Om welk ICT-gerelateerd onderwerp het ook gaat, vroeg of laat komt ‘beveiliging’ om de hoek kijken. Volgens Gijs Vlas van Microsoft draait het bij security vooral om het maken van keuzes: ‘Zowel bij de reseller als bij de eindgebruiker.’
Als het over Microsoft in combinatie met security gaat, begint iedereen altijd schaapachtig te lachen. De naam van deze fabrikant lijkt onverenigbaar met het begrip security. Toch is Microsoft met overmacht de grootste softwareleverancier van besturingssystemen aan vooral de client-, maar ook aan de serverkant. Een vreemde situatie, zo lijkt het. ‘Nee hoor,’ zegt Gijs Vlas van Microsoft. ‘Als je zo groot bent als Microsoft is de kans dat je het slachtoffer wordt van kwaadwillende elementen ook veel groter. Er is een verhaal bekend van het besturingssysteem Unix-3, waarin een virus niet minder dan vier jaar onopgemerkt kon rondwaren. Als de gebruikersgroep groter was geweest, was het virus ook eerder ontdekt.’
Vlas is group manager partner marketing en development en uit dien hoofde ook verantwoordelijk voor de kleine en middelgrote oplossingen van Microsoft in Nederland en voor de partners zelf. Vlas erkent het negatieve security-imago van Microsoft, maar stelt onmiddellijk dat dat wat hem betreft een heel grote misvatting is: ‘We hebben in het verleden beveiligingsproblemen gehad en dat zal ook in de toekomst wel zo blijven. Hackers en spammers vinden altijd wel een gaatje. En anders maken ze wel een gaatje. Het heeft allemaal te maken met discipline en het volgen van een vastgesteld security-beleid, dus verouderde apparatuur vervangen en up-to-date software gebruiken in combinatie met automatische updates en goede beveiligingssoftware.’ Om daar schertsend aan toe te voegen: ‘Dan is zelfs onze software behoorlijk veilig.’ Vooral het punt van het gebruik van recente software is naar de mening van Vlas essentieel: ‘Bij de ontwikkeling van Windows 3.11 was beveiliging nauwelijks een issue. In onze nieuwe producten maakt security al
tijdens de ontwikkeling een belangrijk deel uit van het ontwikkelingsproces zelf.’ Dat geldt ook voor het softwareontwikkeltool Visual Studio 2005 dat eind dit jaar op de markt komt.
Keuzes
Wat Vlas betreft, gaat het om het maken van keuzes: ‘Kiest een eindgebruiker voor evolutie, bijvoorbeeld met de inzet van nieuwe producten, of kiest hij voor prijs? Kiest hij voor functionaliteit? Moet een eindgebruiker zijn systemen wel helemaal beveiligen?’ Allemaal keuzes die gemaakt moeten worden, maar ook allemaal keuzes waar die eindgebruiker doorgaans niet genoeg kennis voor heeft. Daar kunnen gespecialiseerde security-partners uitkomst bieden. Microsoft heeft in Nederland een slordige 250 partners die zich in meer of mindere mate met security bezighouden. Vlas: ‘We hebben zeven partners die volledig gecertificeerd zijn, 22 partners die bijna klaar zijn en 220 partners die in potentie security-partner willen worden.’
Eén van die partners is Integer uit Wormerveer. Integer implementeert op locatie, maar levert ook security als een managed service. Guillermo N. Ortiz Aldana, technisch manager bij Integer, legt dat laatste uit: ‘Wij, en andere resellers dus ook, kunnen de rol van chief security officer bij kleinere bedrijven op ons nemen. Dan inventariseren we wat er op security-gebied bij zo’n bedrijf moet gebeuren en beheren het beveiligingsdeel van zijn netwerk vanuit ons eigen kantoor. Dat bedrijf hoeft zich dan geen zorgen meer te maken en kan zich richten op zijn kernactiviteiten. Uiteraard worden de voorwaarden vastgelegd in SLA’s en zijn wij aansprakelijk als er toch iets misgaat.’
Risico’s
De grootste problemen op beveiligingsgebied zijn momenteel spam en remote werken. Ortiz Ardana: ‘Spam is een echt zorgenkindje. De hoeveelheid spam neemt nog steeds hand over hand toe en raakt de cruciale bedrijfsprocessen van organisaties steeds meer. Dat heeft dan vooral betrekking op productiviteit en capaciteit.’ Maar als het gaat om regelrechte bedreigingen, is remote werken aartsvijand nummer één. Ortiz Ardana: ‘Met PDA’s en laptops worden werknemers steeds mobieler. Ze vormen echter ook een steeds groter risico. Door hun apparatuur op verschillende plekken aan onbekende netwerken te hangen bestaat de mogelijkheid dat ze bij koppeling aan het bedrijfsnetwerk voor grote beveiligingsproblemen zorgen. Dit moet dus ook in het beveiligingsbeleid worden opgenomen.’ Hij wijst er ook op dat security niet alleen met de integriteit van data te maken heeft, maar ook met de beschikbaarheid van data: ‘Wij zien back-up als een onderdeel van beveiliging. En ook hier komt het aan op een goed beleid. Welke data worden op welke plek opgeslagen? Wie krijgt toegang tot die data? En wanneer krijgt diegene toegang?’
Om resellers in staat te stellen eventuele risico’s bij hun klanten beter te classificeren heeft Microsoft de Security Assessment Tool 2 ontwikkeld, die binnenkort beschikbaar komt. Vlas: ‘Via een enquête naar de manier waarop bedrijven met hun beveiliging omgaan, kunnen resellers de pijnpunten lokaliseren.’
Markt
Om een inschatting te kunnen maken van de totale security-markt in Nederland heeft Microsoft recent door IDC een onderzoek laten uitvoeren. ‘Daaruit kwam naar voren dat de markt dit jaar ergens tussen de 180 en 200 miljoen euro bedraagt. Dat is de totale besteding aan beveiligingsproducten in Nederland. Belangrijker is echter dat de groei van de markt op jaarbasis maar liefst 15 procent is,’ stelt Vlas tevreden vast. ‘Ook voor de komende jaren. Daar ligt dus een enorm marktpotentieel.’
Microsoft is zelf ook nog steeds druk bezig met de ontwikkeling van beveiligingssoftware, die vooralsnog gratis geleverd wordt. Twee jaar geleden kocht Microsoft het Roemeense Gecad Software (RAV Antivirus) en in december 2004 antispyware-leverancier Giant Company Software. Ook is Microsoft bezig met de overname van het Amerikaanse Sybari Software, waarmee de softwaregigant duidelijk naar de zakelijke markt (serverkant) lonkt.
Tot besluit zegt Vlas: ‘Bij security wordt bijna altijd ingespeeld op het angstgevoel van eindgebruikers. In het Engels heeft security echter twee betekenissen: beveiliging en zekerheid. Ik wil naar een situatie waarin de betekenis “zekerheid” de boventoon gaat voeren.’