Iedereen weet dat het uitvoeren van een goed securitybeleid een combinatie is van drie factoren: producten, mensen en processen. De vraag is alleen, waar de nadruk op moet liggen en hoe het securitybudget door de chief security officer of chief information officer verdeeld wordt. Er zal een balans gevonden moet worden tussen de drie. Onze securityexperts aan het woord.
Jako Boonekamp, solution consultant, Orange Business Services
Grote bedrijven worden geconfronteerd met regelgeving en compliance. Vanuit de securitywereld uit zich dit in kreten als de Code van Informatiebeveiliging, ISO 27001, SOx (Sarbanes-Oxley), etc. Er dient expliciet een uitspraak gedaan te worden over de interne controle. Dit vertaalt zich in het weten wat er allemaal in de ict-organisatie gebeurt. Bedrijven moeten dus over alles logging gaan bijhouden, verzamelen en beoordelen. Dan vraagt een securityofficer naar een overzicht van hoe de security er binnen het bedrijf voorstaat. Veel bedrijven hebben hier geen idee van. De business case is vrij eenvoudig gemaakt. Kijk hoeveel mensen er in de securityorganisatie rondlopen en hoeveel tijd ze kwijt zijn aan dit soort taken. De tijd die ze besparen kan gebruikt worden als investering.
Peter Westerveld, managing partner en security consultant, Sincerus Consultancy
De kunst is om securitymanagement zo in de organisatie te implementeren dat de business er weinig tot geen hinder van ondervindt. Door het begrijpelijk te maken en door de medewerker bewust te maken van zijn rol in security kunnen die regels onderdeel van het dagelijks functioneren worden. Alle technische maatregelen ten spijt, de mens blijft de sleutel in het securityproces. Uitgangspunt bij het opzetten en invoeren van een beleid of architectuur moet dan ook de medewerker en het bedrijfsproces zijn, dan komen de wetten, regels en de techniek vanzelf aan de orde. Technische security en tooling zijn wel noodzakelijk maar mogen nooit leidend worden. Als dit wel het geval is bestaat het risico dat security wordt gezien als een beperkende factor en niet als een kans om de business robuuster en sterker te maken.
Carlo van Wordragen, senior consultant, Aranea Consult
Interne controle kan plaatsvinden op diverse niveaus in de ict-infrastructuur, zoals toegang tot informatie (applicatie logging), toegang tot systemen (server logging) en toegang tot netwerken (netwerk logging). De wet- en regelgeving in het kader van informatiebeveiliging heeft als doel om informatie en de toegang tot informatie veilig te stellen. Feitelijk gaat het dus om vertrouwelijke informatie en de controle hierop. We zijn soms doorgeschoten in het monitoren en loggen van allerlei activiteiten op systemen en netwerken. Veel organisaties hebben nog internet proxy-servers, waarop duizenden regels logging worden bijgehouden. Routers, firewalls, intrusion prevention-systemen, ze hoesten dagelijks vele miljoenen regels logging. Vaak niet leesbaar of met onzinnige informatie, waar niemand iets aan heeft.
Waarom doen we dit eigenlijk? Wie heeft hier eigenlijk om gevraagd? Als we vervolgens intern in de organisatie naar de bron van deze vraag zoeken, komen we vaak op een dood spoor. Niemand weet eigenlijk nog wie erom gevraagd heeft en waarom we het doen. 'We doen het, omdat we het altijd al zo doen.' 'Uitbesteden', is een vaak gehoorde oplossing, maar als we zelf niet in staat zijn om onze eigen vraag te definiëren, hoe moet in hemelsnaam de provider de juiste logging op kunnen leveren? Stop onmiddellijk met al dat loggen op netwerk- en serverniveau. Zorg voor effectieve logging in de applicatie en/of database.
Rik van Bruggen, regional sales manager Benelux, Imprivata
Van alle de fraudegevallen wordt 75 procent door interne medewerkers gepleegd, dus het aspect 'mensen' moet vaak zeer sterk gerelateerd worden aan de medewerkers van het bedrijf. Zij ervaren de opgelegde securityprotocollen als hinderlijk en werken er omheen. Securitybeleid kan echter wel worden afgedwongen met inzet van technologie, op voorwaarde dat deze technologie procesverbeteringen aanbrengt en draagvlak creëert vanuit de werknemers. Voorbeeld hiervan is de implementatie van strong authentication in combinatie met single sign-on. Gebruikers hoeven niet langer verschillende wachtwoorden uit hun hoofd te kennen, maar ze zijn wel verplicht om zich aan te melden met een pasje of via biometrie.
Gijsbert Wiesenekker, sales engineer, Attachmate
Onderdeel moet ook zijn het afwegen van de kosten van risico's ten opzichte van de kosten die gemaakt moeten worden om risico's te beheersen. Deze afweging wordt bemoeilijkt doordat de kosten die gemoeid zijn met het beheersen van risico's vaak eenvoudiger zijn te kwantificeren, maar de bedrijfsrisico's vaak minder inzichtelijk zijn. Als deze wel zijn gekwantificeerd, dan kan een veel betere keuze worden gemaakt tussen de maatregelen die genomen zouden kunnen worden om deze risico's te elimineren of te reduceren. Het zou dan heel goed kunnen blijken dat het veel effectiever is om te investeren in preventieve maatregelen dan in reactieve maatregelen of juist eerst te investeren in het optimaliseren van de achterliggende (operationele) processen.
Sinclair Koelemij, operations team leader, Honeywell Process Solutions
Alvorens een cso/cio moet gaan denken aan hoe hij het budget verdeelt over mensen, middelen en processen moet hij eerst een stapje terug doen en kijken waarom hij een securitybudget heeft. In principe zijn er een aantal 'business drivers' zoals regelgeving, dreiging, eisen vanuit de markt, maar ook kansen om je marktpositie te versterken. Een gezond bedrijf moet dit blijven evalueren en op basis hiervan ook het securitybudget beoordelen. Het herverdelen van een securitybudget op basis van mensen, middelen en processen levert geen sluitend securitysysteem op.
Het risico waar tegen beveiligd moet worden bepaalt in hoge mate de keuze voor een bepaalde beveiligingsstrategie. Deels is daarbij technologie nodig (de middelen) en een ander deel zal door operationele taken moeten worden afgedekt (de mensen en processen). Een herverdeling (of balanceren) van een budget lijkt mij alleen leiden tot gaten in de security. De balans tussen de drie genoemde factoren bestaat volgens mij niet. Wil je een bepaald veiligheidsniveau handhaven, dan zijn kostenbesparingen op een van de factoren alleen mogelijk als de andere factoren het ontstane beveiligingsgat vullen of als een van de factoren aan beveiligingskracht wint bij gelijke of lagere kosten. In de praktijk lukt dit laatste zelden waardoor beveiligingsbudgetten stijgen. Vervolgens ontstaat er een onbalans tussen de business drivers en de kosten waardoor het budget gelimiteerd wordt en men pragmatisch het beschikbare geld gaat herverdelen op basis van de prioriteit van de dag.
Lex Borger, principal consultant, Domus Technica
Voordat je bij de keuze tussen tools en tijd komt, dien je eerst een andere essentiële stap te nemen. Bepaal vooraf wat je zelf wilt weten over je eigen bedrijfsvoering en wat je moet weten om te voldoen aan regels. Te veel bedrijven maken hier geen duidelijke keuze en zetten automatisering in om een overvloed aan informatie te verzamelen. Slechts een klein deel van de bedrijfsinformatie is werkelijk belangrijk voor het bedrijf, denk aan 5 tot 15 procent van de data. Hier dienen de controles op gericht te worden. Als we deze informatie kunnen isoleren, worden controles eenvoudiger. Goed beleid heeft dus informatieclassificatie ingevuld binnen het bedrijf, wat dan ook toegepast moet worden. Die toepassing vergt architecturale beslissingen over de inrichting van je processen en automatisering. Door dit goed te regelen maak je controles efficiënter.
Om vanuit meetresultaten te kunnen komen tot een goede afrekening bij de bedrijfstop (ceo en cfo), dient de organisatie van verantwoordelijkheden ook duidelijk belegd te zijn. Wie is verantwoordelijk voor wat? Als beveiligers vinden we het vooral interessant hoe de organisatie van security belegd is. Waar is de cso, waar zijn de lijnmanagers en waar is ict voor verantwoordelijk? Door dit goed te regelen maak je de controles effectiever. Daarna kun je effectief kijken waar en wat er gemeten moet worden. In een redelijk groot bedrijf kan dan inderdaad vaak al snel geconcludeerd worden dat de kosten van het product wegvallen tegen de besparingen die het oplevert in tijd.
Marco Mulder, senior consultant, Orange Business Services
Veel reacties behandelen inhoudelijk het securitybeleid terwijl er ook gesproken dient te worden over de afweging tussen de tijd die men kwijt is om handmatig logs te bekijken van verschillende systemen en de investering in een tool. De tijd die men dagelijks kwijt is aan het handmatig bekijken van de logging door de systeembeheerders en de individule rapportage kan je omzetten in geld. Het bedrag wat daaruit komt is het budget voor een tool en dat is dan snel terugverdiend, want het is eigenlijk onmogelijk om dit handmatig uit te voeren. Alle logs bekijken voor incidenten in een bepaalde tijdsperiode en daar conclusies uit trekken en dan nog een rapport hierover maken. Hier is de kosten/baten-analyse van toepassing.
De toolverwerkt al deze logs en genereert hieruit rapportages om te laten zien wat voor incidenten er uiteindelijk zijn geweest om een compleet overzicht te hebben waar en of er een incident heeft plaatsgevonden. Aan de hand van de rapportage kan je inzoomen op de incidenten en de oorzaken en daarop je maatregelen nemen. Uiteraard is het belangrijk om de juiste logging toe te passen en niet te loggen om het loggen. Deze rapportage kan dan gebruikt worden voor compliance-doeleinden zoals PCI en SOx.
Rapportage is belangrijk omdat het een meetgegeven is. Vroeger op school werd al gezegd 'meten is weten' en dat geldt hier ook bij. Als je niet meet weet je überhaupt niet of de investeringen in securityproducten of -processen valide en efficiënt zijn geweest. Wat weer te herleiden is in de Plan Do Act Cycle van de ISO27001-norm. Dan komt de balans in het securitybeleid terug. Securitybeleid is een toepassing of combinatie van de elementen van processen, producten en mensen plus de daarbij behorende investering en het verlies als je het beleid niet uitvoert. Het is niet de verdeling van het budget over deze elementen. Al met al valt of staat security met risico's en de acceptatie van die risico's.
Bernhard van der Feen, privacy & security initiative lead, Microsoft
Er is een focus op events die gegenereerd worden door een veelheid van systemen. Het is een ondoenlijke zaak om dit manueel te verwerken, de balans ligt dan niet goed. Er zijn een punten die ik wil aanvullen. Welke systemen vallen binnen het blikveld? Dit kan DRM zijn zoals met pdf en RMS, maar ook events uit de fysieke beveiliging en de fysieke infrastructuur kunnen als onderdeel van een analyse of forensics rond informatiemisbruik erg belangrijk zijn. Als we over grote aantallen spreken denk ik dat we een niveau te laag zitten. Ik wil tenslotte ook niet elke retry horen die mijn TCP/IP-connectie doet, ik wil weten of ik beschik over een betrouwbare verbinding. Dat is een verschil van duizenden events of één gekleurd bolletje. We doen de rapportage primair om onze omgeving veiliger te maken, daarom is de 'act-stap' cruciaal. Dat zou een geïntegreerd proceselement moeten zijn, zo mogelijk geautomatiseerd. Dat voorkomt niet alleen werk maar maakt de omgeving veel veiliger want het voorkomt vooral een veelheid van nieuwe securityincidenten.
Ict-security 2.0 moet een oplossing zijn die niet alleen automatisch events van verschillende securitycomponenten correleert, maar ook toegang heeft tot aanvullende informatie vanuit het betreffende platform en het recht heeft om preventieve en corrigerende acties te ondernemen en componenten aan te sturen. Die nieuwe generatie is vanzelfsprekend ook in staat om een gecorreleerde rapportage te doen over alle componenten heen en inderdaad in staat is doorlopend antwoord te geven op de vraag 'hoe staat het met de veiligheid van onze infrastructuur?'. Zo'n oplossing zou natuurlijk goed geïntegreerd moeten zijn met het platform zelf maar tegelijkertijd breed open moeten staan voor elke partij die aan wil haken om events te rapporteren, maar ook om informatie in te winnen zodat elk component een bredere kijk krijgt en er slimmer van wordt.
Colin van Oosterhout, business development manager, Adobe
Bij het opstellen en uitvoeren van securitybeleid moet er altijd een balans gevonden worden tussen de factoren producten, mensen en processen. Ik zou er echter een element aan toe willen voegen en dat is het documentformaat zelf. Veel aandacht bij beveiliging gaat uit naar het beveiligen van de infrastructuur. Dit werkt ook prima voor de veiligheid van documenten binnen de eigen organisatie (lakse, domme of malafide werknemers daargelaten), maar daarmee heb je nog steeds geen grip op de 'boze buitenwereld'. Met andere woorden, documentbeveiliging op infrastructuurniveau is niet persistent buiten de eigen infrastructuur. Toch zullen veel documenten vroeg of laat die veilige thuishaven moeten verlaten en wat dan?
Een plausibele aanpak is om gegevens op te slaan en te versturen in een goed beveiligde en applicatieonafhankelijke 'container', zodat er voor alle gegevens slechts één beveiligingsmethode vereist is. Een voorbeeld van zo'n container is de nieuwste versie van PDF, een open bestandsformaat dat audio, video (flash) en tekst kan bevatten en naast wachtwoorden ook digitale handtekeningen en gepersonaliseerde autorisatie ondersteunt. Daarmee is het niet alleen mogelijk om de toegang tot informatie te koppelen aan iemands digitale identiteit, die ttp's (trusted third party) moeten verifiëren op basis van bijvoorbeeld een hardwaretoken, maar ook om elke geautoriseerde gebruiker verschillende lees-, schrijf- en printrechten te geven.
Op dezelfde applicatie- en platformonafhankelijke pdf-container valt ook te werken met DRM. DRM is technologie waarmee bepaald kan worden wie, wat, wanneer met een document kan doen. De oplossing is charmant vanwege zijn eenvoudigheid. Op serverniveau wordt het beleid van een document ingesteld, bijvoorbeeld hoelang het document geopend kan worden en door wie, welke wijzingen er wel of niet zijn toegestaan en of er wel of niet geprint mag worden. Bij het openen van een dergelijke pdf wordt altijd verbinding gezocht met de server, deze controleert de rechten die zijn toegekend en handelt daar vervolgens naar. Stel dat een dergelijk document onbedoeld op straat komt te liggen. Er is in dat geval niets aan de hand omdat alle rechten in dat geval op serverniveau worden ingetrokken waardoor het document domweg niet meer te openen is. Deze technologie is breed toepasbaar, bijvoorbeeld voor de bescherming van intellectueel eigendom en zeker ook voor het beschermen van uiterst gevoelige informatie.
Experts gezocht
Computable is bezig om al zijn 25 topics te voorzien van een expertpanel. Voor de komende tijd zijn wij op zoek naar experts op de volgende vakgebieden:
eHRM: ehrm@computable.nl
Besturingssystemen: besturingssystemen@computable.nl
Beleid: beleid@computable.nl
Maatschappij: maatschappij@computable.nl
ICT-branche: ict-branche@computable.nl
Ben jij expert op een van bovengenoemde vakgebieden, stuur dan een e-mail met je gegevens (naam, functie, bedrijf, werkzaamheden) naar het bijbehorende e-mailadres.
Let op je mensen:
De meeste security onderzoeken in de business wijzen nog steeds uit, dat security breaches veroorzaakt worden van BINNENUIT een bedrijf, door eigen personeel.
Wat ik hier dan ook mis is het beter belichten van de BASIS van iedere intermenselijke relatie namelijk VERTROUWEN.
Jezelf verliezen in dure implementaties van allerhande technische zaken om je interne bedrijfssecurity op orde te krijgen, vind ik een beetje het paard achter de wagen spannen, dweilen met de kraan nog steeds open.
Zoals Peter al aangeeft: “Alle technische maatregelen ten spijt, de mens blijft de sleutel in het securityprocess”
En Rik vermeld: “Van alle de fraudegevallen wordt 75 procent door interne medewerkers gepleegd, dus het aspect ‘mensen’ moet vaak zeer sterk gerelateerd worden aan de medewerkers van het bedrijf”
[Security is en blijft mensenwerk]
Waar blijft de “next generation” security leverancier die OOK de menselijke kant van de zaak verregaande integreert in haar succesvolle business aanpak?
Alvorens een high-tech security oplossing uit te rollen, eerst eens intern peilen op menselijk vlak hoeveel wantrouwen er jegens interne werknemers aanwezig is vanuit het management, kan in mijn ogen een flinke kostenbesparing opleveren.
Pas wanneer je “gemeten hebt” de omvang van the internal security threat duidelijk kent, weet je ook waartegen je jezelf zou moeten beveilingen. De uitkomst van deze interne peiling is ook te gebruiken als feedback voor je eigen HRM beleid.
Immers… Een tevreden werknemer heeft geen aanleiding om (vertrouwelijke) data van zijn werk-gever te willen ontvreemden. Das lijkt mij een stuk goedkoper en je pakt je security probleem bij de bron aan..
De vertrouwensrelatie tussen mensen in het bedrijf.
Security Light
Het onderschrift van de artikelen was: Keuze tussen tools en tijd.
Verwachtingsvol begon ik te lezen om er heel snel achter te komen dat de heren consultants of geen flauw benul hadden van de tools. Of dat ze het de lezers niet te moeilijk wilden maken.
Hoe de tools in te zetten, wat de uitkomsten kunnen vertellen, hoe je trade-off tussen tools en tijd zou kunnen maken. Het is in geen van de stukjes beschreven.
De stukjes gaan er dus over dat er gelogd moet worden, dat de business geen last mag hebben van security beleid, dat al die logging eigenlijk overbodig is omdat toch niemand er iets mee doet, dat werknemers de meeste fraude plegen en je dus moet concentreren logon oplossingen, dat je kosten en risico’s moet afwegen, dat verdeling van budgetten belangrijk is, en dat je moet weten wat je eigenlijk wilt weten.
Deze punten worden in een gemiddelde security opleiding aan het begin behandeld, meestal samen met de in de genoemde stukjes ontbrekende juridische kaders.
Helaas zeggen de stukjes ook niets over de keuze tussen tools en tijd.
Voor de duidelijkheid, volgens mij is in security helemaal geen keuze tussen tools en tijd mogelijk. Je kunt niet een persoon 24/7 het werk van een IDS laten doen.
Je kunt een persoon wel of niet laten kijken naar de resultaten/logging van de IDS.
Je kunt de IDS wel of niet laten onderhouden.
Je kunt ervoor kiezen helemaal geen IDS in te zetten.
Je kunt er niet voor kiezen geen IDS maar tijd in te zetten om hetzelfde te bereiken.
De reacties van security experts op dit soort berichten blijven vreemd genoeg achterwege.
Ik vrees dat de IT wereld op deze manier een zeer beperkt beeld van security krijgt voorgeschoteld.
Security experts zijn op het moment onzichtbaar. Hoewel dat over het algemeen goed is, je geeft in de security nu eenmaal het lieftst zo min mogelijk van jezelf bloot, pleit ik toch voor tenminste te reageren op security light stukjes zoals in de computable.
Het kan onze specialisatie alleen maar goed doen.
Kasper
Opvallend dat de heren specialisten niet zozeer door de kop van het artikel als door de subtitel worden aangesproken. Men schiet direct door in de tools en komen al concreet aan met het intensiveren van de logging. Rik komt al meer in de buurt van de factor mens daar hij aangeeft dat er draagvlak voor maatregelen moet zijn en Peter komt nog het meeste in de buurt van een adequate secutity wanneer hij aangeeft dat security moet passen bij interne normen en waarden.
K.Merchant heeft in 1985 reeds beschreven dat wanneer een organisatie over goede normen en waarden beschikt de tools niet zo uitgebreid hoeven te zijn. Wanneer beveiligingsmaatregelen niet passen bij de organisatie dan zullen deze worden omzeild. De mens is namelijk een intelligent wezen en baant z’n eiegen wegen wanneer dat nodig is. Hoe vaak worden passwords niet gedeeld wanneer het niet mogelijk is om de doorgevoerde technische functiescheiding in de praktijk door te voeren.
Bij de factor mens hebben we het dus over de zogenaamde soft controls. Deze soft controls gaan veel verder dan draagvlak en bewustzijn. Deze gaan in op diverse culturele en personele aspecten. Het is dus niet mogelijk om bij een security project de personele en culturele aspecten te negeren. Projecten die dat wel doen zullen niet meer zijn dan een technische implementatie.