Column: Best Practices bestaan niet
Organisaties die op de één of andere manier ‘iets doen’ aan informatiebeveiliging, kiezen vaak voor de zogenaamde Best Practice benadering. Dit is ook een heel gangbaar advies van consultants. Een korte uitleg: in een Best Practice benadering haal je de maatregelen uit een boekje of een lijst van een gerenommeerde bron, en gaat ze vervolgens naar de letter uitvoeren. Het is een vorm van checklistmanagement, waarbij je de vinklijst van een externe instelling gebruikt. Een Best Practice impliceert dat de maatregel al ergens succesvol geïmplementeerd is, dus dat het gestelde doel bereikt is.
Vanuit management optiek is dit een valide methode. Je wilt immers niet maanden discussiëren over wat je allemaal moet doen. Het klinkt reuze handig. Het woord Practice benadrukt dat het praktisch is, en Best geeft het autoriteit. Daarom verdienen Best Practices navolging.
De mooiste truc die de salesafdeling van een IT-club kan bereiken, is het presenteren van haar producten en werkwijze als Best Practices. Tegenover elke kritische geest staan er tien angstige consultants en managers die in aanbidding op de knietjes zakken. Met onze quickscan ben je in een handomdraai SOX compliant!
Zo werkt het natuurlijk niet. Wondermiddelen bestaan niet. Kant en klare Best Practices evenmin. Het succes van een maatregel is altijd afhankelijk van de manier en de timing van de invoering. Bovendien is vrijwel iedere uitgevoerde maatregel een compromis tussen wat kan en wat moet. Dat compromis zal niet bij iedere organisatie hetzelfde uitvallen. Maatregelen en praktijken zijn nu eenmaal bedacht in een bepaalde context en zijn in die omgeving al of niet succesvol.
Een voorbeeld. In het Veluwse dorp Putten gold reizen per paard in de negentiende eeuw als Best Practice. Dit had tot gevolg dat het treinstation acht kilometer van het centrum werd aangelegd. Een actie die blijvend bijgedragen heeft aan de landelijkheid van het dorp. Maar de economische voordelen van de kazernes en de psychiatrische inrichtingen gingen naar het volgende dorp, Ermelo. Ermelo deed niet aan Best Practices.
Het geloof in Best Practices rukt ook op in het hoger onderwijs, waar ze door toonaangevende instituten als Inholland als leervoer voor studenten neergezet worden. Hoe dit zich verhoudt tot het streven naar een innovatieve kenniseconomie en het nieuwe leren? Zou er zoiets bestaan als onderwijsconsultants? Laten we hopen dat de nieuwe minister van Onderwijs in staat is dit geloof te ontmaskeren.
Terug naar IT Security. Ook de Code voor Informatiebeveiliging (CvIB) wordt vaak gepresenteerd als een verzameling Best Practices. In strikte zin is het dat echter niet. Het zijn maatregelen, in 1989 begonnen als goede gewoonten voor computergebruikers, met als doel de veiligheid te verbeteren. Specialisten van allerlei organisaties hebben er sindsdien nog een aantal goede gebruiken bijgejongd, maar wat er nog steeds niet in staat, is wát je nu precies moet doen om die goede bedoelingen te realiseren. De praktijk, dus. De practice. Nogal wiedes overigens dat dit er niet in staat, want het bestaat ook niet. Er is nooit een pasklaar recept.
De CvIB noemt bijvoorbeeld als Best Practice: geen ongecontroleerde modems in het netwerk. Dat is an sich een prima – hoewel een beetje verouderde – doelstelling. Maar een prima doelstelling is nog geen succesvol geïmplementeerde en in stand gehouden maatregel. De vraag is dus: hoe zorg je ervoor dat je die ongewenste modems vindt, en tegenhoudt, zónder de ongetwijfeld beste bedoelingen van de eigenaren te fnuiken? Dat zal niet in iedere organisatie op dezelfde manier kunnen. Ook het feit dat deze Best Practice niet spreekt van ingebouwde wireless access points, zal je even moeten ‘vertalen’ naar je eigen context.
Helemaal lastig wordt het als de Best Practice letterlijk uitgevoerd moet worden, wat nogal eens de opdracht is. Of als je te maken krijgt met nieuwe bedreigingen, waar nog geen enkele Best Practice voor bestaat. Doe je er dan maar niets aan tot de Best Practice een update krijgt? Of als een Best Practice voorschrijft dat je risicomanagement introduceert. Je moet dan toch echt zélf overal over nadenken en dat wilde je nu net voorkomen.
De CvIB is een lijst met 133 maatregelen die de moeite waard zijn om te bekijken. Wat het niet is, is een hufterproof en compleet recept voor checklistfetisjisten. Er is alleen gekozen om het positioneren als Best Practices, in een tijd dat dit nog niet de bijklank had die het nu heeft.
Nu is het bon ton om op allerlei gebieden werk als meetbare processen in te richten, en daarin past een hoge mate van standaardisatie. Hoe kun je anders benchmarken tegen de competitie? Zie hier de basis van het succes van de best practitioners. Stel je voor dat de auditoren niet uitkomen met hun checklistje – hel en verdoemenis. Dat je IT-club het helemaal anders doet met BSD servers en OSX werkstations – daar bestaan helemaal geen KPI’s voor! Hoe kun je dan aantonen dat je het goed doet?
Het fascinerende is dat het hele geloof in Best Practices neerkomt op de angst anders te zijn dan de concurrentie. Daarmee verdwijnt dus het onderscheidend vermogen van de organisatie. En daarmee verdwijnt ook iedere innovatie, ieder concurrentievoordeel en uiteindelijk het bestaansrecht van de organisatie. De neiging om kritiekloos een lijstje van elders te volgen is vooral een uiting van gestold wantrouwen in de eigen medewerkers en gemakzucht. Heren managers, als je je mensen niet vertrouwt of niet naar ze wil luisteren, knikker ze er dan gewoon uit.
Peter Rietveld, Senior Security consultant bij Traxion - The Identity Management Specialists -
Vorige columns van Peter
fabrikant deze bedoelt heeft. En je aan bepaalde principes of grondregels
houden is ook nog goed te doen. Wat je wilt bereiken met best practices is
dat in ieder geval de domme fouten uit een configuratie worden gehaald.
Je mensen niet vertrouwen of ze een handvaatje geven is een groot
verschil. Iedereen vergeet wel eens iets, een checklist doorlopen is
slechts bedoelt om fouten te voorkomen. En ja net als als met risk
assessments is deze techniek niet zaligmakend, maar slechts op de grote
blauwe ogen vertrouwen van de inrichter is erg naief. Pietje doet het net
wat anders als Jantje. Nee, een paar richtlijnen opstellen is helemaal niet
zo erg. Wat wel erg is, als voldoen aan de best practices het enige doel is.
"Ook de Code voor Informatiebeveiliging (CvIB) wordt vaak gepresenteerd
als een verzameling Best Practices. In strikte zin is het dat echter niet. Het
zijn maatregelen, in 1989 begonnen als goede gewoonten voor
computergebruikers"
En wat is precies de Engelse vertaling van 'goede gewoonten'?? Juist.
Natuurlijk is een checklist niet zaligmakend, maar als ik zie wat voor een
beginnersfouten ik tegenkom bij klanten met betrekking tot basale
beveiligingsconfiguraties, dan zou een checklist (of een lijst van
acceptatiecriteria, al dan niet alleen gericht op beveiliging) een geschenk
uit de hemel zijn. Tuurlijk, zelf nadenken dien je altijd te doen, maar als
een lijst met best practises houvast kan bieden voor overwerkte en te
weinig getrainde systeembeheerders om zo hun systemen op gebied van
patches, password policy en configuratie veilig te krijgen... Mijn zegen
hebben ze!
Daarnaast spelen nog wat andere factoren een rol. Risico management is
leuk, maar zeer duur, en als je na 6 maanden klaar bent met de analyse
en de interviews, is de uitkomst niet meer representatief voor de (sterk)
veranderde omgeving. Dus dan toch maar de 80-20 regel (80% van de
problemen oplossen met het volgen van een checklist die je 20% van de
totale tijd kost)? Hier geldt ook: er is geen zaligmakende oplossing!
belangrijker dan een strak keurslijf in de vorm van
checklists. Ik vind de column alleen erg kort door de bocht
gaan in het afkraken van "Best Practices" in het algemeen.
Dat is net zo iets als het afkraken van kookboeken omdat
alle gerechten dan hetzelfde zullen smaken. De deskundigheid
van de kok bepaalt de kwaliteit van het gerecht, niet het
kookboek.
Verder is de CvIB een framework dat met name bedoeld is als
hulpmiddel voor een aantal zaken:
- Bewustwording van zaken waar aan gedacht moet worden
wanneer je iets met informatiebeveiliging te maken hebt.
- "De neuzen dezelfde kant op", en dan inderdaad zowel
binnen de eigen organisatie als tussen organisaties
onderling (externe accountant, etc.)
- De meetbaarheid en beheersbaarheid van het onderwerp, of
het nu gaat om informatiebeveiliging of het op orde hebben
van de IT service processen conform ITIL of de beheersing
van de IT organisatie conform COBIT.
- Het is een FRAMEWORK, en geen norm. De norm die een
organisatie aan een maatregel stelt is geheel aan de
organisatie zelf. En dan hopelijk gebaseerd op een
risicoanalyse om zodoende geen onzinnige maatregelen te nemen.
Alleen mensen die zelf onvoldoende kennis, danwel ervaring
hebben zullen blind een framework naar de letter willen
toepassen bij implementatie. Dat is in mijn ogen een veel
fundamenteler probleem dan het concept "best practice". Op
een hoge school best practices doceren is prima zolang de
docent het niet als "norm" oplegt en creativiteit van de
student niet afstraft.
Conclusie is dan ook dat ik me niet geheel kan vinden in de
boodschap van deze column.
Bottom line is dat er gewoon moet worden nagedacht, en dat afwegingen
van risico's bewust gedaan moeten worden.
-RB
luisteren, knikker ze er dan gewoon uit." Citaat Rietveld.
Deze conclusie vind ik een uitglijder van Rietveld, want managers die de
eigen mensen niet vertrouwt of naar ze wilt luisteren zijn voor hun functie
ongeschikt; het bedrijf heeft niets aan betweterige en achterdochtige
mensen. Rietveld bedoelt waarschijnlijk te zeggen, dat het personeel voor
deze manager dan overbodig is. Echter, deze managers zien het
personeel als alleen geschikt om zijn beleid uit te voeren en basta.
Voor de rest heeft hij een mooi informatief verslag geschreven.
De Best Practice benadering heeft m.i. efficiency- en psychologische
voordelen:
- het wiel hoeft niet elke keer opnieuw uitgevonden te worden, dat hebben
anderen al gedaan.
- geeft meer zekerheid over de effectiviteit omdat het zijn waarde reeds
bewezen heeft.
Dat betekent niet dat e.e.a. dogmatisch moet worden bekeken, maar
waarnodig aanpassingen moeten worden gedaan.
...
andere dingen. Het komt doordat degenen die het uitvoeren,
de achterliggende gedachten niet (kunnen) begrijpen. Het
geldt zelfs voor religies: hogere levenswaarden die slechts
een enkeling werkelijk begrijpt. De grote massa die die
waarden niet naar dagelijkse kleine en grote dingen kan
vertalen.
Bij het opstellen van al dit soort regels en richtlijnen,
moet men beter letten op de doelgroep om e.e.a. succesvol te
kunnen laten zijn.
heeft het artikel een waardeloos begin. Ook het onderscheid tussen
framework (zoals CvIB) en specifieke maatregelen komt niet uit de
verf.
Een Best Practice moet je zien als het wiel, het heeft geen zin om
hetzelfde nog een keer uit te vinden want een wiel is altijd rond. De
betere Best Practices (CvIB, ITIL, etc) zijn frameworks die je naar vrijwel elke organisatie kan aanpassen. Dat sommige interne en externe consultants daar een zootje van maken door een verkeerde
toepassing, doet niets af aan de positieve waarde van een
framework. IT security is vakwerk en een framework blijft één van de
hulpmiddelen. Slecht vakwerk is zelden het gevolg van een slecht
framework of van Best Practices, of welke andere modeterm dan ook.
Het mooie van een framework zoals CvIB is dat het structuur geeft
aan je beveiligingsplanning, die je inricht op basis van de risico's van
je bedrijf. Een bank heeft meer beveiliging nodig dan een
handelsbedrijf, dus vult men het framework per organisatie anders in.
Dat snappen we allemaal maar ik lees het niet terug in het artikel, dat
wederom de zeer negatieve benadering laat zien van Peter Rietveld.
Ik vrees dat dit advies te algemeen en daarmee gevaarlijk is. DoS attacks zijn lang niet voor iedereen een probleem, en zeker niet op een LAN. Patches voor privilige escalation exploits hebben nauwelijks prioriteit als iedereen toch al als admin werkt of indien er andere bekende mogelijkheden zijn om die status te verkrijgen.
Daarentegen moet je bij een lek in een systeemservice met internet-exposure direct patchen. Niet zelden is het beter om meteen de stekker er uit te trekken, totdat, na het bekend worden van de vulnerability, er een patch of een workaround beschikbaar is.
De stelling "Best practices bestaan niet" gaat me te ver, maar ik ben het met Peter Rietveld eens dat als zo'n "Best Practice letterlijk uitgevoerd moet worden, wat nogal eens de opdracht is" je om problemen vraagt.
Ik vrees dat dit advies te algemeen en daarmee gevaarlijk
is.
Dat is inderdaad het gevolg van een framework dat tevens een
norm geeft. De norm die je stelt aan de control "Patching"
dient per geval bepaald te worden, en kan niet generiek
worden gesteld binnen een framework. Fout in het framework
dus (wat mij betreft). Grappig is wel dat wanneer er in
dergelijke gevallen geen norm wordt meegegeven, personeel
vaak het framework afkraakt vanwege het "vage" karakter :)
Bewijs graag...
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
