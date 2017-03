IT -security is een naar onderwerp. Er wordt al zo lang zo paniekerig over gedaan dat veel mensen, zelfs in posities waar dat niet zou mogen, geneigd zijn de oren te sluiten en de andere kant op te kijken als het onderwerp ter sprake komt. Zoals iedere politieagent je kan vertellen: mensen willen niet weten hoe kwetsbaar ze zijn totdat hen daadwerkelijk iets overkomt.

Wat het niet makkelijker maakt is dat de laatste jaren niet alleen de digitale dreiging toeneemt, maar ook onze kwetsbaarheid groeit. We hebben inmiddels te maken met professionele organisaties die heel gericht op jacht zijn naar gaten in onze steeds complexere systemen. Of het nu gaat om het beïnvloeden van verkiezingen, bedrijfsspionage of chantage: doordat we in toenemende mate digitaal werken, valt er ook steeds meer te halen, en waar veel te halen valt, volgt de criminaliteit vanzelf.

Het IDG Contributor Network geeft jou als IT-professional of opiniemaker een platform als je je kennis of mening wil delen met collega's via de websites van IDG: CIO.nl, CSO.nl, Computerworld.nl, Webwereld.nl en CxO.nl. Analisten, experts en IT-professionals kunnen deelnemen aan het platform als zij hun collega's van originele content kunnen voorzien. We accepteren geen promotionele bijdragen of herschreven content. Deelname kan worden aangevraagd via contributor@idg.nl

Omdat onze afhankelijkheid van digitale systemen toeneemt, zou je verwachten dat cybersecurity gelijke tred houdt, maar helaas. De ontwikkelingen gaan zo razendsnel dat actuele kennis van cybersecurity bijna niet is aan te slepen, en als gevolg daarvan lopen steeds meer organisaties ver achter de fanfare aan. Uit recent onderzoek van het Ponemon instituut in opdracht van Citrix, blijkt dat de helft van de bedrijven dit jaar meer geld uitgeeft aan IT-security, maar volgens de meeste respondenten nog onvoldoende om echt een vuist te maken.

Het gevoel dat we greep hebben op onze IT-security ontbreekt, en met de GDPR in het vooruitzicht is dat bepaald verontrustend. We zitten op een hellend vlak en vanuit IT zal er snel iets moeten veranderen. Dit zijn wat mij betreft de belangrijkste aandachtspunten:

Complexiteit

IT was al complex, maar de laatste jaren maken we ook nog eens de fundamentele verschuiving mee naar de cloud en software defined solutions. Belangrijke ontwikkelingen, maar in deze overgangsfase hebben veel bedrijven daardoor te maken met een oerwoud aan oude, logge legacyoplossingen, nieuwe flexibele services en allerlei tussenvormen die deze twee op een of andere manier bij elkaar moeten houden.

Die complexiteit is niet alleen buitengewoon vermoeiend, maar ook gevaarlijk. Het vergroot de kans op fouten, belemmert het overzicht, maakt snel schakelen moeilijk en leidt tot nodeloos ingewikkelde en onlogische oplossingen die gebruikers niet of niet op een veilige manier meer kunnen of willen gebruiken. De eerste, belangrijke taak die IT dan ook heeft is het IT-ecosysteem zo snel mogelijk sterk vereenvoudigen. Als er één argument is om versneld afscheid te nemen van legacysystemen en te kiezen voor geïntegreerde oplossingen, dan is dit het wel.

Zichtbaarheid

Een van de gevolgen van de enorme complexiteit van de huidige systemen, is dat we nauwelijks nog inzicht hebben in wat zich allemaal op onze systemen afspeelt. Het is al moeilijk genoeg om compliant te zijn voor wet- en regelgeving - zoals de aankomende GDPR - maar eigenlijk is dat niet eens voldoende. Je kunt alleen de volledige verantwoordelijkheid dragen voor alles wat zich op je netwerk afspeelt als je te allen tijde inzicht hebt in wat je gebruikers doen, hoe je data zich beweegt en waar mogelijk iets gebeurt dat zou kunnen duiden op een veiligheidsprobleem.

Op de volgende pagina: De zwakste schakel is de mens.