperkte visie deelt. Voor de afhandeling van veiligheidsincidenten bestaan in 48 procent van de onderzochte organisaties geen formele procedures. Ad hoc ingrijpen bij inbreuken op de beveiliging is bij 15 procent van de bedrijven gangbaar. De argeloze lezer zou uit het onderzoek kunnen afleiden dat het bedrijfsleven er met de pet naar gooit. René Pluis, consultant bij CGEY Nederland, is niet zo somber: "Beveiliging mag zich verheugen in veel aandacht van ITafdelingen. Dat is onder andere door de gebeurtenissen van 11 september 2001 aangescherpt. De belangstelling gaat niet alleen uit naar firewalls, maar ook naar zaken als het garanderen van de continuïteit als er rampen gebeuren." Eilandjes In de huidige situatie van economische onzekerheid willen bedrijven effectiever met hun infrastructuur omgaan en de kosten optimaliseren, meent Pluis. Voor een integrale aanpak van beveiliging is het volgens hem nodig dat de managers die verantwoordelijk zijn voor de bedrijfsvoering hierover communiceren met de ITmanagers. Nu zijn ‘business’ enerzijds en IT anderzijds vaak nog eilandjes. Uit de Gartnerenquête komt naar voren dat bedrijven zich op een hoger niveau in de organisatie afvragen hoe ze de beveiliging goed kunnen regelen en voor zich kunnen laten werken. Ruim de helft vindt dat ITsecurity bedrijfsprocessen mogelijk maakt, maar bijna een kwart ziet er juist een beletsel in om goed zaken te kunnen doen. De vraag rijst of al die ondervraagde directies niet ITsecurity vreselijk belangrijk vinden, maar er in de praktijk geen geld voor vrijmaken. "Dingen zeggen en doen zijn twee verschillende zaken", erkent Pluis. Maar vroeger praatte het management er niet eens over, dus is de aandacht voor het probleem toch al een verbetering." De noodzaak van ITbeveiliging staat voor Pluis als een paal boven water, maar het is wel zaak de juiste balans te vinden: "Het debat hoort niet over security zelf te gaan, maar over wat je nu precies zou willen beveiligen". Beveiliging heeft te maken met controle en leidt daardoor vaak tot rigiditeit. Dat staat haaks op een ‘adaptieve’ bedrijfsvoering die lenigheid en veel interactie met de buitenwereld vereist. In deze opvatting is een bedrijf het middelpunt van een dynamisch, onzeker netwerk van toeleveranciers, partners, klanten en concurrenten. Risicomanagement De door CGEY en Cisco ontworpen Adaptive Security Index (ASI) is bedoeld als een noodzakelijke eerste stap om het huidige veiligheidsbeleid van een bedrijf in kaart te brengen. De opstellers maken gebruik van risicomagementtechnieken om vast te stellen hoeveel gevaar een bedrijf loopt, bijvoorbeeld doordat de webserver de lucht uit gaat door een ‘distributed denial of service’ (DDoS)aanval of doordat hackers de site kraken en bekladden met triomfantelijke teksten. De index probeert bedrijven in een vakje te stoppen door twee factoren tegen elkaar af te zetten: de denkrichting (‘mindset’) en de uitvoering van het beleid (‘execution’). Het bedrijf kan in dit model een tactische denkrichting, een op afzonderlijke bedrijfsactiviteiten afgestemde denkrichting of een geïntegreerde ecosysteem‘mindset’ hebben. De uitvoering kan reactief, beheerst of beweeglijk zijn. Matrix Zo ontstaat een matrix van negen cellen. Het ligt voor de hand dat volgens de ASIinitiatiefnemers een combinatie van ecosysteemmindset en lenigheid ideaal is. De beveiliging wordt in die situatie op bedrijfsniveau gepland en is dynamisch, de kosten zijn inzichtelijk en onder controle. In deze hoek zitten de bedrijven die prat gaan op een ‘adaptive security’. Beveiliging is dan geen statische toestand maar een proces dat zich constant aanpast aan de omstandigheden en aan de ernst van de bedreigingen. Veel bedrijven zullen zich echter in een van de acht andere vakjes bevinden en op dat moment gaat voor CGE&Y en Cisco mogelijk de kassa rinkelen. De consultants van CGEY stippelen een ‘marsroute’ uit en doen voorstellen voor het ontwerp en de uitvoering van een adaptief beveiligingsmodel. Framework Martin Canning, vicepresident European Services Research bij onderzoeksbureau IDC, vindt de ASI op zich een goede zet. "Meer leveranciers van diensten zouden moeten proberen een framework te maken waarmee men investeringen in security zowel kan toetsen als kan plannen. Heel vaak worden investeringen in beveiliging namelijk gedaan zonder veel planning en zonder echt goed te weten of het de juiste investeringen zijn, of dat de prioriteiten toch beter anders zouden moeten liggen." IDCanalist Canning verwacht dat steeds meer organisaties om een dergelijk kader of certificatie zullen vragen, zelfs voor relatief eenvoudige zaken als een kwetsbaarheidsanalyse of een beveiligingstaxatie. Is het niet opmerkelijk dat uitgerekend een algemene ITdienstverlener als CGEY met zo’n beleidsinstrument komt? "Nee, dat verbaast me niet. Over het algemeen missen productgerichte securityspecialisten zoals Symantec of Network Associates het inzicht in de businessprocessen die ondersteund worden door IT en door die securityinvesteringen. En daar draait het eigenlijk om."