Wie tegenwoordig de woorden ‘it’ en ‘security’ in dezelfde zin hoort, denkt bijna automatisch aan virussen. Of spyware, of hackers – dreigingen van buitenaf in elk geval, want de noodzaak van endpoint security staat inmiddels buiten kijf. Hoewel nog lang niet iedereen zijn zaakjes goed op orde heeft, zijn de muren rond zakelijke it-netwerken hoger dan ooit tevoren.
In dat licht is het weinig verrassend dat zowel criminelen als analisten en de media hun aandacht verleggen naar een gebied waar nog wel laaghangend fruit te plukken valt: interne beveiliging. Zo publiceerde IDC enkele weken geleden een rapport over information protection & control (IPC). Volgens de onderzoekers zal deze markt in 2011 een omvang van meer dan drie miljard dollar bereiken, wat neerkomt op een gemiddelde jaarlijkse groei van zo'n 33 procent.
Dat is een stevig percentage, maar niet zo hoog als je misschien zou verwachten op basis van de explosief toenemende informatiebrij in het bedrijfsleven. Zonder enige vorm van controle is het voor ondernemingen volstrekt onmogelijk om overzicht te houden over waar gegevens zich bevinden en wie er toegang toe heeft – met alle consequenties van dien. De kwetsbaarheid voor social engineering aanvallen zoals phishing neemt bijvoorbeeld toe, en ook het voldoen aan wet- en regelgeving op het gebied van rapportage, risicomanagement en privacy wordt steeds lastiger.
Waarom staat IPC dan niet hoger op het prioriteitenlijstje? Wel, ten eerste natuurlijk omdat werkelijk grootschalige schandalen en problemen vooralsnog zijn uitgebleven, zodat veel bedrijven zich nog veilig wanen in de ‘dat-overkomt-mij-niet'-zone. Maar nog belangrijker is wellicht de operationele problematiek die IPC met zich meebrengt.
IPC is immers niets meer dan het beperken van toegang tot data, iets wat moeilijk te verkroppen is voor werknemers die eraan gewend zijn geraakt om alle gewenste informatie binnen handbereik te hebben. Het invoeren van IPC leidt daarom vaak tot interne weerstand, slepende ‘wie-mag-wat'-discussies en uiteindelijk tot een soort grijze informatie-economie waarin werknemers onderling permissies uitwisselen om (te) strenge policies te omzeilen.
Het succes van een IPC-implementatie is daarom, veel meer dan andere beveiligingstechnologie, afhankelijk van vaardigheden als people management en interne communicatie – zaken waar ict'ers gemiddeld niet bepaald in uitblinken. Partners die zich in deze markt begeven, zijn dus gewaarschuwd: geld verdienen met IPC is niet zo makkelijk als het lijkt.
Mark van der Wolf
Head of creative by Lewis PR
