Er zijn resellers die zich nog steeds volledig richten op de traditionele manier van informatiebeveiliging. Een paar firewalls, virusprotectie... Fout! Klanten wordt in dat geval de schijnveiligheid van een fort met slotgracht verkocht. Schijnveiligheid, want er zijn nog steeds mensen die over de ophaalbrug in en uit kunnen lopen.
Het is al beter om klanten te voorzien van end-point beveiliging, gericht op pc's, servers, laptops... Dat maakt een organisatie flexibeler en werkbaarder, omdat de beveiliging zich alleen richt op entiteiten waar informatie aan de organisatie onttrokken kan worden. De meest ultieme oplossing op dat gebied is natuurlijk een Identity & Access Management oplossing, zoals van Novell, Microsoft of Oracle. Maar er zijn ook wel goedkopere oplossingen te vinden, zoals encryptie op end-point niveau van SafeBoot. Of een oplossing op het gebied van Digital Rights Management, bijvoorbeeld van Microsoft of Liquid Machines.
Maar zelfs de meest geavanceerde end-point beveiligingsoplossing geeft klanten nog geen 100 procent zekerheidsgarantie voor échte veiligheid van hun organisatie. Uiteindelijk zijn het mensen die met de systemen werken. Met bijvoorbeeld usb-sticks kunnen werknemers gemakkelijk informatie aan een netwerk te onttrekken, en beveiligingsregels worden genegeerd als hen dat even niet uitkomt.
Je kunt je als reseller natuurlijk hierbij neerleggen en klanten gewoon vertellen dat échte veiligheid een utopie is. Je kunt er ook voor zorgen dat zij grip krijgen op de hiaten in de beveiliging, waardoor voor hen alsnog een veilige situatie ontstaat.
Echte veiligheid creëer je mijn inziens door beveiliging aan te brengen op informatieniveau. De uitdaging is om via een organisatieonderzoek zicht te krijgen op waar vertrouwelijke informatie in een organisatie zich bevindt. Vervolgens kan een oplossing voor Data Leakage Prevention (DLP) ervoor zorgen dat agents loggen wat door wie met die specifieke informatie wordt gedaan. Gebeuren er rare dingen met die informatie, dan kun je in ieder geval meteen actie ondernemen.
Voor de finishing touch moet je gebruikers in een organisatie een beetje masseren. Ook daarvoor zijn softwarematige oplossingen voor handen, die ontoelaatbare handelingen niet direct bestraffen, want dat werkt niet, maar die hen wel subtiel aanspreken op onwenselijk gedrag.
Frank Bertram
Directeur onderzoek- en consultancyorganisatie MDES HotColdFrozenData
