Recent hebben wij, met veel plezier en interesse, enkele Information Security en Cyber Security congressen mogen bijwonen. Gedurende deze congressen werden wij overspoeld met relatief ‘nieuwe’ ontwikkelingen zoals Next-Generation, IoT (internet of things), IoT DDoS, Security Intelligence Platform, et cetera. Het feit dat deze termen nu een soort ‘hype’ zijn, is op zich niet zo erg, maar wij vragen ons wel af of de security wereld wel begrijpt wat er daadwerkelijk aan de hand is en waar op dit moment behoefte aan is.
In dit artikel zullen wij kort toelichten waarom wij vinden dat teveel mensen en organisaties vanuit de security wereld cybersecurity als een soort doelstelling op zich aan het maken zijn, terwijl dit altijd ondergeschikt moet zijn aan de business. Wij zijn bang dat teveel security-organisaties op dit moment de plank mis slaan.
Security kan heel complex zijn, maar eigenlijk is het heel simpel. Security is niets meer dan de risico’s verkleinen/wegnemen en inzichtelijk maken zodat de business ze kan accepteren en zijn werk kan doen! Het is niet meer en niet minder. Om dit zo effectief en efficiënt te doen, moeten wij als security-mensen vooral de business begrijpen en het geheel dus niet vanuit de it benaderen, maar vanuit de business zelf.
Les 1: Begin met de business (en de risico’s)!
Als wij vanuit de business beginnen, dan moeten wij ook als eerste de risico’s van die business identificeren, in kaart brengen en categoriseren. Vervolgens moeten wij, ook in samenspraak met de business zelf, bepalen welke risico’s in welke volgorde moeten worden aangepakt. Als dat is gebeurd, moet de security verantwoordelijke persoon binnen de organisatie een security-aanpak opstellen hoe hij/zij dit gaat uitvoeren. Hierbij dient een duidelijk afgesproken einddoel met eindtijd te worden vastgelegd. Idealiter moet dit op een ‘smart’-manier worden gedaan, stap-voor-stap en geen honderd projecten tegelijk.
Les 2: Bepaal een security roadmap met een duidelijk einddoel; stap voor stap
De security aanpak (lees: security roadmap) is essentieel en de voortgang dient regelmatig met de business te worden besproken, zodat er kan worden bijgestuurd. Gedurende de uitvoering van de roadmap worden er projecten gedefinieerd, die allemaal bijdragen aan het verkleinen van de risico’s en aan het behalen van het einddoel. Van belang hierbij is om de business niet uit het oog te verliezen, want een security verantwoordelijke mag nooit een organisatie helemaal ‘dichttimmeren’ met security. Is dit rocket science? Helemaal niet! Dit begrijpt iedereen, want wij hebben in dit artikel nog geen enkele echte it-term gebruikt. Natuurlijk speelt de it wel een rol, maar dat is pas op het laatste moment, als er it-oplossingen nodig zijn voor de invulling/uitvoering van de security projecten.
Les 3: Begin niet met it-oplossingen; deze komen pas op het laatst!
Als we nu weer terug gaan naar de congressen, dan valt het ons op dat de meeste organisaties nog niet eens hun basic security-zaken op orde hebben, laat staan dat zij klaar zijn voor next-generation security of IoT securit-oplossingen. De presentaties van de security-bedrijven over de next-gen en IoT-ontwikkelingen zien er prachtig uit en zijn inhoudelijk ook vaak correct, maar zijn voor de meeste bedrijven op dit moment nog echt ‘een brug te ver’. Daarnaast is uit ervaring gebleken dat de meeste hacks (ongeveer 90 procent) nog steeds gebruik maken van de eenvoudigste methoden en kwetsbaarheden, zoals phishing mails, malware attachments en social engineering. En natuurlijk via de zwakste schakel: de mens.
Dus laten wij eerst zorgen dat deze risico’s worden aangepakt door basale security-oplossingen voordat wij ons richten op next-gen en IoT DDos security oplossingen. Natuurlijk zijn deze security oplossingen ook belangrijk en moeten op een gegeven moment ook worden geïmplementeerd, maar pas nadat de basic security op orde is. Op de congressen worden regelmatig sophisticated threat en apt’s (advanced persistent threats) aangehaald als de huidige dreigingen, terwijl bedrijven als TalkTalk en Ashley Madison waarschijnlijk niet waren gehackt als zij gewoon de basic security op orde zouden hebben.
Les 4: Eerst basic security op orde voordat de next-generation-oplossingen moeten worden geïmplementeerd!
Natuurlijk zien wij ook dat de ontwikkelingen razendsnel gaan en dat de kwaadwillenden steeds meer gevarieerde en geavanceerde aanvalsmethoden en taktieken gaan gebruiken. Uiteindelijk zijn de next-gen en IoT security-oplossingen niet meer weg te denken uit onze organisaties en is een security aanpak zonder deze ‘nieuwe’ security-oplossingen niet serieus te noemen. Echter, wij moeten wel eerst de fundering op orde hebben, voordat wij het (verdedigings)huis verder kunnen bouwen! En om dit huis te bouwen, is een samenwerking vereist tussen architect, ondernemer, metselaar, stukadoor en natuurlijk eigenaar.
Dit is nu precies wat er ook moet gebeuren binnen de security wereld. Wij moeten intensief gaan samenwerken, want er is geen enkele eigenaar of architect die ook het beste is in het metselen, schilderen of ontwerpen van een huis. Dit geldt hetzelfde voor de security-bedrijven. Er is geen enkel security-bedrijf die de beste oplossing heeft voor ieder security-risico. Samenwerken is dus vereist! Dat doen de kwaadwillenden ook. Laten wij als security-professionals het nu eens goed doen en beginnen vanuit de eigenaar (lees: de business) met de fundering (lees: security basics) om vervolgens het huis op te bouwen volgens een gestructureerd bouwplan (lees: security roadmap) met verschillende partijen (lees: verschillende security vendoren). Alleen dan wordt er een degelijk, betrouwbaar en veilig huis gebouwd! Het is echt niet zo ingewikkeld………
Les 5: Doe het samen, want dat is de enige weg naar succes!
Kortom, om stappen te kunnen maken met security moet er begrip en draagvlak zijn bij de business en andersom. De security verantwoordelijke moet security simpel kunnen uitleggen en plat kunnen slaan. Als dit de security-professional niet lukt, dan zal de business (en dus ook de board) het nooit begrijpen. Vandaar ook de quote van Einstein: ‘If you can’t explain it simply, you don’t understand it well enough!’
Deze bijdrage is geschreven door Fred Streefland, it-security manager bij LeaseWeb en Dave Maasland, directeur Eset Nederland en verscheen eerder op https://www.computable.nl/artikel/opinie/security/5884600/1509029/cybersecurity-leuker-kunnen-we-het-niet-maken.html