Een veelgehoorde slogan in informatiebeveiliging is security first, compliance second. In de eerste instantie klinkt dit logisch. Maar als je deze stelling kritisch bekijkt, kom je tot de conclusie dat de keuze helemaal niet gemaakt hoeft te worden. Dit is waarom.
Compliance wordt nogal eens gezien als een noodzakelijk kwaad om toezichthouders tevreden te houden, of als onnodige overhead die engineers het leven alleen maar moeilijker maakt. Het controleren van alle firewall-regels of het herhaaldelijk documenteren van het gedane werk houdt ze van hun eigenlijke werk af.
Dit gebeurt wanneer compliance wordt nageleefd met een ‘checkbox-mentaliteit’: het compliance-vakje met minimale moeite af kunnen vinken, zodat auditors gerust zijn gesteld. Het compliance framework werkt dan averechts – je houdt je er wel aan, maar het gaat ten koste van de daadwerkelijke beveiliging van je organisatie.
Met zo’n mentaliteit staan beveiliging en compliance inderdaad op gespannen voet met elkaar. De spanning wordt verergerd door de voortdurende strijd om budget en middelen. Het kan bijvoorbeeld zijn dat er bij budgetverhogingen keuzes gemaakt moeten worden tussen bijvoorbeeld nieuwe certificeringen of innovatieve securityoplossingen.
Compliance zou moeten gaan om het toevoegen van waarde. Waarom zou je dan voor de makkelijke weg kiezen door alleen maar een vinkje te zetten?
Meer dan de som der delen
Beveiliging en compliance zijn beide gericht op risicobestrijding. Een compliance framework biedt een standaardmodel voor het identificeren en behandelen van risico’s, zoals het NIST Cybersecurity Framework. Maar een compliance framework op zichzelf is niet voldoende. Waarom niet?
Het grootste probleem is dat cybersecurity een dynamisch en onevenwichtig gevecht is. Om volledig onkwetsbaar te zijn, moet je elk mogelijk aanvalsscenario kunnen bedenken en elke mogelijke kwetsbaarheid kunnen verhelpen. Maar je hoeft slechts één gat in een systeem, proces of organisatie te vinden om binnen te dringen, net zoals er maar één spijker nodig is om een band lek te prikken.
Compliance biedt je een momentopname van hoe effectief je controles binnen een bepaalde periode zijn geweest. Maar je omgeving kan in de loop van de tijd veranderen door de introductie van een nieuwe technologie. Niemand weet precies hoe de nieuwe technologie samenwerkt met de bestaande, zeer complexe omgeving. Zo kunnen onbedoeld gaten in de beveiliging ontstaan zonder dat organisaties dit beseffen, bijvoorbeeld wanneer er een patch of een nieuwe firewall wordt geïnstalleerd. Daarom is het absoluut noodzakelijk om voortdurend risico’s te identificeren, te beoordelen en te beperken, en ook de compliance frameworks zelf continu te evalueren.
Compliance frameworks zijn belangrijk, maar te vaak zijn organisaties zo tevreden over het succes van een recente audit, dat ze vergeten dat het daar niet ophoudt. De beroemde cryptograaf Bruce Schneier omschrijft dit fenomeen als ‘beveiligingstheater’. Compliant zijn geeft dan een vals gevoel van veiligheid. Zo was de grote Amerikaanse retailer Target pci dss-compliant ten tijde van een groot datalek, toen de betaalgegevens van miljoenen consumenten werden gestolen.
Compliance met security verzoenen
Het is niet gemakkelijk de gulden middenweg te vinden. Het is maar de vraag of dat ooit zal lukken. Er zijn te veel unieke scenario’s en we hebben maar een beperkte hoeveelheid middelen. Maar schaarste is niet het grootste probleem. Informatiebeveiliging is geen technisch probleem met alleen maar technische oplossingen. Het is een mindset.
Zelfs als je de nieuwste technologie gebruikt, bewandelen gebruikers nog altijd het pad van de minste weerstand. Als ze voldoende rechten hebben, zullen ze altijd proberen slecht afgedwongen maatregelen te omzeilen. Waarom zou iemand in hemelsnaam een complex en lang wachtwoord instellen als ze ook een viercijferige pincode kunnen gebruiken? Er zijn tal van dit soort voorbeelden van gebruikersfouten te bedenken, en we zijn er allemaal schuldig aan.
Hoe kunnen we dit samen bestrijden? Er zijn veel manieren, maar een van de beste manieren om mee te beginnen is het bewustzijn vergroten. Dit geldt zowel voor beveiliging als voor compliance! Leg uit wat dit voor iedereen betekent en waarom maatregelen nodig zijn. Bijvoorbeeld: als jouw compliance framework eist dat elke bezoeker op kantoor wordt begeleid, zorg er dan voor dat iedereen hiervan op de hoogte is en beseft waarom dat gevraagd wordt. Iedereen wordt nerveus als er bij hen thuis een onbekende rondwandelt. Waarom zou dat anders zijn op kantoor? In geen enkele organisatie zijn beveiliging en compliance beperkt tot het werk van één team. De hele onderneming moet samenwerken. Een robuust enterprise risk management (erm)-proces kan hierin ondersteunen. Makkelijker te implementeren maatregelen zijn onder meer nieuwsberichten, trainingen, en phishing-testen.
Het is echter niet voldoende om op de hoogte te zijn. Om de balans beter te bewaren, moet het kennisniveau in de hele organisatie worden verhoogd. Deel beschikbare kennis. Promoot ‘best practices’ op het gebied van beveiliging. Stimuleer discussies over het verbeteren van de beveiligingsmentaliteit op verschillende gebieden. Zoek nieuwe inzichten door trainingen en webinars te volgen die zijn gericht op veiligheid. Vergelijk deze informatie en kennis met je compliance framework, zodat je het waar nodig kunt aanvullen aan de hand van de laatste ontwikkelingen in de sector.
Kortom, verander het denken over beveiliging en compliance in de organisatie door het bewustzijn te vergroten en kennis te delen en vast te leggen.
Kevin Syauta, compliance officer bij Solvinity
Als gepensioneerd ict-security evangelist wil ik het volgende opmerken. Vanuit mijn hart ben ik altijd een “techneut” geweest, ook op security gebied.
Edoch, security is meer dan techniek alleen!
Organisatorisch- / procedurele maatregelen zijn even zo belangrijk als technische maatregelen al voelt dat voor techneuten meestal als een belemmering en is het minder ‘sexy’. Ook vertragen die innovatie en kosten budget dat je liever aan hoogstaande technieken zou willen besteden.
Maar overzicht, coördinatie, afstemming met niet-techneuten is niet mogelijk zonder een goed algemeen geaccepteerd organisatorisch kader. De tussen alle betrokkenen overeen gekomen organisatorische en technische maatregelen dienen nageleefd te worden. Vervolgens dienen onafhankelijke controleurs regelmatig na te gaan of de regels worden nageleefd (audits) en bij voldoende resultaat wordt een (tijdelijk geldig) ‘papiertje’ (certificaat) verstrekt en dan is de cyclus weer rond.
Zonder die algemene referentiekaders, aanpak en uitvoering zou het als snel een chaos worden in de bedrijven en zou de aandacht alleen maar uitgaan naar Firewalls, routers, AV-scanners, Proxies, IDS….en nog veel meer van die mooie technische gadgets. Awareness, dagelijkse Updates, Backups, het Controleproces en Security Management zou dan weinig aandacht krijgen met alle gevolgen van dien.
We weten dat als bij ‘zwaar beveiligde’ bedrijven 1 medewerker niet alert genoeg is of iets schijnbaar kleins over het hoofd ziet dit tot ingrijpende gevolgen kan leiden.
Alleen gedurig studeren, implementeren, informeren controleren, uitvoeren etc., en dat cyclisch, zorgt voor een goed beveiligde omgeving.
Maar wat de insteek ook is – ze hebben risico-denken als vertrekpunt.
Met als referentiekader “alles-wat-aandacht-krijgt-dat-groeit-en-bloeit”:
Als beveiliging en compliance draait over de as van maatregelen voor alle mogelijke risico’s en doom-scenario’s, dan ga je er vast een paar missen; het is gewoon (te?) veel. Maar ook: wanneer ben je klaar/volledig?
Ander vertrekpunt:
Wat als je beveiliging en compliance baseerd op datgene waarvan je weet dat het “goed” is?
Met als vertrekpunt alles wat binnen je directe(!) invloedsfeer zit?
Immers, van je huidig IT- en applicatie-landschap weet je wat “goed” is:
• hoe dat eruit ziet (d.w.z. wat de componenten zijn en wie die in beheer heeft),
• hoe e.e.a. met elkaar in verbinding staat (procesmatig, fysiek en/of logisch),
• welke gegevensstromen er lopen (zowel organisatorisch als infra-technisch),
• welke daarvan relevant zijn voor je bedrijfsvoering,
• wie de externe systemen en mensen zijn die er gebruik van maken (inclusief credentials en rechten) en
• vanaf welk punt die externe systemen en mensen er op enig moment mee aan de slag zijn.
Stel, je stopt dit in een soort van “whitelist”? En alles wat afwijkt is niet relevant en kan genegeerd (weggegooid?) worden?
Wat zou dat doen met de resultaten en inspanning (d.w.z. tijd en geld) rondom beveiliging en compliance? Welke risico’s zouden er dan nog overblijven?
ja Will, als we nou onze tunnelvisies als uitgangspunt nemen. ‘En alles wat afwijkt is niet relevant en kan genegeerd (weggegooid?) worden’