Ascure over IT-security Hoeveel zijn uw bedrijfsgeheimen u waard?

Veel bedrijven zijn zich niet bewust van het risico, vaak omdat ze te weinig afweten over de handigheid van de mogelijke daders. En als ze het slachtoffer worden van een inbraak, merken de gedupeerde ondernemingen vaak niet eens dat er wat aan de hand is.

De gelegenheid maakt de dief. Daarom sluiten we s avond netjes onze kantoren af en zijn bedrijfsgebouwen uitgerust met een alarminstallatie. Zonder beveiliging van de computersystemen en netwerken kan iedereen echter zomaar virtueel het bedrijf binnenlopen, en er naar willekeur documenten inkijken, copiren of verwijderen. Hoewel de bewustwording op dat vlak de jongste tijd flink is aangescherpt, springen veel bedrijven nog te nonchalant om met hun IT-security. Ascure, een dienstverlener rond IT-security uit Gent, heeft dan ook nog heel wat sensibiliseringswerk voor de boeg.Eigen personeelDankzij het internet heeft een bedrijf toegang tot de wereld. Helaas werkt het omgekeerd ook. Wie niet uitkijkt, kan via het Internet allerlei ongewenste bezoekers over de vloer krijgen. Het gevaar is echter niet alleen afkomstig van bedrijfsspionnen, hackers of cyberterroristen, zegt Arne van Balgoijen, general manager van Ascure. Een goed veiligheidsbeleid begint bij het eigen personeel, zodat het – bewust of onbewust – geen kritische informatie doorgeeft. Bovendien draait het er bij veiligheid niet alleen om of de bedrijfsgeheimen wel voldoende beschermd zijn, maar ook of de data juist zijn op het moment dat je ze nodig hebt. Veiligheid heeft met andere woorden drie componenten confidentialiteit, integriteit en beschikbaarheid. Het gaat hierbij van de toegangscontrole aan de receptie tot de procedures om back-ups van de database aan te maken en te bewaren.Het uitgangspunt is doorgaans dat een onderneming ons haar doelstellingen op het vlak van veiligheid voorlegt, aldus Etienne Verhasselt, sales manager bij Ascure. Op basis van die informatie werken we dan een zogenaamde Corporate Security Policy (CSP) uit. Algemeen gesproken gaat het daarbij om een reeks regels en afspraken die de veiligheid binnen het bedrijf moeten verhogen. De CSP bevat onder meer gedragsregels over het gebruik van e-mail en over de manier waarop bezoekers op het terrein en in de gebouwen van het bedrijf worden toegelaten. Tegelijk gaat het ook om algemene richtlijnen die bijvoorbeeld moeten vermijden dat medewerkers vertrouwelijke informatie onbeheerd in hun kantoor laten rondslingeren. Het is voor ons een absolute voorwaarde dat met name het topmanagement achter de Corporate Security Policy staat, vervolgt Arne van Balgoijen. Via top-down communicatie moeten we dan tot een situatie komen waarbij alle medewerkers de inhoud van de CSP kennen en er zich toe verbinden de afspraken na te leven.Zelf hackenEenmaal vaststaat hoe de gewenste situatie eruit zou moeten zien, start Ascure met de assessmentfase van zijn veiligheidsaanpak. In die fase onderzoekt het bedrijf welke systemen en processen aan beveiliging toe zijn en welke interne of externe factoren daar een rol bij spelen. Ascure voert daarbij onder meer een penetratietest uit. Het bedrijf slaat dan zelf aan het hacken om na te gaan waar zich de zwakke plekken in de bestaande beveiliging bevinden en brengt daarover verslag uit aan de klant. Maar, we beperken ons niet tot de mogelijke bedreigingen die van het internet uitgaan, aldus Arne van Balgoijen. We gaan bijvoorbeeld ook na hoe moeilijk – of makkelijk – het is om fysiek in het gebouw binnen te dringen, of het mogelijk is als buitenstaander toegang te krijgen tot de server room, of we erin zouden slagen back-up tapes mee te pikken, enzovoort. Tegelijk voert Ascure een interne beveiligingsaudit uit. Computercriminaliteit komt namelijk niet per definitie van buiten het bedrijf. Ook eigen medewerkers trachten soms in de bedrijfssystemen binnen te dringen en er data te wissen of te wijzigen, bijvoorbeeld om de eigen prestaties er iets rooskleuriger te laten uitzien, of – erger nog – om een collega in slecht daglicht te plaatsen. Precies daarom is het van cruciaal belang dat er een strenge controle bestaat op de toegang tot bedrijfskritische data, zowel van buitenaf als intern.Op basis van de bevindingen van de assessment ontwerpt Ascure vervolgens het technische stuk van de beveiliging. Omdat het bedrijf zichzelf in de eerste plaats als een merkonafhankelijke dienstlener profileert, heeft het kennis en ervaring met verschillende producten opgebouwd. Om op de hoogte te blijven van de evoluties in het aanbod, sloot Ascure trouwens partnerschappen af met leveranciers van software en hardware voor beveiliging, zoals Symantec, Cisco Systems en Computer Associates. In samenwerking met deze (of andere) leveranciers werkt Ascure voor de klant een technische oplossing uit. Die bestaat doorgaans uit een combinatie van bestaande producten en maatwerk. Etienne Verhasselt We stellen voor de klant een soort shoppinglijst op. Het is dan aan de systeemintegrator om de gewenste producten te installeren en te ondersteunen. Tijdens de implementatiefase ziet Ascure er daarbij nauwlettend op toe dat de medewerkers van de klant voldoende technische opleiding krijgen. Het zou immers tot een ongezonde situatie leiden wanneer we voor onze klanten tot in lengte van dagen onmisbaar zouden zijn.Achter de feiten aanhollenDe aandacht voor opleiding heeft ook veel te maken met het monitoringaspect dat bij beveiliging komt kijken. Dat de beveiligingssystemen genstalleerd zijn, betekent immers niet zomaar dat de kous af is. In principe raden we de klant aan dagelijks zijn logfiles te analyseren, verduidelijkt Arne van Balgoijen. Uit die files kun je namelijk afleiden wie geprobeerd heeft in het systeem binnen te geraken en hoe ver die persoon geraakt is voor de beveiliging hem afstopte. We mogen immers niet vergeten dat een firewall – ondanks de benaming – in wezen een deur is, en geen muur. Er blijft dus controle nodig op het verkeer dat door de beveiligde ingang wordt toegestaan. Wie dagelijks zn logfiles controleert, zal vrij snel merken wanneer er sprake is van ongeoorloofd verkeer. Hoe sneller het bedrijf zon inbraakpoging opmerkt, hoe meer kans er bestaat om met succes de herkomst van de inbreker te achterhalen. Het klopt dat je als bedrijf altijd een beetje achter de feiten blijft aanhollen, geeft Etienne Verhasselt toe. Maar je kunt het de inbrekers natuurlijk wel trachten onmogelijk te maken hun slag te slaan. Dat kan zelfs al met eenvoudige middelen, zoals niet voor de hand liggende paswoorden.Blijkt uit de monitoring van de logfiles dat er alsnog ongewenste bezoekers langsgekomen zijn, dan dringt een bijsturing van de Corporate Security Policy zich automatisch op, waarna de beveiligingscyclus opnieuw begint. Maar, tegelijk wijst Ascure erop dat – los van alle geleverde inspanningen – absolute veiligheid niet bestaat. Helemaal safe ben je nooit, dat is iets waar je mee moet leren leven, zegt Arne van Balgoijen. Toch betekent dat niet dat bedrijfsleiders dan maar in hun lot moeten berusten. Van Balgoijen is er alvast van overtuigd dat films als Mission Impossible die de problematiek van beveiliging aanraken de bedrijfswereld mee aan het denken zetten. De algemene media berichten maar sporadisch over computercriminaliteit, terwijl de films relatief goed weergeven wat er vandaag allemaal mogelijk is. Zo is ook The Net een goed voorbeeld van een populaire film die aantoont waar internetcriminaliteit toe kan leiden. Omdat een absoluut waterdichte beveiliging niet bestaat, zit er voor ondernemingen niets anders op dan het de potentile inbrekers zou lastig mogelijk te maken, aldus nog Arne van Balgoijen. Dat is vandaag voor Ascure de grootste uitdaging de CEOs en CFOs er bewust van maken dat ze hun technologie zo goed mogelijk moeten beschermen. Bedrijven realiseren zich te weinig wat de waarde is van de informatie die in hun computersystemen is opgeslagen. Beschermen ze die onvoldoende, dan kunnen al die grote investeringen voor niets geweest zijn.Company profile Ascureopgericht juli 2000activiteit IT security services providerhoofdzetel Gentgeneral manager Arne van Balgoijenwerknemers 15referenties Vandemoortele, Agfa-Gevaert, Brugge 2002website www.ascure.com