Moderne informatiebeveiliging

Stempel van de auditor, YES! Maar wat doe je de rest van het jaar om de boel veilig te houden?

Informatiebeveiliging is voor veel organisaties een moeilijk onderwerp. Het is net als kwaliteit. Je hebt niet één apart proces en/of één aparte afdeling die de lading dekt. Kwaliteit zit in alle dagelijkse werkactiviteiten van de gehele organisatie. Dit is met informatiebeveiliging niet anders. Het zit in alle lagen van de organisatie, in alle besluitvorming, in alle processen en in alle technologie die de organisatie gebruikt. Daarbij is waarschijnlijk de meest belangrijke opmerking nog dat het tussen alle oren van de organisatie zit.

De opsomming (lagen, besluitvorming, processen, technologie en oren) schetst een ideaalplaatje. Typisch voor veel organisaties is de volgende situatie:

• Er is beleid gedocumenteerd,
• Er is een uitgebreide technische securityinfrastructuur.
• Er is een Security Officer binnen de IT-organisatie (‘security is een IT-feestje’)
• V-2B: De Security Officer heeft wél de Verantwoordelijkheid maar géén Budget en Bevoegdheden om security organisatiebreed te organiseren.
• Er is een gapend gat tussen strategisch beleid en de operationele security infrastructuur.

Vele dappere pogingen over de jaren heen maken dat informatiebeveiliging, met de hakken over de sloot, de goedkeuring krijgt van externe auditors. Informatiebeveiliging sneeuwt onder vanuit de strijd die de IT-afdeling überhaupt heeft om aan te sluiten bij de organisatorische doelstellingen.

Je kunt gerust stellen dat informatiebeveiliging in die situatie ondermijnd wordt door het grote  gapende tactische ‘security gap’. Tussen strategisch papieren beleid en operationele technische security infrastructuur.

Nu lijkt dit een typische beschrijving van een organisatie waar informatiebeveiliging als een IT-feestje gezien wordt. Maar ook in organisaties, waar informatiebeveiliging als verantwoordelijkheid wel is neergezet bij medewerkers in de business, zie je dat er nauwelijks effectieve informatiebeveiliging gerealiseerd is.

Met de huidige trends van HNW, BYOD, cloud en social media komt dit hele plaatje nog eens sterker onder druk te staan:

• Mensen werken niet meer op kantoor (HNW).
• Er is straks geen eigen IT-infrastructuur meer (BYOD, cloud).
• Applicaties zijn niet meer van de organisatie en staan niet meer in eigen rekencentra (cloud).
• Informatie wordt intensief gedeeld met de buitenwereld via social media en apps (Facebook, Dropbox, WeTransfer).

Je kunt straks als organisatie nog maar aan twee knoppen draaien om informatiebeveiliging goed te regelen: Het éne oor in, het andere oor uit!

Lastige materie

OK, lastig dus dat onderwerp informatiebeveiliging. Maar is er dan geen kijk op hoe het wel moet? Daar ligt een tweeledig probleem:

• Organisaties vinden het lastig om ambitieus aan de  kwaliteit van hun normale dagelijkse activiteiten te werken. Er is geen visie, geen richting en te weinig leiderschap om dingen steeds iets beter te gaan doen. Binnen IT zie je zaken als Agile, Lean en Scrum. Die principes gaan veelal uit van de effectiviteit en efficiëntie van het bestaande. Bestaande processen en procedures worden geoptimaliseerd. Het vervelende is alleen dat in die bestaande processen en procedures geen security is ingebed. Kortom, met Lean zul je eerder wegsnijden dan toevoegen. Ergo, security wordt nog sterker op de achtergrond gedrongen. Project Managers hebben nog maar sterk beperkte middelen om hun resultaten te halen. Ze deden vóór Agile, Lean en Scrum al niet aan security. Laat staan dat ze nu de tijd hebben om het woord security überhaupt uit te spreken in een projectvergadering.
• Naast de gebrekkige ontvankelijkheid van de organisatie moeten security professionals de hand in eigen boezem steken. Het is in de afgelopen decennia technische security professionals nauwelijks gelukt om een diepgewortelde boodschap tussen de oren van beslissers en bestuurders te planten. Veel bangmakerij over technische risico’s is niet geland buiten de IT-organisatie. Security professionals moeten daarvoor over een veelzijdig profiel beschikken. Ze zijn techneut, communicatiespecialist, bruggenbouwer, jurist, HR-specialist, proces manager, project manager, programma manager en ze moeten in de directiekamer hun mannetje staan. Kort gezegd: ‘c’est le ton qui fait la musique’. Aansluiten bij de beslissers en bestuurders, en in de ander verplaatsen dus. En dat is maar weinigen gegeven.

Als deze twee problemen de oorzaak zijn van gebrekkige informatiebeveiliging, dan is de oplossing toch simpel? Helaas, de werkelijkheid is weerbarstiger. Principes als Lean, Agile en Scrum buig je niet gemakkelijk om. Gebrek aan leiderschap en visie is van alle tijden. En security specialisten, die als schaap met de vijf poten het onderwerp informatiebeveiliging succesvol uitrollen in de organisatie,  zijn ook zeer dun gezaaid.

Van start

Dit alles neemt niet weg dat je kunt starten met één van die onderwerpen. Neem een visie en een strategie. Dat doet het tijdens een wandeling ook erg goed. ‘We gaan naar die kerktoren aan het einde van de horizon. En we gaan alleen via zandweggetjes’. Je kunt nog even discussiëren over welke kerktoren en soms een klinkerweggetje. Maar de eerste stap in de goede richting is al snel gezet.

Onderstaand is beschreven hoe een securityteam zich succesvol kan richten op effectieve informatiebeveiliging. Daarbij is een vertrekpunt aangegeven en een toekomstige situatie voor verschillende aspecten.

Onderwerp	Traditioneel	Nieuwe situatie
Missie	Focus op beleidsontwikkeling en implementatie/beheer van maatregelen.	Focus op de business en geavanceerde technische toepassingen: business risicoanalyse, classificatie van assets, integratie van IT-supplychain, analyse van securitydata, datawarehousing en procesoptimalisatie.
Expertise	IT-specialisten met securityvaardigheden	Multidisciplinair team met zowel organisatorische als technische vaardigheden.
Focus	Reactief op dagelijkse activiteiten.	Proactief op strategische activiteiten.
Werkwijze	Geïsoleerde aanpak in silo’s met naar binnen gekeerde houding.	Samenwerking met gezamenlijke verantwoordelijkheid voor het beveiligen van informatie.
Kijk op risico	Checklistbeveiliging en mitigatie van alle risico’s.	Besluitvorming ligt bij afdelingen. Het securityteam adviseert over risico inschatting en risicobeheer.
Dreigingsdetectie	Focus op securitydata uit speciale securityapparatuur.	Detectie van afwijkend gedrag op procesniveau, op basis van brede security intelligence: analyse van data uit verschillende apparatuur, correlatie en vorming contextuele toegevoegde waarde.
Beheer van maatregelen	Basic securityinfrastructuur beheerd door securitybeheerders.	Grondig opgezette en  geoptimaliseerde securityprocessen, die uitbesteed worden (zowel intern als extern). Procesbeheer door securityteam op basis van SLA’s.
Controle werking maatregelen	Periodieke assessments door (externe) auditors op basis van handmatige werkwijze.	Continue verzameling en analyse van de juiste werking van securitymaatregelen (processen, technologie). Auditors gebruiken die data voor hun oordeelsvorming.
Procesoptimalisatie	Securityprocessen worden op ad-hoc basis geoptimaliseerd.	Securityprocessen worden continu gemeten en geoptimaliseerd op basis van modern procesmanagement.
Kwaliteiten	Achtergrond in IT en security.	Multidisciplinair: informatie management, wiskunde, economie, bedrijfskunde,  geschiedenis, militaire inlichtingen.

De bovenstaande tabel geeft mooi weer waar de uitdagingen voor de samenstelling en werkwijze van het securityteam op hoofdlijnen liggen. In de onderstaande tabel is de werkwijze meer op procesniveau toegelicht.

Onderwerp	Werkwijze	Doel
Verschuiving focus van techniek naar bedrijfsprocessen	·         Diepgaande kennis van end-to-end bedrijfsprocessen. ·         Samenwerken met business voor beschrijven van de processen.	·         Weten wat afwijkend gedrag is op procesniveau. ·         Begrijpen hoe aanvallers bedrijfsprocessen kunnen omzeilen of ondermijnen. ·         Optimale werking securitymaatregelen op basis van procesinzicht.
Risico inschatting op basis van cyber risico’s	·         Vertaling van cyber risico’s in business terminologie. ·         Beschrijving van risicovolle scenario’s (kans en impact). ·         Kwantificeren van risico’s in globale bedragen.	·         Afwegen van risico’s tegen business kansen. ·         Prioriteit voor cyber risico’s boven standaard risico’s. ·         Risico inschatting op basis van tastbare aspecten en effectiviteit van maatregelen,
Risicoanalyses met focus op bedrijfsaspecten en - processen	·         Automatiseren van risico management proces. ·         Registratie van risico’s op basis van identificatie, evaluatie, acceptatie en mitigatie. ·         Mogelijk maken van grotere acceptabele risico’s voor projecten met een kortere levensduur (of snelle implementatietijd).	·         Een meer integrale kijk op cyber risico’s (business versus techniek). ·         De business wordt verantwoordelijk voor het managen van risico’s. ·         Meer ruimte voor tijdgevoelige business projecten.
Zekerheid werking maatregelen op basis van continue bewijsverzameling	·         Procedures opzetten voor continue monitoren en rapporteren over de effectiviteit van securitymaatregelen (processen, technologie). ·         Documenteren en systematisch beheer van de meest kritieke securitymaatregelen. ·         Automatiseren van monitoring en rapportage.	·         Optimalisatie van securitymaatregelen. ·         Audits zijn efficiënter en verstoren het bedrijfsproces minder. ·         Vereenvoudiging van zowel interne als 3rd party assessments.

Als de kijk op de toekomst er uitziet zoals hierboven is beschreven kun je gaan nadenken welke dienstverlening het securityteam moet gaan bieden. Hieronder is dat beschreven, inclusief kwalitatieve doelstellingen.

Security Services

Het security team weet dus nu welke onderliggende ideeën er zijn om aan de slag te gaan. Ze moeten echter wel een portfolio aan verschillende security services in de aanbieding hebben. Denk daarbij aan de onderstaande services:

• Werken onder security architectuur.
• Security awareness.
• Secure development (applicatieontwikkeling volgens securityrichtlijnen).
• Security assessments.
• Adequaat beveiligde en geconfigureerde systemen (security requirements en security architectuur).
• Toegangsrechten die in lijn zijn met de organisatorische requirements.
• Adequate bescherming tegen malware, externe aanvallen en inbraakpogingen.
• Adequate incident respons.
• Testen van security.
• Monitoring en alarmering met betrekking tot security gerelateerde events.

Deze services zijn op hun beurt onder te verdelen in verschillende subactiviteiten. De volgende tabel licht dit voor het ‘Werken onder security architectuur’ toe.

Security service	Activiteit	Omschrijving	Kwaliteitsdoelstelling
Werken onder security architectuur.	Inbedden van security in architectuur.	Eisen en wensen t.a.v. security worden meegewogen in gapanalyses en keuze voor oplossingen.	Eisen en wensen t.a.v. security zijn ingebed in de enterprise architectuur en vertaald in een formele security architectuur.
	Onderhouden van de security architectuur.	Opzetten en onderhouden van een architectuur ‘bibliotheek’ met  security gerelateerde standaarden, herbruikbare documenten of bouwblokken, tooling om te modelleren, overzichten met relaties en afhankelijkheden en ‘platen’ om eenduidigheid in ontwikkeling en architectuur te realiseren en onderhouden.	Securityarchitectuur is in lijn met de enterprise architectuur. Relevante wijzigingen aan de enterprise architectuur worden doorgevoerd in de securityarchitectuur.
	Opzetten van een database met alle relevante assets.	Opbouwen en raadplegen van een gedetailleerde database over logische en fysieke assets: classificatie, eigenaar, locatie, onderhoud, waarde en hoe kritiek de asset is.	·         Alle assets zijn volledig geïnventariseerd en up-to-date. ·         Nieuwe assets worden snel en volledig gedetecteerd.
	Management van security configuraties.	Configuratie management levert de gegevens die worden gebruikt om incidenten te identificeren en vooruitgang te boeken bij de oplossing ervan. Gebruik het onderliggende configuratie management systeem (CMS) om de impact van een incident te beoordelen en de getroffen gebruikers te identificeren. Het CMS bevat ook informatie over categorieën van incidenten. Gebruik het CMS op een proactieve manier om incidenten, als gevolg van onbekende configuraties, te voorkomen. Verlaag ook kosten door gestandaardiseerde security configuraties te gebruiken.	Van alle assets en entiteiten is er binnen het CMS een juiste, volledige en up-to-date configuratie vastgelegd.
	Opzetten, en onderhouden, van het actief in kaart brengen van de infrastructuur.	Maak de ontdekking van nieuwe activa en entiteiten mogelijk, die beschikbaar komen en gebruikt worden binnen de infrastructuur.	Nieuwe assets en entiteiten worden tijdig en accuraat ontdekt.

De bovenstaande tabel is een voorbeeld van de uitwerking van slechts één van de services. Ook de overige services zijn op deze manier te beschrijven, waarbij ook een kwaliteitsdoelstelling is verwoord voor de subactiviteiten.

Door deze services verder uit te werken is het goed mogelijk om de werkwijze van het securityteam duidelijk te maken voor de rest van de organisatie. De kwaliteitsdoelstelling dient als kerktoren aan de horizon. Specificatie van metrics maken de doelstellingen van het securityteam compleet. 

 Conclusie

Informatiebeveiliging is en blijft een moeilijk onderwerp voor organisaties. Gebrek aan visie,  leiderschap , durf en kwaliteiten  maakt het geen gemakkelijke opdracht voor individueel verantwoordelijk gestelde Security  Officers. ‘Security als IT-feestje’ en principes als Lean, Agile en Scrum werken goede informatiebeveiliging structureel tegen. Dat maakt het niet een onoplosbaar probleem.

Een punt dat nog niet genoemd is in dit verhaal is de toepassing van ‘checklistbeveiliging’. Dan gaan de verantwoordelijken voor security alleen doen ‘waarop ze worden afgerekend’. Het probleem hiermee is echter dat in veel gevallen de ‘afrekening’ afhangt van de mening van de (externe) auditor. Het ontbreekt dan veelal aan een eigen visie, strategie, eigen wil en ambitie om beveiliging op een hoger plan te brengen.

Dit kan ontstaan in de situatie waar óók de IT-afdeling geen stevige visie, strategie, eigen wil en ambitie heeft. Stuurloos, dobberend en afwachtend zie je beveiliging als een check-in-the-box. Dit is onverantwoord en onprofessioneel naar mijn mening.

Een beetje visie en strategie met betrekking tot informatiebeveiliging kun je al snel vormgeven. Bovenstaand is daar een voorbeeld van gegeven. Ook de doelstellingen voor het securityteam kun je al snel in kaart brengen. Wat houdt je tegen?

Oh, je hebt alles uitbesteed en je voert slechts regie?

Dat ontslaat je niet van de verantwoordelijkheid om, samen met je leverende partners een intensieve inspanning te plegen om de beschreven visie, strategie, werkwijze, security services en (kwaliteits)doelstellingen in te vullen en te realiseren.

Ik zou zeggen: ‘Handen uit de mouwen, professioneel aan de gang en beveiligen die organisatie van je!’

(Verantwoording: In dit artikel is een mix van eigen ervaring/inzichten  met best practices van vendoren en ISACA beschreven)