Focus op preventie verraadt paniekvoetbal

Het onderzoek van CGI werd uitgevoerd door een extern bureau, Pierre Audoin Consultants (PAC), dat de investeringen van 257 organisaties analyseerde. 520 miljoen is voor de leek een enorm bedrag, maar toch is dit slechts 0,08 procent van het Bruto Binnenlands Product (BBP) en bovendien redelijk gemiddeld in Europa. Onze Finse buren investeren aanmerkelijk meer in security. Tot zover dus mogelijke mythes over een koppositie op security-gebied. Wat ik stuitender vond, waren de cijfers omtrent de budgetverdeling. Nederland investeert zo’n 83 procent aan preventie van cyber crime. 17 Procent gaat naar de detectie van incidenten. In Duitsland en het Verenigd Koninkrijk is dat zo’n 20 procent, in Finland 21 procent en in Zweden 22 procent.

Security in de Middeleeuwen

Hoge investeringen in preventie verwijzen indirect naar een traditionele opvatting omtrent IT-security. Traditioneel is IT-security georganiseerd als een Middeleeuws fort met daar omheen verschillende beschermende muren. Het security-beleid is er vooral op gericht om te kijken wie er aan de poort is en of hij of zij inderdaad door die poort heen mag. Deze vorm van security is achterhaald. Op de eerste plaats is het niet erg praktisch. Er ontstaan informatiesilo’s die ertoe leiden dat mensen beperkt worden in de toegang tot hun data. En dat zorgt ervoor dat zij security-maatregelen gaan omzeilen. Het succes van bijvoorbeeld single sign-on komt voort uit de onvrede met onpraktische beveiligingsprotocollen.

Een Middeleeuws fort is niet meer van deze tijd, net als de vergelijkbare security-aanpak. Door de komst van cloud tools en het Nieuwe Werken kunnen mensen vanuit verschillende locaties hun taken uitvoeren. Bovendien verhuizen ze daarbij veelal data naar externe clouds, die buiten het beheer van de organisatie vallen. Ook is in het huidige tijdperk het aantal endpoints in sneltreinvaart toegenomen. Hadden we twintig jaar geleden nog maar één werk-pc, nu beschikken we over een smartphone, een tablet en een laptop en vaak gebruiken we al deze apparaten zowel zakelijk als privé.

Paniekvoetbal

Bij het huidige cloud-tijdperk hoort ook een nieuw soort security, die gericht is op de context van de gebruiker. Wanneer een gebruiker zich aanmeldt op het netwerk kijk je eerst waar hij zich bevindt, met welk device hij aanklopt en of die gegevens matchen met de ID. Op basis van dit authenticatieproces geef je de gebruiker een risicostatus en ga je kijken of er extra security-checks nodig zijn. Een gebruiker die vanuit Nigeria aanklopt is bijvoorbeeld verdacht. Een gebruiker die plotseling met een ander device werkt ook. Een policy kan dan zijn dat die persoon een beperkte toegang krijgt of dat die persoon even moet bellen zodat geverifieerd kan worden dat hij het inderdaad is.  Met andere woorden: door verschillende gegevensbronnen te combineren, krijg je een goed beeld van het risico om iemand binnen te laten.

De IT-community gaat steeds meer naar dit soort beveiliging toe. Dat vraagt in de eerste plaats om een business-benadering. Je moet vaststellen welke data echt een security-risico vormen en wat het normale gedrag is van je werknemers op de werkvloer. Werken mensen inderdaad veel thuis? Wat voor regels ga ik afspreken als ik bepaald gedrag verdacht vindt? Maar als ik dan zie dat al het overheidsgeld voor security vooral naar preventie gaat, raak ik droevig gestemd. Dit verraadt paniekvoetbal. Men begint met rennen na een security-incident en denkt niet  constructief na over hoe je IT-security echt moet opzetten.