1. Zoek een evenwicht tussen IT-beveiliging en commerciële flexibiliteit
Beveiliging en commerciële flexibiliteit zijn allebei erg belangrijk in de sector van de IT-beveiliging. Een goed evenwicht vinden houdt soms in dat men moet zoeken naar het juiste midden tussen deze twee uitersten. In een recent onderzoek heeft Balabit getracht uit te vinden welke risico`s wij bereid zijn te lopen om het belangrijkste commerciële contract van ons leven af te sluiten. Wanneer het commercieel belang groot is, dan staat de beveiliging vaak op de tweede plaats. Een mooie beloning zet ons uiteraard ertoe aan om meer risico`s te nemen.

Onze tip: neem goed overdachte risico`s om uw doeleinden te bereiken, en, nog belangrijker, zorg voor een flexibele beveiliging die uw beslissingen ondersteunt.

2. Vergeet de checklists voor conformiteit
Checklists om de conformiteit te controleren zijn wel praktisch, maar we moeten de grenzen ervan kennen. Conformiteit was de belangrijkste drijfveer bij beveiliging in de laatste tien jaar, en in veel gevallen vereiste dit dat men checklists afliep. Verschillende praktijkgevallen hebben echter aangetoond dat een organisatie die voldoet aan deze conformiteit-checklists, daarom niet meteen goed beveiligd is. De regels voor conformiteit zijn immers van nature rigide, en verliezen met de jaren aan flexibiliteit. Beetje bij beetje kijken de organisaties verder en concentreren zij zich op hun reële behoeften qua beveiliging. Zij laten zich niet enkel leiden door reglementen.

Onze tip: organisaties moeten creatief zijn en zonder vooroordelen durven denken. Beperk u niet tot het afvinken van conformiteit checklists. Geef voorrang aan uw eigen doelstelling en uw middelen, in functie van concrete risico`s, in plaats van enkel die conformiteitsdoelstellingen na te streven.

3. Automatiseer duurzaamheid en efficiency
IT-beveiliging heeft uiteraard een kostprijs. In dit kader is efficiency de belangrijkste factor: men moet niet zozeer te allen prijzen de kosten proberen te drukken, als wel het beste te krijgen voor zijn geld en zijn budget. Uiteraard kunnen efficiency en duurzaamheid op een massa verschillende manieren gevonden worden, maar wij zien wel dat de menselijke factor de belangrijkste uitdaging op dit vlak is.
Automatisering is de oplossing van de toekomst. Daarmee kan men tal van data-analyses houden, alarmen beheren en beveiligingsincidenten beantwoorden via scripts of zelflerende methodes. Het is de bedoeling om een goed evenwicht te vinden tussen wat geautomatiseerd moet worden, en dat wat het personeel moet blijven doen.  Men mag zich verwachten aan een verdere automatisering in diverse domeinen van IT-beveiliging - van het beheer van het beleid en de analyse van het verkeer, tot de analyse van data, logs en gebeurtenissen.

Onze tip: begin met het herstructureren van het werk, zodat mensen kunnen doen wat een menselijke intelligentie vereist, en niet meer belast worden met taken die geautomatiseerd kunnen worden. Denk bijvoorbeeld aan een reeds beschikbare data-analyse, of aan de automatisering van het policy management.

4. Op vlak van beveiliging moet uw aandacht voor de IT-activa uitgaan naar alle soorten gebruiksactiviteiten
In het begin werd IT-beveiliging enkel gebruikt voor IT-activa: data, processen rond data, servers, netwerken. Vandaag, met de komst van de cloud en mobiele toestellen, is het moeilijker om traditionele beschermingsmethoden te bepalen. Het beheer van identiteit en toegang is een steeds belangrijker wordend element in onze IT-beveiligingsarchitectuur. Uieraard moeten wij onze infrastructuur beveiligen, onze servers en onze netwerken, maar het perspectief en de focus verschuiven. Het gaat niet enkel om externe maar ook interne bedreigingen: uw organisatie daartegen wapenen is een steeds moeilijkere uitdaging. Een risico dat alleen maar blijft groeien, vooral omdat de technologie elke dag slimmer wordt.

Onze tip: om een beveiligde user interface te ontwikkelen moet u belangstelling tonen voor uw gebruikers en hun identiteit, dus ook voor uw personeel, derden en partners. Zorg ervoor dat u niet alleen rechten voor het beheer van identiteit en toegang creëert en beheert, maar ook dat u ze actualiseert op basis van een gedragsanalyse.