De juiste security op de juiste plaats

Als security in bedrijven meer als een proces moet worden aangepakt, is het van belang de juiste security op de juiste plaats te hebben. Het jarige Zion Security geeft daarvan enkele voorbeelden.

Met een naam als Zion zou je eerder Bijbelse connotaties verwachten, maar Zion Security dat zijn 10 jaar viert, haalde de mosterd voor zijn naam… in ‘The Matrix’. “Zion is de naam van de laatste stad waar de mensen standhouden tegen de aanvallen van de machines”, brengt mede-oprichter en chief hacking officer Erwin Geirnaet in herinnering. In wezen is dat ook de missie van dit securitybedrijf met als motto ‘Prevent, protect, detect, alert’.

Op de juiste plaats

Dat motto beschrijft bondig het securityproces dat vandaag in bedrijven moet worden opgzet. En naast de klassieke securitymiddelen (nee, anti-virus, firewalls e.d. zijn niet dood) moet een bedrijf daarvoor gericht de juiste middelen inzetten. Op het eerste jaarlijkse Zion security event kwamen dan ook een rist bedrijven aan bod, met behoorlijk gespecialiseerde tools.

Bij Thycothic vestigde ceo Jonathan Cogley de aandacht op het gevaar van misbruik van ‘accounts’ met de hoogst mogelijke gebruikersrechten, zoals ‘administrator accounts’. Meer nog dan de toegangsrechten van ceo’s e.d. bieden die ‘admin accounts’ de aanvallers de breedst mogelijke toegang tot een informatie-infrastructuur, zoals onlangs nog bewezen in de notoire Sony-hack. Zijn bedrijf ontwikkelde dan ook een ‘secret server’ product, voor het beheer van onder meer ‘privileged passwords’ en toezicht op het gebruik ervan (ook in de Unix/Linux wereld). De aanzet hiertoe werd ooit gegeven toen hij wachtwoordproblemen ondervond bij de praktijk van ‘pair programming’ (waarin verschillende personen gelijktijdig samenwerken aan een stuk code). Daarnaast helpt de software tevens om zeker te zijn dat ook echt alle wachtwoorden worden aangepast en/of afgevoerd wanneer gewenst, terwijl ook de conformiteit aan vereisten gesteld door reglementen als HIPAA, PCI DSS en SOX (beschikbaarheid van data) makkelijker wordt. En tevens kunnen de rechten van het verkeer tussen toepassingen of systeemelementen worden beheerd! Een ander Thycotic-product maakt dan weer het resetten van wachtwoorden van eindgebruikers eenvoudiger, wat in heel wat bedrijven al tot een stevige kostenvermindering kan leiden.

Andere voorbeelden op het security-event werden geboden door CA Technologies met een tool om api’s te ontwerpen en te beheren, Observe IT inzake het monitoren van activiteiten binnen een omgeving en Splunk, dat met ‘big data analytics’ de informatiesecurity aanpak heel wat krachtdadiger maakt.

Toekomstige uitdagingen

Koen Gorissen, adviseur bij de Belgische privacycommissie kaartte niet alleen de huidige Belgische wetgeving aan (die echt wel best door alle databeheerverantwoordelijken en ceo’s wordt doorgenomen), maar waarschuwde tevens dat (ondanks een vertraging) er nog een verstrenging van de Europese wetgeving rond privacy en databeheer aankomt. Vervolgens stak Patrick Van Eecke (partner bij DLA Piper) de aanwezige securityspecialisten nog een hart onder de riem: “Wat de toekomst van infomatiesecurity betreft, hebben jullie jobzekerheid voor de komende 10 jaar, en jullie worden geruggesteund door de wet.” Ze kunnen ook maar beter een bedrijf veilig houden, of het komt in de vizier van de pers, zoals Luc Blyaert, voormalig hoofdredacteur van Data News onderstreepte. Dus werk aan de winkel voor het groeiend team van Zion Security.

Meer over security & storage kan je lezen in het nieuwste nummer van Data News.