image

Column: Best Practices bestaan niet

woensdag 28 februari 2007, 10:38 door Redactie, 10 reacties

Organisaties die op de één of andere manier ‘iets doen’ aan informatiebeveiliging, kiezen vaak voor de zogenaamde Best Practice benadering. Dit is ook een heel gangbaar advies van consultants. Een korte uitleg: in een Best Practice benadering haal je de maatregelen uit een boekje of een lijst van een gerenommeerde bron, en gaat ze vervolgens naar de letter uitvoeren. Het is een vorm van checklistmanagement, waarbij je de vinklijst van een externe instelling gebruikt. Een Best Practice impliceert dat de maatregel al ergens succesvol geïmplementeerd is, dus dat het gestelde doel bereikt is.

Vanuit management optiek is dit een valide methode. Je wilt immers niet maanden discussiëren over wat je allemaal moet doen. Het klinkt reuze handig. Het woord Practice benadrukt dat het praktisch is, en Best geeft het autoriteit. Daarom verdienen Best Practices navolging.

De mooiste truc die de salesafdeling van een IT-club kan bereiken, is het presenteren van haar producten en werkwijze als Best Practices. Tegenover elke kritische geest staan er tien angstige consultants en managers die in aanbidding op de knietjes zakken. Met onze quickscan ben je in een handomdraai SOX compliant!

Zo werkt het natuurlijk niet. Wondermiddelen bestaan niet. Kant en klare Best Practices evenmin. Het succes van een maatregel is altijd afhankelijk van de manier en de timing van de invoering. Bovendien is vrijwel iedere uitgevoerde maatregel een compromis tussen wat kan en wat moet. Dat compromis zal niet bij iedere organisatie hetzelfde uitvallen. Maatregelen en praktijken zijn nu eenmaal bedacht in een bepaalde context en zijn in die omgeving al of niet succesvol.

Een voorbeeld. In het Veluwse dorp Putten gold reizen per paard in de negentiende eeuw als Best Practice. Dit had tot gevolg dat het treinstation acht kilometer van het centrum werd aangelegd. Een actie die blijvend bijgedragen heeft aan de landelijkheid van het dorp. Maar de economische voordelen van de kazernes en de psychiatrische inrichtingen gingen naar het volgende dorp, Ermelo. Ermelo deed niet aan Best Practices.

Het geloof in Best Practices rukt ook op in het hoger onderwijs, waar ze door toonaangevende instituten als Inholland als leervoer voor studenten neergezet worden. Hoe dit zich verhoudt tot het streven naar een innovatieve kenniseconomie en het nieuwe leren? Zou er zoiets bestaan als onderwijsconsultants? Laten we hopen dat de nieuwe minister van Onderwijs in staat is dit geloof te ontmaskeren.

Terug naar IT Security. Ook de Code voor Informatiebeveiliging (CvIB) wordt vaak gepresenteerd als een verzameling Best Practices. In strikte zin is het dat echter niet. Het zijn maatregelen, in 1989 begonnen als goede gewoonten voor computergebruikers, met als doel de veiligheid te verbeteren. Specialisten van allerlei organisaties hebben er sindsdien nog een aantal goede gebruiken bijgejongd, maar wat er nog steeds niet in staat, is wát je nu precies moet doen om die goede bedoelingen te realiseren. De praktijk, dus. De practice. Nogal wiedes overigens dat dit er niet in staat, want het bestaat ook niet. Er is nooit een pasklaar recept.

De CvIB noemt bijvoorbeeld als Best Practice: geen ongecontroleerde modems in het netwerk. Dat is an sich een prima – hoewel een beetje verouderde – doelstelling. Maar een prima doelstelling is nog geen succesvol geïmplementeerde en in stand gehouden maatregel. De vraag is dus: hoe zorg je ervoor dat je die ongewenste modems vindt, en tegenhoudt, zónder de ongetwijfeld beste bedoelingen van de eigenaren te fnuiken? Dat zal niet in iedere organisatie op dezelfde manier kunnen. Ook het feit dat deze Best Practice niet spreekt van ingebouwde wireless access points, zal je even moeten ‘vertalen’ naar je eigen context.

Helemaal lastig wordt het als de Best Practice letterlijk uitgevoerd moet worden, wat nogal eens de opdracht is. Of als je te maken krijgt met nieuwe bedreigingen, waar nog geen enkele Best Practice voor bestaat. Doe je er dan maar niets aan tot de Best Practice een update krijgt? Of als een Best Practice voorschrijft dat je risicomanagement introduceert. Je moet dan toch echt zélf overal over nadenken en dat wilde je nu net voorkomen.

De CvIB is een lijst met 133 maatregelen die de moeite waard zijn om te bekijken. Wat het niet is, is een hufterproof en compleet recept voor checklistfetisjisten. Er is alleen gekozen om het positioneren als Best Practices, in een tijd dat dit nog niet de bijklank had die het nu heeft.

Nu is het bon ton om op allerlei gebieden werk als meetbare processen in te richten, en daarin past een hoge mate van standaardisatie. Hoe kun je anders benchmarken tegen de competitie? Zie hier de basis van het succes van de best practitioners. Stel je voor dat de auditoren niet uitkomen met hun checklistje – hel en verdoemenis. Dat je IT-club het helemaal anders doet met BSD servers en OSX werkstations – daar bestaan helemaal geen KPI’s voor! Hoe kun je dan aantonen dat je het goed doet?

Het fascinerende is dat het hele geloof in Best Practices neerkomt op de angst anders te zijn dan de concurrentie. Daarmee verdwijnt dus het onderscheidend vermogen van de organisatie. En daarmee verdwijnt ook iedere innovatie, ieder concurrentievoordeel en uiteindelijk het bestaansrecht van de organisatie. De neiging om kritiekloos een lijstje van elders te volgen is vooral een uiting van gestold wantrouwen in de eigen medewerkers en gemakzucht. Heren managers, als je je mensen niet vertrouwt of niet naar ze wil luisteren, knikker ze er dan gewoon uit.

Peter Rietveld, Senior Security consultant bij Traxion - The Identity Management Specialists -

Vorige columns van Peter

  • Unified Threat Management: dure mensen, goeie spullen?
  • Security maturity
  • Komt het nog wel goed
  • Geen nieuws is goed nieuws
  • Awareness best belangrijk
  • Een papieren tijger in een zilveren lijstje
  • Een goed idee is niet goed genoeg
  • Uit de loopgraven
  • Waarom beveiligingsbeleid faalt
  • Groot slaat dood
  • Reacties (10)
    28-02-2007, 11:28 door Consultant
    Toch is het mogelijk bij veel apparaten deze zo in te richten zoals de
    fabrikant deze bedoelt heeft. En je aan bepaalde principes of grondregels
    houden is ook nog goed te doen. Wat je wilt bereiken met best practices is
    dat in ieder geval de domme fouten uit een configuratie worden gehaald.
    Je mensen niet vertrouwen of ze een handvaatje geven is een groot
    verschil. Iedereen vergeet wel eens iets, een checklist doorlopen is
    slechts bedoelt om fouten te voorkomen. En ja net als als met risk
    assessments is deze techniek niet zaligmakend, maar slechts op de grote
    blauwe ogen vertrouwen van de inrichter is erg naief. Pietje doet het net
    wat anders als Jantje. Nee, een paar richtlijnen opstellen is helemaal niet
    zo erg. Wat wel erg is, als voldoen aan de best practices het enige doel is.
    28-02-2007, 11:54 door Anoniem
    Da's een goeie:

    "Ook de Code voor Informatiebeveiliging (CvIB) wordt vaak gepresenteerd
    als een verzameling Best Practices. In strikte zin is het dat echter niet. Het
    zijn maatregelen, in 1989 begonnen als goede gewoonten voor
    computergebruikers"

    En wat is precies de Engelse vertaling van 'goede gewoonten'?? Juist.

    Natuurlijk is een checklist niet zaligmakend, maar als ik zie wat voor een
    beginnersfouten ik tegenkom bij klanten met betrekking tot basale
    beveiligingsconfiguraties, dan zou een checklist (of een lijst van
    acceptatiecriteria, al dan niet alleen gericht op beveiliging) een geschenk
    uit de hemel zijn. Tuurlijk, zelf nadenken dien je altijd te doen, maar als
    een lijst met best practises houvast kan bieden voor overwerkte en te
    weinig getrainde systeembeheerders om zo hun systemen op gebied van
    patches, password policy en configuratie veilig te krijgen... Mijn zegen
    hebben ze!

    Daarnaast spelen nog wat andere factoren een rol. Risico management is
    leuk, maar zeer duur, en als je na 6 maanden klaar bent met de analyse
    en de interviews, is de uitkomst niet meer representatief voor de (sterk)
    veranderde omgeving. Dus dan toch maar de 80-20 regel (80% van de
    problemen oplossen met het volgen van een checklist die je 20% van de
    totale tijd kost)? Hier geldt ook: er is geen zaligmakende oplossing!
    28-02-2007, 13:25 door Anoniem
    Natuurlijk is gezond boeren verstand uiteindelijk
    belangrijker dan een strak keurslijf in de vorm van
    checklists. Ik vind de column alleen erg kort door de bocht
    gaan in het afkraken van "Best Practices" in het algemeen.
    Dat is net zo iets als het afkraken van kookboeken omdat
    alle gerechten dan hetzelfde zullen smaken. De deskundigheid
    van de kok bepaalt de kwaliteit van het gerecht, niet het
    kookboek.

    Verder is de CvIB een framework dat met name bedoeld is als
    hulpmiddel voor een aantal zaken:
    - Bewustwording van zaken waar aan gedacht moet worden
    wanneer je iets met informatiebeveiliging te maken hebt.
    - "De neuzen dezelfde kant op", en dan inderdaad zowel
    binnen de eigen organisatie als tussen organisaties
    onderling (externe accountant, etc.)
    - De meetbaarheid en beheersbaarheid van het onderwerp, of
    het nu gaat om informatiebeveiliging of het op orde hebben
    van de IT service processen conform ITIL of de beheersing
    van de IT organisatie conform COBIT.
    - Het is een FRAMEWORK, en geen norm. De norm die een
    organisatie aan een maatregel stelt is geheel aan de
    organisatie zelf. En dan hopelijk gebaseerd op een
    risicoanalyse om zodoende geen onzinnige maatregelen te nemen.

    Alleen mensen die zelf onvoldoende kennis, danwel ervaring
    hebben zullen blind een framework naar de letter willen
    toepassen bij implementatie. Dat is in mijn ogen een veel
    fundamenteler probleem dan het concept "best practice". Op
    een hoge school best practices doceren is prima zolang de
    docent het niet als "norm" oplegt en creativiteit van de
    student niet afstraft.

    Conclusie is dan ook dat ik me niet geheel kan vinden in de
    boodschap van deze column.
    28-02-2007, 13:36 door Anoniem
    Hulde voor een prima column (deze keer).

    Bottom line is dat er gewoon moet worden nagedacht, en dat afwegingen
    van risico's bewust gedaan moeten worden.

    -RB
    28-02-2007, 14:32 door Anoniem
    "Heren managers, als je je mensen niet vertrouwt of niet naar ze wil
    luisteren, knikker ze er dan gewoon uit." Citaat Rietveld.

    Deze conclusie vind ik een uitglijder van Rietveld, want managers die de
    eigen mensen niet vertrouwt of naar ze wilt luisteren zijn voor hun functie
    ongeschikt; het bedrijf heeft niets aan betweterige en achterdochtige
    mensen. Rietveld bedoelt waarschijnlijk te zeggen, dat het personeel voor
    deze manager dan overbodig is. Echter, deze managers zien het
    personeel als alleen geschikt om zijn beleid uit te voeren en basta.

    Voor de rest heeft hij een mooi informatief verslag geschreven.
    De Best Practice benadering heeft m.i. efficiency- en psychologische
    voordelen:
    - het wiel hoeft niet elke keer opnieuw uitgevonden te worden, dat hebben
    anderen al gedaan.
    - geeft meer zekerheid over de effectiviteit omdat het zijn waarde reeds
    bewezen heeft.
    Dat betekent niet dat e.e.a. dogmatisch moet worden bekeken, maar
    waarnodig aanpassingen moeten worden gedaan.
    02-03-2007, 15:51 door Anoniem
    ... en gaat ze vervolgens naar de letter uitvoeren
    ...
    Het naar de letter uitvoeren gebeurt ook met regels, itil en
    andere dingen. Het komt doordat degenen die het uitvoeren,
    de achterliggende gedachten niet (kunnen) begrijpen. Het
    geldt zelfs voor religies: hogere levenswaarden die slechts
    een enkeling werkelijk begrijpt. De grote massa die die
    waarden niet naar dagelijkse kleine en grote dingen kan
    vertalen.
    Bij het opstellen van al dit soort regels en richtlijnen,
    moet men beter letten op de doelgroep om e.e.a. succesvol te
    kunnen laten zijn.
    03-03-2007, 12:56 door Constant
    Best Practice en checklists zijn totaal verschillende zaken, daarmee
    heeft het artikel een waardeloos begin. Ook het onderscheid tussen
    framework (zoals CvIB) en specifieke maatregelen komt niet uit de
    verf.

    Een Best Practice moet je zien als het wiel, het heeft geen zin om
    hetzelfde nog een keer uit te vinden want een wiel is altijd rond. De
    betere Best Practices (CvIB, ITIL, etc) zijn frameworks die je naar vrijwel elke organisatie kan aanpassen. Dat sommige interne en externe consultants daar een zootje van maken door een verkeerde
    toepassing, doet niets af aan de positieve waarde van een
    framework. IT security is vakwerk en een framework blijft één van de
    hulpmiddelen. Slecht vakwerk is zelden het gevolg van een slecht
    framework of van Best Practices, of welke andere modeterm dan ook.

    Het mooie van een framework zoals CvIB is dat het structuur geeft
    aan je beveiligingsplanning, die je inricht op basis van de risico's van
    je bedrijf. Een bank heeft meer beveiliging nodig dan een
    handelsbedrijf, dus vult men het framework per organisatie anders in.
    Dat snappen we allemaal maar ik lees het niet terug in het artikel, dat
    wederom de zeer negatieve benadering laat zien van Peter Rietveld.
    04-03-2007, 11:00 door Bitwiper
    Ik las zojuist in het [url=http://isc.sans.org/diary.html?storyid=2346]ISC dagboek[/url] een stuk van Maarten Van Horenbeeck over de tijd tussen vulnerablilty en installatie van de patch:
    A little more than one week from now Microsoft will be releasing their monthly security updates. A recent security standard stated fairly bluntly that "relevant security patches need to be installed within one month of release".
    "A recent security standard"? Als ik wat [url=http://www.google.com/search?hl=en&q=%22relevant+security+patches%22+%22within+one+month%22&btnG=Search]Google[/url] dan zie ik dat veel organisaties dit lijken aan te raden.

    Ik vrees dat dit advies te algemeen en daarmee gevaarlijk is. DoS attacks zijn lang niet voor iedereen een probleem, en zeker niet op een LAN. Patches voor privilige escalation exploits hebben nauwelijks prioriteit als iedereen toch al als admin werkt of indien er andere bekende mogelijkheden zijn om die status te verkrijgen.

    Daarentegen moet je bij een lek in een systeemservice met internet-exposure direct patchen. Niet zelden is het beter om meteen de stekker er uit te trekken, totdat, na het bekend worden van de vulnerability, er een patch of een workaround beschikbaar is.

    De stelling "Best practices bestaan niet" gaat me te ver, maar ik ben het met Peter Rietveld eens dat als zo'n "Best Practice letterlijk uitgevoerd moet worden, wat nogal eens de opdracht is" je om problemen vraagt.
    05-03-2007, 07:23 door Gonzalex
    Door Erik van Straten
    Ik vrees dat dit advies te algemeen en daarmee gevaarlijk
    is.

    Dat is inderdaad het gevolg van een framework dat tevens een
    norm geeft. De norm die je stelt aan de control "Patching"
    dient per geval bepaald te worden, en kan niet generiek
    worden gesteld binnen een framework. Fout in het framework
    dus (wat mij betreft). Grappig is wel dat wanneer er in
    dergelijke gevallen geen norm wordt meegegeven, personeel
    vaak het framework afkraakt vanwege het "vage" karakter :)
    14-03-2007, 00:04 door G-Force
    Wondermiddelen bestaan niet

    Bewijs graag...
    Reageren

    Deze posting is gelocked. Reageren is niet meer mogelijk.