‘Veiligheid voorop bij IT-professional, behalve als er geld in het spel is’

Als zij voor de keuze staan tussen IT-beveiliging en zakelijke flexibiliteit, kiezen de meeste IT-professionals voor veiligheid. Tenminste, in eerste instantie. Want hoewel 71 procent vindt dat veiligheid minimaal net zo belangrijk is als zakelijke flexibiliteit, verandert dat als er meer geld in het spel komt. Als IT-professionals de kans krijgen om de grootste deal van hun leven af te sluiten, is 69 procent ineens bereid IT-veiligheidsrisico’s te nemen. Dat blijkt uit onderzoek van Balabit, leverancier van technologieën voor contextuele beveiliging.

Om tot die conclusie te komen, ondervroeg Balabit 381 IT Executives, CIO’s, CISO’s, auditors en andere IT-professionals uit onder andere het Verenigd Koninkrijk, Frankrijk, Polen en Duitsland. Doel van het onderzoek was een beeld te verkrijgen over hoe bedrijven de balans vinden tussen IT-beveiliging en zakelijke flexibiliteit. Daarbij draaide het vooral om de vraag of bedrijven ervoor kiezen om extra veiligheidsmaatregelen te nemen, die de productiviteit wellicht remmen, of dat ze meer belang hechten aan meer flexibiliteit in de zakelijke processen.

“Deze onderzoeksresultaten laten zien dat organisaties nog een lange weg te gaan hebben als het gaat om het vinden van een balans tussen veiligheid en de zakelijke kant”, zegt Zoltán Györkő, CEO van Balabit. “Uit dit onderzoek komt sterk naar voren dat bedrijven de gevolgen van een streng veiligheidsbeleid tolereren als het aankomt op de dagelijkse gang van zaken, maar dat de respondenten geen moment aarzelen die beveiliging te omzeilen als het gaat om een grote deal. Dit is een probleem dat als zodanig moet worden erkend, en het is belangrijk dat bedrijven hier op gepaste wijze mee omgaan.”

Om in de praktijk tot een gezonde balans te komen tussen IT-veiligheid en zakelijke flexibiliteit, hebben bedrijven dus oplossingen nodig, die gebruikers geen bezwaarlijke processen opleggen. Als die processen worden omzeild door een interne gebruiker of door iemand die zich op frauduleuze wijze toegang verschaft, ontstaat er een vergroot risico op het misbruik van accountprivileges.

Volgens recent onderzoek van Ponemon Institute Research worden de meeste datalekken veroorzaakt door interne gebruikers met kwade bedoelingen. Doordat het met bestaande control-based veiligheidstools niet mogelijk is dit soort intern misbruik op te merken, is een andere aanpak nodig.

“Uit de onderzoeksresultaten wordt duidelijk dat bedrijven in hun veiligheidsstrategie rekening moeten houden met menselijk gedrag”, aldus Györkő. “De hedendaagse ‘static control solutions’ hebben zo hun beperkingen. IT-beveiligingsteams hebben inzicht nodig in de context waarbinnen gebruikers handelingen verrichten, en moeten de mogelijkheid hebben daar op de juiste manier op te reageren. Additionele tools moeten bovendien transparant zijn voor de zakelijke workflow. Wij geloven in een op monitoring gebaseerde aanpak die bedrijven de mogelijkheid geeft om realtime te reageren op verdachte handelingen. Een vorm van IT-beveiliging die veel bedrijfsvriendelijker is met betrekking tot de zakelijke kant. Dat is de reden waarom wij onze Contextual Security Intelligence Suite ontwikkelden.”