Boekhoudschandalen en terroristische aanslagen hebben geleid tot wet- en regelgeving en bedrijfsbeleid omtrent security. Beveiliging valt, zowel fysiek als logistiek, onder verantwoording van het management. Hierdoor is het niet langer reactief, maar pro-actief.
Op basis van deze ontwikkelingen neemt Henk van der Heijden, managing director van Comsec Consulting, een drietal trends waar op security-gebied. Ten eerste moet het beveiligingsbeleid overgeheveld worden naar de onderliggende systemen, zodat het uitgevoerd en meetbaar gemaakt kan worden. Daarnaast leiden vervagende grenzen van bedrijfsnetwerken tot een toenemend belang van applicatiebeveiliging. Tot slot vraagt de groei van het aantal apparaten die op afstand toegang krijgen tot het bedrijfsnetwerk om nieuwe beveiligingsmaatregelen.
Rode draad
We vroegen Henk van der Heijden naar zijn mening, omdat hij in de achttien jaar die hij meeloopt in de IT-sector, veel bedrijven en veel landen gezien heeft. Hoewel hij verre wil blijven van de titel ‘goeroe’, heeft hij zich van meet af aan bezig gehouden met ‘de rode draad’ die security vormt in de IT-ontwikkeling. Van der Heijden begon als applicatieontwikkelaar voor IBM-mainframes bij NedLloyd. Na een periode bij Sequent, waar hij zich wereldwijd bezighield met de migratie van mainframes naar Unix binnen bedrijven, kwam Van der Heijden terecht bij EDS. Dankzij een partnerschap tussen EDS en het Israëlische Comsec op het gebied van biometrie voor het Ben Goerion-vliegveld in Tel Aviv, kwam Van der Heijden in contact met de security-dienstverlener. Sinds mei 2004 is hij managing director van Comsec in Nederland.
De groeikansen voor Comsec en zijn vakgenoten in beveiligingsadvies en -productverkoop zijn uitstekend, want de security-markt groeit nog steeds, meent Van der Heijden. ‘Er zijn nog weinig spelers die op dit gebied goed kunnen concurreren, dus er is ook nog geen marktwerking.’ Met name in de financiële sector en de telecomsector ziet de managing director momenteel kansen, maar op termijn wordt security in alle verticale markten belangrijk.
Naleven van beleid en wetten
‘De afgelopen twee jaar is men overgestapt van technologiegedreven, en dus reactieve, beveiligingsoplossingen naar het pro-actief maken van security-maatregelen binnen bedrijven,’ zegt Van der Heijden. ‘Met andere woorden: het ontwikkelen van een volledig security-beleid. Dat is onder meer een gevolg van de boekhoudschandalen en het terrorisme. Wetgevers reageren hierop, onder meer met de Sarbanes-Oxley (SOX)-wet en Basel II, waardoor directieleden persoonlijk verantwoordelijk worden voor de resultaten. Dat zorgt voor een gigantische groei. SOX heeft een weerslag op IT en IT-security en maakt security agendapunt nummer één in de directiekamers.’
Beveiligingsbeleid gaat verder dan alleen IT; ook de processen en de organisatie moeten beveiligd worden. Dat moet allemaal beheerd worden en enterprise security-management wordt daarom in de toekomst belangrijk, meent Van der Heijden. ‘Men moet beveiliging pro-actief beheren, vanuit een beleid en een risicoanalyse voor de cruciale bedrijfsgegevens en -systemen. Voor de verbinding van beleid en systemen is weliswaar technologie voorhanden, zoals boot sector encryptie en een token, maar het moet ook teruggerapporteerd worden naar het systeem, zodat de uitvoer van het beleid ook meetbaar wordt. Veel bedrijven zitten met dat vraagstuk, en daar liggen dus kansen voor security-specialisten die kennis hebben van policy compliance en policy management producten. Deze software vertaalt beleid naar systemen en maakt het meetbaar, zodat het ook gebruikt kan worden om de audit te ondersteunen of voor de naleving van wet- en regelgeving.’
Applicatiebeveiliging
Security wordt nóg problematischer nu bedrijfsnetwerken open staan voor klanten en partners, terwijl interne gebruikers en hackers een onverminderde dreiging vormen. Van der Heijden ziet de oplossing hiervoor in ‘role-based access control’, toegangscontrole op basis van de rol die iemand speelt binnen of buiten de organisatie. Deze rol is afhankelijk van bijvoorbeeld de functie, niet van de persoon die deze vervult. ‘Na fysieke beveiliging en beveiliging van de computernetwerken, die inmiddels goed afgesloten zijn voor onbevoegden, verplaatst het toegangspunt zich naar de applicatielaag,’ aldus Van der Heijden. ‘De applicatie is in feite de nieuwe grens van het netwerk. Men segmenteert wel, door de applicatieserver en de databaseserver ver van de webserver te plaatsen, maar het is de webserver die de toegangspoort vormt tot de applicaties, want die herbergt bijvoorbeeld de SQL-triggers.’
Onbetrouwbare apparatuur
De derde trend die de security-specialist waarneemt, is de beveiliging die komt kijken bij mobiel werken. Dat gebeurt via veel apparaten, zoals notebooks, PDA’s, mobiele telefoons en computers in internetcafés en thuis, waarover het bedrijf geen eigendomsrechten heeft. ‘Misschien moeten we die maar allemaal als untrusted devices beschouwen,’ zegt Van der Heijden. ‘Per definitie moet er op het moment van verbinding steeds weer vastgesteld worden welke rechten die computer op afstand heeft op basis van de policies. Dienstverleners zullen daarom producten en diensten leveren die dat controleren, ook wat betreft de gegevens die gebruikt, toegankelijk of aangeboden worden door het mobiele apparaat.’
Een echt betrouwbare omgeving is er volgens Van der Heijden één waarbij alle apparaten die toegang krijgen tot het netwerk thin clients zijn. Er kan ook op computers gesegmenteerd worden tussen een ‘thick’ client, waar men alles kan doen, en een ‘thin’ gedeelte, waarmee toegang tot het bedrijfsnetwerk mogelijk is. ‘VAR’s en system integrators moeten die toegang goed definiëren. Een andere mogelijkheid is om al het verkeer te laten verlopen via “filters” die via resellers als dienst aangeboden worden, zoals iPass of Fiberlink. Al met al is er nog voldoende te doen en te verdienen op beveiligingsgebied.’