Security krijgt ‘best practices’-steuntje op RSA Conference

De RSA Conference Europe in London illustreert eens te meer hoe breed ‘security’ als gebied wel is, gaande van security expert Bruce Schneier’s inzicht in ‘security feeling’ tot een nieuwe organisatie die best practices rond ‘secure software’-ontwikkeling promoot.

De RSA Conference Europe in London illustreert eens te meer hoe breed ‘security’ als gebied wel is, gaande van security expert Bruce Schneier’s inzicht in ‘security feeling’ tot een nieuwe organisatie die best practices rond ‘secure software’-ontwikkeling promoot.

Die nieuwe organsatie heet [SAFEcode] en werd opgericht door EMC (RSA), Juniper, Microsoft, SAP en Symantec om ‘best practices’ te promoten voor het ontwikkelen en uitrollen van veilige en betrouwbare software. Hierbij willen de leden in eerste instantie hun eigen inspanningen op dit gebied – zoals Microsofts ‘security development lifecycle’ – meer bekendheid geven.

Het doel is te komen tot een vorm van ‘software assurance’, zodat leveranciers en gebruikers van software meer vertrouwen in hun ict-gesteunde infrastructuur kunnen hebben, zowel op het bedrijf als in telecom (telefonie) en de kritieke infrastructuur van een land (nutsvoorzieningen en dies meer). SAFEcode zal hiervoor ook nauw samenwerken met de overheid en de academische wereld. Op termijn zoekt de organisatie ook leden in sectoren als telecom en leveranciers van ict-gesteunde infrastructuur.

Daar stond dan weer de keynote van security-expert Bruce Schneier tegenover. Die hield de leveranciers een spiegel voor: hun producten geven wellicht wel een klant een gevoel van veiligheid zonder een echte beveiliging. Maar hij riep ook de aanwezige gebruikers op zich niet blind te staren op uitzonderlijke voorvallen. In een gesprek met Data News stelde hij dat gebruikers zich vooral zorgen moeten maken als het probleem niet meer in het nieuws is, maar wel aanwezig blijft.

Voor Art Coviello, executive vice-president van EMC en president van RSA moeten de klanten in ieder geval afstappen van een productgerichte security, met hoofdfocus op netwerken en systemen en zich veeleer toeleggen op een informatiegerichte security. De wijze waarop informatie veilig wordt beheerd en gedistribueerd tussen alle betrokkenen is vandaag belangrijker dan het opzetten van een pure perimetersecurity.