Achtergrondartikel


3 vragen aan… Jan van der Graaf

‘Een globale instantie voor informatiedeling’

Jan van der Graaf is pre-sales consultant Networking & Security bij Telindus. Hiervoor was hij 8 jaar verantwoordelijk voor het corporate WAN van een globaal opererend bedrijf inclusief alle security en firewalls. Hoe kijkt hij aan tegen het vakgebied van informatiebeveiliging? “Eigenlijk heb ik best veel zorgen als het om security gaat.”

Waar lig je wakker van?
“Een van de grootste risico’s op dit moment is dat organisaties geen idee hebben van alle verkeersstromen die er binnen het netwerk zijn. Hierdoor ontbreekt inzicht in welke applicaties er met elkaar praten en is het lastig om passende securitymaatregelen te nemen. Dit leidt ertoe dat organisaties er op dit moment nog massaal voor kiezen om dan maar helemaal geen maatregelen te treffen. Voorheen was security veel minder een issue en was het vooral belangrijk dat alle applicaties goed functioneerden. Nu we niet meer weten hoe de verkeersstromen lopen, blijven we er liever met onze handen vanaf om fouten te voorkomen. Niks doen is echter geen optie, ook omdat er dankzij de cloud steeds meer verkeersstromen naar buiten gaan. Er zijn tal van technische mogelijkheden om verkeersstromen inzichtelijk te maken en te beperken tot die apparaten die ook echt met elkaar moeten communiceren. Als je je als organisatie wilt beschermen tegen kwaadwillenden, moet je wel weten wát je beschermt.”

“Waar ik ook wakker van lig, is het aantal bedrijven dat, vaak noodzakelijk, gebruikmaakt van hele oude softwarepakketten en systemen. Denk bijvoorbeeld aan scanners in de medische wereld die aan de binnenkant nog gebruikmaken van Windows XP of de industrie die gebruikmaakt van embedded systemen in robots die tien jaar geleden zijn aangeschaft. Het gaat dan vaak om grote investeringen die lang geleden gedaan zijn en apparatuur die nog uitstekend werkt, maar waarvoor geen onderhoud door fabrikanten meer beschikbaar is. Hier ligt ook een verantwoordelijkheid voor de leveranciers. Zij zouden eigenlijk continu patches aan moeten blijven leveren.”

“Ten slotte vind ik het gebrek aan budget voor securitymaatregelen een groot probleem. In mijn werk zie ik continu hoe bedrijven met groot gemak kapitalen uitgeven aan hun netwerkinfrastructuur, maar voor security gaat dat een stuk moeilijker. Security is natuurlijk ook niet tastbaar als het goed geregeld is. Je gaat er niet sneller of beter van werken, maar ondertussen worden de risico’s wanneer het fout gaat wel steeds groter. Maatschappelijke ontwrichting, faillissement, onherstelbare imagoschade, noem het maar op.”

Wat doe je om weer goed te slapen?
“Mensen ervan proberen te doordringen dat alleen een firewall echt niet meer genoeg is. Het is als de stadswacht die zegt wie er in en uit de stad mogen, maar als je eenmaal in de stad bent, mag je vrijelijk je gang gaan. Je moet continu alle verkeersstromen in de gaten houden en alle systemen die aan het netwerk hangen beveiligen. Malware valt in de verkeersstroom nog niet op, maar zodra het zich in een systeem vastbijt, wil je dit direct signaleren en ingrijpen. E-mail is de grootste bron van besmetting, dus je moet niet alleen bij de deur scannen, maar ook zien wat er gebeurt na binnenkomst.”

“Kortom, er moet veel meer gestuurd worden op beveiliging van eindsystemen. Eindgebruikers zijn en blijven de grootste risicofactor, er zullen altijd fouten gemaakt worden. Vervolgens is het belangrijk om de schade zoveel mogelijk te beperken. Het liefst zoveel mogelijk geautomatiseerd, zodat onder water fouten van eindgebruikers direct worden ondervangen.”

Hoe ziet de securitywereld er over tien jaar uit?
“Een lastige vraag. Wat ik vooral graag zou willen zien, is dat er over tien jaar meer samengewerkt wordt op het gebied van informatiedeling. Je ziet nu talloze bedrijven die actief zijn op het gebied van security. Vaak ook grote vendoren met allemaal hun eigen researchlaboratorium. Aan de ene kant is het logisch dat deze bedrijven informatie voor zichzelf houden vanwege de concurrentie, maar aan de andere kant worden anderen zo niet geholpen om potentiële rampen te voorkomen. Ik hoop dat er over tien jaar een globale instantie is die verantwoordelijk is voor het bewaken en uitwisselen van intelligentie op het gebied van security.”

Verder lezen?

Log in en lees verder of maak hier uw persoonlijk profiel aan en ontvang als eerste het laatste securitynieuws. Speciaal voor u geselecteerd!

Dit veld is verplicht
Vul een geldige e-mailadres in
Dit veld is verplicht