6
apr

LAURANCE DINE, VERIZON ENTERPRISE SOLUTIONS: ‘Security is bestuurskwestie’

Nu steeds meer online aanvallen gericht zijn op specifieke, veelal hoge functionarissen binnen organisaties, volstaat het niet langer om bescherming te zoeken op basis van technologische oplossingen. Alertheid, informatiedeling en training zijn volgens de Amerikaanse deskundige Laurance Dine van Verizon Enterprise Solutions onontbeerlijk. “Je moet je bewust zijn van de risico’s en op basis daarvan de IT-security inrichten”, zegt hij.

Forensisch specialist

De Amerikaan Laurance Dine geldt als een deskundige op het gebied van Computer Forensics. Hij heeft in Groot-Brittannië, alwaar hij al ruim dertien jaar woont, meer dan driehonderd onderzoeken (civiele en strafrechtelijke) van nabij meegemaakt. De Verizon-functionaris woonde daarbij zowel meer dan tweehonderd inbeslagnames van data mee. Daarvoor werkte hij zo’n elf jaar bij de Amerikaanse luchtmacht.

Wat zijn de meest in het oog springende issues en trends op securitygebied?
“Onze observaties zijn redelijk in lijn met die van de laatste jaren. Er zijn geen dramatische nieuwe ontwikkelingen, nieuwe technologieën die tot enorme problemen kunnen leiden. Toch zijn er wel opvallende zaken, zoals de statistieken rond ‘social engineering’: phishing, op C-level-bestuurders gerichte e-mails waarin bijvoorbeeld CFO’s de opdracht van de CEO krijgen om grote sommen geld over te maken, enzovoorts. Als Verizon houden we hiertoe sessies met hoge functionarissen, waarbij we deze mensen helpen om problemen te voorkomen.”

Is het belangrijk dat er iemand op bestuursniveau verantwoordelijk is? Een CISO bijvoorbeeld?
“Hoeveel gewicht je aan security toekent is primair een businessbeslissing. Het kan beslist geen kwaad om een verantwoordelijke te benomen, al hecht ik minder waarde aan de functietitel van zo iemand. Het kan inderdaad een CISO zijn, maar ook iemand vanuit IT en zelfs een CFO. Het gaat er met name om wat ze doen wanneer er echt iets aan de hand is. Ik ken namelijk CISO’s die geen enkel mandaat, verantwoordelijkheid of budget hebben; het enige wat ze doen is zaken afvinken. Daarnaast ken ik IT-managers die alles doen wat een goede CISO hoort te doen: structuur brengen, noodprocedures, communicatielijnen bepalen, et cetera.”

Is security niet voor een groot deel de verantwoordelijkheid van de leverancier? Wat doet Verizon bijvoorbeeld om bedrijven beter te beveiligen tegen cyberrisico’s?
“We nemen met plezier de verantwoordelijkheid voor de diensten die we leveren. We kennen de risico’s en weten precies waarop wij kunnen worden aangesproken. Onze klanten weten dat ook. Een van de uitdagingen binnen onze industrie is dat hierover nogal eens onduidelijkheid bestaat; er staat bijvoorbeeld niets over in het contract. Zo komt het weleens voor dat leveranciers verantwoordelijk worden geacht voor de security, maar dat ze feitelijk niet veel meer doen dan de boel monitoren. Het gaat er ook om dat eventuele problemen worden opgelost en vermeden.”

Zijn leveranciers voor deze rol niet veel beter toegerust dan interne functionarissen als CIO’s en CISO’s?
“Het antwoord zal verschillen per specifiek geval. Toch geldt over het algemeen dat je als min of meer gespecialiseerde leverancier een breder zicht hebt op het domein dan een individuele functionaris die veelal toch gericht is op een afgebakende omgeving. Wij zien binnen onze netwerken en op internet voortdurend over de hele wereld dingen gebeuren. Daarnaast reageren we wereldwijd steeds op uiteenlopende vormen van aanvallen. Deze kennis en informatie delen we altijd met onze klanten. Laten we eerlijk zijn: zelfs de grootste bedrijven hebben veelal niet de mensen en middelen beschikbaar die wij in huis hebben.”

Welke trends en ontwikkelingen staan ons de komende jaren te wachten?
“Phishing zal voorlopig een enorm issue blijven. Daar kun je systemen en oplossingen voor inrichten die een deel van het gevaar wegnemen, maar zo lang mensen via e-mail te bereiken zijn zal het een risico blijven. Aan de technologiekant zullen de zaken zich ontwikkelen. Denk aan geavanceerde malware-scanners, sandboxes en oplossingen die een vinger aan de pols houden bij een internet-of-thingsomgeving waarin van alles met elkaar verbonden is. Ten aanzien van mobiele apparaten zoals smartphones en tablets zien we vooralsnog geen toegenomen bedreigingen. Maar dat zal in de nabije toekomst – er komen wereldwijd immers miljarden connected devices bij – wellicht veranderen.”

– Door Hotze Zijlstra, Hoofdredacteur CIO Magazine & CDO Magazine

 

Leave a Reply