Informatie security professionals hebben last van een interessante paradox. Een primaire taak van een security officer of engineer is het rapporteren van tekortkomingen in de informatiebeveiliging. Maar door precies dat te doen creëren ze weerstand en schaden ze soms hun eigen carrière.
Laatst sprak ik hierover met een zeer inspirerende man: Raj Samani, cto bij Mcafee en strategic adviser bij de Cloud Security Alliance. Raj refereert in zijn blog aan de term ciso, wat in de Engelstalige landen staat dat voor chief information security officer. Raj geeft als betekenis ‘career is so over’.
De achtergrond is het gebrek aan aandacht voor informatiebeveiliging op de directietafel van veel ondernemingen. Er is namelijk nog weinig besef van wat informatiebeveiliging inhoud. In veel organisaties wordt het gezien als opstellen van regels voor computergebruikers, en het controleren van de firewall en de virusscanner. Iets wat je dus kunt delegeren aan een technicus. Als de organisatie weinig informatie over security vergaart dan zijn de online risico’s vaak niet bekend. Men denkt dat met de techniek de grootste risico’s wel zijn afgedekt en dat geeft een vals gevoel van veiligheid. Als het in het bedrijf niet eerder fout is gegaan wordt dat gevoel versterkt.
Voorspelbaar
Als je een security officer bent die zijn of haar taak serieus neemt, houd je je bezig met onderzoek en analyses. Je ontdekt wellicht dat er van alles mis gaat, zoals digitale inbraakpogingen of andere grote risico’s. Je gaat beveiligingsincidenten administreren en evalueren. En als er naar jouw oordeel maatregelen moeten volgen, ga je je bevindingen escaleren. Maatregelen kunnen technisch of organisatorisch van aard zijn, het invoeren van werkprocessen of het beleggen van scherpere verantwoordelijkheden of toezicht.
Maar in een organisatie met een matige ‘security awareness’ worden dit soort maatregelen beschouwd als slecht nieuws. De reacties zijn voorspelbaar. Bekende quotes zijn: ’geef me geen problemen, maar kom liever met oplossingen‘. Wat bedoeld wordt zijn oplossingen die niets extra mogen kosten. Dat zou namelijk betekenen dat de directeur aan zijn aandeelhouders moet melden dat hij meer mensen en middelen nodig heeft, terwijl ze niet zijn begroot. En dat is slecht nieuws..
Professionele zwartkijker
Als je om middelen blijft vragen word je gezien als een professionele zwartkijker en constant vergeleken met het beleid voordat jij kwam: niets doen. Er is tenslotte nog niets fout gegaan? Zo erg kan het toch niet zijn? Sommige mensen zien ook overal beren op de weg. We hebben toch die firewall gekocht!? En als je na het afwijzen van je voorstellen decharge vraagt voor de gevolgen, word je aangesproken als iemand die zijn verantwoordelijkheid wil afschuiven. Kortom: de security officer die te weinig middelen heeft om de security op een voldoende niveau te handhaven, is de eerste die de schuld in de schoenen geschoven krijgt als het misgaat. Dat is wat Raj Samani bedoelt met ’ciso‘.
De conclusie is dat je als security officer naast je inhoudelijke ook over politieke vaardigheden moet beschikken om verbeteringen te bewerkstelligen. Een goed werkende strategie is om oorzaak en aanleiding van je slechte nieuws te onderbouwen met externe informatie. Daarom vijf tips:
- gebruik vragen van klanten of gebruikers over de beveiliging om eventuele tekortkomingen aan te tonen;
- gebruik actuele gebeurtenissen ( ’kan zoiets ook bij ons gebeuren?’), om de door jou gesignaleerde trends te onderbouwen;
- communiceer achtergronden in relevante wet- en regelgeving naar de juridische afdeling of de cfo. Die zullen vaak de noodzaak van compliance en het beter beheersen van risico’s steunen;
- zorg dat je autoriteit op beveiligingsgebied ook buiten het bedrijf erkend wordt, dus schrijf blogs en participeer in security gremia;
- vraag eerst een klein budget voor een korte audit of penetratietest door een externe partij. Zo kan je met het externe rapport eigen bevindingen onderbouwen. Of, uiteraard, erachter komen dat het toch allemaal wel meeviel…
Door zo te communiceren naar je interne doelgroep, komen zorgen en vragen ook langs een andere weg binnen en gaan de stakeholders jou om hulp vragen om te voorkomen dat zoiets ook binnen hun bedrijf gebeurt.
Deze aanpak vereist dat je je ego ondergeschikt maakt aan het uiteindelijke doel. Beter ben je een redder en probleemoplosser dan een brenger van slecht nieuws. In het belang van je bedrijf én van je carrière.
Michiel Steltman, directeur DHPA
Security is een hygiëne product. Het levert niets op, kost geld en niemand is er tevreden over omdat je het niet ziet. Maar als het fout gaat zijn de rapen gaar en ben je zo CISO 🙂 (carriere is so over)
Dan heb je *nog* een nadeel. Beveiligers denken vaak in beperkingen en zijn dus vaak tegen dingen omdat een beveiliger dan de veiligheid niet kan garanderen. Er is dus een spanningsveld tussen innovatief zijn en veilig zijn. De ontwikkelaars die vooruit willen voelen zich dus vaak belemmerd door de security officer. De CISO is dus koning indekken en werkt kostenverhogend maar is wel uiterst belangrijk.
Goede tips. Fijn artikel.
@Henri “Beveiligers denken vaak in beperkingen en zijn dus vaak tegen dingen omdat een beveiliger dan de veiligheid niet kan garanderen.”
Het old-school beveiligingsdenken kom je inderdaad nog tegen, maar gelukkig steeds minder. Waar je nu last van gaat krijgen zijn de grote complexe risico/maatregel beleidsraamwerken die verzonnen zijn in de ivoren torens, waar de beveiligers zich aan moeten houden, waardoor je jezelf moet blijven verdedigen tegen regels die niet langer meer passen in het tijdsbeeld. Indekken is dan wel veel eenvoudiger.
Michiel,
de aanpak die je beschrijft gebruik ik dagelijks voor mijn werk als software tester.
Ik rapporteer mijn bevindingen zo volledig mogelijk (niet alleen fouten!) en het is aan mijn opdrachtgever wat hij ermee doet.
Daarnaast denk ik mee hoe we deze bevindingen kunnen voorkomen. Mijn ego is hierbij van ondergeschikt belang.
Omdat ik ook interesse heb in security, herken ik bovenstaand verhaal.
Ik zou zeggen, kijk hoe de software testprofessionals het doen, we zijn deze situatie gewend omdat het een essentieel onderdeel van ons werk is.
Ik zie vaak dat beveiliging door een organisatie als taak bij de IT-afdeling wordt gelegd en dat daar security-functies worden gecreëerd. Security begint natuurlijk bij de business, bij o.a. het beveiligingsbeleid voor de organisatie als geheel. Als de organisatie geen aandacht voor beveiliging heeft en er bij de business geen rollen of projecten voor beveiliging zijn, dan zal de IT security officer daar wat aan moeten doen, anders kan de carrière inderdaad schade oplopen.
“Beveiligers denken vaak in beperkingen en zijn dus vaak tegen dingen omdat een beveiliger dan de veiligheid niet kan garanderen.”
Ik denk dat je überhaupt de veiligheid niet kan garanderen. Als dat wordt nagestreefd, komt er geen project meer af. Wat wel kan is de risico’s onderkennen en adresseren. Dat lijkt me bij uitstek de rol van de CISO. Vooral omdat ik in de praktijk soms beveiligingsmaatregelen aantref die aan de ene kant erg streng zijn, maar over andere punten (met veel meer risico) niets voorschrijven. Een mooi voorbeeld is het proberen om geen digitale data het pand uit te krijgen, terwijl elke (externe) medewerker eenvoudig alles kan uitprinten wat hij wil en daar vrolijk mee naar buiten kan wandelen.