Security is hot. Informatiebeveiligingsbedrijven schieten als paddenstoelen uit de grond en in hoog tempo lanceren zij producten die dé oplossing zijn voor securityproblemen. Hypes volgen elkaar daarbij snel op, denk aan next generation firewall, next generation antivirus, zero day-protectie, advanced persistence threat-protectie en endpoint security (al dan niet gecombineerd met machine learning). Daar komt nog bij dat er in de media continu aandacht is voor hacks, ransomware, de AVG en exponentiele groei van de informatiebeveiligingsmarkt. Ik heb de dotcom-bubble meegemaakt en mijns inziens stevenen we af op een nieuwe zeepbel: de security-bubble.

De bubble

Tijdens de dotcom-bubble werden systeembeheerders in de showroom van een autodealer aangenomen. Kon je een Windows NT-cd opstarten of meepraten over het millenniumprobleem? Dan had je meteen een baan en bijbehorende leaseauto. De vraag naar specialisten was zo groot dat het aannameproces onnauwkeurig werd. Toen de problemen toch niet zo groot bleken, zaten bedrijven met een overschot aan specialisten die niet meer ingezet of omgeschoold konden worden. Binnen de informatiebeveiliging zien we dit nu weer ontstaan. Met een CEH-certificaat kun je direct aan de slag als informatiebeveiliger. En als je Kali Linux of Metasploit kunt opstarten, ligt er een functie als pentester voor je klaar. De security-bubble is daarmee voor een deel een vacature-bubble.

De informatiebeveiligingsbranche is nog zo onvolwassen dat het voor klanten onmogelijk is om producten en diensten te vergelijken. Mensen weten momenteel niet waar ze in moeten investeren. Doordat ze niet de juiste kennis hebben, worden ze bang. Maar angst is een slechte raadgever en er worden lukraak dingen aangeschaft om maar een veilig gevoel te hebben. De fabrikant die het hardste schreeuwt dat hij dé oplossing heeft, wordt gezien als Magic Quadrant leader, zonder dat er gekeken wordt of de oplossing echt doet wat wordt beloofd. De grootste schreeuwer krijgt echter wel de deal, omdat de klant toch niet kan achterhalen of het klopt en bovendien graag zijn angst wil afkopen. Daarmee is de security-bubble ook een investerings-bubble.

100% veilig bestaat niet

De huidige situatie is vergelijkbaar met nog een andere bubble: de vastgoed-bubble. Tijdens zo’n huizenzeepbel, die eens in de zoveel jaar voorkomt, wordt er geïnvesteerd in stenen in de heilige overtuiging dat de waarde alleen maar kan toenemen. Op dit moment investeren mensen in securityoplossingen in de verwachting dat de organisatie daarmee veilig is, terwijl honderd procent veiligheid simpelweg niet bestaat.

Het resultaat: bedrijven die zich veilig wanen, zullen toch gehackt worden of geconfronteerd worden met een ander incident. Ook zal de Algemene Verordening Gegevensbescherming (AVG) van organisaties vragen dat ze blijven investeren in informatiebeveiliging. Het benodigde budget voor informatiebeveiliging zal de komende jaren daardoor alleen nog maar hoger worden.

Mijn advies is ‘bezint, eer gij begint’. Bedenk eerst wat uw waardevolle informatie is en welke belangrijke informatiesystemen u in huis heeft. Breng de waarde ervan in kaart en schat de kans in dat iemand deze zou willen binnendringen. Pas dan kun je nadenken over mogelijke oplossingen en de bijbehorende businesscase. Binnen i3 groep wordt deze visie gedeeld. We gaan graag met u in gesprek om goede risicobeheersing toe te passen en desinvesteringen te voorkomen, bijvoorbeeld met behulp van de oplossingen van Guardian360 (www.guardian360.eu/nl).


Deze column verscheen eerder in Op Koers van I3 Groep: https://i3-groep.nl/actueel/blog/gastcolumn-guardian360-pas-op-voor-de-security-bubble