17 augustus 2006 17:35

Globale beveiliging

Wie de evolutie van IT-beveiliging volgt, weet dat de aandachtspunten zich mettertijd verplaatsen. Ze verschuiven van fysieke aspecten naar logische. En
van de manier waarop het netwerk wordt beheerd naar de wereld van de applicatieontwikkeling.

In het begin van mijn carrière, draaide IT-beveiliging rond fysieke veiligheid: de bescherming van magneetbanden, de toegang tot de computerzaal, de aanwezigheid van een brandblusser en de afwezigheid van rokende, etende of drinkende collega’s.

Toegang tot de systemen is in belang toegenomen en zij die de glorieperiode van de IBM mainframe meemaakten herinneren zich vast nog levendig de toegangssystemen van die tijd: Top Secret, RACF en ACF2. Complexere omgevingen konden in die tijd enkel dromen van Single Sign-On (SSO).

Later, toen de interne netwerken naar de buitenwereld werden opengesteld, evolueerde de beveiliging naar een meer complexe wereld, die van de perimeterbeveiliging. Elk bedrijf trachtte de toegang tot zijn netwerk te ontzeggen aan diegenen die het wilden binnendringen.

Met de automatisering van de inbreektechnieken en de introductie van virussen, agents, robots, Trojans en andere wormen, werd men verplicht om ook de verdedigingsmechanismen te automatiseren. Beveiliging gaat door met het afwisselen en combineren van fysieke en logische elementen. Van zodra het ene instrument zijn werkingslimiet bereikt, reikt een ander hulpmiddel de helpende hand.

Op het moment dat de mogelijkheden uitgeput geraken,schieten nieuwe technieken of technologieën te hulp. Toen de fysieke grenzen werden bereikt, kwamen wiskundigen met systemen gebaseerd op complexe formules en de uitwisseling van encryptiesleutels. Ze stelden vertrouwensrelaties op punt tussen de verschillende actoren (computers en/of gebruikers) die elkaar wederzijds herkennen.

Encryptie en PKI (public key infrastructure) werden al snel een onmisbaar onderdeel van de IT-beveiliging. De race tussen het menselijk brein en het elektronisch brein gaat onverminderd door. Elke keer een algoritme wordt gekraakt met elektronische kracht, komt het menselijk wezen tussen met nieuwe technieken om de complexiteit te verhogen.

In het verleden hielden enkel systeem- en netwerkbeheerders zich bezig met IT-beveiliging. De ontwikkelaars en architecten van applicaties voelden zich niet echt aangesproken, al riepen hun collega’s van de beveiliging hen regelmatig op om aan preventie te denken. Maar zorgen over intrusie of continuïteit waren niet aan hen besteed.

Op een gegeven moment constateerde men dat perimeterbeveiliging niet langer voldeed en dat men eveneens de veiligheid binnen het netwerk moest verzekeren. Met meer en meer open netwerken kon die perimeter niet langer de enige beschutting blijven. Bovendien werd het moeilijk en duur om systemen pas na hun ontwikkeling te beveiligen.

De nood aan beveiliging werd globaler, en wordt voortaan al bij het ontwerp van een systeem geanalyseerd en geïntegreerd. De beveiligingsdoelstellingen zijn volwaardige elementen geworden zodat het noodzakelijk is om ze te behandelen van bij de analysefase van een nieuw systeem.

Hebt u, beste lezer, reeds gedacht aan de ontwikkelingen van de IT-beveiliging en hoe die uw werkmethode zullen wijzigen? Of, om meer pro-actief te zijn, hebt u gedacht aan uw huidige activiteit en aan de manier waarop die onmiddellijk of geleidelijk zal moeten wijzigen om rekening te houden met de factor risico?

Zou u eigenlijk van werkmethode moeten veranderen om een grotere beveiliging van uw activiteiten te garanderen? En moet u geen mini-risicostudie starten om goed op voorgaande vragen te kunnen antwoorden?

Georges Ataya is managing partner van ICT Control SA-NV, professor aan de Solvay Business School en international vice president van ISACA.