Een groot deel van de virtuele servers zijn minder veilig dan de fysieke servers die ze vervangen. Dat zegt Gartner op grond van onderzoek…Dat de virtuele servers onveiliger zijn komt doordat er in het vroege stadium van architectuur en planning geen beveiligingsteams bij het project betrokken worden (bron).
Ja wie ben ik om Gartner tegen te spreken. Maar wat is nu het nieuws? Dat virtuele servers onveiliger zijn of dat er geen beveiligingsteams bij het project betrokken zijn? Dat laatste zie je maar al te vaak en echt niet alleen bij de ontwikkeling van architectuur of servers. Het geldt voor alle projecten…die beveiligers worden vergeten of ze zijn te lastig waardoor ze gewoon niet gevraagd worden.
Nu wil ik niet zeggen dat je beveiliging bij ieder project moet betrekken, maar bij een groot deel wel. Al is het alleen maar even in het ontwikkeltraject je plannen aanhouden tegen de beveiliging. Misschien hebben ze nog wat handige tips waardoor het veiliger kan.
In de praktijk zie je dat beveiliging, als er al over nagedacht wordt, pas in een laat stadium zijn zegje mag doen. Alleen pleisters plakken is dan nog mogelijk om het enigszins veilig te houden. Hierdoor worden er gedrochten van beveiligingsoplossingen verzonnen die enorm veel geld kosten. Dat bevestigd dan weer het beeld dat binnen de organisatie toch al leeft: zie je wel, dat beveiligen is alleen maar lastig, werkt tijdvertragend en is enorm duur.
De kunst voor beveiligers blijft om pro-actief en positief te adviseren. De stelling: nee dat mag niet want het is niet veilig…is zo 1980. We moeten er toch echt vanuit gaan dat alles kan, maar wel zo veilig mogelijk. Geloof me, de business zet je volledig buitenspel als je je meerwaarde niet aantoont en het alleen maar lastig maakt. Heb ook niet de illusie dat een ontwikkeling (die geld op moet leveren) niet doorgaat omdat wij het niet veilig vinden.
Nee, we zeggen het wel vaak: beveiliging is ondersteunend aan de business…maar in de praktijk moeten we dat ook echt gaan toepassen en onze meerwaarde aantonen. Probeer eens een beveiligingsadvies te geven waarbij de business juist meer kan verdienen of meer kan bezuinigen door die maatregel te nemen, dan heb je een stap gezet in de juiste richting.
Oh ja, het ging om virtuele servers en daarvan betwijfel ik of die echt onveiliger zijn…maar goed ik wil Gartner niet tegenspreken en ga er maar niet verder op in. Wie mijn mening wil weten, weet me te vinden.