Redactie - 19 april 2016

Zesde Get (C)Loud! in teken van security

Zesde Get (C)Loud! in teken van security image

Get (C)Loud begint voor veel ISV’s en SaaS-leveranciers echt een traditie te worden. Het telt in ieder geval, zo toonde ook de onlangs gehouden 6e editie weer aan, een steeds grotere schare vaste bezoekers. Dutch Cloud, de managed cloud provider die het festijn enige jaren geleden voor het eerst organiseerde, mag zo langzamerhand gerust trots zijn op het kennisplatform dat het aldus heeft gecreëerd.

Get (C)Loud, steevast georganiseerd in De Landgoederij te Bunnik, is een met enige regelmaat terugkerend vrijdagmiddag-event, waar ISV’s en SaaS-leveranciers hun ervaringen delen en in discussie gaan over diverse relevante IT-thema’s. De opkomst toont keer op keer aan dat er duidelijk behoefte is aan een discussieklankbord in deze vorm. Ook tijdens de onlangs gehouden zesde editie, met security als thema, laaide de discussie rond de door gespreksleider Ruud de Joode opgeworpen stellingen af en toe weer flink op. Maar naast een levendig dispuut staat Get (C)Loud  ook immer garant voor een goed programma. Dit keer bestond dat uit vier interessante keynotes.

Responsible Disclosure

Het spits wordt afgebeten door hackspecialist Edwin van Andel van securityplatform Zerocopter. In een zowel leerzame als vermakelijke presentatie tovert hij zijn toehoorders een groot aantal potentiële gevaren voor. Van een USB-stick die, argeloos in pc of laptop gestoken, zichzelf oplaadt en vervolgens met één flinke stroomstoot het hele device onklaar maakt, tot aan een niet op internet aangesloten, dus in het algemeen veilig gewaand computersysteem, dat door middel van een ingenieuze vinding op basis van warmteoverdracht toch door derden aangestuurd blijkt te kunnen worden. Hij breekt en passant een lans voor de zogenoemde ‘ethical hackers’. “Dat zijn in mijn ogen gedreven IT’ers die niets slechts in de zin hebben maar met hun activiteiten juist een veiligere online-wereld nastreven.” In die context beveelt hij ook van harte het gebruik van ‘Responsible Disclosure’ aan. Dat is een verklaring op de bedrijfs-site dat een ieder die een zwakpunt in de beveiliging aantoont en daar alleen het betreffende bedrijf zelf over inlicht, een bepaalde beloning tegemoet kan zien. Het is volgens Van Andel ‘een superidee’ dat in de praktijk heel goed blijkt te werken.

Complexiteit en awareness

Hans van de Looy, oprichter van securityspecialist Madison Gurkha, stelt in zijn afgewogen keynote zowel de kwetsbaarheid van de technologie als die van de mens centraal. Wat de technologie betreft hebben  we op securitygebied de neiging het steeds complexer te maken, waarschuwt hij. “Complexiteit en beveiliging zijn als het ware twee kanten van een wip. Op het moment dat de complexiteit omhoog gaat, gaat de beveiliging naar beneden en omgekeerd.” Maar de mens zelf is, zoals onder meer social engineering keer op keer aantoont, veelal nog de meest kwetsbare factor als het om IT-beveiliging gaat. “De meest inventieve hacks gebeuren niet via internet, die vinden plaats via de mensen in de organisatie die dag in dag uit met de bedrijfsdata bezig zijn. Maak daarom je medewerkers constant bewust van de waarde van de gegevens waar ze mee werken. Dat wordt veel te weinig gedaan.” De stelling waarmee hij zijn betoog afsluit luidt: sla niet door op gebied van controle en bewaking, maar creëer zoveel mogelijk awareness als het om security gaat.

Digitale Transformatie en security

Na de pauze is het de beurt aan Fred Noordam, Area Manager Security Benelux bij Cisco. Zijn keynote gaat over de digitale transformatie die we doormaken en de rol van security daarin. De wereld verandert in hoog tempo, houdt hij zijn gehoor voor. “Ontwikkelingen rond mobile, big data, social media en het Internet of Things gaan een enorme impact hebben op businessmodellen en zaken als HR en de manier waarop we met onze klanten omgaan. Alles wordt op intelligente wijze, real-time met elkaar verbonden. Zaken als ethiek en identiteitsbewaking worden daarin super belangrijk. En een goede cybersecurity vormt daarbij het fundament om dit allemaal op een verantwoorde manier mogelijk te maken. In de nieuwe wereld wordt security een enabler waarmee een bedrijf zich kan onderscheiden van de concurrent.” Hij sluit zich aan bij de stelling van Van de Looy dat de inrichting van de IT-beveiliging bij de meeste bedrijven veel te complex is geworden, met – in zijn visie – veel te veel stapeling van producten van diverse leveranciers. “De basis is fout, dat werkt niet meer, die fragmentatie moet eruit”, luidt dan ook de kern van zijn boodschap.

DINL

De afsluitende keynote is voor Michiel Steltman, directeur van de Stichting Digitale Infrastructuur Nederland (DINL).  DINL vertegenwoordigt de partijen die de faciliteiten voor de digitale economie leveren, te weten: datacenters, hostingpartijen, ISP’s, AMS-IX en SURFnet. De koepelorganisatie is opgericht om overheden, bedrijven en burgers waar nodig wegwijs te maken in de digitale economie, als basis voor verdere economische groei. Veiligheid is een van de kernaspecten waarmee DINL zich bezighoudt. Want veiligheid is instrumenteel aan vertrouwen, zegt Steltman. “En vertrouwen is in de kern datgene waarmee de online-industrie zijn boterham verdient.” Het veiligheidsdomein gaat ook in de visie van Steltman niet zozeer over techniek maar veel meer over zaken als cultuur, gedrag, awareness, procedures en governance, dat wil zeggen over de manier waarop je de dingen bestuurt. De techniek kan daarbij echter wel een belangrijke ondersteunende rol spelen. Waar hij in zijn betoog vooral voor waarschuwt, is de alsmaar toenemende druk van de overheid op gebied van wet en regelgeving als het security betreft. “We zullen daarin een betere balans moeten vinden. Want volledige security bestaat niet en we zullen uiteindelijk moeten leren leven met het restrisico dat de digitale economie creëert.”

Transparantie is key!

Het is een slotconclusie waarin vrijwel alle aanwezigen zich wel kunnen vinden. Ook directeur Martijn van Zoeren (foto) van organisator Dutch Cloud, die van gespreksleider De Joode het laatste woord krijgt toebedeeld. Want hoe gaat een bedrijf als Dutch Cloud eigenlijk om met zijn klanten als het om security gaat? Van Zoeren: “Ik denk dat vooral transparantie belangrijk is. Ik ben het ermee eens dat je iets nooit honderd procent veilig kunt maken. Maar je kunt wel vertellen wat je hebt gedaan en  inzage geven in welke risico’s een rol spelen. Die moet je duidelijk benoemen en je moet aangeven wat voor maatregelen je hebt getroffen om die risico’s zo klein mogelijk te houden.”

Door: Dick Schievels

Copaco | BW 25 maart tm 31 maart 2024 Trend Micro BW BN week 10-11-13-14-2024
Copaco | BW 25 maart tm 31 maart 2024

Wil jij dagelijkse updates?

Schrijf je dan in voor onze nieuwsbrief!