ICT Zine

“Een ICT-project zonder gedegen security is als een huis zonder fundament waarin deuren en ramen ontbreken”, zegt Mohamed Al Ayachi, Line of Business Manager Network Integration & Security bij Dimension Data. Hij pleit ervoor security een integraal onderdeel te maken van ICT-projecten. Volledig inzicht in bestaande situatie, wensen, eisen en omgevingsfactoren van opdrachtgever zijn hiervoor essentieel.

“De ICT-revolutie, zit in een stroomversnelling”, zegt security-expert Mohamed Al Ayachi van Dimension Data. “Bedrijven zijn zo druk bezig om achter de nieuwe ICT-feiten aan te lopen, dat ze vergeten om van security een integraal onderdeel te maken van het beleid en de ICT-besluitvormingstrajecten. Dat gebrek aan focus kan bedrijven duur komen te staan. Pas als een bedrijf te maken krijgt met dataverlies en -diefstal, compliancy-boetes, fraude, downtime en imagoschade, is het een issue in de bestuurskamer.”

Al Ayachi is Line of Business Manager Network Integration & Security bij Dimension Data

Trends
Al Ayachi onderscheidt op dit moment drie grote trends in de ICT: de cloud, mobility en big data. Alle drie brengen ze voor bedrijven grote uitdagingen met zich mee. De cloud is een klikobegrip voor het consolideren van data, diensten en applicaties in private of publieke clouds. Bedrijven zien de meerwaarde in de schaalbaarheid van cloud, omdat het de recovery van bedrijfskritische data en applicaties eenvoudiger maakt. Die zijn namelijk tijd- en plaatsonafhankelijk te benaderen. Maar hoe zit het met beveiliging van data in de cloud? De tweede trend, mobility, betreft het ontsluiten van diensten voor fysieke, niet-draadgebonden devices. Het aantal apparaten zal tussen nu en 2015 verdrievoudigen; het aantal gebruikers van mobiele apparaten zal tot 2015 verdubbelen. Hoe zorgen we ervoor dat we controle behouden over een diversiteit van devices, identiteiten, netwerken, systemen en applicaties? De derde trend is het gevolg van mobility: big data. Alle devices en apps genereren data. Dit leidt tot een lawine van gegevens. De hoeveelheid data zal de komende twee jaar verzesvoudigen. Hoe kunnen we de bulk data veilig opslaan, beheren en gebruiken?

Positief
Al Ayachi ziet de nabije toekomst positief tegemoet. “Bedrijven hebben als gevolg van deze trends te maken met forse uitdagingen, zeker op het gebied van security. Maar in plaats daarvan kijk ik liever naar de kansen die ze bieden: nieuwe businessmodellen, efficiency, productiviteit, concurrentievoordeel en klanttevredenheid.”

Netwerk als het Platform
De basis voor alles in de ICT en dus ook voor deze drie trends is het netwerk. Dit moet stabiel, flexibel en betrouwbaar zijn. En wil je de controle behouden over je volledige infrastructuur, dan zijn inzicht over de volle breedte, bewustwording en een integrale aanpak essentieel. Al Ayachi: “Security staat nooit op zichzelf, het is een integraal onderdeel van het complete ICT-systeem. De vraag naar beschikbaarheid raakt direct security. Het is niet meer verantwoord om een technische oplossing te implementeren bij bedrijven zonder het expliciete doel of de context helder te hebben. Een ICT-oplossing is niet compleet zonder aan security te denken. Je bouwt immers ook geen huis zonder fundering en vergeet vervolgens deuren en ramen mee te nemen. Het is zaak om op de risico´s te wijzen en net zo lang door te vragen tot het nut van de ramen en deuren aan bod komt. Die zouden moeten voldoen aan de normen om een politiekeurmerk te krijgen. Alleen het beste is goed genoeg. Het moet niet moeilijk zijn om bedrijven hiervan te overtuigen. Het gaat immers om hun bedrijfskapitaal: bedrijfskritische data en uiteindelijk het imago.”

Overzicht en inzicht
Een belangrijke pijler binnen security is volgens Al Ayachi visibility. “Het is cruciaal om een veilig en identiteitsbewust netwerk te implementeren bij bedrijven. Je wilt overzicht en inzicht. Op hardware- en softwarevlak betekent dit dat je in kaart brengt via assessments wat de huidige situatie is bij een bedrijf en zijn informatie en event managementsystemen. Vaak is een systeem door de jaren heen tot stand gekomen en daarmee een lappendeken van servers, switches, routers, firewalls en intrusion detection-systemen. Voor al deze individuele systemen dienen het informatiemanagement en de bijbehorende rapportages onder controle te worden gebracht. Hiermee wordt het nodige inzicht verschaft. Daarnaast wil je weten welke medewerkers toegang hebben tot het netwerk, en wanneer, en waarom ze erop zitten? Je moet als security-expert inzicht hebben over wat er gebeurt tussen gebruiker en server. Waar liggen de risico’s, welke data of systemen zijn bedrijfskritisch en welke niet? Het heeft geen zin om veel geld uit te geven aan een firewall-, antivirus- en anti-spamoplossing als je niet weet wat je moet beschermen. Je wilt alle risico’s minimaliseren met security, maar je kunt niet beveiligen wat je niet ziet en weet.”

Inventarisatie ten behoeve van integrale aanpak
Met het verschafte inzicht kan het volgens Al Ayachi heel goed zijn dat de opdrachtgever iets anders nodig heeft dan waarom hij heeft gevraagd. “Als adviseur moet je dat durven benoemen. Veel ICT-bedrijven gaan uit van de techniek. Vertrouw geen leverancier die zonder gedegen inventarisatie met technische maatregelen komt. Een optimale en integrale security-oplossing kun je alleen implementeren als je weet wat je kwetsbaarheden zijn, de risico’s en de impact op je business-doelstellingen kent. Dit heeft alles te maken met de tijd nemen voor je klant en samen met hem op zoek gaan naar de kernbehoefte. Met zo’n gedegen onderbouwing kun je ook aantonen wat de effecten zijn op de bedrijfsvoering, de omzet en de beveiliging. Je kunt hiermee concluderen dat het inventarisatietraject bestaande uit het in kaart brengen van de wensen, eisen en omgevingsfactoren van de opdrachtgever het belangrijkste deel is geworden van een ICT-project.”