Toekomst van de Toegang

De inspanningen die organisaties leveren om hun informatie en informatievoorzieningen te beveiligen nemen ieder jaar toe. De kosten stijgen terwijl het er op lijkt dat de boel er vooral minder veilig op wordt- dagelijks zijn er berichten in de pers over datalekken en cybercriminelen. Ook specialisten stellen openlijk dat de criminelen aan de winnende hand zijn. De trend heeft een omineuze richting.

Is de groei van de bedreigingen zodanig dat er nog meer geïnvesteerd moet worden en waar houdt het op? Of is al dat geld weggegooid? Wat is de Toekomst van de Toegangs?

Het antwoord is, zoals te verwachten viel, genuanceerd. Aan de ene kant neemt het aantal bedreigingen daadwerkelijk toe, of om nauwkeuriger te zijn, door de snellere verbindingen en het gebruik van meer technologie door organisaties kunnen méér aanvallers op méér manieren aanvallen. Aan de andere kant loopt beveiliging stelselmatig achter de feiten aan, waardoor zeker een deel van de inspanningen niet rendeert en met enige regelmaat een kostbare inhaalslag gemaakt moet worden. Er is dus ruimte voor verbetering en doelmatigheidswinst: de beveiligingsinspanning zal sneller moeten reageren op nieuwe situaties en daarbij meer toekomstgericht en proactief moeten zijn.

Aanval wint innovatieslag

Om de benodigde verandering te kunnen doorvoeren is het noodzakelijk de oorzaken te onderkennen. Een belangrijke oorzaak is dat de uitbreiding van menselijke capaciteit in informatiebeveiliging nog recent is, met als gevolg dat het kennis- en ervaringsniveau daardoor lager ligt dan wenselijk is. Bedenk hierbij dat voor het verdedigen veel meer kennis nodig is dan voor aanvallen. Het ervaringsgebrek is natuurlijk van voorbijgaande aard, maar de kennisuitdaging blijft. Dit is niet de enige oorzaak. De aard van de werkzaamheden heeft namelijk ook een weerslag op de mensen die er op af komen. Terwijl aanvallers innoveren, zijn de beveiligers aan het conserveren. Aanvallers zijn dus pragmatisch en ad hoc bezig, terwijl verdedigers bovenal gestructureerd en zelfs dogmatisch zullen zijn. Aanvallers zullen eerder innoveren dan verdedigers.

De aanvaller heeft het voordeel van het initiatief, de verdediger moet gestructureerd werken en moet alle fronten afdekken. Beveiliging trekt dan ook eerder mensen met een conservatieve inslag en mensen die van orde en netheid houden. De agenda van beveiliging wordt, naast Best Practice kaders, verder gedomineerd door beveiligingsincidenten in de eigen organisatie. Dit is een volledig reactieve aanpak, begrijpelijk maar onvoorspelbaar in kosten en resultaten; het enige dat zeker is, is dat de beveiliging achter de feiten zal blijven aanlopen. Omdat incidenten bij andere organisaties zelden besproken worden, en als ze besproken worden niet geprojecteerd worden op de eigen omgeving (bij wijze van oefening) zullen de meeste organisaties zich alleen kunnen organiseren tegen aanvallen die het proces doorlopen hebben waarmee ze in de Best Practices terecht komen. Afhankelijk van welke Best Practices gekozen worden als leidraad, leidt dit tot een achterstand van enkele maanden tot meerdere jaren. Met de huidige werkwijze kunnen wij ons beveiligen tegen aanvallen van vijf jaar geleden. Of langer.

De geschiedenis van informatiebeveiliging versterkt deze conservatieve cultuur. Tot niet zo lang geleden was beveiliging primair een zaak van het netwerk omdat aanvallen conform het beveiligingsdenken daar tegengehouden moesten worden. Daardoor heeft een overheersend deel van ervaren krachten in informatiebeveiliging een achtergrond in netwerken. De aanvallen zijn, mede door de maturiteit van beveiliging op netwerken, verplaatst naar de applicatielaag. Beveiliging heeft nog wel de erfenis- netwerken bevatten standaardcomponenten en innovatie is nieuwe spullen kopen; specialisten op netwerkgebied zijn beheerders. En die nieuwe spullen moeten dan wel diegene zijn die zich elders al bewezen hebben. Deze cultuur zie je ook in de beveiligingswereld optreden: “we gaan beveiligen, maar dan wel met bewezen technologie”. Als er bewezen technologie bestaat is dat een goede overweging, maar met tal van nieuwe soorten bedreigingen een contraproductieve houding. Als er geen bewezen oplossing voor een probleem bestaat, is de keuze tussen een onbewezen oplossing en géén oplossing de realiteit. En maar al te vaak wordt het het laatste.

Proactieve Protectie

Om dit te veranderen en naar een proactieve en wellicht zelfs innovatieve inzet te komen, moeten beveiligers de blik naar het heden en af en toe zelfs naar de toekomst richten. In dit document bekijken we het heden en verleden met een kritische blik en kijken naar de lopende ontwikkeling en trends, bij wijze van blik in de toekomst. Daarbij doen we voorspellingen, primair om de gedachten te scherpen en het debat te stimuleren.

Hoe organisaties Security bedrijven ingericht hebben zal de komende jaren ingrijpend veranderen en dat moet over de gehele linie van beleid tot uitvoering en technologie. De logheid, de bestuurlijke insteek, de verkokering, het structurele MAG-NIET en de ‘Centre of the Universe’ benadering zijn niet langer vol te houden. Als beveiliging blijft grossieren in afwachten en problemen en niet komt met oplossingen en uitvoerende flexibiliteit, dan is het einde van het vakgebied nabij. De traditionele beveiliger, met een achtergrond in beheer, netwerken of service management, zal samen moeten werken met innovatieve ontwikkelaars en nog lang niet bewezen oplossingen. De werkelijkheid van informatiebeveiliging verandert te snel voor een verkokerde benadering: Security Management staat voor de zware opgave de balans te zoeken, creëren en onderhouden tussen de botsende krachten van behoud en innovatie. Want beide invalshoeken zijn onmisbaar.

Lees meer over een toekomstbestendig beveiligingsapparaat in de volledige publicatie. Vul dit contactformulier in onder vermelding van de Toekomst van Toegang en wij sturen u de digitale editie van het boek.