Veel organisaties hebben geen beleid opgesteld voor het kopen en onderhouden van beveiligingscertificaten. Hierdoor is er geen grip op de lopende certificaten, wat voor kwetsbaarheden en risico’s zorgt. Tammy Moskites, ciso (en cio) voor Venafi, helpt organisaties met het opstellen van een beveiligingsstrategie door onder andere beveiligingscertificaten inzichtelijk te maken.
Moskites heeft ruim vijfentwintig jaar ervaring in de it. Momenteel vervult zij een dubbele rol bij beveiligingsbedrijf Venafi; ze is zowel cio als ciso. In haar functie helpt ze bedrijven met het opstellen van een beveiligingsstrategie door onder andere beveiligingscertificaten inzichtelijk te maken. Vol enthousiasme vertelt ze hoe zo’n beveiligingsplan wordt opgesteld: ‘Het bouwen van een beveiligingsstrategie begint met een basis. In negentig dagen doen we grondig onderzoek naar de organisatie, medewerkers, processen en gereedschappen van een klant. Wie werken er? Wat willen deze personen doen en bereiken in hun werk? Wat zijn de wensen van de organisatie? Welke problemen kunnen opduiken? Deze inventarisatie van de organisatie vormt de basis voor je strategie.’
Een belangrijk aandachtspunt voor het opstellen van het plan is flexibiliteit. ‘Je weet één ding zeker: na twee tot drie maanden gaat er een verandering in de organisatie plaatsvinden, waardoor de gekozen strategie moet worden aangepast’, vertelt Moskites. ‘Vaak willen organisaties een nieuw project invoeren waardoor de focus komt te liggen op de beveiliging van dit nieuwe project. Hierdoor moet je constant de prioriteit van beveiligingstaken kunnen herindelen en ‘Agile’ kunnen werken.’
Beveiligingscertificaten
Eén van de kernpunten van een beveiligingsstrategie is het gebruik van beveiligingscertificaten. ‘Veel medewerkers begrijpen niet hoe encryptie werkt of wat een beveiligingscertificaat doet. Wel begrijpt iedereen dat data beschermd moet worden.’ Moskites merkt dat organisaties vaak geen beleid hebben voor de aankoop en het onderhoud van de gebruikte certificaten. Doordat er geen beleid is opgesteld, koopt een medewerker vaak snel een certificaat wanneer dat nodig wordt geacht. Vervolgens worden deze (certificaat)gegevens willekeurig opgeslagen. ‘Hierdoor hebben organisaties geen grip op welke certificaten gebruikt worden en wanneer deze verlopen of bijgewerkt moeten worden.
Daarnaast beschikken bedrijven vaak over meer certificaten dan ze in eerste instantie dachten.’ Het gebrek aan een beleid en daarmee kennis over de huidige stand van zaken zorgt voor kwetsbaarheden en beveiligingsrisico’s. Zo kan het zijn dat een certificaat verloopt die de klantdata beschermd. ‘Als een gebruiker dan een website bezoekt, komt er een melding dat het certificaat is verlopen. Ondanks dat dit onveilig is voor de gebruikers, accepteren gebruikers vaak de (onbekende) veiligheidsrisico’s om de website toch te bezoeken.’
Certificate Authority
Een tweede probleem met beveiligingscertificaten is dat er ondertussen zo veel op de markt zijn, dat organisaties niet meer weten of de gekozen certificaten überhaupt veiligheid garanderen of niet. Door inzichtelijk te maken welke certificaten een organisatie allemaal in gebruik heeft, kan dit probleem worden opgelost: ‘Venafi maakt een directory van alle gebruikte certificaten. Dit biedt organisaties een compleet overzicht van alle interne en externe certificaten. Hiermee kan een organisatie kritisch kijken naar de certificaten en de ‘slechte’ weg doen.’
Bovendien maakt de database inzichtelijk welke certificaten nog geldig zijn en wanneer deze verlopen en zonodig moeten worden vervangen. Een tweede stap is om een beleid over de beveiligingscertificaten op te stellen: welke mogen gekocht worden? En wie mag deze kopen? In de Verenigde Staten zijn verschillende Certificate Authority’s (CA’s). Moskites raadt organisaties aan om bij verschillende CA’s een certificaat te gebruiken. ‘Mocht er iets mis zijn met een CA, dan kun je nog altijd makkelijk overstappen op een andere CA.’
Te kort aan it-professionals
Voor het opstellen en uitvoeren van een beveiligingsbeleid moet je dus Agile kunnen werken. Dit vraagt om steeds nieuwe vaardigheden van it’ers en securityspecialisten. In haar functie als cio is Moskites verantwoordelijk voor de samenstelling van haar (security)team. Ze merkt dat er te weinig gekwalificeerde it-professionals zijn. ‘Vaak wordt it als een suf vakgebied gezien. Ik denk dat dit imago moet veranderen en we meer mensen moeten enthousiasmeren voor de it.’ Dit begint al bij de jeugd: ‘Kinderen moeten al vanaf de basisschool aangemoedigd en geënthousiasmeerd worden over de it. dit is namelijk een uitdagende beroepsgroep met veel kansen en mogelijkheden.’
Moskites maakt graag de vergelijking met doktoren. Aan kinderen wordt verteld dat het een goede ambitie is om dokter te worden. Het is een uitdagende en complexe baan waar bovendien veel geld in te verdienen is. Maar de it en met name security is ook een uitdagende beroepsgroep. Ook hier moet je 24/7 beschikbaar zijn. Zo was Moskites met haar familie op een cruise toen er een probleem bij een klant voordeed. Hierdoor bleef zij aan land om het probleem op te lossen. Maar erg vindt ze het niet: ‘Ik ben dol op wat ik doe en ga elke dag met plezier naar mijn werk.’ Bovendien verdient een baan in de it ook goed, voegt ze lachend toe aan redenen om voor een baan in de it te kiezen. ‘Ik heb de lonen de afgelopen jaren verdubbeld zien worden.’
Zelfvertrouwen
Door de jeugd te enthousiasmeren voor it hoopt Moskites dat dit ook bijdraagt aan een toename van vrouwen in de it-wereld. ‘Ik ben in de jaren tachtig begonnen in de it. Tijdens mijn studie tot hospitality manager kwam ik er in een programmeerles achter dat ik liever in de it wilde werken. Ik ben van studie veranderd en heb een it-diploma behaald. Destijds was het moeilijk om een technologische baan te vinden, maar nu zijn er meer mogelijkheden voor vrouwen om in de it te werken.’ Wel merkt Moskites dat er weinig vrouwen solliciteren op een it-functie. ‘Van de vijfentwintig aanmeldingen zijn slechts één of twee vrouw. Als haar vaardigheden in de buurt komen van de gevraagde functie, dan nodig ik haar natuurlijk uit.’
Tijdens een sollicitatiegesprek let ze niet alleen op de kwaliteiten van de sollicitant, maar ook op het enthousiasme. ‘Ik ben dol op mijn werk en neem alleen mensen aan die enthousiast over de functie zijn.’ Volgens Moskites ontbreekt dit enthousiasme nog wel eens bij vrouwen omdat ze niet zelfverzekerd genoeg zijn. ‘Vrouwen denken dat zij harder moeten werken, maar ze hebben gewoon meer zelfvertrouwen nodig.’ Daarnaast moeten vrouwen een dikke huid hebben in de it. ‘Je zit in een mannenwereld en daar is de cultuur altijd net even anders. Je moet hier op de juiste manier mee kunnen omgaan.’
Certificaten zijn niet populair in de IT omgeving. Vaak ontstaan er problemen bij de installatie of verstoringen in de infrastructuur bij B2B datacommunicatie.
Het beheren van Certificaten op een centrale plaats binnen het Configuratiemanagement is ook vaak niet goed ingeregeld. Dat leidt tot nieuwe verstoringen als certificaten hun geldigheidsduur overschrijden. Vaak wordt er dan pas actie ondernomen voor het centraal distribueren van de componenten via system management en maintenance tools.