Ik was deze week in Dubai op een conferentie van chief information security officers (ciso's) uit het Midden Oosten. Wat me daar als eerste opviel was de volwassenheid van Informatie Beveiliging in die regio. Als wij in West Europa de beelden op tv zien bekruipt ons al snel een superoriteitsgevoel: ‘ze lopen daar toch best wel achter’. Nou dat doen ze dus niet!
Maar ze willen wel graag leren. En dan zijn er natuurlijk altijd diverse West Europeanen bereid hun goede ideeën te delen. Vooral de aanwezige Britten begonnen natuurlijk direct over ‘best practices’ zoals onder andere verwoord in de ISO 27000 standaarden. Maar om aan te komen met een standaard van meer dan twintig jaar oud als antwoord op vragen over cyber-, cloud- en mobile-security is misschien wel ‘practice’ maar waarschijnlijk niet ‘best’.
Je kunt je overigens afvragen of het toepassen van ‘best practice’ een goed concept is in het kader van security. Als we namelijk allemaal op dezelfde manier gaan beveiligen maken we het de hacker community wel heel makkelijk… Misschien dus toch maar een soort 'defense in depth' door eigenwijze controls en technologieën te kiezen en niet massaal de trendrapporten en adviezen te volgen.
Niet dat ik iets tegen heb op de ISO-standaard en op leren van elkaars ervaringen, maar als we niet oppassen wordt het een doekje tegen het bloeden en gebruiken we het als een excuus om niet te hoeven nadenken over de moeilijke vragen die we echt moeten beantwoorden, zoals: hoe ontwikkel ik een security architectuur die flexibel is maar tegelijk robuust genoeg om dreigingen die ik nu nog niet ken het hoofd te kunnen bieden of die in ieder geval te detecteren. Helaas, daar hadden ze in Dubai ook nog geen pasklaar antwoord op. Toch maar zelf blijven nadenken dan!
Op het gevaar af niet compleet te zijn en ietwat te overdrijven stel ik dat de internationale beveiligingswereld inmiddels als archaïsch bestempeld kan worden. Tenminste daar waar het normen, standaarden en dergelijke betreft. Er is nog geen norm, standaard of model dat tegemoet komt aan cyber-, coud-, en mobile security. Misschien is de ongelooflijke dynamiek van deze ontwikkelingen te lastig?
Gelukkig zijn er vele individuele professionals die goed met de nieuwste uitdagingen omgaan.
Zelf goed nadenken moet je, los van welke norm dan ook, altijd blijven doen. Maar een actueel te toetsen normenkader zou mijn inziens welkom zijn…Wie pakt de handschoen op?
Rinus; kijk eens op cloudsecurityalliance.org. Daar staat een behoorlijk hanteerbaar normenkader.
Voor de mobiele dimensie is het wellicht anders, maar daar geldt bovenal dat je er weinig aan te beveiligen hebt, omdat je daar nauwelijks iets in te brengen hebt.
Wat er overblijft is hoe je het grensvlak inricht – en dat moet je zelf doen. Oftewel; SSO, SIEM en provisioning richting cloud en mobiele systemen.