Vraagstukken op het gebied van it-security worden meestal benaderd vanuit de technologie. Echter technologische oplossingen bieden slechts een deel van it-security. De grootste uitdagingen liggen op organisatorisch vlak. WikiLeaks kwam niet aan zijn duizenden documenten vanwege een lek in een firewall maar door een lek in de organisatie. Security is mensenwerk en het beheren van it-security infrastructuur moet beter worden geregeld.
In een moderne it-infrastructuur kunnen we niet zonder geavanceerde apparatuur en software om ongewenst dataverkeer te kunnen detecteren en te kunnen tegenhouden. Gelukkig is het besef van de noodzaak van deze apparatuur en technologieën alom vertegenwoordigd. In een organisatie waant men zich vervolgens veilig vanwege een indrukwekkend machinepark van security componenten Echter dit is een schijnveiligheid; hardware is slechts het begin..
Security policy
Essentieel is een ‘security policy'. Deze moet (pro)actief worden onderhouden en voortdurend worden bijgesteld. Belangrijk daarbij is het om een balans te vinden tussen veiligheid en bescherming enerzijds en werkbaarheid en efficiëntie anderzijds. De security policy moet een belangrijke status krijgen in de organisatie en de verantwoordelijkheid hiervoor moet belegd worden op een plaats hoog in de hiërarchie. Hierdoor kan de policy goed worden gehandhaafd. Het denken over, het beschrijven, het configureren, het beheren en het handhaven van een security policy zijn grote uitdagingen op menselijk en organisatorisch vlak.
De apparatuur zelf heeft ook onderhoud nodig: verlengen van licenties, upgrade van operating software, en updates in de vorm van security patches. Dit moet nauwgezet worden bijgehouden. Op functioneel niveau maken de componenten hun werk zichtbaar door middel van logging, alarms en meldingen, en via grafieken en diagrammen in monitoring applicaties. De grote uitdaging is om van al die stukjes output en logging een beeld te kunnen vormen van de staat van beveiliging en het te interpreteren en beoordelen. Dit is mensenwerk bij uitstek!
De praktijk in veel organisaties is dat het mensenwerk rondom security slecht is georganiseerd. Om te beginnen ontbreekt er een duidelijke en uitgewerkte security policy. En als het er al is dan is het een verouderd document dat moeilijk is te vinden en dat niet is bijgewerkt. Indien security wel organisatorisch is belegd dan is dat vaak als onderdeel van het takenpakket van de it-manager. Deze persoon heeft het te druk met de dagelijkse operationele sores van it-beheer en de beste man of vrouw staat niet hoog genoeg in de organisatie om het security beleid te handhaven.
Vaak wordt het security beleid niet actief bijgehouden en aangepast aan de veranderende omstandigheden. Er wordt dan niet meer afgevraagd waarom er destijds bepaalde keuzes zijn gemaakt en of die nog wel geldig zijn in de huidige situatie. Sterker nog, de beveiligingsmatrix die ooit schetsmatig is uitgetekend op de achterkant van een sigarendoosje en nooit verder is uitgewerkt, is een dogma geworden. Een periodieke herijking van je security uitgangspunten en richtlijnen is dus onontbeerlijk.
(Geen) duidelijk zicht
Hoe dichter we komen bij het operationele niveau, de werkvloer, hoe minder duidelijk en scherp het onderwerp security is belegd. Door de diffusie van security over de verschillende it-vakgebieden onstaat het risico dat men geen duidelijk zicht heeft of de security maatregelen naadloos op elkaar aansluiten; er kunnen ongemerkt hiaten onstaan.
Een ander risico is dat het onderwerp security een te lage status heeft omdat het er slechts als een aspect of aandachtspunt bij hangt. Het raakt makkelijk ondergesneeuwd in het dagelijkse operationele 'geweld' van incidenten, wijzigingen en spoedeisende projecten. Security is dan lastig en staat een snelle implementatie en oplossing in de weg.
En dan hebben we het alleen nog maar gehad over het operationeel technisch beheer van je security componenten. Voor de beheerders is er te weinig tijd om dagelijks meldingen, logging en trends bij te houden. Daar komt nog bij dat de loggingsinstellingen vaak te ruim zijn geconfigureerd. Initieel zijn er te veel indicatoren aangevinkt. De uitkomst is dan een te grote hoeveelheid dagelijkse output die uiteindelijk niet meer wordt bekeken. Door de te grote stroom aan hooi kan de speld niet meer worden gevonden.
De beheerders komen al helemaal niet toe aan het nauwlettend volgen van de ontwikkelingen in de markt en het op de hoogte blijven van nieuwe bedreigingen in de vorm van nieuwe virussen en beveiligingslekken in operating software.
Borgen
Ik pleit dan ook voor het borgen van security in de organisatie door het onder te brengen in duidelijk te onderscheiden functies. Ten eerste moet er een Security Officer functie worden gevormd op een niveau tussen de directie en de ict-manager in. De Security Officer moet bevoegheden krijgen om vragen vanuit de business tegen te kunnen houden op grond van security overwegingen. Hij moet daarbij dichtbij de Board staan om security het gewicht en status te geven die het verdient.
Verder dient de Security Officer een operationele staf te krijgen om de implementatie van security tot aan de werkvloer te kunnen doorvoeren en te bewaken. Er moet een security consultant komen bij het intake proces van nieuwe projecten en aanvragen en bij de 'change advisory board'. Op operationeel niveau moeten er aparte security specialisten komen bij de beheer- en implementatieteams.
Belangrijk daarbij is dat ze onderdeel gaan uitmaken van deze teams en volledig meedraaien in de dagelijkse operatie. Echter in de lijn vallen ze rechtstreeks onder de Security Officer. Enerzijds wordt security zo op operationeel niveau duidelijk belegd, anderzijds zullen zo de dagelijkse belangentegenstellingen tussen business en security niet meer op het bordje terechtkomen van de ict-manager, maar komen ze snel, via de Security Officer, terecht op directieniveau.
Het nieuwe aan deze opzet is de introductie van een security kolom die nauwer verbonden zal zijn met de reguliere beheerorganisatie naarmate men dichter bij de werkvloer komt. Op elk niveau moet de kolom bestaan uit aparte toegewijde security specialisten, zodat we duidelijk en overtuigd een antwoord kunnen op de vraag: 'Who keeps an eye on leaks?'