ROI

No Security by Obscurity!

IT Beveiliging, in jargon ook wel IT Security of nog moderner cyber security genoemd is en blijft helaas een onderwerp wat te vaak de voorpagina’s van kranten haalt. Helaas niet door de innovaties waardoor een digitale inbraak nooit meer kan voorkomen. Nog altijd haalt het falen van IT beveiliging de breaking-news-items. Creditcard gegevens, gelekte pincodes bij chip-dippen of een hongerige worm op je bitcoin verzameling.

IT Architectuur en in het bijzonder een doordachte IT beveiligingsarchitectuur zou eigenlijk een betere bescherming moeten geven dan nu vaak het geval is.

Eerst een definitie: Open security is de inzet van open source software (OSS) of open source hardware (OSH) om beter beschermd te zijn tegen IT beveiligingsproblemen.

Een open benadering betekent dat ontwikkelingen en beheer transparant zijn en iedereen kan deelnemen aan dit proces. Intellectueel werk (software, hardware of documentatie) mag door iedereen gebruikt worden.

De kerngedachte is dat juist door volkomen transparant te zijn, een open security benadering intrinsiek voor een betere beveiliging kan zorgen dan een gesloten benadering. Doordat meer mensen en organisaties de kans krijgen om producten beter te maken, is de kans dat dit gebeurt groter dan bij gesloten benaderingen. Bij een gesloten benadering is de motivatie om verbeteringen aan te brengen vaak niet alleen intrinsiek, maar ook deels gedreven door bedrijfseconomische belangen.

Unbreakable

Natuurlijk is het zeer goed om na te denken wat beter is: Een bedrijf wat het beste beveiligingsproduct ter wereld wil maken en hier alles voor doet. Of een open benadering waaraan iedereen die het beste product wil kan meewerken?

In veel discussies of open beveiligingsoplossing  beter is dan gesloten beveiligingsoplossing worden meningen en feiten veelvuldig door elkaar heen gebruikt. De voor- en tegenstanders voeren vaak een zeer harde strijd. Logisch, want in IT beveiligingsland staan grote belangen op het spel. Hét ultieme antwoord op wat beter is bestaat niet, ook voor dit onderwerp ontbreekt helaas de absolute waarheid. Wel is de gouden-oude-regel voor wie twijfelt aan een oplossing altijd handig: No Security by obscurity! Ofwel in goed Nederlands: Niet vertellen hoe de beveiliging werkt, is zelden de beste beveiliging.

Veel geld uitgeven voor beveiliging is niet erg. We kopen allemaal graag een extreem duur slot wat diefstal van onze fiets 100% voorkomt. Maar naast geld draait IT beveiliging voor een belangrijk deel ook om vertrouwen.  Kunnen zien hoe iets werkt, zwakheden verbeteren, achterdeuren voorkomen of weten dat ze bestaan. Het kan een voordeel zijn…

trust