Damit unterstützt Ebzery die Strategie, in Sachen Sicherheit erst einmal ins Unternehmensinnere zu gucken, statt Schutzwälle gegen Viren und Würmer aufzubauen. Im Einzelnen führt er folgende Gedanken aus:
-
Compliance: SOX, MITS, Basel II und kein Ende - in diesem Jahr werden die Regierungen noch mehr Regelwerke ersinnen, glaubt der Novell-Manager. CISOs müssen daher beweisen, dass ihre Unternehmen compliant sind. Konkret: Prozesse können vereinfacht, Netzwerkaktivitäten automatisiert und validiert werden, um Regularien gerecht zu werden.
-
Bedrohung von innen: Es ist nicht immer böse Absicht, wenn Mitarbeiter die IT-Sicherheit gefährden. Laptops, PDAs und USB-Sticks können eben schnell verloren gehen oder gestohlen werden. Das heißt für den CISO: Passwortschutz erhöhen, Verschlüsselungen und Firewalls einrichten.
Anders sieht es aus, wenn Mitarbeiter versuchen, Zugriffsmöglichkeiten auf eigene Faust zu erweitern. CISOs sollten stets wissen, wer was innerhalb des Netzwerkes nutzen darf und wie unerlaubter Zugang verhindert werden kann.
-
Identitäts-Diebstahl: Verlässliche Methoden zur Authentifizierung hängen von mehr als einem Faktor ab, betont Ebzery. Wenn die einzige Hürde zwischen einer Person und ihrem Bankkonto aus einem Benutzernamen und einem Passwort besteht, sei das ein Grund zur Sorge.
-
Weil Multifaktor-Authentifizierung häufig mit physikalischer Sicherheit verbunden ist, geht der Novell-Manager davon aus, dass in diesem Jahr beispielsweise Banken, Handel und das Gesundheitswesen verstärkt Zugriffskarten und -token einsetzen werden.
Die Mischung macht's
Jim Ebzery denkt generell, dass die richtige Kombination verschiedener Technologien stärker in den Mittelpunkt rücken wird. So können CISOs etwa Identitäts-Management mit Security Event Monitoring verknüpfen oder Identitäts-Management in Endpoint Security Tools integrieren.
Ezbery hat seine Einschätzung unter dem Titel "Novell: Sicherheitsprognosen für 2008" zusammengefasst.