Print:

CISM: weg met slapeloze nachten om security

Jasper Bakker, Freelance ICT & internet-journalist

LinkedIn profiel

Genoeg securitymanagers die geen goede nachtrust genieten. Zij hebben moeite om effectief te zijn, om te overleven in de woelige, onveilige wereld van nu. Een Certified Information Security Manager (CISM) herwint de nachtrust.

Soms lijkt de ICT-wereld wel constant in de brand te staan; het ene na het andere security-incident passeert de revue. Vaak komt daarbij veel neer op de schouders van CISO’s (chief information security managers), maar ook op gewone securitymensen en IT-managers. Zie maar de enorm grote datadiefstal bij de Amerikaanse kredietinformatiehandelaar Equifax en de fout van een enkele werknemer.

Verantwoordelijkheid, analyse, prioriteiten

Tenminste, dat is de formele uitleg van de CEO die nu net is opgestapt naar aanleiding van de grootschalige hack. Voormalig Equifax-topman Richard Smith heeft verklaard dat het stelen van creditinformatie over ruim 160 miljoen mensen de schuld was van “een individu” in de IT-afdeling van zijn bedrijf. Deze ene werknemer zou een patch niet hebben geïnstalleerd, waardoor dus een kwetsbaarheid uitgebuit kon worden.

Natuurlijk is er veel meer aan de hand bij dit verkeerde voorbeeld van veilige ICT. André Beerten, onafhankelijk adviseur informatiebeveiliging, somt op: “Er was ontbrekende security-verantwoordelijkheid, ontbrekende patch-verantwoordelijkheid, ontbrekende analyse, ontbrekende prioritering.” De hoofddocent van de IIR-training CISM (Certified Information Security Manager) kan zo nog wel even doorgaan.

Het is net als met andere incidenten, weet hij, zoals bijvoorbeeld ooit bij KPN waar een kwetsbaarheid in back-up software HP Data Protector is misbruikt. “Het is mensenwerk, ook software patchen”, verzucht Beerten. “Wat ik in de praktijk veel tegenkom bij implementaties van securitymaatregelen is dat Jantje de verantwoordelijkheid krijgt, maar dat Jantje niet weet hoe dit uit te voeren of dat Jantje er de (priori-)tijd niet voor krijgt.”

Patchen vangen in processen

Wat de uitvoering betreft, moet een securitymanager niet alleen het patchen van software bij iemand beleggen. Dat moet ook gecontroleerd en geverifieerd worden. Elke patch moet worden geregistreerd in het change management proces en verlopen via dat proces, noemt Beerten als basale stap. Zo valt te zien of en wanneer een patch is uitgevoerd, of juist niet. “Je moet altijd een detectielus inbouwen in je securityprocessen.” Dit geeft dan na niet al te lange tijd een melding als iets niet goed is gegaan.

“Denk ook na over repressie”, vervolgt Beerten zijn advies over serieuze security-aanpak. Wat te doen als een patch niet geïnstalleerd is? Wat te doen als er toch een beveiligingsinbreuk is? Van tevoren moeten er dan maatregelen zijn genomen zoals het standaard afschermen van systemen, en het aanleggen van verschillende lagen security. “Defense-in-depth”, vat de adviseur informatiebeveiliging het bondig samen.

Ook daarmee ben je er nog niet. Richt ook KPI’s (key performance indicators) in, zegt Beerten. “Inclusief HR-processen”, om zo grip te hebben op bijvoorbeeld screening van personeel. Informatiebeveiliging is namelijk veel meer dan alleen een ICT-zaak. “Het gaat om governance. Hoe ga je meten, weten en ondervangen?”

Mensenwerk

Praktisch probleem is dat niet iedereen binnen een organisatie ‘op dezelfde pagina’ zit. “Dit raakt de menskant”, van het complexe geheel van informatiebeveiliging. “Je kunt niet alles bureaucratisch regelen. Je weet niet altijd wat mensen doen.” Sleutelpunt is de goede motivatie bij mensen te realiseren, voor security. En dat geldt echt niet alleen voor ‘gewone gebruikers’. “Zie de TJX-hack”, haalt Beerten een inmiddels misschien wat weggezakte recordhack aan.

De Amerikaanse kledingwinkelketen is in 2007 gehackt, door een bende cybercriminelen die al veel meer op hun kerfstok hadden. Beerten vertelt dat developers van TJX data moesten uitwisselen tussen twee locaties die vlak bij elkaar lagen, maar dat daartussen geen directe bedrade verbinding was. Dus is er even praktisch een WiFi-kanaal opengezet, met WEP-beveiliging. Het aftappen van alle gevoelige data die daarover heen en weer ging, was een peulenschil voor hackers.

Het kan dus ook developers en andere IT-professionals ontbreken aan securitybesef. Beerten kan dit wel verklaren: “Het is meestal geen naïviteit, wel wat onkunde. Maar zelden is het onwil. Mensen willen gewoon hun werk doen.” Daarbij stuiten ze vaak op gebrek aan middelen om dat op een veilige manier te doen. Dan delft security nogal eens het onderspit.

Gebrek aan ‘plek’ voor security speelt ook op andere manieren mee. “Als je als beheerder alleen wordt afgerekend op hoe snel of betrouwbaar een systeem werkt, of als je geen tijd voor securitywerk krijgt”, dan zal het gevolg zijn dat beveiliging geen aandacht krijgt.

Op afstand toezien

Vandaar dan ook dat een CISO nooit ín de IT-afdeling moet zitten, bepleit Beerten. “Hij moet – namens de business – vanaf een afstandje toezien op die IT-activiteiten.” De IT-afdeling is namelijk ‘slechts’ uitvoerder en niet eigenaar van de beveiliging. “Een CISO die bij de IT-afdeling hoort, is als een slager die zijn eigen vlees keurt.”

Bovendien moet zo’n CISO, als controlerend orgaan, stevig in de schoenen staan. Management besteedt vaak veel woorden aan ‘de medewerkers’ wat securityregels betreft, maar zij zijn dat zelf ook, wijst Beerten fijntjes. Genoeg C-level managers die zelf de regels schenden. Daarnaast hebben zowel management als IT’ers vaak te veel oog voor de prachtige mogelijkheden van de technologie. “Innovatie wordt te veel gelijkgesteld aan ICT”, constateert Beerten.

Let wel, hij pleit zeker niet voor een security-aanpak die dwarsligt en telkens maar ‘nee’ zegt. “Dan wordt je het department of business prevention”, waarschuwt Beerten. “Dan wordt je vrij snel irrelevant.” Want mensen weten securitymaatregelen dan wel te ontwijken, in de drang om hun werk te doen en in de jacht op innovatie.

‘Ja, mits’

Het antwoord hierop is om in plaats van ‘nee’ dan ‘ja, mits’ te hanteren, luidt Beerten’s belangrijke advies. Lig niet dwars voor werk- en ICT-initiatieven, maar geef randvoorwaarden mee voor security. “Dat is nodig om effectief te zijn als CISO én om te kunnen overleven.”

Genoeg securitymanagers die slapeloze nachten hebben. Beerten benadrukt dat een CISO ook zijn (of haar) macht en de grenzen daaraan moet kennen – en erkennen. “Succes wordt niet bepaald door wel of geen security-incidenten, maar door de mate waarin je je middelen hebt toegepast.” Heb je binnen je rol en taken de juiste instrumenten en mechanismen opgezet en ingezet? “Wanneer doe ik het goed? Als je je goed voorbereidt!” Een wijze les die geldt voor informatiebeveiliging in de praktijk en in de theorie van de IIR-training CISM. Weg met slapeloze nachten om security!

 

CISM IIR

Wij gebruiken cookies om IIR.nl gemakkelijk te maken. Bezoekt u onze website, dan gaat u akkoord met deze cookies meer informatie

De cookie-instellingen op deze website zijn ingesteld op 'toestaan cookies "om u de beste surfervaring mogelijk. Als u doorgaat met deze website te gebruiken zonder het wijzigen van uw cookie-instellingen of u klikt op "Accepteren" hieronder dan bent u akkoord met deze instellingen.

Sluiten