Meer golf, minder tennis
Als het van VMware afhangt, spiegelt een CIO zich voor zijn IT-beveiliging beter aan golf dan aan tennis. “Bij golf bepaal je zelf wat je doet”, zegt CTO Joe Baguley. “Bij tennis moet je telkens weer inspelen op wat je tegenstander doet.”
De manier waarop bedrijven met IT omgaan is de voorbije jaren drastisch geëvolueerd. In de praktijk levert dat veelal een hybride omgeving op, met een stuk IT in eigen beheer en een ander deel in de cloud. De implicaties op de beveiliging van het geheel zijn niet min. “Met één enkele firewall los je dat niet meer op”, zegt Joe Baguley, CTO bij VMware. “En dan houden we nog niet eens rekening met medewerkers die op hun smartphone met allerlei apps aan de slag gaan. Voor een bedrijf is het vandaag bijzonder moeilijk om het hele IT-vraagstuk onder controle te houden.”
Dat blijkt ook al snel wanneer het over IT-beveiliging gaat. Cyberoorlog, cyberterrorisme en cybercriminaliteit belanden er vaak op één grote hoop. Het verklaart de kramp waarin de bedrijfswereld zich bevindt. “We lijken allemaal geobsedeerd door security”, aldus Baguley. “Alleen zien we de grootste investeringen in reactieve maatregelen. De meeste centen gaan naar patching. Preventie blijft ver achter.” Nochtans blijft een investering in preventie de beste manier om veiligheidsrisico’s te verminderen.
Intrinsieke security
Bedrijven moeten meer bewustzijn creëren rond de nood aan sluitende security, klinkt het dan. Al gaat het toch vooral ook over de manier waarop ze hun beveiliging organiseren. “Grote organisaties hebben al snel vijftig tot honderd securityproducten in gebruik”, weet Baguley. Dat zorgt alleen maar voor bijkomende complexiteit en extra zorgen rond het beheer van al die toepassingen. “Vaak ontbreekt het aan kennis. Bedrijven weten soms niet eens wat het normale gedrag van een systeem is. Dan merken ze het natuurlijk ook niet op wanneer er ergens een bepaald proces een klein beetje trager loopt, wat mogelijk op iets verdachts wijst.” VMware kiest daarom liever voor een benadering die security intrinsiek maakt. “We bouwen security in onze hypervisor in. Zo zijn we in één beweging overal met onze beveiliging aanwezig.”
Joe Baguley maakt in dat verband graag de vergelijking tussen golf en tennis. “Intrinsieke security is zoals golf”, zegt hij. “Je bepaalt zelf waar je staat en hoe je de bal slaat.” Meer nog: u bepaalt ook welke houding u aanneemt en welke club u gebruikt. “In vergelijking daarmee lijkt klassieke security op tennis. Het is altijd weer afwachten wat de tegenspeler doet: waar en hoe hij de bal slaat.” De boodschap van VMware is duidelijk: de focus ligt meer dan ooit op de beveiliging van de applicaties. Maar wat zijn de gevolgen daarvan voor de complete IT-omgeving? Ligt de verantwoordelijkheid voor de beveiliging dan plots bij de applicatiebouwers? Bij de telecomoperator? Of bij een partij als VMware?
Gijzelaars zijn geen leuke klanten
“Het is vandaag zeker anders dan voorheen”, legt Joe Baguley uit. “Vroeger ging alles hermetisch op slot. Applicatiebouwers hoefden in principe niet over security na te denken, want hun toepassingen zaten veilig verscholen achter een firewall.” Nu werken applicaties ook buiten de klassieke beveiligingsperimeter, wat een andere benadering van security onvermijdelijk maakt. Alleen kan u zich afvragen of uw bedrijf zich via het model van VMware niet blootstelt aan het gevaar van vendor lock-in. “Net niet”, stelt Baguley. “Het voordeel van ons ecosysteem is net dat we kiezen voor openheid en iedereen de keuze laten. We zijn zeker niet uit op een lock-in. Gijzelaars zijn geen leuke klanten. We geven de voorkeur aan klanten die uit vrije wil naar ons terugkomen. Dat is voor iedereen veel interessanter.”
Fout opgemerkt of meer nieuws? Meld het hier