'IT-beveiliging is op totale mislukking uitgelopen'

Er is natuurlijk wel sprake van een grote en groeiende markt. Organisaties geven er tientallen miljarden aan uit, en ieder jaar groeit dat bedrag fors."Mensen zijn bang en gaan spullen kopen. Ze gooien goed geld naar kwaad geld", zegt Gonen. Want het doel dat IT-beveiliging sinds de uitvinding van de firewall nastreeft, het voorkomen van uitlekken van informatie en van ongeoorloofde toegang, blijkt niet te realiseren.

Tijd voor een andere aanpak

Volgens Gonen is het tijd voor een plan B. Dat plan heeft als uitgangspunt dat ongeoorloofde toegang niet te voorkomen is. Beveiliging berust dan niet - of beter: niet alleen - op het weren van indringers. Belangrijker is ervoor te zorgen dat inbrekers - als ze eenmaal binnen zijn - niets buit kunnen maken waar ze iets mee kunnen. 'Zuinig' omgaan met gegevens - alleen vastleggen wat echt nodig is - en encryptie van belangrijke data zijn daarbij cruciaal. Als een hacker alleen de laatste vier cijfers van een creditcardnummer in leesbare vorm te pakken krijgt, kan hij daar niets mee, geeft Gonen als voorbeeld. Ook zouden organisaties veel energie moet steken in het verbeteren van hun vermogen om snel vast te kunnen stellen wat er precies is voorgevallen en wat er buit is gemaakt.

Over de omstelling moet je niet te licht denken. Plan B is meer dan het aanpassen van de maatregelen. Het vraagt ook een andere instelling van de betrokkenen, zowel op het niveau van IT-beveiliging als in de rest van het bedrijf. Je beveiliging doordenken op basis van de gedachte dat er iemand ongeoorloofd rondzwerft in je systemen kan voor mensen heel verontrustend zijn, aldus Gonen.

Gonen hield zijn pleidooi onlangs op een CIO Summit in Boston die werd georganiseerd door CDM Media. Die voordracht werd opgemerkt door CSO Online.