Beveiliging blijft hoog op de IT-agenda staan

Gartner-analist Vic Wheatman is er ondanks deze verschuiving van overtuigd dat de interesse in beveiliging dit jaar niet echt is verminderd, maar dat nieuwe onderzoeksvragen het beeld vertroebelen. Het is aannemelijk dat beveiliging erg belangrijk is gebleven en waarschijnlijk nog steeds het IT-probleem is dat het meest in de hoofden van managers rondspookt (‘mindshare’). Als CIO’s wordt gevraagd wat zij als de belangrijkste businesstrends zien, staan inbreuken op de beveiliging - al dan niet gepaard gaand met verstoring van de bedrijfsvoering - dit jaar met stip op nummer één. Bovendien steeg het thema gegevensbescherming en privacy in vergelijking met 2003 van de tiende naar de derde plaats. Enkele andere gesignaleerde trends hebben direct of indirect eveneens met informatiebeveiliging van doen. Te denken valt aan het ‘gebruik van informatie in producten en diensten’ (trend nummer 5) en ‘transparantie in de rapportage’ (nummer 9). Schokkend Op een symposium van Gartner afgelopen voorjaar in San Diego deed Microsoft-voorman Bill Gates een in de ogen van analist Wheatman schokkende voorspelling. "Ik denk dat beveiliging binnen een jaar of twee uit de top-vijf van grootste zorgpunten zal verdwijnen", zei Gates. Een opmerkelijke uitspraak van de zijde van een bedrijf dat verantwoordelijk mag worden geacht voor veel beveiligingsproblemen, vindt Wheatman, waarbij hij in het midden laat of Microsoft beveiliging heeft verwaarloosd of simpel een belangrijk mikpunt is vanwege zijn dominante marktpositie. Gates zei in San Diego ook te geloven in ‘isolatie’ om computersystemen veiliger te maken. Een aanval zou dan minder makkelijk als een ‘gigantische aardschok’ een heel netwerk kunnen lamleggen zoals we de laatste jaren hebben zien gebeuren, aldus Gates. Bij Gartner vindt men dit idee enerzijds niets nieuws - netwerksegmentering bestaat immers al veel langer - en anderzijds niet toereikend om het voorgespiegelde security-walhalla te bereiken. Daarvoor zijn ook andere maatregelen nodig. Kwaadwillenden kun je inderdaad tot op zekere hoogte buiten de deur houden, "maar er zullen voortdurend nieuwe en hernieuwde bedreigingen ontstaan", waarschuwt Wheatman. Daarnaast mag isolatie er niet toe leiden dat je eigen medewerkers niet of nauwelijks meer toegang tot de systemen hebben. Identiteitsbeheer en toegangscontrole zijn daartoe geëigende methoden. Systemen in de lucht houden is verder een kwestie van continuïteitsplanning, patch management en soortgelijke technieken. Technologiecycli Gartner pleegt technologische ontwikkelingen inzichtelijk te maken aan de hand van de cyclus die ze doorlopen. Voor beveiliging kan dat ook. Na tientallen jaren ervaring verwachten bedrijven bijvoorbeeld niet anders dan dat de beveiliging van mainframes dik in orde is. Maar iedere nieuwe technologische ontwikkeling - neem internet, Java, draadloze netwerken, web services en toekomstige vindingen - brengt nieuwe risico’s met zich mee. "De voortgaande technologiecycli laten zien waarom beveiliging niet uit de top-vijf van grootste zorgen van managers zal verdwijnen", aldus Wheatman. Uitgangspunt van strategische plannen voor de periode tot 2009 moet dan ook zijn dat elke nieuwe technologiegolf de bestaande maatregelen om informatie te beschermen naar de prullenbak verwijst, waarbij zowel voor nieuwe als ‘legacy’-omgevingen de beveiligingsrisico’s toenemen. Met andere woorden: Bill Gates schiet met zijn optimisme de plank mis. De web services die nu opgang maken, bijvoorbeeld, staan toe dat gegevens firewalls omzeilen en roepen zo nieuwe beveiligingsproblemen op. Draadloze netwerkproducten worden standaard meestal geleverd met uitgeschakelde veiligheidsvoorzieningen (Wep, WPA) en worden bovendien vaak geïnstalleerd buiten het zicht van de IT-afdeling. Niet alleen nieuwe technologieën, ook de opgeklopte reacties over de bijbehorende bedreigingen vertonen volgens Gartner een cyclisch patroon. Zo is er de laatste tijd veel aandacht voor ‘zero day’-aanvallen, die zich voordoen nog voordat patches en antivirus-updates beschikbaar zijn. Het lijkt slechts een kwestie van tijd voordat zich meer virussen voor draagbare apparatuur als mobieltjes en palmcomputer manifesteren. De lijst van mogelijke gevaren wordt langer en langer: van spam tot spyware en van ‘denial of service’-aanvallen tot identiteitsdiefstal. Organisaties doen er dan ook goed aan het veranderende landschap van bedreigingen continu te evalueren. "Naarmate bedreigingen tot wasdom komen, zullen defensieve middelen dat eveneens doen", aldus Gartner-expert Wheatman. Verspilling Te snel aanhaken bij nieuwe, onvolwassen technologie kan leiden tot een complete verspilling van beveiligingsbudgetten, waarschuwt Gartner. Bedrijven doen er dan ook goed aan steeds grondig te analyseren of nieuwe vindingen aansluiten bij hun zakelijke behoeften van dat moment. In een laat stadium meedoen heeft als risico dat concurrenten de nieuwe technologie inmiddels al met succes inzetten. Specifiek voor beveiligingstechnologie geldt dat talmen met de invoering van producten en diensten voor authenticatie, toegangscontrole en identiteitsmanagement een bedrijf op achterstand kan zetten. Gartner pleit voor een vijfjarenplan waarin IT-beveiligers infrastructuur voor autorisatie en ‘directory services’ bovenaan hun prioriteitenlijst plaatsen. Om te beginnen moet overbodig geworden of verouderde technologie, zoals zwakke 40-bits cryptografie en makkelijk te kraken WEP-beveiliging van draadloze netwerken, het veld ruimen. Vervolgens, over een half tot twee jaar, is de tijd rijp voor de uitrol van strategische beveiligingselementen zoals een ondernemingsbrede directory, identiteitsbeheer, smartcards en AES-encryptie. Over zo’n drie tot vijf jaar kunnen hier zaken als biometrie en beveiliging van web services aan worden toegevoegd. In de grabbelton van de beveiligingsindustrie zitten veel producten en diensten die bedrijven zelden of nooit nodig zullen hebben. In de categorie ‘overbodig’ rangschikt Gartner bijvoorbeeld vuistdikke securityhandboeken, biometrie, persoonlijke digitale handtekeningen, passieve detectie van indringers en beheer van digitale rechten (DRM) op bedrijfsniveau. Wel vereist zijn zaken als AES voor versleuteling, geautomatiseerd wachtwoordbeheer, identiteitsmanagement en mogelijkheden tot quarantaine en indamming van besmette systemen. Kosten en baten Uit onderzoek onder IT-managers van vierduizend organisaties in de Verenigde Staten en Canada komt naar voren dat de uitgaven aan beveiliging daar een plafond hebben bereikt en in de nabije toekomst zelfs gaan dalen. Gemiddeld blijven ze nu steken op 5 procent van het totale IT-budget, inclusief loonkosten en extern ingekochte diensten. De 20 procent die het minst besteedt - en dat zijn volgens Gartner juist de meest efficiënte bedrijven - kunnen de beveiligingscomponent omstreeks 2006 zonder risico terugdringen tot 3 of 4 procent van hun totale IT-uitgaven. Het kwantificeren van de waarde van beveiliging blijft een lastige zaak, al zijn wel pogingen gedaan het rendement vast te stellen. Voor het leeuwendeel blijft informatiebeveiliging een kostenpost die een bedrijf wel móet maken om zaken te kunnen doen. De uitgaven kunnen deels worden verantwoord als het vermijden van kosten, bijvoorbeeld als intellectuele eigendommen gestolen zouden worden. Meten Bedrijven moeten het succes van hun beveiligingsbeleid wel kunnen meten. Het vinden van de juiste meetinstrumenten is echter niet makkelijk. Aantallen onderschepte virussen en afgeslagen cyberaanvallen vertellen maar een deel van het verhaal. Leveranciers schermen graag met de herstelkosten na een geslaagde aanval, maar dat zijn in de ogen van Wheatman slechts onnauwkeurige gissingen. In elk geval is realisme bij IT-beveiligers geboden, zowel over de waarde van hun inspanningen als over de budgetten die zij voor zich opeisen. Ze dienen er rekening mee te houden dat het algemeen management een betere kostenrechtvaardiging wil horen dan louter dat er ‘iets’ zou kunnen misgaan. Bedrijfsspecifieke kostenberekeningen van beveiligingsproblemen, aangereikt door financiële specialisten, leggen meer gewicht in de schaal dan algemene waarschuwingen voor dreigende gevaren.