Dat het dit jaar de 13de editie van Infosecurity Europe in London was, leek de organisatie niet te deren. Integendeel, als steeds bood deze vakbeurs een prima snapshot van de complete securityscene, van gevaren tot beveiligingsmiddelen. Thema’s die er dit jaar bovenuit staken waren gegevensverlies, mobiele bescherming en de menselijke factor.

De Grand Hall van Olympia barstte weer lichtjes uit zijn voegen met meer dan 300 producenten en leveranciers van beveiligingsproducten, klaar om naar verwachting ca. 12.000 bezoekers te ontvangen. Er werd dan ook wijselijk besloten de editie 2009 in het ruimere Earls Court te houden (ietwat vergelijkbaar met de verhuis van Infosecurity België naar de Heizelpaleizen volgend jaar).

Bescherming van mobiele data

Een Britse overheidsdienst presteerde het eind vorig jaar cd’s met persoonsgebonden gegevens van miljoenen mensen te verliezen. Wellicht heeft dat ertoe geleid dat de bescherming van data dit jaar bovenaan de agenda van Infosecurity stond. Er worden vandaag trouwens producten en diensten aangeboden voor echt alle facetten van informatiebeveiliging, die het loutere ict-gebeuren duidelijk overstijgen. Infosecurity informeerde in ieder geval ten overvloede over de bescherming van data door encryptie (met name op mobiele systemen als notebooks, pda’s, mobiele telefoons), het voorkomen van ongeoorloofde opslag op externe dragers (naast middelen voor een beschermde opslag op geoorloofde dragers als usb-sticks, back-up tapes etc), evenals alles wat nodig is om een opslag (en back-up en restore) van data conform de wetgeving en sectoriële verplichtingen te garanderen. Dat alles tot en met het grondig vernietigen van de data én de dragers.

Maar informatiebeveiliging impliceert ook inzicht hebben in wat belangrijk is voor een bedrijf. Vandaag bestaan al een rits producten en diensten voor het doorlichten van het datagebeuren in bedrijven en het uitvoeren van risicoanalyses. Zo legt een bedrijf als Guardium zich specifiek toe op database auditing (inclusief compliance auditing) en databasebescherming in reële tijd voor de hele ‘database security & compliance lifecycle’.

Meer ‘awareness’ creëren

Tijdens deze editie werd nadrukkelijk de nood aan meer ‘security awareness’ bij de eindgebruikers aangekaart. Als je je mensen verplicht beveiligingsmaatregelen goed na te leven, moet je hen ook uitleggen waarom dat van belang is! En dat geldt op alle niveaus, zowel voor de hoogste bedrijfsleiding (een bedrijf pakte uit met een onderzoek waaruit bleek dat een meerderheid van de respondenten erop aandrong dat managers van bedrijven die gegevens van klanten verliezen gewoon naar de gevangenis worden gestuurd) als de eindgebruikers tot en met de ict-beheerders én de softwareontwikkelaars. Bij gebrek aan securityexperten versterkt inmiddels de trend om een beroep te doen op beheerde securitydiensten geleverd door derden. Een aantal bedrijven gaat al zo ver dit als ‘Software as a Service’ aan te bieden. ScanSafe (een Saas-pionier voor veilige webtoegang, met in België onder meer IJsboerke als klant) of Webroot (voor e-mail en webfiltering) zijn typische voorbeelden.

Alle aspecten

Het interessante aan een vakbeurs als Infosecurity Europe is dat je bedrijven ontmoet die aspecten blootleggen die je makkelijk over het hoofd ziet. Zoals de noodzaak om bij het installeren van een draadloos netwerk ook advies in te winnen over de securityaspecten van de plaatsing van de basestations en de gebruikte antennes (kwestie van zo weinig mogelijk connectiviteit buiten de muren van het bedrijf te bieden). Bij het Finse Codenomicon zagen we dan weer de expertise om schier elk mogelijk protocol te testen op zijn deugdelijkheid en securityaspecten (bestemd voor netwerkontwikkelaars of bedrijven die dit deel van hun beveiliging willen testen).

Aan de andere kant van het securityspectrum was ook nogal wat aandacht voor het ‘low tech’ maar erg efficiënte gamma van middelen om bijvoorbeeld notebooks vast te ‘ketenen’ (ook op kantoor, zodat notebooks niet door inbrekers of collega’s kunnen worden meegepikt).

Voorts noteerden we het groeiende aanbod van producten die het naleven van de ‘compliance’-regels weten af te dwingen, vaak inclusief ‘forensics’-faciliteiten (middelen om bij incidenten eventuele schuldigen op te sporen, al dan niet met het oog op vervolging). Of geavanceerde software voor het analyseren van logs om anomalieën in het gebruik van ict te ontdekken (zoals door het Amerikaanse Secnology of het Deense Inspekt, twee bedrijven met een interessante benadering van dit probleem). En dan nog een leuk extraatje… Een rits bedrijven boden hun bezoekers een mini-‘For Dummies’ over een of ander securityonderwerp aan, geschreven door experten in de onvolprezen stijl van deze serie. Een voortreffelijk initiatief, gezien de complexiteit van beveiliging.

Guy Kindermans