Security is een fascinerend onderwerp, helaas bezorgt het je ook een vreselijk gevoel van frustratie. Frustratie met een grote ‘F’! Bij de voorbereiding van dit duizendste nummer las ik in Data News jarenoude security-artikels die ook vandaag nog zonder een letter te wijzigen konden worden gepubliceerd! Maar toch wordt er vooruitgang geboekt, want er “is een security-paradigmawijziging aan de gang,” aldus Deloitte’s Adel Melek.@

“Er is een belangrijke verschuiving van zware investeringen in technologische beveiligingsproducten naar een aanpak die de bescherming van data beoogt!” aldus Adel Melek, Deloitte’s global leader voor security- en privacy-diensten. “Er wordt nu geprobeerd om informatiesecurity meer als een totaalprobleem op te lossen.” Tegelijk wijzigt ook de visie op de rol van de Chief Information Security Officer (CISO) in bedrijven.

Gerichter en heimelijker

Heel wat factoren spelen mee in deze fundamentele wijziging en niet het minst de groeiende druk van wetten en reglementen. Maar ook het technologische kader wijzigt, zeg maar wat moet worden beschermd. “Vroeger had security enkel te maken met bedrijfstechnologie, maar vandaag moet ook rekening worden gehouden met iPods en dies meer!” aldus Melek. “Ook applicatiesecurity groeit aan belang, nu steeds meer toepassingen in het Web staan.” En dat terwijl die toepassingen zelden of nooit een ‘security development lifecycle’ doorlopen, laat staan dat de ontwikkelaars een gerichte (bij)scholing over het ontwikkelen van veilige software kregen.

Kortom, het besef groeit dat security niet alleen technologische toestanden meebrengt, maar ook heel wat gerechtelijke gevolgen kan hebben, of een impact op de naam en de merken van het bedrijf! En een bedrijf mag zich niet blind staren op de afzonderlijke risicofactoren maar moet zich veel-eer concentreren op het gewenste eindresultaat en van daaruit de nodige oplossingen creëren. En aangezien bedrijfsinformatie in toenemende mate dé levensader van de bedrijven vormt, ligt de shift naar informatiegerichte security voor de hand.

De aard van de aanvallen wordt ook steeds ernstiger, met nu al enkele jaren een sterke groei van cybercrime. “Als de wetten achterophinken en de daders geen gevolgen ondervinden, dan krijg je steeds meer misdaad.” Bovendien worden die aanvallen ook steeds meer gerichter (‘targeted attacks’, ‘whale phishing’) en heimelijker in hun aanpak (‘stealthy attacks’).

Helaas leveren de securityinspanningen van de bedrijven niet altijd even optimale resultaten op (“en het is onze business om dat te verbeteren,” voegt Melek daar nog effe aan toe). Niet alleen zijn er vaak ronduit gaten in de verdediging – dat wordt aangetoond door de vele lekken en geslaagde aanvallen – maar tevens zijn bedrijven te vaak ‘reactief’ in hun verdediging in plaats van ‘proactief’ op te treden. Dat laatste is nodig, gezien de grotere agressiviteit van de aanvallen (phi-shing, social engineering, trojanen etc) en het steeds meer ‘open’ staan van de bedrijven (externe medewerkers, eigen werknemers die te velde werken etc). Een en ander wordt nog te weinig doordacht, en vaak worden niet alle uitzonderingstoestanden en mogelijke risico’s vooraf overwogen. “Een veel verspreide vergissing is een ‘one size fits all’ securitypolitiek in bedrijven. Neem bijvoorbeeld een grote financiële instelling. De afdeling voor privé-personen in die instelling zal op een andere manier omgaan met de gegevens van de klanten dan bijvoorbeeld de investeringsbankiers (private equity jongens) van die instelling. Bij een eventuele fusie of overname-activiteit zullen die laatsten bijvoorbeeld gevoelige data behandelen, maar niet meteen persoonsgebonden informatie zoals in de consumentenbank.” Kortom, “je security moet flexibel zijn en zich aanpassen aan de noden van de verschillende belanghebbenden.” Voorts moeten bedrijven ook werk maken van een inventaris van welke data zich waar bevinden, wie ‘de eigenaar’ ervan is en wie er gerechtigde toegang toe heeft. “Daarrond zal in de komende jaren slag worden geleverd.” Melek ziet dan ook de nood om niet alleen netwerk-, systeem- en securitybeheerders bij elkaar te zetten, met het oog op een efficiënter dagelijks beheer. “Als er problemen met security zijn, moeten daar ook de mensen uit de juridische afdeling, de public relations en dies meer worden bij betrokken. Dat moet ‘cross functional’ teams opleveren.” Dat laatste geldt ook bij het opstellen van een nieuwe (of het aanpassen van een bestaande) bedrijfsbrede securityrichtlijn. “Je mag die niet vanuit een ivoren toren opstellen, maar in samenwerking met andere afdelingen en met input van de mensen die nog met twee voeten in de bedrijfsactiviteiten staan..” Op die manier ken je de ware risico’s, weet je welke maatregelen te nemen en hoe ervoor te zorgen dat het bedrijf beantwoordt aan de wettelijke eisen. “Je moet alle stakeholders er bij betrekken.” Melek benadrukt de nood om die richtlijnen geregeld bij te werken, zeker in multinationals en bedrijven die wereldwijd actief zijn. Er zijn zoveel standaarden en (lokale) wetten, die bovendien ook nog erg vaak veranderen. “Het uitgangspunt moet in ieder geval een naleving van de wet zijn.”

Met een dergelijke aanpak kan ook de doeltreffendheid van de maatregelen beter worden beoordeeld. “Is er een securitypraktijk gedefinieerd? Wordt die ook opgevolgd? Hoe vaak wordt er van afgeweken?,” aldus Melek. “Bovendien kan je ook beter de aantallen opvolgen, zoals hoeveel virussen, lekken, ongeoorloofde daden en pogingen daartoe en dies meer. Of hoe snel kan een gebruiker worden verwijderd en is men zeker dat die ook echt alle rechten heeft verloren.”

De nieuwe CISO

Die informatie over de securityaanpak in een bedrijf helpt de CISO ook om zijn rol beter te vervullen en binnen de organisatie aan belang te winnen. Naast een betere securitywerking, kan de CISO immers ook de hoogste bedrijfsleiding beter informeren. Hij kan niet alleen melden welke problemen er zich voorgedaan hebben maar ook welke voordelen het bedrijf heeft geplukt van zijn maatregelen. “Als hij kan aantonen dat er zoveel miljoen spammails zijn gestopt, kan hij tevens wijzen op de niet-gemaakte kosten als gevolg van productiviteitsverlies en misbruik van bandbreedte.”

Het betekent natuurlijk dat ook de CISO – zoals de nieuwe CIO – in staat moet zijn het hele securitygebeuren te vertalen in een kosten/baten verhaal dat voor de hoogste bedrijfsleiding steek houdt. “Hij moet dan ook niet alleen een technologisch gericht iemand zijn, maar ook een beter inzicht bieden in de kosten en baten van een securityaanpak en het bedrijf in die zin opvoeden.” Dan zit security gewoon ingebakken in de bedrijfsprocessen en is het niet langer een doekje voor het bloeden.

Adel Melek komt tot de slotsom dat er zich in de bedrijven een mentaliteitswijziging voltrekt of eerstdaags zal voltrekken. Een verandering waarin hij overigens ook een rol ziet weggelegd voor de media. “Niet zozeer om de mensen schrik aan te jagen, maar om de boodschap te brengen dat er ‘ja, oplossingen mogelijk zijn!'” Tja, mooi is dat. Zullen we dan toch maar dat artikel van jaren geleden eens opnieuw publiceren?@

Guy Kindermans