13 januari 2014 -
Het afgelopen jaar hebben er belangrijke ontwikkelingen plaatsgevonden op het gebied van cloud computing, big data en mobile computing. Maar daarmee is ook de wereldwijde bezorgdheid toegenomen over de impact van geavanceerde malware, social media hacking en afluisterpraktijken.
Managers twijfelen dus over de traditionele opvattingen met betrekking tot security en dan met name over waar de bedreigingen vandaan komen en plaatsvinden. Dit was dan ook één van de drukste jaren voor enterprise security. Een logische vraag is daarom: wat kunnen we op het gebied van security verwachten in 2014? Het huidige snelle tempo waarin technologieën zich ontwikkelen, creëren uitdagingen voor bedrijven en voor hun (security) managers die moeten omgaan met allerlei nieuwe soorten dreigingen. Patrick de Goede van Eijk, Solution Expert Security & Enterprise Architect bij T-Systems Nederland, voorziet een aantal interessante ontwikkelingen voor het komende jaar.
Veilige cloud en mobile security
Klanten verwachten inmiddels betere en veiligere dienstverlening. Dit motiveert service providers om security nog serieuzer te nemen. De Goede van Eijk: "Volgend jaar zal het karakter van cloud security naar mijn mening verschuiven van een hype naar een concreet proces dat ten uitvoer gebracht kan worden."
Voor zowel de publieke als private cloud maken we bovendien technologische vooruitgang in federatie, encryptie, virtualisatie security en monitoring. Reden tot voorzichtig optimisme dus.
Over de beveiliging van mobiele apparatuur heerst een negatief beeld. Ondanks de nadelige berichtgeving over dit onderwerp, sta ik er toch positief tegenover. Ook bij de fabrikanten van mobiele apparatuur en dienstverleners staat de kwestie hoog op de agenda. Dat betekent dat zij zullen investeren op security-gebied." De technologie staat niet stil. Vooral op het gebied van veilig beheer, het encrypten van data, spraak en de virtualisatie van business-omgevingen gaat ontwikkeling verder. Dit gebeurt allemaal terwijl de privéomgeving gewoon gebruikt kan worden voor persoonlijke zaken, zoals social media. "Bedrijven zullen het gebruik van hun mobiele apparatuur in 2014 goed bewaken en inzichtelijk maken. Naar verwachting zijn mobiele apparaten eind 2014 veiliger dan laptops van vandaag de dag."
Nieuwe rol security managers
"De rol van security managers verandert dan ook komend jaar," geeft De Goede van Eijk aan. De Security Officer is niet meer alleen een controlerende factor, maar denkt mee over de bedrijfsvoering. Hij denkt na over hoe risico’s in de hand kunnen worden gehouden, zonder direct de ‘business’ te raken. De Security afdelingen krijgen een meer zelfstandige rol als adviesorgaan richting de CEO, CFO en CIO. "De beste verdediging is vaak een goede aanval. Om dreigingen voor te zijn, is het belangrijk om nu plannen te maken voor de komende jaren. ICT-landschappen worden zo nog beter beveiligd en gegevens nog effectiever beschermd."
Compliance en Intelligence
Organisaties worden opgeslokt door het werk dat ze moeten verzetten om zich te beschermen tegen de steeds complexere en geavanceerdere bedreigingen. Daardoor komt de naleving van regelgeving vaak op een tweede plek te staan. Dat terwijl de behoefte aan controle en automatische rapportage aan instanties toeneemt en er zelfs een nieuwe aangescherpte Europese regelgeving op stapel staat door de vele inbraken en schendingen. "Het type data dat bedrijven verzamelen en controleren om geavanceerde bedreigingen te detecteren zal exploderen. Zowel in variatie als in volume. Dit brengt ook de nodige veranderingen met zich mee," aldus De Goede van Eijk. Security-intelligentie helpt organisaties te begrijpen wat er daadwerkelijk gebeurt op hun systemen. "Traditionele beveiligingsoplossingen voldoen niet meer wanneer nog gevarieerdere en omvangrijke gegevensstromen geïnspecteerd moeten worden."
Analyse & Social Media
Bedrijven krijgen bovendien meer en meer data te verwerken, een logisch gevolg is dat de vraag naar Data Scientists exponentieel toeneemt. Data Scientists analyseren de toegenomen stroom aan security-data en ongestructureerde business-data. In deze data gaan ze op zoek naar beveiligingsrisico’s.
"Het delen van gegevens over bedreigingen zal naar verwachting toenemen," zegt De Goede van Eijk. "Organisaties, overheidsinstanties en bedrijven in de privésector realiseren steeds meer dat ze elkaar nodig hebben om veiligheidsrisico’s in kaart te brengen en bedreigingen voor te blijven. Hier ligt een kans voor de overheid om het Nederlandse digitale grondgebied beter te beveiligen." Steeds meer organisaties beginnen ook met toezicht op informatie die gedeeld wordt op sociale netwerken. Deze netwerken en hacker communities zijn een bron van data-aanwijzingen waaruit kan worden opgemaakt welke bedrijven mogelijke doelwitten zijn. De informatie kan zowel intern worden geanalyseerd, of via een dienst en/of de overheid worden verkregen. De Goede van Eijk: "Al met al denk ik dat 2014 een zeer actief en spannend jaar op het gebied van security zal worden."
Ik denk dat de denkfout hem zit in de combinatie van uw betoog. Je kunt je gek laten maken door allerlei hypes zoals 'Het Nieuwe Werken', iets wat verre van nieuw is.
BYOD
Iets waar je als weldenkende security manager stil moet blijven staan dat security er niet voor niets is. Volg je deze hype dan zou je als SEcMan helemaal in de stress moeten schieten wat oh mijn hemel, de werknemer 'eist' het bijna. Ik kan daar een zeer eenvoudig antwoord op geven. Een nuchter nadenkend SecMan zegt gewoon NEEN!
Valt de toren van pisa om? Dondert het nerwerk om? Neen dus.
Big data
Big data is voor de overgrote meerderheid van de bedrijven helemaal geen interessante materie. Alleen voor hijgerende commerciële stuiterende hypers. Men is doorgaans even goed aan het nadenken hoe de netwerken zo gesloten en besloten mogelijk te houden. Heeft Big data toevoegende waarde? Ik ben van mening helemaal niet zo heel erg.
Social Media
Ik ben daar al een aantal jaar helder in. Ga nu eerst maar eens defineren wat u daaronder verstaat en wat u daarmee beoogt. Zou er een soort van interne 'code of conduct' moeten komen voor medewerkers die gebruik maken van de sociale media? Ik vraag me dan verbaast af,'heeft u die nog niet???'
Toegankelijkheid van data
Laten we daar helder in zijn. Snowden heeft iedereen al een hele aardige inkijk gegeven in de keuken van de NSA. Is uw data veilig? Het antwoord is eenvoudig neen. Deze uitleg is een flink verhaal maar in kort, neen.
Zou u zich zorgen moeten maken? Heb ik zoiets van... misschien. U zou zich eens rustig af kunnen vragen of u wel genoeg heeft gedaan, doet, onderhoud, om uw data uw data te laten zijn en of dat besef wel tot elke medewerker is doorgedrongen. Ook hier kan ik helder in zijn..... NEEN! Besef van het goed en uniform om gaan met corporate data zit niet iedereen tussen de oren.
Die slag moet dus nog steeds worden geslagen.
Nieuwe manieren van....
Natuurlijk kunnen we ons gek laten maken door zaken zoals cloud, byod, sociale media, big data en vooral veel en vaak schreeuwen, dit is de toekomst dus... Ook al bent u tegen dan.... U zal straks de boot missen want....
Degenen die dat het hardste roepen, willen graag het meest aan u verdienen. Kunt u zonder al dat? Absoluut. Het is een kwestie van u zelf in managements en boardroom afvragen wat er nu voor de organisatie het beste is. Niet wat men buiten staat te kwelen.
Je hebt in IT doorgaans drie soorten mensen. IT Professionals, Professionals die in IT werken en professionals die met IT werken.
80% van al die mensen weten niet eens waar IT als materie voor is bedoeld, laat staan dat zij de wetmatigheid kennen van de materie IT. Want zouden ze die kennen dan word de wereld er voor de SecMan er alleen maar eenvoudiger op.
IT als materie en als vehikel is er om u besparingen te laten bewerkstelligen. Niet meer en niet minder. Die besparingen bereikt u alleen als u zich twee zeer eenvoudige vragen stelt en beantwoord.
Laat het nu zo zijn dat meer dan 95% van de hypers niet eens op de hoogte blijkt van die twee zeer eenvoudige vragen. En dat is nou weer heel erg jammer.
