Hoed u voor security-fabeltjes

01/10/08 om 11:30 - Bijgewerkt om 11:29

Bron: Datanews

Op zijn IT Security summit in Sydney riep Gartner uitdrukkelijk op om securityinspanningen te richten op een positieve inbreng in het zakendoen. En geen gehoor te geven aan securityfabeltjes.

Op zijn IT Security summit in Sydney riep Gartner uitdrukkelijk op om securityinspanningen te richten op een positieve inbreng in het zakendoen. En geen gehoor te geven aan securityfabeltjes.

Het beschikbare budget voor security laat niet toe aan alle dreigingen het hoofd te bieden en moet dus zeker niet worden vergooid aan "mythen, misconcepties of de resultaten van een paranoia voor het onbekende."

Voorbeelden van zulke 'mythen' zijn volgens Gartner onder meer: 'de hackers zijn aan de winnende hand, security is een achterhoedegevecht', 'datalekken komen steeds vaker voor', 'de kwaliteit van security komt neer op hoeveel wordt geïnvesteerd in de security infrastructuur en personeel' en andere.

Beter is aandacht te besteden aan de reële dreigingen, stelt Eric Ouellet, research vice-president bij Gartner. "Een reactieve security zal bijvoorbeeld de risico's niet oplossen of verminderen."

Een positieve benadering is beter, met "security als een tool die helpt risico's te aanvaarden, zodat bedrijven de opportuniteiten in de markt te baat kunnen nemen." Een voorbeeld om deze wazige zin te illustreren: vroeger ging men ervan uit dat internet een onveilige omgeving was om zaken in te doen. Security zorgde vervolgens voor een kader om binnen te werken, met welomlijnde, beheerde en aanvaarde risico's. Nu wordt het internet wereldwijd als een van de belangrijkste businesskanalen gebruikt.

De mensen die instaan voor security moeten, aldus nog Gartner, hun imago van 'nee'-zeggers (zodat ze worden gezien als obstakels voor nieuwe innovatieve wijzen van zakendoen) counteren en duidelijk maken wat hun ware rol in het zakendoen is.

Gartner stelt dan ook dat security zich moet toespitsen op business issues (en niet op securitytechnologie en processen) en realistische verwachtingen (met concrete 'metrics') moet creëren. Voorts moet het doorheen het bedrijf bij alle belanghebbenden vertrouwen in de securityaanpak opbouwen. En bovenal aanbevelen dat bedrijfsprocessen moeten worden herzien in functie van veiliger modellen. Dat ze de betrokkenen ook diets moeten maken dat security een kostelijk maar noodzakelijk kwaad is, is allicht een van de steviger 'understatements'.

Onze partners