Een gevoel van veiligheid

Een rationeel betoog aangaande emotionele zaken

Niets verkoopt beter op dit moment dan veiligheid. Het is niet alleen een 'hot item' binnen politieke discussies, ook in het bedrijfsleven heeft het onderwerp een meer dan gemiddelde belangstelling. Binnen de ICT-branche is de security-tak vrijwel de enige met een groeiprognose voor het komend jaar. Iedereen stort zich op beveiliging, zowel overheden en raadgevende instanties als commerciële bedrijven. Er zijn talloze initiatieven en platforms die bedrijven willen waarschuwen voor de gevaren die schuilen in het electronische zaken doen. Er wordt gesproken over virus detectie-systemen, firewalls en andere geavanceerde producten. Ook het verzekeringswezen ziet in dat de risico's van elektronisch dataverkeer een nieuwe markt opent en dat zal een nieuwe impuls voor de beveiligingsindustrie betekenen. Het valt namelijk op twee vingers uit te rekenen dat er nieuwe verzekeringsproducten op de markt gaan komen en de premies omhoog zullen gaan vanwege de stijgende risico's. Alleen afdoende beveiligde bedrijven zullen vervolgens kortingen worden aangeboden waardoor de prikkel tot het nemen van maatregelen wordt versterkt. Het zal de komende tijd dus alleen maar beter gaan in deze tak van industrie.

Het aan de man brengen van beveiligingsproducten gaat gepaard met het stimuleren van emoties. De verkopende partij zal hameren op de gevaren van een verbinding met een openbaar netwerk (het gevaarlijke internet) en de voorbeelden van bedrijven die door hackers tot de rand van de afgrond gedreven zijn worden uitgelicht. Wat is nou 50.000 euro voor de aanschaf van een firewall, network intrusion detection of andere high-tech apparatuur als het voortbestaan van je organisatie in het geding lijkt te zijn? Angst is een perfecte drijfveer voor onbesuisde aankopen.

Als we proberen de emoties los te maken van het onderwerp om een rationeel beveiligingsplan samen te stellen zullen we eerst moeten kijken naar waar die bedreigingen nou eigenlijk vandaan komen. Recent onderzoek toont aan dat verreweg de meeste vormen van cybercrime gebeuren van binnen uit de eigen organisatie. De hieruitvolgende conclusie dat je de organisatie moet beschermen tegen je eigen medewerkers stuit veel mensen tegen de borst. Dat is echter een emotionele reactie. De ratio zegt dat je dáár in eerste instantie je beveiliging moet neerleggen.

Met deze wetenschap in het achterhoofd kun je nadenken over een plan van aanpak. Medewerkers zullen niet via het internet het klantenbestand downloaden of gevoelige financiële informatie ontvreemden. Zelfs via het LAN is dit te riskant; een netwerkmanager kan over het algemeen goed inzien wie er wat uitspookt op het netwerk en netwerkverkeer laat sporen na. Veel gemakkelijker is het om naar de server toe te lopen en de benodigde files op een CD te branden of op een tape te zetten. Het laat geen sporen na, en als dat wel zo is valt het nooit tot één bepaald persoon terug te leiden. Je kan immers niet weten wie er aan de server heeft gezeten.

Een goed beveiligingsplan zou dus moeten beginnen met de fysieke bescherming van de kwetsbare apparatuur. De hardware moet beschermd worden tegen kwaadwillenden, evenals tegen de goedbedoelende klunzen, die vaak net zo'n desastreuse gevolgen veroorzaken als de eerstgenoemden. Het zal dus in een aparte afsluitbare ruimte moeten staan met een deugdelijk slot en sleutelplan. Deze ruimte, met verhoogde vloer voor het structureren van de bekabeling, moet vervolgens worden voorzien van airconditioning om de temperatuur van de gevoelige systemen te beheersen. Dan moet er nog worden nagedacht over een brandblusinstallatie die het vuur dooft maar de apparatuur heel laat. Kortom, je moet als ondernemer het bedrijfsrisico gaan afwegen tegen een investering van meerdere tienduizenden euro's.Voor veel MKB-bedrijven is dat reden voor uitstel, waarschijnlijk afstel van de plannen, zeker in het huidige economische klimaat.

Er bestaat echter een uitweg in deze schijnbare impasse. Weinig mensen hebben ooit stilgestaan bij de toepassing van een 19" kast als veiligheidscomponent. Toch zijn cabinetten bij uitstek geschikt voor dit doel. Een bekabelingscabinet (patchkast) zorgt voor passieve veiligheid: het overzicht en de structuur die een dergelijke kast biedt vermindert de kans op problemen aanzienlijk. De kabels kunnen uit het plafond, muur of uit de vloer direct de kast in geleid worden en de toegankelijkheid rondom zorgt ervoor dat de kabels goed bereikbaar blijven in een overzichtelijke structuur.

Een serverkast is daarentegen een actieve veiligheidscomponent. Door de gesloten structuur zijn de aanwezige componenten beschermd tegen 'van buitenaf komend onheil'. De deuren kunnen voorzien worden van speciale sloten met unieke sleutels, eventueel met mechanische combinatiesloten of met elektronische keypads die logfiles bijhouden van de verschillende gebruikers. De serverkast kan onderdak bieden aan vele servers, zowel staande modellen als rackmountable uitvoeringen. Binnen in de kast wordt het klimaat beheerst door natuurlijke circulatie vanwege de ventilatieroosters in de voor- en achterdeuren. Indien dat niet adequaat genoeg is kunnen intelligente ventilatoren zorgen voor extra koellucht. Een rookmelder met brandblusinstallatie kan eveneens in de kast gemonteerd worden om eventuele calamiteiten in de kiem te smoren. Als er dan ook nog een UPS in het 19" frame wordt geplaatst kan met recht gesproken worden over een 'datacentre in a rack'.

Op deze manier is een veilige omgeving voor uw hardware een stuk betaalbaarder geworden. Vanuit de gedachte dat de meest voor de hand liggende veiligheids-voorzieningen zijn getroffen kan nu gewerkt worden aan de gevaren die via het netwerk uw data bedreigen. Daar zijn weer andere specialisten voor nodig…