Het is geen geheim dat organisaties vandaag de dag meer geld dan ooit uitgeven aan security. Desondanks worden deze uitgaven alsnog overtroffen door het verlies dat organisaties lijden als er een security-incident plaats heeft gevonden.
Bedrijfsmodellen zijn onderhevig aan constante verandering, mensen en apparaten worden steeds meer verbonden en organisaties bevinden zich op het snijvlak van zowel een fysieke als digitale wereld. Om competitief te blijven moeten veel bedrijven hun grenzen verleggen met nieuwe technologieën, van IoT en machine learning tot en met kunstmatige intelligentie. Dit creëert een meer complexe en uitgebreide omgeving dan ooit tevoren die meer potentiële kwetsbaarheden met zich meebrengt en waarin veel bedrijven niet precies weten wat ze aanmoeten met de beveiliging daarvan.
Welke aanpak past het beste bij deze nieuwe ontwikkelingen en hoe waarborgen organisaties de veiligheid en compliancy van data terwijl ze innovatie blijven stimuleren? Hieronder mijn drie observaties die belangrijk zijn bij het bepalen van de juiste aanpak.
1. Er is geen definieerbare perimeter meer
Security heeft zich van oudsher toegelegd op het beveiligen van de perimeter – dat wil zeggen alles tussen de slotgracht van het kasteel en het slot op de voordeur of, in de moderne wereld, CCTV en firewalls. De digitale transformatie binnen bedrijven heeft echter gezorgd voor een veel dynamischer omgeving met mobiele werknemers die zich niet meer op één plek bevinden en die ook nog eens gebruik maken van een veelheid aan verschillende apparaten. In deze context vraag ik me af: is er in deze omgeving nog wel een equivalent van de slotgracht te vinden? Wat moeten organisaties precies beschermen in deze dynamische, nieuwe wereld?
Mijn conclusie is dat de traditionele aanpak van security binnenstebuiten gekeerd moet worden. Van netwerkbeveiliging die draait om de perimeter kan niet worden verwacht dat deze de steeds verschuivende voetafdruk van applicaties en gebruikers kan beschermen. Zeker in situaties waarbij je de perimeter – als die er al is – niet duidelijk kunt definiëren. Het basale concept van IT security moet dus worden herzien, waarbij het een intrinsieke kwaliteit van de infrastructuur moet zijn in plaats van een element aan de rand van het netwerk. Organisaties kunnen dit bereiken door gebruik te maken van gemeenschappelijke software-lagen, zoals de hypervisor voor de applicatie-infrastructuur en een enterprise mobility management-platform voor endpoints en identiteiten van gebruikers. Door security op dat niveau in te zetten raakt het per definitie alle elementen van de infrastructuur – applicaties, data, gebruikers, apparaten, storage, het netwerk – en biedt het overal bescherming terwijl het inzicht geeft in de interactie tussen gebruikers en applicaties. Zo kunnen security-maatregelen en applicatie-policies beter op elkaar worden afgestemd. Dit is precies waar kwetsbaarheden zich vandaag de dag bevinden en in de moderne wereld van mobiele, gedistribueerde IT, is dit wat bescherming nodig heeft.
2. Het risico op versnipperd IT ownership is groter dan ooit tevoren
Behalve de externe perimeter, verandert ook de interne perimeter van organisaties als het gaat om het ownership van IT en security. Cloud computing geeft gebruikers vanuit de gehele organisatie directe en razendsnelle toegang tot data, applicaties en diensten, wanneer zij het willen en ongeacht waar ze zich bevinden of de apparaten die ze gebruiken.
Naarmate afdelingen en werknemers steeds meer ownership nemen (en krijgen) over de technologie die zij inzetten voor hun werkzaamheden, wordt het steeds lastiger om overzicht te houden op de IT die binnen organisaties gebruikt wordt. Daardoor kunnen bedrijven gemakkelijk de controle verliezen. Eerder onderzoek dat wij gedaan hebben naar de decentralisatie van IT laat zien dat 52 procent van de IT- en zakelijk leiders in Nederland gelooft dat het leidt tot een gebrek aan duidelijke ownership en verantwoordelijkheid voor IT. De beweging die gaande is tussen de traditionele silo’s van IT en de business zorgt voor een verschuiving van rollen en verantwoordelijkheden, maar dit mag niet resulteren in een gebrek aan duidelijkheid over wie verantwoordelijk is voor security en compliancy. IT moet in staat gesteld worden deze operationele ownership te beheren en tegelijkertijd de flexibiliteit te bieden aan de organisatie om innovatie te stimuleren. Dit vraagt om een uniform platform waarmee bedrijven applicaties kunnen draaien, beheren, verbinden en beveiligen over verschillende apparaten – en clouds – en van waaruit IT het in één oogopslag kan beheren.
3. De IT van morgen ziet er anders uit dan de IT van vandaag
De manier waarop we IT ontwikkelen, beheren en consumeren verandert constant. Dus hoe weet je dan hoe het IT-landschap er morgen uit zal zien, laat staan hoe je het moet beveiligen?
De dagen van voorspelbaarheid zijn voorbij – agility, flexibiliteit en schaalbaarheid zijn vereisten om de IT binnen een moderne organisatie te beheren en beveiligen. Als bedrijven security niet met de snelheid van de business kunnen implementeren, wordt security een remmende factor op innovatie en vooruitgang in plaats van een versnellende.
Dit ‘toekomstklaar’ maken van security vraagt om een andere manier van denken. Traditioneel gezien gaat security om het zoeken naar ‘het slechte’, waarbij het de gehele infrastructuur continu in de gaten houdt op malware en op security-incidenten in het algemeen. Het probleem van deze aanpak zit hem erin dat het er vanuit gaat dat het weet hoe ‘slecht’ eruit ziet, in een wereld waar opkomende dreigingen vaak zero day-aanvallen zijn die nog niet eerder zijn gezien. Het komt dan niet als een verrassing dat de effectiviteit van security afneemt.
De veranderende aard van het dreigingslandschap, gecombineerd met het versnelde tempo en de toegenomen complexiteit van de business vraagt duidelijk om een andere oplossing. Eén die minder uitgaat van het jagen op ‘het slechte’ en juist meer van wat het kent als zijnde ‘goed’. Als dit bekend is kan elke afwijking van ‘goed’ gedrag worden geflagd en daarop concreet actie worden ondernomen. Contextuele intelligentie en automatisering wordt daarin steeds belangrijker, omdat dit het giswerk wegneemt bij het bepalen van welke veranderingen legitiem zijn en welke echte bedreigingen zijn. Het is de enige manier waarop security het tempo van de business kan bijbenen en waarop een ‘security everywhere’-strategie kan worden toegepast.
Vooruit kijken
Deze observaties en ontwikkelingen onderstrepen allen de behoefte om een gemeenschappelijke bron van waarheid te realiseren tussen een security-oplossing en de omgeving die bescherming nodig heeft. De omgeving zal zich verder blijven ontwikkelen – innovatie en transformatie zullen alleen maar versnellen en nog radicaler worden. Maar met deze ‘waarheid’ – die voortkomt uit meer zichtbaarheid en een beter begrip van de context – zullen bedrijven beter in staat zijn de steeds meer versnipperde en complexe IT van hun organisatie te begrijpen en bescherming te bieden met de snelheid die nodig is om competitief te blijven en de prestaties te laten toenemen.
Dit is een ingezonden bijdrage van Jeremy van Doorn, Director pre-sales EMEA Network & Security Division bij VMware. Via deze link vind je meer informatie over de security-mogelijkheden van het bedrijf.
17 uur geleden
