In onze praktijk als organisatieadviseurs op het gebied van informatiebeveiliging en kwaliteit komen we veel bij it-managers over de vloer. En als één ding ons hierbij duidelijk is geworden, is het wel dat de it-manager anno 2020 veel aan zijn hoofd heeft. En dat roept vragen op. Wat is tegenwoordig de ‘corebusiness’ van de it-manager? Wat komt er verder allemaal nog bij dat zijn aandacht vraagt? En welke keuzes maakt hij (of kan hij maken) als het gaat om zelf doen of uitbesteden? De stand van zaken.
De typische it-manager die wij tegenkomen – laten we hem (of haar) Alex noemen – is al lang niet meer verantwoordelijk voor alleen de continuïteit en beschikbaarheid van it. Van het ‘ hippe lijstje’ iot, blockchain, ai, edge computing, robotic process automation (epa), quantum computing, cyber & information security en data science staan er minimaal drie op zijn agenda. Daarbij stuurt Alex devops aan, waarmee hij ook verantwoordelijk voor het succes dat de organisatie vanuit haar it wil behalen.
Kleine kanttekening daarbij: het thema van onze dienstverlening (informatiebeveiligingsmanagement) bepaalt in zekere mate het profiel van de bedrijven die wij kennen: over het algemeen ambitieuze it-bedrijven met moderne (cloud) technologie, of organisaties waarvan de (steeds grotere) klanten om zekerheid/vertrouwen vragen dat hun kritische data in goede handen is. Er is dus een zekere confirmation bias in ons verhaal (buyer beware!).
Veel onderwerpen op de agenda dus; reden voor Alex om zijn team uit te breiden zou je zeggen. De praktijk leert echter dat dit makkelijker is gezegd dan gedaan. Alex heeft het lastig om aan nieuwe collega’s te komen. Hoewel meningen verschillen over de hoogte van het tekort aan it-professionals in Nederland (vijftigduizend of 150.000?), het bekende getal is dat eind vorig jaar zeven van de tien ict-vacatures moeilijk vervulbaar waren. Het gaat daarbij zowel om algemene als meer specialistische beroepen: naast beheerders en programmeurs (in taal of toepassing: Sharepoint, PHP, .NET, cloud, et cetera) ontbreekt het aan specialisten op het gebied van bijvoorbeeld business information, architectuur en security. Volgens een artikel in Business Insider gaat het bij dat laatste ook om (interne en externe) specialisten met betrekking tot ‘interne controle en informatiebeveiliging’. Iets dat wij op dat thema zeker herkennen. Er is een enorme behoefte aan betere informatiebeveiliging (beschikbaarheid, integriteit en vertrouwelijkheid) en aan garantie dat de it-systemen de prestaties blijven bieden die nodig zijn. De ISO 27001 eis wordt door inkopers steeds vaker neergelegd en in veel sectoren, denk aan de zorg (NEN 7510), automotive (Tisax) en overheid (bio/abdo), is die eis al verder doorvertaald naar branchespecifieke maatregelen.
Aspecten van security erbij hebben
Het bovenstaande leidt er bijna onvermijdelijk toe dat Alex de security officer activiteiten (soa, lachen!) erbij krijgt. En dat zijn gevoel daarbij vaak niet veel onderdoet voor zijn gevoel bij de andere betekenis van die afkorting. Mogelijk wordt Alex zelfs ciso of cio. Maar Alex heeft andere prioriteiten en moet keuzes maken. Wat doet hij zelf en wat kan of wil hij uitbesteden? In onze ervaring kiezen meer en meer ‘Alexen’ ervoor om werkzaamheden rondom security uit te besteden. Onze ervaring staat daarbij niet op zichzelf: het vorig jaar door Telindus uitgevoerde onderzoek geeft aan dat slechts zestien procent van de it-beslissers het niet noodzakelijk vinden security (deels) uit te besteden in de digitale transformatie. Daarbij kan het gaan om de technische kant, zoals managed security-as-a-service (msaas); dit is bijvoorbeeld al het geval bij een bekende organisatie als KPN. Maar ook de organisatorische kant kan worden uitbesteed. De eerdergenoemde informatiebeveiligingsadviseurs nemen steeds vaker deze kant voor hun rekening: de security officer-as-a-service (soaas) dus.
Hoe kan de SOaaS helpen?
Waar kan de soaas de it manager dan bij ondersteunen? Welke maatregelen kunnen ingezet worden, waar zitten de aandachtspunten? Hieronder een overzicht van bevindingen/ontwikkelingen die wij bij het uitvoeren van onze adviespraktijk tegen kwamen:
- Rollen, verantwoordelijkheden en bevoegdheden: Hier zien we twee aandachtspunten, met name bij groeiende organisaties:
- Bij veel organisaties ontbreken functieprofielen en daarmee ook duidelijke verantwoordelijkheden. Wanneer de groei aan beheertaken en security groter wordt, wordt het steeds lastiger om dat ‘erbij’ te doen. Belangrijke securitytaken (bijvoorbeeld intrekken van toegangsrechten) blijven liggen, met alle gevolgen van dien.
- Bij organisaties die in het verleden al wel functieprofielen hebben opgesteld, moeten deze (periodiek) worden geactualiseerd om (beter) aan te sluiten bij de snel veranderende it-competenties.
- Monitoring: Een veel voorkomend probleem is het gebrek aan technische monitoring (Nessus, Nagios, Nmap, Prtg), waardoor de focus met betrekking tot het informatiebeveiligingsmanagementsysteem blijft steken bij ‘het behouden van de certificering’. Dat is natuurlijk belangrijk, maar nooit een doel op zich. De wérkelijke securityprestaties en de controle hierop zijn dan onvoldoende in beeld. Positieve uitzondering hierop zijn over het algemeen bedrijven in hosting en telefonie, pentesten of cloudoplossingen met ingebouwde monitoring. Bij deze partijen is duidelijk zichtbaar een aantal oude it/legacy problemen niet aan de orde zijn.
- Security by design/security engineering principes: Security by design is één van de principes die wordt opgelegd vanuit de AVG/GDPR. De IS27701 norm (als add-on op de ISO27001) helpt om dit principe beter toepasbaar te maken. We zien echter dat security by design wordt geïmplementeerd met de snelheid van het uitfaseren van legacy. Traag, met andere woorden. Een onuitgesproken aanname in een aantal sectoren is dat het nog wel vijftien jaar kan duren voordat we op dit punt enigszins op niveau zijn. Ook hier zien we dat cloudpartijen de legacy overslaan en gebruik maken van technologieën als AWS control tower/Azure security center, met bewijs op basis van ISO/IEC 27017 en 27018 normen. Wij zien bij een aantal it-bedrijven die bijvoorbeeld actief zijn in data-as-a-service (daas), dat de techniek beschikbaar is om ook recht op vergetelheid technisch te borgen zonder dat een model van historische data instort.
- Robotic process automation (rpa) en logging: Sommige bedrijven borgen de eisen tot logging en naspeurbaarheid (audit trail) direct door middel van hun implementatie van rpa. Anderen missen een slag hierin en creëren juist een gat in de audit trail door de toepassing van Rrps.
- Ai/machine learning: Hoewel we de impact van ai/machine learning op dit moment nog weinig zien, verwachten we in de komende twee tot drie jaar een transitie van de grotere organisaties en van early adopters naar early followers. Deze zullen minder ervaren zijn in het thema (ze stonden immers niet aan de wieg ervan) en meer moeite ondervinden met het borgen (en daarmee een kwetsbaarheid introduceren).
- Low code/workflow: Ook ontwikkelingen op het gebied van low-code (platforms als Appian) en workflow bieden kansen wanneer het moeilijk is om it kennis in de organisatie in te brengen.
En op de langere termijn?
Nieuwe normen en best practices doen nu en in de toekomst hun intrede voor bovengenoemde onderwerpen. Een van de taken van de so(aas) zal zijn om de toegevoegde waarde in de gaten houden en er tijdig op te schakelen om de organisatie de aansluiting bij de markt niet te laten verliezen (continue verbetering).
En, it manager: waar staat u? Hoort u bij de 84 procent die uitbesteding overweegt? Wacht dan niet te lang, want er is veel te doen. Mocht u bij de overige zestien procent behoren, dan zijn wij benieuwd of u de uitdagingen van Alex toch herkent. Is dat niet het geval? Laat het ons weten. We houden ons beeld van de praktijk graag actueel en houden u op de hoogte.
(Dit artikel is geschreven in samenwerking met mijn collega’s Roelof Jan Vreeling en Gertjan de Beer.)
Waar heeft het artikel het over? Een multinational met enkele honderden ERP applicatie instances of een middelgroot bedrijf met wat websites en no-SQL databeestjes? Want dat maakt nogal een verschil qua security budgetten en mogelijkheden.
De genoemde tools zijn overigens sterk OS-gericht en niet specifiek op de bekende applicaties. Het blijkt in de praktijk dat de beveiliging van applicatielayers achterloopt op het OS. OS- of DB-toegang via de applicatie, XSS (CSS) en command- of SQL-command injectie via browsers hebben een veel grotere waarschijnlijkheid om plaats te vinden.
Het is misschien beter om te kijken naar security frameworks met specifieke applicatieplugins ipv. enkele TB’s aan OS-logs door te snuffelen op patronen die al dan niet achterhaald en/of sterk aan verandering onderhevig zijn.
AI & machine learning in security context: vergeet het .. de werkelijkheid verandert sneller dan AI ooit getraind en uitgeleverd kan worden.
Low/Code in een security context: nooit van gehoord. Bovendien is gegenereerde Low-Code notoir onveilig.
Waarom niet concentreren op het beveiligen van kritieke data (waarvoor data classificatie een vereiste is) en het tegengaan van die zwakheden met de grootste impacht op de organisatie en kans op exploitatie? Waarom geen plan ontwikkelen om deze geindentificeerde zwakheden binnen de mogelijkheden van een security budget gaandeweg weg te werken?
KJ,
Tobias en zijn collega’s certificeren een reddingsvest van beton omdat ze het drijfvermogen ervan niet testen, ze zijn security-officers in de achterhoede die het verschil niet weten tussen zicht- en vuurdekking. Want er zit een verschil tussen privacy-by-design versus security-by-design, eerste is een organisatorische zorg die niet uit te besteden is.
Nergens in het rapport van Telindus komt het woord privacy voor, de typische IT-belisser is waarschijnlijk een dompteur van papieren tijgers in het circus van certificeringen. En zeker is het een goed plan om eerst de data te classificeren maar C-level management die ik hierover gesproken vreest vooral reputatieschade. Als ze iemand anders de schuld kunnen geven van dataverlies dan zijn ze gered en een oplossing van betonnen reddingvesten is dus prima. Gecertificeerd gezonken is beter dan met averij de haven inlopen want de typische manager is niet de eigenaar van het schip.
@Oudlid
“een dompteur van papieren tijgers in het circus van certificeringen.” Lol, dat wordt een classic.
Wat ik mij altijd weer afvraag is waarom die evident betonnen reddingvesten toch nog zoveel aftrek vinden gezien hun vaak exhorbitante prijzen.
KJ,
Certificeringen zijn als diploma’s, je kunt een zwemdiploma hebben maar wijze waarop je het hoofd boven water moet houden verleren.