28 juni 2007 14:41

Trends in beveiliging

De laatste maanden gaf ik een aantal presentaties over de jongste evoluties wat betreft governance van IT-beveiliging, telkens voor een heel verschillend publiek. Ik heb het elke keer gehad over de bewegingen die mij het afgelopen jaar het meest zijn opgevallen. En dan vooral het grote aantal bedrijven dat opteert voor governance van de veiligheid. Daarbij is het essentieel om de algemene directie te betrekken. Want de betrokkenheid van het management blijft een voorwaarde om bepaalde beslissingen erdoor te krijgen en belangrijke handelingen te realiseren.

Bedrijven die sterk afhangen van IT-beveiliging, stellen goede beheermaatregelen in en definiëren ook zorgvuldiger de rollen en verantwoordelijkheden op dit gebied. Deze bedrijven negeren niet langer – of toch veel minder – het risicobeheer. Ze beheren ook de processen die met beveiliging te maken hebben, en brengen verbeteringen aan op basis van bestaande referentiekaders en standaarden.

Ze zijn daar dan ook meer dan ooit toe gedwongen, om tegemoet te komen aan steeds meer en steeds strengere verplichtingen. Wie ontsnapt aan Basel II, Sarbanes-Oxley en de wetgeving ter bescherming van het privéleven, krijgt te maken met de noodzaak om certificaties te behalen zoals Webtrust, SAS-70 of ISO 27001.

Certificaties zijn ook in de mode voor security professionals zelf – maar kiezen wordt daar moeilijk. Ga je voor CISM, CISSP of CISA? En er is ook nog GIAC of de eigen certificaties van hardware- en softwareleveranciers als Cisco en Microsoft.

De trends volgen, dat betekent trouwens ook: het up to date houden van de basisinformatie waaruit de examenvragen voor al deze certificaties worden geput. De verouderde vragen eruit wieden en nieuwe vragen verzinnen, dat is de – helaas weinig lucratieve – taak die elk jaar wordt aangevat door enkele honderden IT security professionals. Als u gemotiveerd bent om zelf examenvragen te schrijven, aarzel dan niet om eens te informeren bij de ISACA.

De leerstof aanpassen, voor mijzelf is dit alvast een taak die mij regelmatig wacht in de vakantieperiode. Zo moet ik opnieuw het programma voorbereiden voor de volgende ‘Executive Master in ICT Audit’, waar ik verantwoordelijk voor ben. Dat zal in de volgende maanden moeten gebeuren, als we de stof willen opnemen in het programma dat in januari van start gaat.

De leerstof vinden is daarbij nog maar de eerste stap. Ze opnemen in het jaarprogramma en de juiste experts vinden om ze op de beste manier te brengen, dat is een minstens even zware taak. Wij zijn altijd bijzonder fier geweest op de universaliteit en de rijke inhoud van de opleiding die we brengen. Hoe moeten we ervoor zorgen dat we die reputatie ook het volgende jaar (www.solvay.edu/ict) kunnen waarmaken? Die vraag zal mij deze vakantieperiode bezighouden.

Georges Ataya is hoogleraar aan de Solvay Business School, internationaal vicepresidenten van het IT Governance Institute en afgevaardigd bestuurder van ICT Control SA-NV.