Vijf mythes over IT-security

  1. 7 jul 2015
  2. 0 reacties
Kaspersky_Martijn van Lom_uitsnede

Goede, complete IT-beveiliging heeft een slechte reputatie. Veel organisaties zien het als een moeilijke en dure operatie. Zij vrezen dat implementatie maar zelden meerwaarde biedt voor hun huidige opstelling - hoe ineffectief die ook is. Onterechte zorg en vrees, veroorzaakt door deze vijf mythes. Hoe ga je daar mee om?

Mythe 1: verandering kost alleen maar geld

De eerste mythe over IT-security is een wijdverbreide. De gedachte dat elke verandering geld kost is in de basis correct, maar het is niet zo dat het per definitie méér kost. In sommige gevallen kunnen de totale kosten juist lager uitvallen. Bijvoorbeeld dankzij goedkoper beheer, wat zich vertaalt in lagere total cost of ownership (TCO). Of dankzij efficiënter opereren waardoor de investering zich snel terugverdient, ofwel hoge return on investment (ROI).

Daar staat tegenover dat niet alle securitytechnieken even effectief zijn in het tegenhouden van aanvallen. Net zomin als ze niet allemaal even effectief zijn in het inperken van cyberinbraken wanneer die zijn ontdekt. Zo blijkt de Duitse Bondsdag niet alleen vergaand gehackt, maar ook minstens een maand daarna nog gecompromitteerd. De heilzame werking van verschillende beveiligingsoplossingen kan nogal uiteenlopen. Daarom vragen wij bedrijven of zij in hun afgelopen security-jaarverslag 0 incidenten hadden. Meestal is het antwoord: nee. Overigens hoeft een incident niet altijd een geslaagde inbraak of andere grote ramp te zijn; een kleine securitykwestie is ook een incident.

Toch kan - en moet - het antwoord ondanks toenemende dreigingen ‘ja’ zijn. Toegegeven, niet iedereen kan ondoordringbare security bereiken, maar we moeten er wel naar blijven streven. De business case moet daarbij centraal staan. Wat kost een nieuwe security-oplossing én wat wordt ermee verdiend (of bespaard)? Die businesswaarde staat dan tegenover de waarde van het behouden van de huidige opstelling. Is de investering in geld en tijd het waard om een cyberincident te voorkomen? Veel bedrijven stellen zichzelf deze cruciale vraag niet.

Mythe 2: overstap geeft downtime en risico

Een organisatie die besluit dat een overstap het waard is voor de business beseft dat zelfs de kleinste blootstelling aan cybergevaren funest kan zijn. Ook bij minimale exposure dreigt het gevaar van een cyberaanval waardoor financiële informatie of intellectueel eigendom kan worden gestolen. De misvatting die veel mensen maken, is dat zo’n kleine opening onvermijdelijk is bij een overstap naar andere securitytechnologie.

Het mythische moment van de overstap - wat immers nooit een abrupte omschakeling is - bestaat niet. Wat wel bestaat, is de reeks meerdere kwetsbare momenten die er elke dag zijn als je ondermaatse bescherming hebt. De kunst is de implementatie van je nieuwe security goed te organiseren en uit te voeren. Een rip-and-replace operatie kan chirurgisch verlopen; zonder dat ‘de patiënt’ op enig moment risico loopt. Security hoeft dan helemaal geen downtime te hebben.

Mythe 3: eindgebruikers de dupe

Wanneer de twee bovenstaande mythes zijn ontkracht, duikt vaak deze derde op. De end-user experience wordt negatief geraakt door een security-overstap en dat verstoort de productiviteit, zo menen velen. Ook dit is geen feit, maar een onterechte aanname. Zorg er allereerst voor dat grote stappen in de operatie worden uitgevoerd buiten de reguliere kantoortijden. Dit omvat ook juist het verwijderen van de huidige end-point security op bedrijfs-pc’s en het installeren van het nieuwe product.

Voer deze vervangingsslag uit met de juiste tools zodat werknemers geen handelingen hoeven uit te voeren. Vermijd handmatig installeren of accepteren van de nieuwe software. Vermijd het door werknemers laten rebooten van hun pc’s. Een bijkomend voordeel van deze geautomatiseerde aanpak is dat de uitrol gelijk en gelijktijdig is voor alle systemen. Geen discrepantie in de security-omgeving. Geen hobbels door minder kundige mensen of afwezige werknemers. En voor hen geen hobbels in hun dagelijkse werkzaamheden.

Mythe 4: IT heeft geen tijd voor een overstap

Een begrijpelijke notie, maar toch echt een misvatting. Mythe nummer vier: IT heeft geen tijd. Veel managers maken zich zorgen dat de vervanging van de huidige securitysuite door een nieuwe veel werk kost. Zij vrezen dat dit teveel werk is voor de IT-afdeling die toch al zwaar belast is. De implementatie zou kunnen afleiden van bedrijfskritieke IT-projecten.

Wederom: dit hoeft helemaal niet het geval te zijn. Met moderne middelen valt een complete overstap uit te voeren vanaf een enkele beheerconsole. De operatie is hierdoor juist makkelijk voor een IT-team. Zowel de verwijdering van de huidige security-installatie als de implementatie van de nieuwe oplossing zijn te overzien vanuit één beheervenster. In die view zijn alle elementen van de IT-beveiliging weer te geven, wat gelijk het meerwerk van eventuele versplintering bij bestaande security-inspanningen wegneemt.

Mythe 5: klaar, en nu staan we er alleen voor

Sommige softwareleveranciers laten hun klanten na een succesvolle implementatie zichzelf verder redden. Elk serieus cybersecuritybedrijf biedt zijn klanten vanzelfsprekend gratis basissupport tijdens kantooruren. Organisaties die meer willen, moeten de mogelijkheid hebben om hogere supportniveaus naar eigen behoefte aan te schaffen. De juiste support op de juiste tijden in verhouding tot de business-behoeften.

Na een security-overstap hoeven nieuw beschermde organisaties er ook niet alleen voor te staan dankzij automatische updates. Die functionaliteit moet een zwaarwegend selectiecriterium zijn in het voortraject voor de aanschaf van elke security-oplossing. Wees er van bewust dat sommige leveranciers vaker updates aanbieden dan anderen. De effectiviteit en reputatie van een securityleverancier zijn cruciaal bij het nemen van een kritieke beslissing: voor de migratie en voor de toekomst. Met wie ga je voortaan veiliger verder?

Martijn van Lom is General Manager van Kaspersky Lab Benelux