Column: Security Maturity
Meten is verleidelijk. Vooral voor managers. KPI's, scorecards, benchmarking trajecten, noem maar op. Wat vooral interessant gevonden wordt, is 'hoe goed doe ik het ten opzichte van mijn gelijken'. Het is belangrijk deze vraag niet te verwarren met het 'wie heeft de grootste' wat je persoonlijk wellicht meer boeit. Goed management is meestal eerder bezig met 'doe ik net genoeg en niet te veel'. Immers, in bedrijven geldt dat te veel doen aan een cost driver, onverantwoord management is. Dit noemen ze alignment.
Een populaire manier van meten werkt met maturiteitsniveaus: hoe 'volwassen' ben je als organisatie. Op basis van oermoeder CMM definiëren we een hiërarchie van te bereiken resultaten, waaraan wij adviseurs een nummertje hangen van één tot vijf.
Het gerenommeerde NIST (de Amerikaanse pendant van ons normalisatie instituut), beoogt met Prisma het gehele beveiligingswerkveld te bestrijken in vier niveaus van maturiteit. Op level 1 staan policies, op level 2 zie je procedures, op level 3 voer je een en ander in, en op level 4 kijk je of het helpt door testen en auditing. Helemaal prachtig, op de onderste twee levels heb je alleen papier, bij de implementatie schaf je 'alle ad hoc' af en op het hoogste niveau ga je (laten) toetsen of de doelen bereikt zijn.
Laten we wel wezen. Policies kun je zo abstract maken dat je ongeveer alle situaties onder een kapstok artikel kan vangen. Level 1 gaat dus wel lukken. Maar procedures moeten concreet zijn, dus Prisma betekent dat je blijkbaar alle eventualiteiten en omstandigheden moet voorzien, inclusief wetswijzigingen en gaten in goedgekeurde apparatuur en software. In level 2 blijf je dus ergens hangen, tot je besluit wat er af is ‘alvast’ te implementeren, vrij naar level 3. Maar ja, je komt naar de methodiek nooit boven level 2. Los van deze zwaktes krijgt de klant op z'n vroegst resultaten op level 4, waarin je de effectiviteit gaat meten. Nu willen sommige mensen wel eerder weten of het hele traject ergens toe leidt - vreemd, nietwaar? - dus die willen eigenlijk al wat sneller resultaten zien. Maar dat kan niet. Of je moet gaan melden 'dat we ergens tussen level 2 en level 4 zitten'.
De premisse is dat je alles wat je doet meetbaar maakt. Dat maakt alle lagere niveaus dan het hoogste voor iedere organisatie onvoldoende. Of zijn er clubs waar er behoefte bestaat aan tal van kostbare maatregelen zonder enige zicht op resultaten? Wat is hier nu het nut van de verschillende niveaus? Immers, je hebt pas iets als je op niveau vier zit. Echter, een kostenbewuste manager wil niet op het hoogst mogelijke, maar op het laagst acceptabele niveau zitten. Hint voor de knutselaars van Prisma: definieer een niveau luchtkasteel, waar niemand op zit te wachten en plak dáár je natte dromen in. Omdat nummertje vijf nog ontbreekt, die de meeste anderen wel hebben, pak je die toch?
Het minstens even gezaghebbende ITGI heeft een 6 niveaus hoog maturity model voor information security assessment uitgebracht. Op niveau 0 kijk je niet naar de business impact van security zwaktes. Je kijkt überhaupt nergens naar, je doet gewoon niets. Op niveau 1 doe je van alles ad hoc, zonder policies, en alles zonder samenhang of beleid. Op level 2 wordt wat de club doet herhaalbaar, maar dat dan wel 'intuïtief'. Toch benieuwd hoe dat gaat, neem je dan alleen helderzienden in dienst? Op level 3 worden de 'processen gedefinieerd', rollen en verantwoordelijkheden 'toegekend', maar niet afgedwongen. Op level 4 is de vrijblijvendheid afgeschaft, en op niveau 5 wordt security geïntegreerd in de 'business'. Ook hier zie je dezelfde zwakte: alleen het hoogste niveau is goed genoeg - of ga je de 'business' vertellen dat het niveau waarop iemand anders de baas is, goed genoeg is?
Het Duitse Institut für Software- und Systemtechniek Frauenhoff, zo mogelijk nog gezaghebbender dan de beide voorgangers, heeft een eigen smaak in haar Security Maturity Model, SMM. Ook dit kent vier niveaus. Niveau 0 staat voor blind vertrouwen en helemaal niets doen. Niveau 1 staat voor ad hoc in de rondte bewegen. Op niveau 2 is er beleid dat de acties op elkaar afstemt en op niveau 3 (het hoogste) 'evolueert' alles vanzelf naar een hoger niveau, door permanente processen - zonder al te veel managementingrijpen. Onze Duitse collega's maken duidelijk dat ze beter begrijpen wat het moderne management wil dan NIST en het ITGI: dat alles vanzelf goed gaat. Dat ze hiervoor de 'permanente processen' als wondermiddel in stelling brengen, maakt duidelijk dat we hier een evidente winnaar hebben. Maar het maakt even duidelijk is dat de maturiteitsbenadering zelf nog niet volwassen is.
Peter Rietveld, Senior Security consultant bij Traxion - The Identity Management Specialists -
Vorige columns van Peter
volwassenheid op het gebied van informatiebeveiliging van een bedrijf te
bepalen.
Namelijk in hoeverre de organisatie zich bewust is van operationele
risico's en hoe ze die kunnen beperken.
Informatiebeveiliging is niet meer en niet minder dan een van de
onderdelen van operationeel risicomanagement.
Hierbij denk ik niet direkt aan ICT risico's, maar aan gebeurtenissen die
invloed hebben op de bedrijfsprocessen en informatiestromen.
De processen en stromen worden in sommige gevallen ondersteund door
ICT middelen en aan het gebruik daarvan zitten bepaalde risico's.
Een voorbeeld hiervan is de afhandeling van financiële transacties.
De ICT kant zal zich snel richten op rechten en rollen binnen systemen.
Op zich goed, maar als iemand in het systeem niets kan en wel cheques
kan uitschrijven ben je nog zo lek als een mandje.
Tenzij dit een onderdeel van functiescheiding is natuurlijk.
Terwijl dit risico vanuit het proces wel duidelijk was geworden, waarna
zowel tekenbevoegdheid als systeemrechten aangepast waren.
Bewustzijn resulteert vragen voor verbetering.
Deze zijn meetbaar (kwantitatief en kwalitatief).
Daarnaast zijn concrete maatregels voor concrete risico's meetbaar.
Het bewustzijn zelf is beperkt meetbaar (een goede assesment legt de
grootste pijnpunten wel bloot, maar maakt lang niet alles inzichtelijk).
Een goed voorbeeld is een recente organisatorische assesment die ik
gehouden heb.
Ik heb van een aantal mensen duidelijke reacties teruggekregen.
Van een van de respondenten kreeg ik echter door dat alles goed zit.
Da's desinteresse of niet-bewustzijn. In beide gevallen een goed gesprek
waard.
Het zelfde geldt voor: 'ik heb hiervoor geen tijd'.
Dat ik dit niet in een mooi meetbaar schema kan gieten is geen probleem.
Ik kan wel naar het management rapporteren dat bepaalde concrete
risico's zijn onderkend en er maatregels zijn genomen om deze te
verminderen. Of dat er budgetaanvragen voor lopen.
En dat er bepaalde vragen zijn gekomen die duiden op een bepaalde mate
van risicobewustzijn.
Of dat er bepaalde acties zijn ondernomen om het bewustzijn te vergroten.
Geen 'communicatie-ellende', maar gewoon procesanalyses en systeemanalyses met de focus op eventuele risico's.
Daarbij, risicobewustzijn is geen kostenpost maar zou juist kosten moeten
besparen.
Als het management dat niet stimuleert, dan moet ik mij afvragen of ik mijn
boodschap wel duidelijk overbreng.
maturiteitsbenadering zelf nog niet volwassen is.
ongeveer als zij nog niet volwassen is?
passen is aan het bedrijfs profiel waarna een bedrijf verlangt.Dit zou denk
ik ook nooit meetbaar zijn.
dat een manager risico's afweegt en niet afgaat op een
kostenbewusteloze IT guru die alleen gelukkig is met de duurste
security oplossing terwijl het risico soms meevalt (niet elk bedrijf heeft
dezelfde security nodig als een grote bank of defensie).
Het is de kunst om security te verkopen als een beveiliging tegen
toekomstige ellende. Als lange kostenbespaarder in plaats van korte
termijn kostenveroorzaker.
En ik snap de kritiek niet over het maturity concept. Want het is een
algemeen aanvaarde stelling dat in een volwassen organisatie dingen
goed gaan omdat "iedereen" weet wat van hem/haar wordt verwacht,
dan hoeft management alleen nog op afwijkingen te sturen. Dat veel
bedrijven nog onvoldoende volwassen zijn, doet niets af aan een
maturity model omdat het ook aanvaard is dat de perfecte
volwassenheid weinig voorkomt (er moet toch iets te streven
overblijven).
Kwaliteit meten is trouwens altijd moeilijk, ook bij security, want het is
een subjectief begrip. Een beetje een dooddoener en dan is het jammer
dat nuttige hulpmiddelen worden afgekraakt.
Iedereen heeft zijn eigen intepretatie van wat goed is en dat is helemaal
niet erg zolang je er maar over praat en zoveel mogelijk op één lijn
komt.
aan een maturity model omdat het ook aanvaard is dat de perfecte
volwassenheid weinig voorkomt (er moet toch iets te streven
overblijven).
De middelen moet er ook zijn en het bedrijf moet het zelf ook willen.Vaak is
het personeel zelf te laks ingesteld om zich aan procedures te
houden.Omdat ze vinden dat het niet nodig is.
Door dit proces te gaan beinvloeden kweek je alleen maar het tegen
overgestelde.Werknemers zullen andere methodes gaan verzinnen
om toch hun doelen te berijken.Neem de usb sticks die in het nieuws zijn
geweest.Dan vraag ik me af hoe komt het dat deze info op een usb stick
komt te staan en niet gewoon op een notebook of pda.
Door usb poorten hardware matig af te sluiten zodat het gebruik van usb sticks onmogelijk word dwing je al een gebruiker de informatie op een pda of notebook te zetten.
Internet anders niet te vinden. Laat staan hun model. Wat moet je dan met
zo'n bericht.?
Het Duitse Institut für Software- und Systemtechniek Frauenhoff is op
Internet anders niet te vinden. Laat staan hun model. Wat moet je dan met
zo'n bericht.?
Nu is het mischien verbazingwekkend maar in duitsland spreken ze duits
dus als je techniek vervangt door technik vindt je een hele boel.
Onderstaande link werkt dan ook uitstekend.
http://www.isst.fraunhofer.de/englisch/content/index.html
De middelen moet er ook zijn en het bedrijf moet het zelf ook willen.Vaak is
het personeel zelf te laks ingesteld om zich aan procedures te
houden.Omdat ze vinden dat het niet nodig is.
Door dit proces te gaan beinvloeden kweek je alleen maar het tegen
overgestelde.Werknemers zullen andere methodes gaan verzinnen
om toch hun doelen te berijken.Neem de usb sticks die in het nieuws zijn
geweest.Dan vraag ik me af hoe komt het dat deze info op een usb stick
komt te staan en niet gewoon op een notebook of pda.
Door usb poorten hardware matig af te sluiten zodat het gebruik van usb
sticks onmogelijk word dwing je al een gebruiker de informatie op een pda
of notebook te zetten.
USB poort afsluiten is geen oplossing, maar symptoombestrijding.
Er is een fundamenteel probleem, namelijk dat mensen gevoelige
informatie meenemen op een onbeveiligd medium (USB stick, PDA,
laptop, papier). Of ze sturen het onversleuteld naar hun privé e-mail adres.
Waarom?
Misschien omdat ze de gevoeligheid van de informatie niet onderkennen.
Of omdat ze de mogelijkheid / kennis niet hebben het te versleutelen.
Mijn ervaring is dat gebruikers technisch zaken afdwingen maar beperkt
werkt.
Kunnen ze geen USB stick gebruiken, dan toch gewoon via de e-mail?
Of op het onbeschermde notebook.
Het is beter ze te laten nadenken over waar ze mee bezig zijn.
En welke mogelijkheden er zijn die hun werk niet lastiger maken, maar wel
veiliger.
Misschien omdat ze de gevoeligheid van de informatie niet onderkennen.
Of omdat ze de mogelijkheid / kennis niet hebben het te versleutelen.
Ik begrijp dan niet dat bedrijven zelf een oplossing aanbieden. Bv
versleutelde biometrische usb sticks of versleutelde pda's met vingerprint
herkenning etc die dan door de TD worden geconfigureerd en versleuteld.
Door er dan korting op te geven bij aankoop. Zou misschien ook kunnen dat personeel dan minder snel een product op de markt zou kopen die niet versleuteld zijn.
Ik begrijp dan niet dat bedrijven zelf een oplossing aanbieden. Bv
versleutelde biometrische usb sticks of versleutelde pda's met vingerprint
herkenning etc die dan door de TD worden geconfigureerd en versleuteld.
Bij ons is de IT afdeling al een tijdje bezig met het bekijken van
werkplekbeveiliging.
Waarschijnlijk gaan ze actief USB-sticks met encryptiemogelijkheden
aanbieden aan mensen die er behoefte aan hebben.
Goed initiatief!
Buiten deze oplossing:
Encryptie is redelijk complex en uitrol van een PKI infrastructuur binnen
een wat grotere organisatie is lastig.
Daarbij hebben we veel verschillende externe relaties, waarbij een
gedeelte wel versleuteld moet worden en een gedeelte niet.
E-mail is intussen een oplossing voor gevonden, maar nog niet
geimplementeerd.
Bestandsencryptie staat al langer op de agenda en heb ik verleden week
weer geëscaleerd.
Ik kan me voorstellen dat de gemiddelde ICT beheerder niet constant bezig
is met het verdiepen van de kennis van Informatiebeveiliging.
Hoeft ook niet, maar daardoor wordt de implementatie wel vertraagd.
Al zijn er redelijk goede tussenoplossingen, zoals bestandsversleuteling
met WinZip (recente versie) met hoogste encryptie.
Maar dat is een extra handeling voor de gebruiker ( = lastig en omslachtig)
en daardoor niet ideaal.
te komen, is door IB zelf als proces te benaderen. Een
voorbeeld daarvan is door het toepassen vna de "Deming"
cirkel, Plan, Do, Check, Act. In de Planning definieer je je
beleid en je beveiligingsplan, je voert het uit, Controleert
de uitvoering en de effectiviteit en stelt vervolgens je
plan en beleid bij. Dit blijf je vervolgens continue herhalen.
In de plan fase kan je ook een risico analyse uitvoeren (die
je ook met regelmaat herhaalt). Hierdoor zijn uiteindelijk
(bijna) alle risico's bekend en de risico's die niet
afgedekt zijn door beveiligingsmiddelen of
bewustzijnscampagnes zijn in ieder geval onderkend en er is
een besluit genomen (door het management) om ze niet te
verminderen.
Het probleem is natuurlijk dat een dergelijke aanpak veel
tijd en expertise vraagt van meerdere personen (een is
geen). Voordeel is wel dat IB hiermee meetbaar wordt (met
name in de check fase) en dat het daardoor beter verkoopbaar
wordt aan het management.
Goed leesmateriaal is te vinden op
http://www.nen7510.org/
registreer jezelf daar en download het "Handboek NEN-7510"
geimplementeerd.
Je kan ook hiervoor ook pgp gebruiken of iets. Dat alle mail versleuteld
wordt vanaf het bedrijf en dan ook minder gevoelig is voor mensen die uit
zijn om data van een bedrijfs netwerk in handen te krijgen.
Wat misschien nog een makkelijkere oplossing is gewoon ftp server die
ssl ondersteund met ipsec ofzo. Zodat werknemers van buiten af bij hun
gegevens kunnen komen en data niet meer hoeven door te sturen via een
onbeveiligd mail programma. Tevens zou het ook een oplossing kunnen
zijn zodat werknemers minder snel usb sticks hoeven te gebruiken omdat
ze ten alle tijden overal bij data van het werk kunnen komen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
