Beveiligingsrichtlijnen voor de sector van professionele dienstverlening
Verwante koppelingen
|
Voor wat betreft de beveiliging, beschikken bedrijven in de professionele service-industrie vaak over krappe IT-budgetten, een steeds groter wordende hoeveelheid inhoud en een gebrek aan toegewijd beveiligingspersoneel. De bescherming van gegevens in de service-industrie vereist mogelijk het combineren van technologie en services om de klus te klaren. Dit artikel biedt u enkele richtlijnen die u kunt aanhouden.
Samenvatting:
| • | Serviceverleners moeten weten wat de belangrijkste drijfveren zijn op het gebied van beveiliging. |
| • | Beheerde services moeten worden onderzocht, zodat kan worden bijgedragen aan een veilige omgeving. |
| • | Tevens moeten goedkope beveiligingsverbeteringen worden benut en intensief research worden gedaan alvorens tot aanschaf van goederen of services wordt overgegaan. |
Het werken met beperkte IT-bronnen is niets nieuws voor professionele serviceverleners, zoals advocatenkantoren, reclamebureaus en constructie- en consultancy-firma's, alsmede ook andere serviceverleners. Deze firma's zijn gewend om met beperkte bronnen te werken.
Vanuit een beveiligingsoogpunt moeten deze firma's steeds vaker het budget en de beveiligingsproblemen voor de ondersteuning van gebruikers op locatie en mobiel aanspreken. De onderstaande stappen kunnen uw bedrijf helpen deze uitdaging aan te gaan.
1. De bedrijfskritische behoeften van uw organisatie bepalen
Voordat u een beveiligingsstrategie gaat ontwikkelen, moet u kijken naar de belangrijkste aandachtspunten voor de groei van uw bedrijf en het omgaan met klanten binnen uw industrie of sector.
In het geval van de advocatuur is de vertrouwelijkheid van de klant het allerbelangrijkst, dus mag u niet beknibbelen op de bescherming van gegevenstoegang en privacy. Advocatenkantoren die vaak een hoge mobiliteit vereisen, moeten kijken naar robuuste toegangs- en controlemogelijkheden, volgens Greg Young, research vice president van Gartner Inc. De invoering van deze technologieën betekent dat alleen bevoegd personeel toegang heeft tot bedrijfsgegevens en wijzigingen kan aanbrengen in het netwerk (zoals het toevoegen van software of nieuwe gebruikers).
John Green is CIO van Baker Donelson, een advocatenkantoor in Memphis, Tennessee met 1000 werknemers. De beveiliging van laptops is een heet hangijzer voor Green, die altijd op zoek naar nieuwe manieren om de beveiliging te verbeteren, inclusief de invoering van coderingsmogelijkheden. Daarnaast is hij ook geïnteresseerd in de nieuwe Windows Vista-release, waarbij hij opmerkt: "Ik kan niet wachten om Vista te evalueren. Het systeem beschikt over betere ingebouwde beveiligingmogelijkheden dan XP, waaronder de mogelijkheid om de vaste schijf te coderen. Dat is een van mijn prioriteiten". Momenteel codeert Baker Donelson de e-mailberichten voor bepaalde cliënten.
De beveiligingsproblemen bij reclamebureaus daarentegen, vereisen het beheren van enorme volumes grafische bestanden en het werken met externe medewerkers die vaak geen tijd hebben voor wat zij beschouwen als een beveiligingsinbreuk op hun werkstroom. Volgens Kevin Beaver, oprichter en belangrijkste adviseur bij de beveiligingsconsultancy-firma Principle Logic in Atlanta, kunnen deze creatieve medewerkers profiteren van de voordelen van veilige externe communicatie zonder technisch gedoe, door gebruik te maken van het virtuele particuliere netwerk (VPN), dat onderdeel uitmaakt van de meeste firewalls. "Dat voldoet ruimschoots", aldus Beaver over de ingebouwde technologie. "Is het niet te hacken? Nee, maar niets is 100 procent zeker".
2. Uitbestedingsmogelijkheden evalueren
Wat betreft middelgrote bedrijven, bevinden de gevoeligste gegevens zich meestal in de salarisgegevens, aldus Russell Morgan, oprichter en president van Information Technology Solution Providers Alliance, een bedrijf dat zich richt op kleine en middelgrote bedrijven. Het gevolg is dat steeds meer constructiefirma's zich wenden tot het uitbesteden van hun salarisadministratie. Het vereist een enorme dosis vertrouwen voor bedrijven om hun missiekritische gegevens toe te vertrouwen aan derden, aldus Russell, hoewel het eenvoudig genoeg is om zekerheden in uw contracten te verweven. "In bijna alle omstandigheden, zijn beheerde serviceverleners gebonden en bereid om contracten te tekenen met betrekking tot overeenkomsten op serviceniveau en prestatiekenmerken", voegt hij eraan toe.
Middelgrote professionele serviceverleners maken steeds vaker gebruik van de voordelen die beveiligingsservices door derden bieden, omdat zo de lasten voor complexe IT-beveiligingsvereisten worden doorgeschoven naar experts. Beheerde serviceverleners spelen nu specifiek in op de behoeften van middelgrote bedrijven als reactie op de groeiende vraag binnen dit marktsegment. Hoewel er verschillende niveaus zijn voor het uitbesteden van beveiliging, bestaan het grootste deel van de pakketten uit systemen voor controle, firewallconfiguratie en inbraakdetectie.
Het is niet eenvoudig om een rechtstreekse kostenvergelijking te maken tussen het uitbesteden en het intern beheren van beveiliging. Beheerde serviceverleners berekenen hun prijzen meestal per gecontroleerd apparaat, zoals een firewall of gateway, wat een andere methode is dan het betalen van salaris aan personeel, aldus Young. Gelukkig worden de kosten voor beveiliging steeds vaker gestandaardiseerd, wat goed nieuws betekent voor middelgrote bedrijven. Bijvoorbeeld, de kosten voor het controleren van één firewall liggen meestal onder de 1.000 dollar per maand, merkt Young op.
Ondanks deze voordelen, moeten IT-afdelingen echter nog steeds de beheerde serviceverleners nauwkeurig doorlichten door referenties op te vragen van andere bedrijven in hun industrietak. Op basis van dat onderzoek moet de IT staan op strenge contracten, waarin alle serviceniveau- en bedrijfsvereisten zijn vastgelegd. Zorg ervoor dat de vereisten voor uw bedrijf aangaande de prestatiebehoeften grondig zijn onderzocht: er is een aanzienlijk verschil tussen 95 procent en 98 procent systeemtijd, en mogelijk vereist u zelfs het allerhoogste niveau (99,9 procent).
3. Richt u op kostenbesparing
Voordat u technologie aanschaft of een servicecontract ondertekent, moet u taken overwegen die uw organisatie weinig tot niets kosten, zoals ervoor zorgen dat uw Pc's beschikken over veilige configuraties en gratis versies van anti-spywareoplossingen toepassen (zoals Windows Defender). Afgezien van de kostenbesparende voordelen van verbeterde beveiligingstechnologie, is het beste rendement van uw investering in verbeterde beveiliging het geld dat uw bedrijf bespaart aan rampenbeheer wanneer er zich een noodsituatie voordoet. Als klantengegevens bijvoorbeeld op straat komen te liggen, zult u zich moeten afvragen hoe moeilijk het gaat worden om weer op te krabbelen na zo'n openbaar schandaal. De beste manier om een hoger beveiligingsbudget te krijgen, zeggen de experts, is om het maximale uit uw bestaande beveiligingscenten te persen. Dit betekent het evalueren van de huidige beveiligingssystemen en ervoor zorgen dat ze maximaal presteren.
Verwante Microsoft-oplossingen
Toegangsbeheer en controlemogelijkheden zijn beschikbaar in de toepassing Windows Security Auditing in Windows Server 2003. Bedrijven die een nog strengere beveiliging zoeken, kunnen denken aan een geïntegreerd client-server beveiligingssysteem, zoals Microsoft Forefront. Voor wat betreft VPN-oplossingen, kan Windows Server 2003 worden geconfigureerd als een VPN externe-toegangsserver.
Bruce Hoard is een freelance schrijver in Bangor, Maine. Zijn werk is verschenen in Computerworld, Forbes Magazine en The Wall Street Journal.