Meer databeveiliging is niet vanzelfsprekend beter

Een goede beveiliging van it-systemen is essentieel voor organisaties om verschillende redenen. Enerzijds moeten ze zich wapenen tegen mensen die data en diensten willen stelen of vernietigen. Anderzijds dienen bedrijven rekening te houden met wetten als Sarbanes-Oxley. De meeste it-systemen zijn echter niet ontwikkeld om buiten de organisatiemuren te functioneren. Het probleem wordt niet opgelost door een nieuw softwarepakket te installeren. Beleid en procedures zijn veel belangrijkere factoren, stelt Johann Corlemeijer.

Veel organisaties virtualiseren hun business om efficiëntie te verhogen en sneller te kunnen werken. Samenwerking tussen organisaties wordt net zo belangrijk als die tussen collega's. Hiervoor moeten bedrijfsprocessen worden geïntegreerd en identiteiten worden samengevoegd. Bedrijfsprocessen worden dan niet meer afgebakend door de muren van het bedrijfspand, wat grote gevolgen heeft voor de beveiliging van it-systemen.

Zo moeten organisaties medewerkers van partners gaan onderscheiden. Daarnaast moeten ze bepalen hoe interne it-systemen toegankelijk worden gemaakt om geïntegreerde processen goed te kunnen ondersteunen. Vervolgens dienen organisaties een procedure te ontwikkelen om de juiste mensen toegang te geven tot het systeem. Ze moeten inloggegevens verspreiden onder deze mensen, de juiste bevoegdheden per persoon bepalen en het hele systeem beheren.

Echter, de meeste it-systemen zijn niet ontwikkeld om buiten de organisatiemuren te functioneren. Nieuwe technologieën bieden hierbij uitkomst, maar helaas is het probleem niet opgelost door simpelweg een nieuw softwarepakket te installeren. Beleid en procedures zijn veel belangrijkere factoren.

Strategisch plan

Organisaties hebben een consistente beveiligingsstrategie en betrouwbare processen nodig om op de hoogte te blijven van de laatste ontwikkelingen op het gebied van technologie en bedreigingen. Beveiliging moet worden benaderd vanuit een breed en strategisch perspectief.

Zo ontstaat een systeem dat betrouwbaar en integer is, zelfstandig kan werken, data vertrouwelijk houdt en toegankelijk blijft voor de juiste mensen. Het strategisch plan moet doelstellingen, een kostenberekening en een blauwdruk bevatten. Een goed uitgedacht stappenplan is essentieel voor een succesvolle implementatie.

Voor de ontwikkeling van een strategisch plan kan een stappenplan (zie kader) uitkomst bieden.

Stel mensen en processen centraal

Beveiligingsoplossingen zijn afhankelijk van de integratie van technologie, processen en mensen. Bij zowel de ontwikkeling van identiteitsmanagement als het volledig uitbreiden van it-systemen dien je rekening te houden met deze drie aspecten om een goede basis te kunnen leggen voor je beveiligingsstrategie.

Technologie is namelijk maar een deel van de oplossing. Veel belangrijker is een effectieve procedure en een goede afstemming met de mensen die met de oplossing moeten werken. Dit vergemakkelijkt de overgang aanzienlijk voor iedere organisatie.

Kies de juiste partner

Met leveranciers en consultants in overvloed is het belangrijk een partner te vinden die de visie van je organisatie deelt. Na het bepalen van je strategie is het verstandig om partners te kiezen met ervaring en een sterke reputatie.

Zoek naar een partner die je kan helpen een systeem te ontwikkelen en te implementeren dat bestaande systemen optimaliseert. Een juiste partner helpt je de toegang tussen systemen en het netwerk op een veilige manier te realiseren, aansluitend op de wensen van de organisatie en binnen het budget.

Implementeer met een duidelijk doel

Het is niet verstandig om oplossingen ad hoc in te vullen en uit te voeren. Gestructureerde richtlijnen en een strategisch plan zijn noodzakelijk voor een goed eindresultaat. Zo voorkom je problemen en kom je minder snel voor verrassingen te staan.

Een denkfout die veel organisaties maken bij het inrichten van de informatiebeveiliging, is de aanname dat meer technologie automatisch leidt tot betere databeveiliging. In plaats van te focussen op meer beveiliging zouden bedrijven zich moeten richten op ‘effectieve beveiliging'. Dit kan door een analyse te maken van de huidige situatie. Op basis daarvan kan vervolgens een beveiligingsaanpak worden ontwikkeld die past bij de wenselijke koers.

Een brede kijk op databeveiliging van organisaties, biedt een goed fundament om het risico op datadiefstal te verkleinen. Wanneer de analyse is afgerond, kunnen bedrijven beginnen met het ontwerp van de oplossing en nadenken over de invulling en een implementatie die past binnen de behoeften van hun eigen sector.

Vertrouw niet op alleen aanpassingen

Het is vaak duurder om oude systemen aan te passen en te beveiligen dan een volledig nieuw systeem te ontwikkelen. De beveiliging moet vanaf het begin integraal onderdeel zijn van het systeemontwerp en niet iets waar achteraf pas over wordt nagedacht.

Hoewel aanpassingen wel tactische problemen kunnen oplossen, zorgen ze tegelijkertijd regelmatig voor strategische problemen. Om de kosten en baten in balans te houden, kunnen bedrijven zoeken naar een manier om nieuwe oplossingen te integreren met bestaande systemen. Het is echter belangrijk dat ze voorbereid zijn om te investeren in een systeem dat op de lange termijn toereikend is, zonder grote aanpassingen te hoeven doen in de toekomst.

Kortom, databeveiliging is niet iets wat je koopt, het is iets wat je doet. Het is een proces dat nodig is om de kwaliteit van zakelijke it-systemen te waarborgen, onder andere op het gebied van schaalbaarheid en toegankelijkheid. Met een helder strategisch plan in het achterhoofd en de juiste technologie ter ondersteuning, blijft overzichtelijk welke rol databeveiliging speelt binnen de algemene bedrijfsdoelstellingen. Alleen dan kan een succesvol en samenhangend plan van aanpak worden opgesteld.

Johann Corlemeijer, Capability Director Avanade Nederland