Securityspecialisten worden vaak verweten dat zij beperkend werken door informatiebeveiligende dogmatiek. Hierdoor zouden zij de werkzaamheid van de functionele vraagbeantwoording frustreren. Een leek ziet niet direct de risicomanagementafweging van maatregelen, maar ik zie ze eerlijk gezegd ook niet altijd. Dit komt dikwijls door vakexperts, die naar de voor hen bekende weg grijpen, zonder daar over na te denken vanuit een organisatie context.
Securityspecialisten zitten vaak gevangen in hun eigen technische expertise credo. Met vakjargon uit hun ‘technische vakboeken’ (de standaard maatregelen, codes en practices) zitten zij als ‘vaklieden’ (security experts) de organisatie in de weg door flinke oogkleppen. Uiteindelijk snijden zij zich daarmee zelf in de vingers, omdat ze niet gehoord (niet begrepen), securitybeleid mislukt en doelstellingen niet gehaald worden. Volgens dezelfde vakexpert ligt het dan meestal aan de slechte ‘awareness’, waardoor de securityvakgebied er doorgaans weer mee weg komt.
Richard Sennett schrijft bevlogen over een oplossing in ‘The Craftsman’. De Amerikaanse hoogleraar aan de London School of Economics en New York University is een invloedrijk socioloog en beschrijft hoe technische specialisten hier mee om zouden kunnen gaan. Dit artikel wil ik wijden aan hoe daar een link gelegd kan worden met het securityvakgebied. De herkenbare situaties uit de inleiding wijt hij aan het ontbreken of vergeten van ‘ambachtelijk werk’ verrichten. Dit illustreert hij fascinerend door een historische lijn te schetsen van middeleeuwse leermeesters en gildenhuizen, tot aan dezelfde toegewijde werkzaamheden van de hedendaagse computerprogrammeurs en ingenieurs. De experts met oogkleppen wijdt hij aan de verleiding om steeds vaktechnischere uitdagingen en ‘oplossingen’ te maken. Deze komen echter los te staan van de context en kunnen zelfs leiden tot allesvernietigende zaken zoals de atoombom. In de security treffen we dikwijls beveiligde systemen, of langdradige processen aan die wel veilig zijn, maar praktisch niet meer de primaire processen vergemakkelijken.
In de middeleeuwen werd kennis overgedragen via de gildehuizen. Leermeesters gaven de fijne kneepjes van het vak door aan de leerlingen die kopieën produceerden en eigen twist doorontwikkelden. Tijdens de Renaissance kwam daar verandering in. Creativiteit en originaliteit werden meer gewaardeerd. Originaliteit en creativiteit kon moeilijker worden doorgegeven. Dit zorgde ervoor dat minder expertise van generatie op generatie werd doorgegeven. Sennett meent dat ambachtslieden met behulp van machines in de achttiende en negentiende eeuw probeerden om het oude vakwerk in ere te herstellen. Maar dit bleek ook niet de oplossing.
Ik vergelijk de verheerlijking van de vaardigheid, om een materiaal te leren kennen en te kunnen bewerken, met de vaktechnische kennis van de securityexpert. Sennet maakt daar onderscheid tussen werk en handelen. Door vakinhoudelijk specialistisch goed securitywerk te doen, wil het volgens hem nog niet zeggen dat de specialist uiteindelijk ook goed handelt, namelijk een eindproduct levert waar iedereen blij mee is. Technologische kunstjes worden dan slechts herhaald volgens het boekje en daarmee gaat uiteindelijk de beroepsethiek en kracht van het security-vakgebied verloren.
Werkmethodes die tot een universeel basisprincipe gemaakt worden, zonder hierover verder na te denken, leiden tot eenzaamheid van de expert. Een ambachtsman zou juist moeten participeren in de organisatie. Impliciet zou kunnen worden verondersteld dat de individuele security specialist op die manier ook weinig zinvol kan zijn.
Dan nog de mislukte oplossing van zijn hoofdstuk ‘Machines’. Sennett maakt duidelijk dat de verbinding tussen theorie en praktijk, maker en gebruiker dezelfde kan zijn tussen expert en vakmanschap. Hij beargumenteerd dat alleen pure vaktechniek en deadlinecompetitie een slechte kwaliteits-performance-indicator is. Het laatste maakt de vakman obsessief en de gebruikers gefrustreerd. Sennet verzet zich tegen de klakkeloze mechanisering en legt uit hoe technologie security dom kan maken, door puur repetitieve kunstjes. De ware vakman zou juist in staat moeten zijn om voor ieder probleem unieke oplossingen te vinden en slecht delen van de techniek te gebruiken die zinvol zijn. Dit leidt uiteindelijk wel tot kwaliteit van het vakmanschap.
Richard Sennett leert mij daarmee security als ambacht te herwaarderen. Niet als speeltje (gereedschapstool) van de vakexpert, maar als een zinvolle vaardigheid: een arbeidsethos. Hij laat ons in ‘The craftsman’ nadenken over onze verhouding tot ons werk. Het vakmanschap komt gelukkig toch nog regelmatig bovendrijven. Sennett noemt zelf de computerprogrammeurs die 'open software', zoals Linux, verbeteren. 'Linux draws on craftsmen in an electronic bazar.' Als security experts kunnen we de zegeningen tellen van onze Code en best practices. Anderzijds moeten we daar niet alleen als ‘domme’ blueprint op vertrouwen. Het bijzondere van de ambachtsman is het verlangen om zijn arbeid goed te doen. Niet het productief vermogen van een ambachtsman, maar het zelfbewustzijn door ervaring in steeds een nieuwe en andere context is het ware vakmanschap. Zo kan de security ambachtelijke beroepspraktijk weer maximaal bijdragen aan het signaleren en oplossen van security problemen.
Bron: Richard Sennett, 'The Craftsman', Yale University Press, 326p
Wat die Middeleeuwen betreft zitten wij op dit moment ook een soortgelijk dogmatisch denken vast. Kwaliteit wordt automatisch geassocieerd met duur en dat is slecht voor de winst. En om de beeldspraak verder te trekken waart nu de builenpest rond in de vorm van talloze (internet) criminelen en anderen met dubieuze motieven.
Net zoals toentertijd de builenpest een symptoom was van voornamelijk slechte hygiëne zijn hedendaagse veiligheidslekken een gevolg van het ontbreken van veiligheid bij het ontwerp (Security by design). En ja daar heb je vakmensen bij nodig die naast de theorie ook voldoende praktijkervaring hebben om managers en gebruikers te kunnen uitleggen wat de redenen zijn om die veiligheidsmaatregelen door te voeren.
Informatiebeveiliging beoogt de kwaliteit van informatiesystemen te verhogen op het gebied van de aspecten (B)eschikbaarheid, (E)xclusiviteit en (I)integriteit.
Het probleem dat in het artikel centraal staat is gelegen op andere kwaliteitsaspecten als efficiëntie en gebruikersvriendelijkheid. Door het treffen van informatiebeveiligingsmaatregelen zullen informatiesystemen op deze kwaliteitsaspecten inboeten.
In de code voor informatiebeveiliging (ISO 2700x) en andere best practices wordt geen aandacht besteed aan het vinden van een goede balans tussen de BEI-kwaliteitsaspecten en andere.
Informatiebeveiligers hebben vaak een achtergrond in IT of IT-servicemanagement. Ze doen een CISSP-training en gaan daarmee de boer op. Voor hen is het moeilijk om zich in te leven in de gebruiker aan de businesszijde. Laat staan als zij direct vanuit de schoolbanken met informatiebeveiliging aan de slag gaan.
Het is wat dat betreft niet voldoende om informatiebeveiliging via een meester/gezel-constructie naar een hoger plan te brengen. Laat ze een periode aan businesszijde meedraaien, dan krijgen ze een idee van de negatieve effecten van maatregelen.
Daarnaast is het wellicht zinvol om in de code en andere best practices aandacht te besteden aan de externaliteiten (negatieve externe effecten of bijwerkingen) van beveligingsmaatregelen.
Ach het komt er gewoon op neer dat tegenwoordig iedere oetlul denkt dat hij het wel snapt.
Zoals de titel het artikel al aangeeft is security een vak appart. bovendien zorgen veiligheidsmaatregelen altijd voor beperkingen van gebruikers.
Daar security nu eenmaal altijd ondergeschikt is aan gebruikersgemakt (das meestal een ander woord voor gebrek aan competentie) is security iha ook verspilling van tijd.
Immers beveiliging, daar moet je niet over praten, maar daar moet je voor zorgdragen !
Tijdens mijn studie aan de TU heeft informatiebeveiliging een plekje in mijn hart verworven. Natuurlijk in eerste instantie als techneut, met het nodige plakband aan de bril en puberale uitwassen op mijn huid (grapje). Ik begreep er geen hout van dat mensen buiten het vakgebied niet begrepen waarom het essentieel was en ook toen al niet goed zat.
Ik ben inmiddels 20 jaar verder en wijzer. Goede informatiebeveiliging is net als het goed uitoefenen van een ambacht: je moet snel heen en weer kunnen wisselen tussen technisch details en helicopterview. En telkens opnieuw de mensen om je heen enthousiasmeren.
Helaas is deze combinatie van persoonlijke en inhoudelijke vaardigheden dun gezaaid. Dat geef niet.
Maar niets zo vervelend als rondom bijvoorbeeld het EPD te moeten constateren dat een auditor met maar 1 van de benodigde vaardigheden een goedluidende verklaring afgeeft. Een mooi stukje fysiek ambachtswerk kan iedereen herkennen. Het is geen Kunst maar wel mooi. Maar juist het goed toepassen van informatiebeveiliging is niet direct herkenbaar. Hoe je goed werk wel kunt herkennen als onwetende afnemer? Geen idee.
Maar ik ben het absoluut eens met de stelling dat informatiebeveiliging een ambacht is.