De afgelopen jaren zie ik in toenemende mate dat de securitymarkt is volgestroomd met bedrijven die 'wij van wc-eend'-achtige producten en deeloplossingen aanbieden, zonder dat het securityprobleem 'allesomvattend en integraal' wordt aangepakt. In de huidige cyber wereld zijn de dreigingen te breed in scope en te geavanceerd om deze niet 'allesomvattend en integraal' aan te pakken.
Ik constateer dat een groeiend aantal organisaties ingaat op de aanbiedingen van deze ‘wij van wc-eend' deeloplossingen zonder dat er een overkoepelende partij met een allesomvattende en integrale aanpak bij betrokken is.
Aan de ene kant begrijp ik dat organisaties alleen voor de deeloplossingen kiezen. Ze denken vaak korte termijn, hebben geen of geen gemandateerde ciso (chief information security officer) in hun organisatie aangewezen (security is dan belegd bij de cio of ergens in deit- afdeling). Ook richten ze zich vooral op de business en willen snel en goedkoop voldoen aan bestaande en nieuwe compliance regelgeving, met de verwachting dat hiermee hun beveiligingsproblematiek ook is opgelost.
Aan de andere kant wil ik het niet begrijpen, want leren wij dan echt niets van 'Lektober', Diginotar en Anonymous? Waarom zijn we als maatschappij nog steeds verbaasd wanneer we in de media lezen dat organisaties zijn gehacked of dat er ‘per ongeluk' gevoelige informatie op straat is gekomen?
Hacks nemen toe
Het is mijn verwachting dat de stroom van hacks de komende periode niet afneemt, sterker nog, ik denk dat de hacks alleen maar toenemen, zolang de 'wij van wc-eend'-producten en oplossingen door organisaties blijvend worden aangeschaft zonder dat een 'allesomvattende en integrale aanpak'. Een aanpak, die bestaat uit procesdenken, ketenintegratie en een gedegen securityanalyse. Een gedegen securityanalyse, die ik de afgelopen jaren in mijn werk als securityconsultant slechts twee keer (!) ben tegen gekomen.
Ik ben dan ook van mening dat iedere organisatie (ja, je leest het goed: iedere organisatie) een gedegen risico analyse moet doen. Een basis voor deze analyse kan een 'risk appetite' van de organisatie zijn. Dit betekent dat het management aangeeft hoeveel risico ze bereid is te lopen. Vaak zie je dat de organisatie voor een risico analyse hier niet over heeft nagedacht met als gevolg dat een 'risk appetite' na de uitkomst van de securityanalyse wordt geformuleerd. Eén ding is zeker, de uitkomsten en de opvolging van een risico analyse hangen samen met de ‘risk appetite' van de organisatie. Althans als het goed is.
De doelstelling van bedrijven is mijns inziens een streven naar een afgewogen niveau van kosten en baten van beveiliging, zoals aangegeven in de 'risk appetite'. Op basis hiervan kan vervolgens een risico analyse plaatsvinden, die in grote lijnen bestaat uit:
– het in kaart brengen van het organisatie-landschap,
– het bepalen van de dreigingen, kwetsbaarheden en inherente risico's,
– het in kaart brengen van de huidige securitycontroles en hun effectitiviteit in het verminderen van bedreigingen,
– de analyse van de overgebleven risico's,
– het voorstellen van additionele mitigatie maatregelen/controls, die niet alleen bestaan uit preventieve maatregelen, maar ook kunnen bestaan uit pro-actieve maatrgelen zoals bijvoorbeeld het gebruiken van monitoring & response als integraal aspect.
Vanzelfsprekend wordt bij een risico analyse gekeken naar zowel externe als interne aspecten (eigen werknemers en systemen).
Nog meer ‘wc-eenden’
Zonder gedegen risico analyse wordt er te veel geld en waarschijnlijk op de verschillende plekken uitgegeven met de kans dat er nog meer hacks en veiligheidsincidenten volgen. Dit kan dan weer tot gevolg hebben dat er nog meer ‘wc-eenden' op de markt komen. Dit zou op zich ook geen probleem zijn als deze deeloplossingen holistisch en integraal zouden worden geïmplementeerd. Maar dit is helaas niet altijd het geval. Daarnaast beschikt geen enkele partij over alle benodigde deeloplossingen en kan geen enkele partij dit alleen implementeren. Samenwerking wordt dan ook een must.
De holistische aanpak begint met een gedegen securityanalyse (zoals hierboven aangegeven) en wordt gevolgd door advies inclusief implementatie. Het is juist die combinatie van de securityanalyse, het advies, de implementatie en de samenwerking met andere partijen, die het verschil maakt. In de huidige wereld is het namelijk onmogelijk om de complexe securityuitdagingen door één partij te laten oplossen. Daarvoor is het domein te breed en is er geen enkele partij ter wereld, die alle benodigde kennis, expertise en ‘bemanning' in huis heeft. Bij een dergelijke gezamenlijke aanpak, ben ik wel een voorstander van een éénhoofdige leiding, zodat de klant één verantwoordelijk aanspreekpunt heeft.
Hierin kunnen ook de ‘wc-eenden' van deze wereld een plaats krijgen, maar dan wel als element van één integrale oplossing. De oplossing bestaat dan niet uit óf een Identity & Access management beleid, óf een monitoring tool (inclusief IDS/IPS), óf een security awareness opleiding voor het personeel, óf een applicatie securityoplossing, óf……Nee, volgens mij moet een integrale oplossing bestaan uit: ‘en, en, en en en'. Pas op het moment dat organisaties dit gaan inzien en gaan toepassen, dan pas hebben wij als maatschappij een kans van slagen en kunnen wij daadwerkelijk tegenstand gaan bieden aan de kwaadwillenden.
Ik hoop dan ook dat het ‘wij van wc-eend' verdwijnt en wordt vervangen door ‘wij samen op basis van de risk appetite, de risico analyse en de holistische aanpak'!
Wat zou dat toch mooi zijn…
Security wordt pas een issue als je er zelf mee te maken krijgt.
Ik kan een boek schrijven over hoe mensen hun wachtwoord tesamen met token aan een ander geven. – al dan niet bewust of via social hacking.
Wat ik in dit artikel mis is dat 70% van de cybercriminaliteit van binnenuit komt, dat geen enkele beveiling waterdicht is of dat het dusdanig veel kost t.o.v. de baten, en het belangrijkste….
Dat je op deze manier bij voorbaat al laat merken weinig vertrouwen te hebben in je eigen werknemers.