SOA: een nieuwe kans voor Informatie Beveiliging

Door veel beveiligingsexperts wordt de invoering van een service oriented architecture (soa) - een software architectuur waarbij functionaliteiten uit business processes zijn verpakt in losse systemen die met elkaar communiceren - gezien als een bron van nieuwe beveiligingsrisico's. Maar, ondanks het feit dat beveiling zoals zo vaak een sluitstuk leek bij de standaardisatie van soa, biedt de invoering van deze nieuwe technologie juist geweldige kansen voor informatiebeveiligers.

Zoals vaak bij de introductie van nieuwe technologie worden beveiligingsaspecten vaak vergeten of worden ze op zijn best achteraf toegevoegd. Bij de introductie van het service oriented architecture concept ging het niet anders. Na de oorspronkelijke introductie van protocollen als XML en SOAP werd de noodzaak voor beveiliging pas later toegevoegd door protocollen als SAML. Hiermee werd authenticatie en autorisatie tussen verschillende security domeinen gestandaardiseerd en dus pas echt goed mogelijk gemaakt.

Toch blijft er een enorme kans liggen als de implementatie van soa wordt afgedaan als een technologisch traject. Want een van de belangrijkste veranderingen die de invoering van soa brengt ligt niet op het technische vlak, maar is de flexibele en eenduidige vastlegging van business processen als vertrek punt voor de definitie van services.

En daarmee ontstaat een geweldige kans voor informatiebeveiligers om (eindelijk) te beginnen aan de goede kant: de business processen!

Helaas is het nog steeds zo dat de gemiddelde beveiligingsstrategie begint aan de it kant en zich daarmee al vanaf het begin beperkt tot it-security. Terwijl meer en meer het besef doordringt dat het uiteindelijk moet gaan om het beveiligen van business informatie. Omdat die link in veel gevallen niet of onvoldoende gemaakt wordt ontstaat een kloof tussen beveiligers en business management. Veelal begrijpen die elkaar ook niet omdat een totaal andere taal gesproken wordt. Met het enorme risico dat de beveiligingsstrategie met allerlei draconische technische maatregelen komt en misschien wel de belangrijkste informatie-elementen ongemoeid laat. Dat zijn dan juist vaak de informatie-elementen die achterblijven in huurauto's, treinen of op afgedankte computers...

Goed gebruik van de soa standaarden biedt een geweldige kans om die kloof te overbruggen en aan de hand van de definitie van business processen te bepalen waar de echt bedrijfskritische informatie binnen de processen wordt gebruikt en hoe daar mee omgegaan wordt. Door op dat moment al na te denken over de eisen met betrekking tot beschikbaarheid, vertrouwelijkheid en integriteit kunnen maatregelen ontworpen worden die de juiste informatie op het juiste niveau beveiligen. Tevens biedt het de unieke kans om te zorgen dat beveiliging vanaf het begin van het ontwerp proces voldoende aandacht krijgt en niet achteraf toegevoegd hoeft te worden. Voeg hier de standaardisatie en centralisatie mogelijkheden aan toe die een Identity & Access Management architectuur biedt en we zijn in staat een echte end-to-end security architectuur te ontwikkelen die aansluit op de behoeften van de business. Bijna te mooi om waar te zijn!