"Security is als remmen op een auto" (Podcast)
Deze week weer een grote vis in de podcast, want Art Coviello, de CEO van RSA Security, lucht zijn hart over security. Een groot probleem met beveiliging vandaag de dag is dat mensen en bedrijven de risico's niet begrijpen waar ze mee te maken hebben. Teveel uitgaven zijn reactief, waarbij men zich vaak blindstaart op de return of investment. "Heb je return on investment nodig om te bepalen of je verwarming en ventilatie in een gebouw nodig hebt? Het is onderdeel van het gebouw. Security moet niet anders zijn," laat Coviello weten.
"Ik gebruik altijd dit voorbeeld van remmen op een auto. Overweeg je als autofabrikant ooit een return on investment te doen voordat je remmen op een auto plaatst? Ga je wachten tot er een ongeluk plaatsvindt om te zeggen 'ik moet maar remmen toevoegen?'". Net als de remmen op een auto kan security je stoppen of vertragen, maar geeft je ook het vertrouwen om harder te gaan. "Je scheurt niet over de snelweg als je weet dat je niet kan remmen. Dat geldt ook voor security, nu we meer dingen online doen." Coviello merkt verder op dat er meer aan security wordt uitgegeven, maar dat mensen zich steeds onveiliger voelen. "de aanvallen zijn complexer, maar teveel security is reactief en vaak ook te beperkt." Luister het het hele interview (8:19) in de podcast.
Kun je security wel met een auto vergelijken? En zorgt de meeste beveiliging vandaag de dag er niet voor dat we juist langzamer in plaats van harder gaan? Laat het ons weten.
Je kunt ICT beveiliging beter vergelijken met veiligheidsgordels. Maar dan wel van het type dat steeds vaker vanzelf losschiet op het moment dat je ze absoluut nodig hebt, dat niet loswil als je uit wil stappen, dat steeds vaker vervelend knelt waarbij het aantal exemplaren dat je ribben breekt of je zelfs wurgt toe lijkt te nemen.
Dus, op de IT projecterend; security is niet zozeer een duur betaald opgeplakt anti-virus product dat een systeem inderdaad tot stilstand brengt. Een veilig design en ontwikkeling in een OS en applicaties door een veilige ontwikkemethode zoals SDL, dat is security. Een geïntegreerd fishingfilter in je browser zoals in IE 7, een antimalware bescherming standaard gratis bij het OS, een geïntegreerde firewall in het OS, een geïntegreerde User Account control, dat is security.
Door de IT beveiliging te vergelijken met de remmen van een auto, maak je IT beveiliging een 'enabler' oftewel een werktuig dat je in staat stelt om je wagen = bedrijf sneller te laten rijden. Hoe beter en sneller je wagen, hoe beter je remmen moeten zijn.
Hoe zijn eBay, Amazon, Google etc. groot geworden? Door optimaal gebruik te maken van de mogelijkheden die de huidige (internet) technologie biedt. Denk je dat die bedrijven meer of minder besteden aan IT beveiliging?? Juist - en nu weet je ook waarom.
Richard
Ik vind de analogie met autogordels duidelijker. Temeer daar voreger gebleken is dat fabrikanten liever de slachtoffers voor lief namen, dan autogordels in te bouwen (de ROI was er niet naar, totdat hun cynisme publiekelijk bekend werd, zie het boek Unsafe at any speed)).
En om de analogie met beveiligingssoftware nog completer te maken: er zijn zat idioten die gordels niet (willen) gebruiken, of ze niet nodig vinden..
Misschien moet Security ook meer een enabler worden... Niemand wil namelijk Security maatregelen, men wil functionalitieit, maar men moet, meestal door schade en schande, Security maatregelen nemen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Technical Security Trainer
Is security je passie? Dan ben je bij ons aan het juiste adres. Wij zijn 24/7, 365 dagen per jaar bezig met security. Je werkt in een team van internationaal bekende security-experts, het delen van kennis staat centraal. We zijn een organisatie met een informele bedrijfscultuur. Security is serious fun! Als technical security trainer geef je hands-on security trainingen op basis van de Certified Secure challenges en certificeringen.