Doet u al iets aan security?
Ik verwacht dat bijna iedereen die bovenstaande vraag leest hierop ‘ja’ zal antwoorden. Als u geen enkele interesse voor beveiliging zou hebben, zou u waarschijnlijk niet op deze site zijn beland. Daarom wil ik u graag een vervolgvraag stellen.
Wat doet u aan beveiliging?
Nu verwacht ik veel verschillende antwoorden, waaronder de volgende:
– “We passen beveiliging toe waar dat nodig is.”
Een antwoord dat niet zonder verdere onderbouwing kan, maar helaas wel vaak zo wordt gegeven. Het komt er dan eigenlijk altijd op neer dat er lukraak wat basale zaken geregeld zijn, al dan niet als gevolg van een incident dat al eerder is opgetreden.
– “Beveiligingszaken hebben wij belegd bij een medewerker van de IT-afdeling, hij heeft er verstand van.”
Een soort vliegende keep dus. Iemand die probeert om overal mee te kijken en daarbij gevraagd of ongevraagd beveiligingsadvies levert.
– “Voordat een project of systeem in productie gaat, moet deze altijd aan een penetratietest worden onderworpen.”
Aha. Vlak voor de deadline van oplevering wordt een (eventueel extern) team gevraagd om een oordeel over de veiligheid van het resultaat.
Bij al deze antwoorden geldt dat security ad-hoc en vrijwel altijd achteraf wordt toegepast.
Efficiënt en effectief
Stond uw antwoord hierboven? Dan heeft u uw informatiebeveiliging waarschijnlijk niet efficiënt en effectief ingericht.
Bij ad-hoc toepassen van beveiliging is het maar net of de juiste persoon een mogelijk beveiligingsrisico opmerkt én daar op tijd een maatregel op laat toepassen. Zelfs als een expert meekijkt zal hij al gauw iets over het hoofd zien.
Bij het achteraf laten uitvoeren van een penetratietest of security-scan drukken de deadlines al op het project. Een uitslag ‘onveilig’ is dus niet gewenst en ook is het vaak niet duidelijk waar de test zich op moet richten. Bovenal: het toepassen van maatregelen naar aanleiding van een penetratietest is als pleisters op de wonden. Wonden (beveiligingsproblemen) die bij een tijdige aandacht voor beveiliging niet zouden zijn opgetreden.
Stel heldere doelen met behulp van een kader
Voor een effectieve beveiliging is het noodzakelijk om heldere doelen te stellen. Om vervolgens op alle plekken binnen de organisatie en gedurende alle fases van projecten daar naar te handelen. Dat kan door beveiliging vanuit een kader te benaderen. Bijvoorbeeld door de lijst van maatregelen uit ISO 27002 te nemen om de security-doelen voor uw organisatie vast te stellen. Of door het hanteren van het Framework Secure Software voor het bouwen van veiliger software-systemen.
U zult het verschil merken. In plaats van ad-hoc en chaotisch toegepaste beveiligingsmaatregelen – geregeld in paniek toegepast na een security-incident – zult u rust in uw beveiligingsorganisatie krijgen. U gaat daarbij inzien wat de huidige stand van zaken is en controle ervaren over de zaken die aangepakt moeten worden.
Een goed kader beschouwt beveiliging voor alle aspecten van de organisatie en gedurende alle fases van een project. Het geheel van maatregelen zal veel completer zijn. Er worden veel minder zaken over het hoofd gezien, waarmee u dus nauwelijks meer voor verrassingen komt te staan. Dat geeft rust voor de oplevering van het project en het plakken van pleisters wordt veelal voorkomen.
De twee manieren om een kader te hanteren
U kunt een kader op 2 manieren hanteren:
– Als een checklist waaraan voldaan moet worden
– Als een meetinstrument om de beveiligingssituatie van uw organisatie of project te meten en bij te sturen
De eerste manier is het meest geschikt om snel basale veiligheid in uw organisatie of project te bewerkstelligen. Het voordeel daarbij is al dat alle betrokken (kunnen) weten wat er aan beveiliging gedaan moet worden.
Op de lange termijn is de tweede manier de beste optie. Omdat beveiliging geen one-off show is zult u het kader kunnen gebruiken om beveiliging vanuit een continu proces te benaderen. Daarbij kunt u meten hoe ‘volwassen’ uw organisatie is op elk onderdeel van het kader, en op basis daarvan uw (project-)organisatie bijsturen.
Uiteindelijk zou u uw organisatie of product zelfs kunnen laten certificeren, zodat u aan uzelf en natuurlijk uw klanten kunt aantonen voldoende en effectieve aandacht aan security te besteden.
Een kader hanteren binnen uw organisatie
Merk op dat een kader richting geeft en security meetbaar maakt, maar niet vertelt hóe u het proces moet inrichten. Het mooie daarvan is dat een kader relatief eenvoudig in uw organisatie in te passen is, onafhankelijk hoe u deze ingericht heeft.
Het is dus ook voor uw organisatie mogelijk een kader voor informatiebeveiliging te hanteren.
Begin dus vandaag nog met het inkaderen van uw informatiebeveiliging en pas beveiligingsmaatregelen efficiënt en effectief toe.
Wilt u snel op weg geholpen worden? Dan staan er verschillende adviseurs tot uw beschikking, waaronder de auteur van dit artikel.