image

McAfee: security niet alleen IT-probleem (interview)

zaterdag 22 december 2012, 20:09 door Redactie, 3 reacties

Aangezien niet alles meer optimaal te beveiligen is, moeten bedrijven de aandacht richten op de data die echt belangrijk voor ze is. En het in kaart brengen van deze gegevens is niet alleen de taak van IT-afdeling. Dat zegt Wim van Campen, vicepresident Noord-Europa, van beveiligingsbedrijf McAfee tegenover Security.nl. "Je kunt verschillende beveiligingsniveaus hanteren", merkt hij op.

Van Campen wijst naar telebankieren, waarbij het controleren van een saldo minder beveiligd is dan het doen van transacties. En ook bij transacties zijn er verschillende niveaus. Zo zal het overmaken van een groot bedrag naar een buitenlandse rekening extra authenticatie vereisen.

Het gaat volgens de beveiliger allemaal om de 'kroonjuwelen' en het minimaliseren van de kans dat die risico lopen. "Dat heeft vaak als gevolg dat het gebruikersgemak hier iets onder leidt." Voor minder belangrijke gegevens zou er ook minder beveiliging kunnen worden toegepast.

Basisniveau
Het is echter wel belangrijk dat er een basisniveau is. Dus gepatchte computers, sterke wachtwoorden en werknemers die weten dat ze niet zomaar op bestanden en bijlagen moeten klikken. "Dat basale niveau geldt door de hele organisatie heen." Daarnaast is er nog informatie die zwaardere beveiliging vereist.

"Wat er echter nu gebeurt is dat gegevens lekken, bijvoorbeeld als je je op een website registreert. Dat is op geen enkele manier goed te praten." Nu zijn klantgegevens op lekke websites eenvoudig voor een aanvaller te stelen. Voor belangrijkere gegevens die meer waarde vertegenwoordigen, wordt meer moeite gedaan. "En daar is aanvullende beveiliging voor nodig."

Probleem
Security wordt volgens Van Campen vaak als alleen een probleem van de IT-afdeling gezien, maar het is slechts deels een IT-probleem. "IT kan tools aanleveren om voor de beveiliging te zorgen. Maar de intelligentie over wat cruciaal voor een organisatie is, de kroonjuwelen, is iets wat de 'business owners' kunnen bepalen." Door die informatie in kaart te brengen, wordt het ook duidelijk waar extra bescherming nodig is, gaat de Nederlander verder.

"We zien het niet als een technologieprobleem. Technologie is maar een oplossing om security controle te implementeren, uiteindelijk zijn het processen en mensen waar het het meeste om gaat."

Uit onderzoek van McAfee bleek dat mensen buiten de IT-afdeling, zich nauwelijks bewust zijn van de risico's van informatiebeveiliging. Het gaat dan zowel om bestuurders als werknemers. "Het bewustzijn is over de hele linie laag", merkt Van Campen op. Het zijn echter de managers en top van bedrijven die beslissingen kunnen nemen die ervoor zorgen dat informatie beter beveiligd wordt en het bewustzijn binnen de organisatie groeit.

Plan
Om de beveiliging binnen hun organisatie aan te scherpen zouden security professionals een business gericht plan moeten ontwikkelen, stelt Van Campen. "Nu worden er vaak verzoeken neergelegd, zonder dat die goed onderbouwt zijn. Als bestuurder van een bedrijf is het heel lastig om daar goedkeuring voor te geven."

Security professionals moeten dan ook leren om op business niveau de discussie te voeren, gaat Van Campen verder. "IT'ers moeten met de business owners praten over waar de cruciale informatie zich bevindt." Dat zorgt niet alleen voor meer inzicht, maar vergroot ook de acceptatie en betrokkenheid van de bestuurders.

Vervolgens moet men een plan opstellen hoe deze informatie beter te beveiligen is en tegen welke risico's. "Het gaat er niet om dat je alles met alle middelen gaat beveiligen, dat is volgens ons niet haalbaar, maar dat je een stappenplan maakt wat belangrijk is."

Reacties (3)
23-12-2012, 10:09 door Anoniem
Ach, "de IT" (of liever, degenen die de aankoopkeuzes gemaakt hebben en zich lieten leiden door mooie beloftes maar nooit naar beveiliging hebben gekeken, en de leverende fabrikanten op grote schaal) hebben niet tijdig voor voldoende fundering gezorgd.

Neemt niet weg dat informatiebeveiliging inderdaad iets van een apart vak is. Maar waarom daar over zeuren als je nog altijd van een systeem gebruikt maakt waar een complete oplap-cottage-industrie omheen ontstaan is? Kan het niet professioneler?
23-12-2012, 11:35 door Anoniem
Ik denk dat hij voorbij gaat aan het feit dat "de IT afdeling" tegenwoordig ook niet meer kan overzien wat de consequenties zijn van hippe voorstellen die de gebruikers doen of zelfs beslissingen die ze al genomen hebben.
Door het toegankelijker maken van allerlei systemen is er een downgrade gemaakt van de kwaliteit van personeel wat een IT afdeling kan bezetten. Waar je vroeger materiekennis nodig had voldoet tegenwoordig feitjeskennis en kennis van standaard handelingen (wat je zo treffend ziet in allerlei certificeringen).
Het gevolg is dat er allerlei standaard software met standaard instellingen in gebruik is, en als daar dan lekken in zitten dan worden die met standaard scripts door standaard hackers (scriptkiddies) gekraakt en de informatie gelekt.
De "IT afdeling" wordt zich van het hele probleem pas bewust als het opgetreden is, en niet dat ze dan inzien wat er fout was, maar ze gaan gewoon de symptomen bestrijden. Dus de vraag is of de kwaliteit daarmee beter wordt.
25-12-2012, 10:53 door Anoniem
Volgens mij leert een blik in de ISO 27002 uit 2005 ons al jaren dat security niet sec een IT probleem is, denk bijvoorbeeld alleen al aan fysieke beveiliging en social engineering? Volgens mij is daar geen interview met McAfee voor nodig..
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.