13 augustus 2009

Veel organisaties gaan over op een virtualisatiestrategie, maar vergeten na te denken over de veranderingen in beveiliging die daarvoor nodig zijn. Dat constateert IT-beveiliger Sophos. Een van de veranderingen is dat een fysieke harde schijf wordt omgezet in een bestand op een gedeelde netwerkserver, waar vaak een groot aantal mensen toegang toe heeft. Dat zegt James Lyne, beveiligingsspecialist bij Sophos. In de oude situatie zouden deze bedrijfskritische systemen afgesloten worden in het eigen datacentrum. In het streven naar kostenverminderingen maar wel gecombineerd met een hoge beschikbaarheid van gegevens, komen deze systemen nu terecht in slechtbeveiligde opslaglocaties waar gegevensdiefstal veel makkelijker is. De meeste organsiaties zijn zich onvoldoene bewust van deze situatie, constateert Lyne. Hij raadt organisaties daarom aan aandacht te besteden aan de toegang tot virtualisatieplatformen. Iedereen met toegang tot deze opslag heeft toegang tot de gegevens ongeacht het controlemechanisme dat het virtualisatieplatform biedt, stelt Lyne. Dat advies geldt vooral voor de systemen die hoge beschikbaarheid claimen en daarvoor de gegevens vaak kopiëren naar een aantal geografische locaties. Al deze locaties moeten voldoen aan de regels voor fysieke toegang tot de systemen zoals die zijn vastgelegd in het bedrijfsveiligheidbeleid.

'De beste beveiliging is een volledige versleuteling van de bedrijfskritische gegevens in het gevirtualiseerde datacentrum', zegt de beveiligingsspecialist.'Mocht toch iemand onverhoopt toegang krijgen tot de gevirtualiseerde schijven, blijven de gegevens daarop beschermd'. Ook de backup-faciliteiten vormen een punt van aandacht. Lyne ziet vaak dat de backup van virtuele omgevingen wordt geregeld met tapes waarop de gegevens onversleuteld zijn opgeslagen. Lyne deed zijn uitspraken in een podcast. Hoewel enkele goede oplossingen bestaan om dataverlies actief en gestructureerd te voorkomen, maakt nog geen procent van de Europese bedrijven er gebruik van. Ze hebben voornamelijk aandacht voor de traditionele beveiliging als firewalls en antivirus. Verreweg de meeste ondernemingen in Europa staren zich bij het beveiligen van hun bedrijfsgegevens blind op traditionele oplossingen zoals firewalls en antivirussoftware. Ze zien daarbij over het hoofd dat kwaadwillenden steeds vaker op zoek zijn naar specifieke gegevens die juist voor het bedrijf erg waardevol zijn. Thomas Raschke, senior analist bij Forrester Research, stelt dat op een andere manier naar hun data moeten kijken. 'Ze zouden hun gegevens meer moeten classificeren, dus meer kijken naar welke informatie op welke locatie staat, en hoe belangrijk de verschillende gegevens zijn. De bedrijven dat wel al deden, doen er vaak vrijwel niets mee. Regels en beleid worden niet nageleefd'. Raschke vertelt dat er tegenwoordig goede software is die bedrijfsdata analyseert, classificeert en de meest vertrouwelijke gegevens met strikte encryptie en gebruikersrechten kan opslaan op extra beveiligde locaties. Dat kan op end-pointniveau en op het netwerk. Bij een end-point aanpak kijkt de software naar dataoverdracht aan de kant van de eindgebruiker, met zijn USB-geheugensticks en de bluetoothverbinding op zijn laptop. Op netwerkniveau houdt de software bijvoorbeeld alle inkomende en uitgaande e-mails in de gaten. Wordt er vertrouwelijke informatie op een stick gezet of verstuurd per e-mail, dan kan de software eisen dat dit alleen gebeurt na encryptie. Of de overdracht wordt tegengehouden omdat de gebruiker niet gemachtigd is. Daartoe kan met de software het beveiligingsbeleid worden ingesteld en structureel nageleefd. Data leak prevention (DLP) is een redelijk nieuwe tak van sport, volgens Raschke. De gemiddelde DLP-oplossing bestaat uit vier stappen. Aan de basis ligt het classificeren van bedrijfsgegevens naar hun belang en vertrouwelijkheid. Zo kan de software zoeken naar documenten met teksten als 'Vertrouwelijk' of met al eerder meegegeven metadata. Als dat is gebeurd, kan beleid worden gedefinieerd zodat het programma weet wat er met welke gegevens moet gebeuren. Vervolgens kan de meeste software het gebruik van vertrouwelijke data in de gaten houden en als laatste er voor zorgen dat het beveiligingsbeleid wordt nageleefd.