Onderzoeks- en adviesbureau Forrester veegt de vloer aan met ‘security suites’ in het rapport Security suites: death on arrival. Ze deugen niet, luidt de algemene conclusie.
Beveiligingssuites blijken een samenraapsel te zijn van voorheen aparte pakketten. "Daardoor maken ze het werk van de veiligheidsmanager nodeloos ingewikkeld", zegt Ted Julian, één van de opstellers van het rapport.
Forrester vroeg vijftig ‘Fortune 1000’-bedrijven naar hun ervaringen met beveiligingspakketten. De antwoorden zijn zeer negatief. Allereerst zijn suites meestal niet meer dan een verzameling niet geïntegreerde pakketten. Daarnaast voldoen ze niet aan de evolutie van de behoeften van beveiligingsmanagers. In de nabije toekomst zien die beveiliging in vier afzonderlijke domeinen: infrastructuur, inhoud, toepassingen en operaties.
Sommige respondenten gebruiken zo’n 64 producten om hun netwerken en systemen te beveiligen. Veel ondervraagden vinden dat een geïntegreerd rapport het minste is wat je mag verwachten van een suite. Een andere klacht is dat het toevoegen van nog een beveiligingspakket vaak verkeerd afloopt door gebrek aan standaardisatie.
Bijna alle ondervraagden brood in een goede suite. Dat vereist platform-onafhankelijkheid, volledige openheid, zodat componenten van andere leveranciers te integreren zijn, en integratie van het hele beheer en de rapportage. "Goed geïmplementeerd zou het hun beheerkosten drastisch kunnen verminderen", meent Julian. Met een ‘supersuite’ ben je echter nog nergens volgens hem. "Beveiliging hangt af van de bedrijfscultuur, de manier waarop mensen omgaan met informatica en informatie, en het afdwingen van bedrijfsregels terzake."
Door extranetten en e-commercie krijgen bedrijven meer en meer externe gebruikers. Authentisering wordt het belangrijkste probleem van de komende jaren. Externe dreiging komt niet langer alleen van virussen, maar ook van bijvoorbeeld in Java geschreven mailbommen. "Dat is het platform waar veel bedrijven hun kernomgeving op willen bouwen", zegt Julian. Bovendien willen veel bedrijven hun legacy systemen blootstellen aan al dat geweld. "In een tempo dat een ontwikkelaar nooit kan volgen."
Forrester adviseert leveranciers niet te kiezen op basis van glimmende brochures. "Gebruikers moeten eerst leren hun functiebehoeften te groeperen. Ze kunnen dat doen door voor hun beveiligingsvereisten gemene delers op te stellen waaraan een pakket moet voldoen. Verder moeten ze leveranciers indelen volgens de vier domeinen waarnaar de markt evolueert, en op basis daarvan producten kopen", concludeert Julian.