Informatiebeveiliging als kostenpost?

31 juli 2008

Waar tot voor kort informatiebeveiliging werd gezien als een kostenpost, een soort van verzekeringspolis, zien we dat het belang van informatiebeveiliging steeds meer wordt onderschreven door bedrijven.

Uit wereldwijd onderzoek blijkt dat informatiebeveiliging een steeds grotere rol speelt in het behalen van strategische businessdoelstellingen. Information security officers vervullen een proactieve rol in het risicomanagement van de gehele organisatie.

Daarbij bekijkt men niet alleen meer de bescherming van informatie, maar ook het voldoen aan wet- en regelgeving. Beveiliging webapplicaties zorgwekkend Het internet is inmiddels niet meer uit de samenleving weg te denken en ook het bedrijfsleven maakt steeds meer gebruik van dit medium. Ondanks dat dit vele voordelen oplevert, denk aan snelheid, integratie en een sterke uitbreiding van de klantenkring, is dit echter niet zonder gevaar.

Doordat applicaties veelal via het internet worden aangeboden (vandaar de naam webapplicaties) hebben ze een veel grotere exposure dan traditionele bedrijfssoftware. Hierdoor is het kleinste gaatje in de beveiliging voor hackers vaak al voldoende om toegang tot vertrouwelijke gegevens verkrijgen.

Het is niet verwonderlijk dat de beveiliging van webapplicaties tot de grootste zorgen van dit moment behoort. Juist voor dit type applicaties is beveiliging een complex samenspel van verschillende elementen die vaak bij verschillende afdelingen of verantwoordelijken zijn belegd.

Hierdoor is het risico groter dat verschillende beveiligingsmaatregelen niet op elkaar zijn afgestemd of zelfs helemaal niet worden genomen. Oorzaak? Gebrekkige onderlinge communicatie. Een bijkomend probleem is dat de techniek achter veel webapplicaties nog in de kinderschoenen staat.

Daardoor zijn de noodzakelijke beveiligingsmaatregelen nog onvoldoende uitgekristalliseerd. Ze missen ‘volwassenheid’. De grootste problemen ontstaan doordat niet van begin af aan rekening wordt gehouden met beveiligingsaspecten.

In het ontwikkeltraject is de aandacht met name op functionele elementen en de time to market gericht. Daarnaast zijn ontwikkelaars vaak geen beveiligingsexperts waardoor bewustzijn ontbreekt. Om alle risico’s te benoemen zou men als een hacker moeten denken. Het blijkt dan ook dat legal hackers steeds vaker in een vroeg stadium bij de ontwikkeling worden betrokken.

Bron: Tijdschrift Financieel Management: Ict Update ism Ernst & Young

Redactie FM