Voordelen vansecurityconvergen tie
In de praktijk zien we vaak dat bedrijven de fysieke beveiliging uitbesteden aan beveiligingsbedrijven zoals Facilicom, Trigion en Securitas.
De logische beveiliging, de bescherming van digitale eigendommen door middel van bijvoorbeeld firewalls of antivirus, wordt daarentegen vaak wel intern afgehandeld.
Deze scheiding heeft als nadeel dat inzichten die vanuit de fysieke beveiliging worden gecreëerd niet meteen gebruikt worden voor de logische beveiliging – en vice versa. Zo heeft de beveiliger er baat bij om te weten wie er allemaal in het gebouw aanwezig zijn volgens het netwerk en wil de ICT’er graag weten of bezoekers hun laptops op het netwerk hebben aangesloten.
Het combineren van fysieke en logische beveiliging wordt ook wel securityconvergentie genoemd. In de Verenigde Staten is dit geen onbekend fenomeen. Vooral sinds de introductie van de Sarbanes-Oxley Act krijgen ook niet-traditionele beveiligingsmethoden de nodige aandacht. Zo bleek uit een Gartner-onderzoek van eind 2007 dat een aanzienlijk aantal overheidsinstanties en technologiebedrijven over securityconvergentie had nagedacht.
In ons eigen land lijkt de implementatie van securityconvergentie vooralsnog achter te blijven. Dit komt niet alleen door het ontbreken van wetten die dit verplicht stellen, ook het onbeantwoord blijven van een aantal belangrijke vragen zorgt ervoor dat het implementeren van securityconvergentie in Nederland nog weinig gebeurt. De drie vragen die wij vaak horen, zijn: Wat levert securityconvergentie ons op? Hoe moet zij worden geïmplementeerd? En: Heeft het in de praktijk wel nut?
Het combineren van fysieke en logische beveiliging heeft impact op diverse gebieden. Niet alleen het beveiligingsvakgebied zelf kan voordeel uit een samenwerking halen, ook kunnen er additionele diensten voor gebruikers worden ingericht. Daarnaast kan convergentie ook worden ingezet voor compliancy en auditdoeleinden.
Een voorbeeld van het koppelen van beide beveiligingsgebieden is ‘follow-me’-printing. Doordat het printsysteem gebruik kan maken van een database waarin pasjes aan gebruikers zijn gekoppeld, kunnen gebruikers alle afdrukopdrachten naar een centrale server sturen. Door het aanbieden van de toegangspas bij een willekeurige printer, voorzien van RFID-lezer, wordt het document pas dan en daar uitgeprint waar de gebruiker het nodig heeft. Dit betekent niet alleen meer gebruiksgemak voor de gebruiker, er liggen ook minder vergeten afdrukken bij de printers, wat uit beveiligingsoogpunt een voordeel is.
Naast het vergroten van het gebruikersgemak kan securityconvergentie ook zorgen voor nieuwe beveiligingsinzichten. Zo wordt het bijvoorbeeld mogelijk om niet alleen aan te tonen welke gebruikersaccount bepaalde activiteiten heeft uitgevoerd, er ontstaat ook de mogelijkheid om na te gaan welke gebruikers op dat moment in de buurt waren en eventueel getuige waren van een bepaalde activiteit.
Een ander voorbeeld is het dynamisch toekennen van rechten. Afhankelijk van de fysieke locatie of aanwezigheid van een gebruiker krijgt deze bepaalde rechten toegewezen. Zo mag iemand die in het hoofdkantoor aanwezig is niet meer op afstand inloggen door een VPN en andersom.
Een laatste voorbeeld is het stroomlijnen van het beveiligingsbeleid. Doordat beveiliging een algemeen doel wordt, kunnen de fysieke en logische beveiligingsafdelingen op een ander niveau gaan samenwerken, wat een positieve impact heeft op de algehele aanpak en zelfs schaalvoordelen kan bieden.
Bovenstaande voorbeelden gaan uit van een situatie waarin alle betrokken partijen actief meewerken. Voordat het zover is, moet echter een aantal drempels worden genomen.
Allereerst moeten de fysieke en logische beveiligingsafdelingen of bedrijven samen willen en kunnen werken. Gelukkig lijkt het erop dat de beveiligingsbedrijven ook inzien dat verder gaan dan alleen bewaken voor alle partijen voordelig is. Op het moment zorgen vooral de cultuurverschillen tussen beide vakgebieden voor uitdagingen. Ook het heropleiden van mensen en het gedetailleerd vastleggen van wat er door wie moet gebeuren, zijn aandachtspunten.
Afhankelijk van wat de organisatie wil bereiken met convergentie kan er ook een impact voor de medewerkers zijn. In het voorbeeld van follow-me-printing kan dat positief voor hen uitvallen. Het is echter ook mogelijk dat activiteiten zoals het delen van accounts – wat vanuit managementoogpunt niet wenselijk, maar voor de gebruikers wel makkelijk is – moeilijk worden gemaakt.
Ten slotte dient er rekening gehouden te worden met de technische aspecten. Alhoewel de Alliance for Enterprise Security Risk Management (AESRM, zie kader) bezig is met het opstellen van een framework, bestaan er vooralsnog geen universele standaarden voor securityconvergentie. Integendeel, de bedrijven die actief zijn op de Nederlandse markt hebben verschillende uitgangspunten (zie kader). Dit heeft als voordeel dat een bedrijf een oplossing kan selecteren die exact op zijn wensen en eisen aansluit, maar het kan er ook voor zorgen dat projecten stranden door een moeizame houding van een leverancier, die met een zelfontwikkelde oplossing de touwtjes in handen heeft.
De vraag is dan ook of bovengenoemde punten in de praktijk de moeite waard blijken te zijn. Volgens een grote Nederlandse organisatie in de verzekeringssector wel. Na een testimplementatie van een securityconvergentie-oplossing werd een beveiligingsscan met een duur van twee weken uitgevoerd. Deze leverde vanuit het managementperspectief een aanzienlijk aantal aandachtspunten op. Zo kwam men er bijvoorbeeld achter dat er een methode was om het gebouw ongecontroleerd binnen te komen en konden er verschillende gevallen van gedeelde accountgegevens worden opgespoord.
Vanuit bedrijfsoogpunt levert securityconvergentie een positieve bijdrage op voor zaken als compliancy en accounting. Het is daarom niet verwonderlijk dat zowel Gartner als Forrester aangeven dat er vanuit het bedrijfsleven steeds meer interesse komt in oplossingen die alle beveiligingsaspecten met elkaar kunnen combineren.
Van essentieel belang voor de acceptatie van securityconvergentie is de impact voor de gebruiker. Waar bij huidige oplossingen vaak een actie van een gebruiker nodig is, zullen nieuwe technieken het gebruiksgemak aanzienlijk verbeteren. RFID zal er bijvoorbeeld voor kunnen zorgen dat gebruikers hun pasjes niet meer langs lezers hoeven te halen en iets verder in de toekomst kan gezichtsherkenning ervoor zorgen dat het proces volledig transparant wordt voor de eindgebruiker.
Het stroomlijnen van de interactie tussen de logische en fysieke beveiligingsgebieden kan het totale niveau van de bedrijfsbeveiliging sterk verbeteren. Op dit moment heeft het implementeren van een securityconvergentie-oplossing vaak grote impact op de organisatie en de gebruikers, maar met nieuwe technologieën kan een transparant platform worden neergezet dat een bedrijf nieuwe mogelijkheden biedt. Voordat dit echter mogelijk is, zal wellicht een ‘killer-app’ voor de gebruiker nodig zijn.
Leon Teheux (leon.teheux@capgemini.com) en Maarten Oosterink (maarten.oosterink@capgemini.com) zijn beiden als consultant werkzaam bij Capgemini Nederland BV. Binnen de practice Architecture Governance & Infrastructure richten zij zich vooral op Identity Management en Security.beeld: getty images
Universele modellen
Opgericht in 2005 door ISACA, ASIS International en ISSA, houdt de Alliance for Enterprise Security Risk Management (AESRM) zich vooral bezig met het onderzoeken en oplossen van problemen met betrekking tot securityconvergentie. Tot de doelstellingen behoren onder andere het opstellen van universele modellen en het promoten van riskmanagement door middel van onderzoek en seminars.
Voor een overzicht van publicaties, zie: http://www.aesrm.org.
Allemaal een eigen uitgangspunt
Er zijn meerdere partijen op de Nederlandse markt die securityconvergentieproducten aanbieden. Voorbeelden hiervan zijn Imprivata, Intercede en Made4Biz Dynamic Security. Opmerkelijk is dat al deze bedrijven een ander uitgangspunt voor hun oplossing hebben.
Het product van Made4Biz, Dynamic Security, is gebaseerd op de gedachte dat securityconvergentie een proces is dat ondersteund wordt door gespecialiseerde software. Het biedt dan ook een op maat gebouwde softwarekoppeling tussen het bestaande fysieke toegangssysteem en de database met gebruikersaccounts. Door het vergelijken van gebeurtenissen, die het fysieke toegangssysteem registreert, met een aantal voorgedefinieerde situaties, kunnen acties worden ondernomen.
De Dynamic Security-oplossing heeft als voordeel dat het relatief makkelijk en snel tussen diverse en reeds geïmplementeerde systemen kan worden geplaatst, waardoor snel tot resultaten kan worden gekomen.
De oplossing van Imprivata, OneSign Physical/Logical, gaat een stap verder. De filosofie is dat in een ideale omgeving alle securityprocessen afgehandeld dienen te worden door een standaardappliance.
Dit uit zich dan ook in het product: naast het aanbieden van een oplossing met soortgelijke mogelijkheden als Dynamic Security biedt dezelfde appliance ook uitgebreide mogelijkheden met betrekking tot single sign-on en authenticatiemanagement.
MyID van Intercede heeft een totaal andere insteek. In plaats van het combineren van data uit de logische en fysieke systemen levert dit bedrijf een framework dat een gebruiker voorziet van een identiteit. In feite worden de fysieke en logische beveiligingssystemen afhankelijk van de securityconvergentie-oplossing in plaats van andersom.
Dit pakket heeft als groot voordeel dat de identiteiten van gebruikers dusdanig gecentraliseerd worden dat een gebruiker overal bijzonder eenvoudig kan inloggen. Het grote nadeel is dat implementatie veel tijd en moeite kost.