Een volstrekt nutteloos advies. Als ik niets van koken weet, dan kan iemand me ook het advies geven om "als een topkok" te denken bij het bereiden van gerechten. Als ik echter niet weet hoe een topkok denkt, wat heb ik dan aan zo'n opmerking?

Er zal vanaf de basis gewerkt moeten worden. Bekwaam je eerst maar in risico-analyses, security awareness bij eindgebruikers, fatsoenlijke opleiding van systeembeheerders en dat soort zaken, voordat bedrijven (wie binnen het bedrijf?) "als hackers gaat denken".

Voordat mensen als een aanvaller beginnen te denken is het misschien handig dat ze zich eerst realiseren hoe groot de dreiging eigenlijk is. Ik denk dat menigeen zich voelt alsof hij in een rustig dorp woont waar zo weinig gebeurt dat je de deur niet echt op slot hoeft te doen. Als er dan een keer een groot popfestival wordt georganiseerd waarbij opeens honderdduizenden (voor hun) rare types door de straten lopen zijn ze vermoedelijk geneigd om de deur dit keer wel wat beter af te sluiten. Wat ze zich niet realiseren is dat er op het internet miljarden mensen letterlijk een paar stappen van je deur verwijderd zijn, iedereen die op het net zit staat voor je deur, daar is dat festival niets bij. Alleen zijn ze onzichtbaar, zodat je heel makkelijk denkt dat het meer op dat stille dorp lijkt. Maar ze zijn er echt, en onder al die miljarden zitten de grootste criminelen en de vaardigste inbrekers.

Iets anders dat men zich moet realiseren is dat het slot op je deur actief onderhoud nodig heeft, zelfs software is aan een soort slijtage onderhevig. Niet omdat er bits en bytes kapot gaan, maar omdat eerder onontdekte beveiligingslekken bekend raken. En ook hier geldt weer: je ziet het niet, versleten software functioneert op het oog even goed als het altijd heeft gedaan, de slijtage is al net zo onzichtbaar als al die mensen die vlak voor je deur staan.

Ik denk pas dat het zin heeft om tegen mensen te zeggen dat ze moeten denken als een aanvaller als deze muntjes gevallen zijn. Dat iets wat je in het geheel niet ziet wel degelijk reëel is zal voor menigeen lastig zijn, evenals het loslaten van een op kleinschaligheid (vergeleken met de twee miljard op het internet aangesloten mensen) gebaseerd vertrouwen in de wereld waar je mee in contact staat.

De betere bedrijven zijn toch 'ISO/security gecertificeerd' en worden periodiek aan onafhankelijke controles onderworpen. Daarmee tonen ze toch dat hun beveiliging van goede kwaliteit is of... is er meer?

In mijn zienswijze zijn dat 2 complementaire werelden die je allebei nodig hebt. De een kan niet zonder de ander. Maar als je denkt dat een gecertificeerd bedrijf dan inherent ook goed beveiligd is dan zou ik daar maar goed over nadenken, omdat dat maar een zijde, wel noodzakelijk, van de medaille is.

Certificering borgt de processen die nodig zijn om security op te zetten, uit te dragen, te borgen en te controleren c.q. te rapporteren. Maar dat zegt sec niets over de inhoud net als dat kwaliteitscertificaten niets over de echte kwaliteit van de dienst of het product zeggen. Als er shit in gaat, komt er shit uit.

Zo ook met security. Als de producten, diensten, medewerkers, gebouwen....alleen op papier veilig zijn en er verder inhoudelijk niets voldoende personen achter zitten die van de hoed en de rand weten, dan ben je eigenlijk verkeerd bezig en zullen (potentiele) een hoog risico voor het bedrijf vormen.

De werkelijkheid bestaat uit malware (virussen, trojans, wormen) software vulnerabilities ( fixes, updating, patches), hacking (firewalls, IDS, IPS), (ID-)theft en ga zo maar door en daar helpt geen certificaat (direct) aan maar wel indirect.

Er dient in de praktijk een gode samenwerking te zijn tussen kwaliteitsmensen (certificeerders en hun secundanten) en security peo-ple (techneuten, security volk..): dan ben je optimaal geprepareerd op de huidige en toekomstige cyberbedreigingen.