Vroeger kregen confidentiële documenten een plaatsje in de bedrijfskluis. De deur van het kantoor ging op slot en rond het gebouw stond een afsluiting. Vandaag speelt beveiliging zich op een heel ander niveau af.

“Ik ben eerder toevallig in de it-branche terecht-gekomen”, geeft Koen Claesen toe. “Het was niet echt een bewuste keuze.” Na zijn opleiding communicatiewetenschappen aan de KULeuven stond Claesen voor een tweesprong. Hij kon aan de slag als hoofdredacteur van kindernatuurkrant Wapiti, maar had ook een aanbieding ontvangen voor een job bij de it-helpdesk van EDS. “We spreken over de periode 1998-1999. In die tijd zat de it-sector volop om extra medewerkers verlegen. Een zekere basisintelligentie volstond om toen in it een job te kunnen vinden, zeker bij de grote Amerikaanse bedrijven. ” Ook EDS koos er toen voor veel jonge medewerkers aan te werven en die intern op te leiden. De kennismaking met de it-sector beviel Koen Claesen. Na anderhalf jaar maakte hij de overstap naar Cisco Systems. Daar kreeg hij een opleiding rond netwerkdesign.

Kosten en baten

“Mijn toenmalige mentor bracht me in contact met het aspect security”, vertelt hij. “Mijn interesse was gewekt. Security is een heel breed en complex domein, waarbij je niet alleen rekening moet houden met architectuur en producten. Er komt een belangrijke component menselijk gedrag bij kijken.” Gedurende drie jaar verdiepte Koen Claesen zich in de securitycomponent van zijn job als netwerkdesigner. Het bleek de perfecte voorbereiding op zijn huidige functie als informa-tion security architect bij Cisco. “Een belangrijke pijler van mijn job is dat ik technisch bekwaam moet zijn om een situatie of een risico in te schatten. Maar tegelijk gaat het hier nooit om een exacte wetenschap. Wanneer je een risicoanalyse van een it-architectuur maakt, dan moet je dat altijd doen tegen de achtergrond van de businessvoordelen die aan die architectuur verbonden zijn.” Anders gezegd komt het erop aan het risico zo goed mogelijk in te schatten langs twee kanten. Misschien zijn er inderdaad nadelen en kosten aan een risico verbonden, maar wegen die minder zwaar door dan de voordelen die het bedrijf er intussen uit heeft gehaald.

De risk appetite is hier erg bepalend. Een bedrijf met een grote technologiefocus zal zich wellicht iets meer risico kunnen veroorloven, terwijl pakweg een bank erop uit is elk it-risico compleet uit te sluiten. Het is daarbij aan de information security architect om bij het management en de verschillende afdelingen van het bedrijf duidelijk te verwoorden wat de impact van het risico kan inhouden. “Dat is niet altijd makkelijk, omdat security vaak te leiden heeft onder negatieve perceptie, zeker bij de eindgebruiker”, vindt Koen Claesen. “Het startpunt van een securityproject is ook meestal een probleemsituatie. Het is mijn taak om onze beslissingen goed te kaderen, zodat de betrokken partijen begrijpen dat we niet zomaar alles willen verbieden, maar dat we handelen in het belang van het bedrijf als geheel.” Omdat Cisco als leverancier zelf mee securityoplossingen in de markt zet, is beveiliging binnen het eigen bedrijf uiteraard extra belangrijk. “Mocht er zich een ernstig securityprobleem voordoen binnen Cisco, dan zou dat vernietigend zijn voor ons imago. ”

Vervaagde perimeter

De kerntaak van de securityspecialist blijft echter vooral het inschatten van risico’s. Op basis van die bevindingen volgt dan een transparant beleid dat de risico’s beperkt, zonder daarbij onnodig de gebruiksvriendelijkheid van de it-systemen op te offeren. Ook op het technische vlak blijft dat een mooie uitdaging, met name omdat de technologie razendsnel evolueert. “De opkomst van Web 2.0 en allerhande collaboration tools heeft de klassieke bedrijfsperimeter meer dan ooit vervaagd. Meer nog: medewerkers creëren confidentiële informatie vaak op plaatsen en in situaties waar de onderneming geen controle over kan uitoefenen. Vroeger kon je letterlijk een muur rond het bedrijf bouwen om de informatie te beschermen. Dat lukt nu niet meer. Toch moet je ook die nieuwe omstandigheden zo veel mogelijk proberen te beheersen.” Het bedrijf kan technisch niet verhinderen dat een medewerker – misschien onbedoeld – net iets te veel informatie over zijn job prijsgeeft via Facebook of LinkedIn. “Maar je kunt de medewerkers natuurlijk wel bewust maken van de risico’s en hen opleiding aanbieden om op een correcte manier met de nieuwe werkomgeving en communicatiekanalen om te gaan.” Ook dat behoort tot het takenpakket van de securityspecialist.

Dries Van Damme