‘Wie wil innoveren heeft niet genoeg aan traditionele security’

door Robbert Hoeffnagel | 

“Lange tijd konden we op het gebied van beveiliging volstaan met een aantal losse, technische maatregelen. Met de opkomst van trends als Bring Your Own Device en Big Data is het echter niet meer voldoende om ‘endpoint devices’ te beveiligen of met firewalls een beschermingswal op te trekken. Er is een andere aanpak nodig waarbij de risico’s die we in onze werkprocessen lopen snel en gemakkelijk in kaart gebracht kunnen worden en we de toegang tot de applicaties die deze werkprocessen ondersteunen zorgvuldig kunnen reguleren. Op deze manier kunnen we de business ondersteunen in hun wens voor snellere toegang tot nieuwe markten en diensten. Maar uiteindelijk gaat het vooral om de informatie zelf. En die versturen we in veel gevallen nog steeds zonder enige vorm van bescherming.”

Henk van der Heijden maakt zich grote zorgen over de manier waarop veel bedrijven en overheden hun beveiliging aanpakken. Maar tegelijkertijd is hij ook optimistisch. Want 2013 was een jaar waarin er op security-gebied heel veel is gebeurd en veel bedrijven zijn wakker geschud: zo kan het niet langer.

Henk van der Heijden van TecHarbor.

Van der Heijden is al jaren actief in de wereld van de IT-beveiliging. Hij werkte eerder onder andere bij EDS, Comsec en CA Technologies. Bij deze laatste aanbieder was hij als vice-president verantwoordelijk voor CA’s security-activiteiten in EMEA. Hij is bovendien goed ingevoerd in de Israëlische startup-wereld, dat toch min of meer bekend staat als bakermat voor security -oplossingen. Sinds kort is Van der Heijden actief via een nieuw bedrijf - TecHarbor genaamd - dat hij samen met drie partners is gestart. In dit bedrijf - dat Europese ambities heeft - komen drie aspecten samen: zijn visie op security, Israëlische startups en andere leveranciers van risicomanagement-oplossingen en zijn ambitie om niet zozeer security tools te leveren, maar bedrijven en overheden vooral te helpen hoe zij tot een weldoordachte security-aanpak kunnen komen.

Niet voldoende 

De security-wereld heeft een roerig jaar achter de rug. Er hebben zich tal van incidenten voorgedaan. Vele daarvan bevonden zich op het niveau van ‘script kiddies’ die DDoS-aanvallen uitvoeren. Maar daarnaast zien we ook meer en meer zeer geavanceerde aanvallen waarbij analisten steeds vaker het vermoeden hebben dat er ‘state sponsored hackers’ achter zitten. Maar ook de spreekwoordelijke Russische cybercrimineel die het internet afgraast op zoek naar mogelijkheden om private of zakelijke slachtoffers geld afhandig te maken, lijkt actiever dan ooit.

Klassieke security-firma’s reageren op deze ontwikkelingen door hun klanten aan te moedigen om nog meer technologie in te zetten. Slimmere firewalls, Advanced Persistent Threat- (APT) en intrusion detection-systemen of application delivery controllers zouden deze vloedgolf aan bedreigingen het hoofd kunnen bieden. Weer andere marktpartijen adviseren security maar zoveel mogelijk uit te besteden. Niet ten onrechte stellen deze firma’s vast dat interne IT-afdelingen simpelweg de mankracht niet hebben om een state of the art security-aanpak te implementeren en up to date te houden. Security as a Service doet daarmee opgeld, evenals het uitbesteden van complete applicaties, zodat specialisten het beheren en afschermen hiervan over kunnen nemen.

Het zijn allemaal goede en nuttige adviezen, meent Van der Heijden, maar het is niet voldoende. Of beter gezegd: men benadert het probleem vanaf de verkeerde kant. “Het probleem waar steeds meer organisaties tegenaan lopen, is dat zij voor een security-aanpak hebben gekozen die in feite bestaat uit een verzameling losse maatregelen. Er zit onvoldoende samenhang in. Men heeft weliswaar vaak een afdeling opgezet waar men zich bezig houdt met risk management, maar daar kijkt men vooral naar procedures. Daarnaast heeft men een aantal technische tools aangeschaft. Maar wat ik eigenlijk maar zelden tegenkom is een aanpak waarbij men risk management en bijvoorbeeld identity en access management met elkaar in verband brengt. Of waar men heel nadrukkelijk de gegevens waarmee men geld verdient centraal plaatst.”

Dit gebrek aan samenhang, meent Van der Heijden, vindt zijn oorsprong in het feit dat de security-industrie nog altijd sterk gericht is op het ontwikkelen van technische tools. “Natuurlijk zijn die belangrijk, maar het security-probleem kent zoveel facetten dat er niet één tool is waarmee we alles kunnen oplossen. Het is dus aan ieder individueel bedrijf om zelf een aanpak te kiezen die past bij de eigen situatie en daar de bijbehorende tools bij te kiezen. Daarmee draaien we de zaak echter om, denken wij.”

Risico’s in kaart brengen

Want waar gaat het nu in essentie om bij security? Waarom investeert een bedrijf in dit soort tools en maatregelen? “In feite gaat het er om dat ieder bedrijf inzicht wil hebben in de risico’s die men loopt. Wat gebeurt er als onbevoegden toegang tot onze netwerken of applicaties krijgen? Verliezen we dan geld? Lopen we orders mis? Kan iemand dan in ons ERP-systeem allerlei gegevens zien of zelfs veranderen? Brengen we onze klanten en toeleveranciers dan in problemen? We kunnen wel honderd van dit soort vragen bedenken, maar de rode draad is iedere keer: welke risico’s lopen wij als organisatie als onbevoegden toegang tot onze kennis en gegevens krijgen? En welke risico’s zijn we bereid te lopen?”

“We hebben een methode nodig waarmee we op een zoveel mogelijk geautomatiseerde wijze inzicht krijgen in de risico’s die we als organisatie lopen. Nu hebben veel bedrijven al veel geld geïnvesteerd in point solutions die voor hele specifieke technische onderwerpen de risico’s in kaart brengen. Maar die tools kunnen niet met elkaar samenwerken. De gegevens die zij voortbrengen moeten dus met de hand samengevoegd en geanalyseerd worden zodat een - zeg maar - business-inzicht in de risico’s kan worden gegeven. De hoeveelheid data die security tools voortbrengen is echter zo groot dat dit ondoenlijk is.”

“TecHarbor kiest een andere aanpak. Wij werken samen met een Israëlisch bedrijf - WCK genaamd - dat een framework heeft ontwikkeld dat al dit soort data verzamelt en relateert aan de werkprocessen van de organisatie. De ‘engine' die WCK hiervoor heeft ontwikkeld, is zeer intelligent en is niet alleen in staat al die gegevens te verzamelen, maar kan hier ook een impact op de werkprocessen aan koppelen. Dit resultaat wordt grafisch weergegeven, terwijl ook workflows beschikbaar zijn die structuur brengen in de maatregelen die genomen moeten worden om het risico dat een organisatie bij een bepaald werkproces loopt terug te brengen tot het gewenste of geëiste niveau.”

Technische tools

Om de door WCK in beeld gebrachte risico’s op een acceptabel niveau te brengen, zullen in veel gevallen technische maatregelen nodig zijn. “Wij gebruiken hiervoor een technisch framework dat vier gebieden afdekt: monitoring & compliance, identity management, access management en gegevensbescherming. Daarmee kunnen we antwoord geven op vier vragen: wanneer lopen we een risico, om welke gegevens gaat het, wie heeft toegang tot die data en waar heeft men toegang?”

Deze vier vraagstukken pakt TecHarbor aan met technische oplossingen. Monitoring & compliance gebeurt met het framework van WCK, voor identity management en access management maakt men gebruik van NetIQ, een bekende aanbieder van software voor dit doel, en voor dataprotectie heeft men gekozen voor de toolset van Convertix.

Deze laatste firma - een Israëlische startup - heeft software ontwikkeld waarmee ieder willekeurig type bestand kan worden beschermd. Die bescherming geldt zowel binnen als buiten de eigen organisatie. De SmartCypher geheten software maakt het mogelijk een bestand te beschermen, de toegangs- en gebruiksrechten te beheren en het gebruik van de file te monitoren. Data kan hiermee dus niet alleen beschermd worden als het binnen de firewall door eigen medewerkers wordt gebruikt of desnoods is gearchiveerd, maar ook als het verstuurd wordt naar een persoon of een applicatie bij een klant of een toeleverancier.

Security-situatie

“Moderne security dient in onze visie volledig afgestemd te zijn op de risico’s die een bedrijf of overheidsorganisatie acceptabel of wenselijk vindt. Daar kan men zelf keuzes in maken, maar heel belangrijk is natuurlijk dat men continu een beeld heeft van de feitelijke risico’s die men loopt. Die risico’s kunnen wij op een grafische manier - met dashboards - voor een bedrijf in beeld brengen. Die risico’s hebben betrekking op de gevolgen - financieel of bijvoorbeeld voor de reputatie - die het zou hebben als onbevoegden toegang hebben tot gegevens of applicaties. Wie toegang heeft tot bepaalde gegevens of applicaties en vanaf welke locatie kunnen wij zeer fijnmazig regelen via onze identity en access management-aanpak. Maar ook als iemand gerechtigd is om met bepaalde gegevens te werken, willen we nog steeds dat die data veilig is. Ook wanneer deze data buiten de eigen organisatie terecht komt.”

Van der Heijden is er van overtuigd dat dit een aanpak is die past bij de security-situatie waar veel bedrijven en overheidsorganisaties vandaag de dag mee geconfronteerd worden. “Natuurlijk zijn firewalls en antivirus-oplossingen van cruciaal belang. Maar een organisatie die werkelijk grip wil hebben op de risico’s die men loopt, zal meer moeten doen. Dan zal een op risicomanagement gebaseerde aanpak centraal moeten staan.”