“Security is een functionele requirement.”

Martien Arends over de zin en onzin van security.

Martien Arends

Organisaties zijn zeer divers en complex. Waar zitten precies je risico’s? Hoe kunnen we de betrouwbaarheid van informatie waarborgen? Het wordt steeds lastiger om die vragen te beantwoorden. Volgens Martien Arends zijn dit de verkeerde vragen. Beveiligen op zich is niet zo moeilijk. Beveiligen tegen acceptabele kosten, daar ligt het probleem. Martien werkt als IT Assurance Officer. Zijn geheel eigen kijk op beveiliging en risicoanalyse deelt hij graag. Beveiliging is gewoon hard werken; 99 % transpiratie, 1% inspiratie. Benieuwd hoe zijn ideale IT-security bedrijfsvoering eruit ziet?    Lees dan verder.

There is no such thing as a free ride

‘Door technologische ontwikkelingen als internet ontstaan allerlei nieuwe mogelijkheden. Gratis wifi in de trein. Met een paar muisklikken kan iedereen aankopen doen. Google biedt gratis allerlei software en informatie. Pas nadat we al dat moois in gebruik hebben genomen, realiseren we ons dat die gratis verbindingen niet helemaal veilig zijn en dat we Google betalen met gegevens over ons gedrag en onze persoonlijkheid.

Security by Design

Waarom worden (sommige) kernreactoren wel inherent veilig ontworpen? Wanneer een zwaarwaterreactor oververhit raakt, stopt de kernreactie automatisch. De beveiliging wordt gerealiseerd door gebruik te maken van de natuurkundige eigenschappen van het koelmiddel. Die keuze van passief versus actief veilig ontwerpen, kunnen wij ook in de IT security wereld  toepassen. Maar omdat de nieuwe functionaliteiten op korte termijn  beschikbaar moet zijn, gebeurt dat lang niet altijd. Vaak zetten we eerst alles open en gaan we daarna aan de slag met virusscanners, firewalls e.d.’

Kun je uitleggen wat jouw rol op dit moment inhoudt?

‘Op dit moment heb ik slechts zijdelings met security te maken. In mijn huidige rol als IT Assurance Officer, help ik het IT management te zorgen dat zij aantoonbaar In Control zijn. Dat doe ik aan de hand van een set beheersingsmaatregelen afgeleid van COBIT. Als organisatie heb je beleid en zeg je bepaalde maatregelen te nemen. Maar dat moet je wel kunnen aantonen. Theoretisch is dat heel simpel, maar mede door outsourcingstrajecten wordt de praktische realisatie steeds complexer. Terwijl kosten natuurlijk ook een rol spelen. Hoe toon je bijvoorbeeld aan dat de beheersingsdoelstellingen die een toezichthouder van een organisatie verwacht, vervolgens door andere partijen goed uitgevoerd worden? Natuurlijk hebben we allemaal een ISAE-verklaring, maar als je niet weet wat de exacte inhoud daarvan is, zegt dat niet zoveel. Dat soort vragen probeer ik samen met mijn collega’s te beantwoorden.’

Is auditen de oplossing?

‘Auditing alleen gaat ons niet redden. Daar hebben we genoeg voorbeelden van. Bij Diginotar zat het ontwerp ook goed in elkaar en was er ook een – keurig volgens de ETSI-normen uitgevoerd – audit rapport beschikbaar. Maar auditing door onafhankelijke partijen is natuurlijk noodzakelijk. Het zorgt voor een redelijk niveau van assurance.  Mijn pleidooi is wel dat IT veel meer zou kunnen leren van de auditors en hun kennis over procesontwerp en de risicoanalyse die daarin zitten. Wanneer je probeert met technische oplossingen nieuwe kwetsbaarheden op te lossen, loop je altijd achter de feiten aan. Of zoals Freek de Jonge zei: “je kunt de bom pas bannen nadat hij is uitgevonden”.

Welke rol zou de CISO binnen organisaties moeten spelen?

‘Waarom hebben organisaties eigenlijk een CISO? Dat vind ik een interessantere vraag. Veiligheid is in mijn optiek een functionele requirement. Die zou met de normale requirements mee moeten lopen. Het is een ontwerp parameter. Waarom dan aparte security mensen? Ik begrijp dat niet. De rol van de opdrachtgever en de ontwerper zou moeten veranderen. Zij zouden zich meer moeten afvragen of ze security belangrijk vinden of niet. Als security ingeruild wordt tegen andere functionele eisen, kan dat. Maar dan zouden ze ook moeten beseffen dat ze risico’s nemen.

Waarom worden er dan toch aparte securityafdelingen ingericht?

‘Een dedicated  securityafdeling hebben, betekent in feite dat security niet volledig is ingebed in de normale ontwerp- en beheercyclus. Riskmanagement is een verantwoordelijkheid van de eerste lijn. En dat je een afdeling hebt die daarop toeziet, dat kan ik me heel goed voorstellen. Maar de echte verantwoordelijkheid zou moeten liggen bij de mensen die ontwerpen en beheren.

Lopen we daardoor achter de feiten aan?

‘Gartner schat dat 15% van het CPU-gebruik opgaat aan virusscanning. Als servers en pc’s thuis uitsluitend goedgekeurde software kunnen draaien en alleen vooraf bekende requests afhandelen, zijn virusscanners niet nodig en kunnen we op licenties besparen. De capaciteit komt vrij voor nuttig gebruik. Dat is de business case. Maar in de praktijk hebben we niet echt tijd om exact te bepalen wat op die servers zetten.

Tijd nemen om een stap terug te doen en rustig na te denken is duur.

Daarom ontwerpen we nog slimmere virusscanners die door gedragsanalyse, schade door Zero-days moeten voorkomen. Op zich is daar niks mis mee. Een kwestie van optimaliseren onder randvoorwaarden. Het is soms sneller en goedkoper om een oplossing te kiezen die voldoet. Goed is goed genoeg is ook een valide uitgangspunt. Maar maak alsjeblieft de afweging expliciet. Wéét waarvoor je kiest.

Functionaliteit willen we graag,  security is lastig

‘Beveiligers zijn op 1 – 0 achterstand gezet op het moment dat we gingen zeggen: ‘dat zijn non-functionele requirements’. Security is altijd een functionele requirement! We maken ons helaas allemaal schuldig aan de fundamentele keuze tussen functionaliteit en veiligheid. Of gebruik jij zelf nooit public Wifi?’

Hoe ziet jouw ideale IT-security bedrijfsvoering eruit?

‘Ideaal gesproken is security al bij het ontwerp een van de primaire parameters; helemaal in de basis al. Het ontwerp van je infrastructuur zou zodanig moeten zijn, dat hij zonder intensief ingrijpen, controle en beheer toch veilig is. Inherent veilig ontwerpen; pas daarna komen de functionaliteiten. Als je ervoor kiest om je infrastructuur op die manier in te richten, dan weet je precies waar je eventueel kunt afwijken van je ontwerpproces. Op die afwijkingen kun je je vervolgens tijdens de monitoring concentreren.

En als er dan toch iets mis gaat?

‘Dan is de primaire reactie nog altijd vaak: ‘we moeten extra maatregelen nemen’! Mijn reactie is dan: het enige wat we niet gaan doen, is extra maatregelen nemen. Neem eerst de tijd om te analyseren wat er eigenlijk gebeurd is. Het kan namelijk ook zo zijn, dat het acceptabel is wat er gebeurd is. Dan hoeven we ook niets te doen. Misschien moeten we zelfs minder maatregelen hebben. Maar dan moeten de maatregelen die we wél hebben, goed uitgevoerd worden. Waar zitten nou echt je risico’s? Daar moet je gaan controleren.

Wat doe je als je weet waar je risico’s zitten?

‘Je begint met het in kaart brengen van informatiestromen die je kunt gaan controleren op basis van wat je wél weet. In feite maak je een inventaris die je als baseline kunt gebruiken. Met dat als uitgangspunt, kun je mutaties traceren. Wat resteert is in feite boekhouden. Statusveranderingen moet overeenkomen met de som van de mutaties. Dat is de kern. Als je de processen goed in kaart hebt, kun je auditing daar een onderdeel van maken en bereik je  continuous auditing. Investeren in virusscanners betekent eigenlijk dat je niet weet wat er op je systemen gebeurt. Als je dat wél weet, kun je van daaruit de maatregelen ontwerpen, uitvoeren en monitoren.’

Dit artikel is geschreven door Diane Kwakman

Author: Diane Kwakman

Diane Kwakman is team manager bij Tergos; een specialistische recruitment organisatie uitsluitend gericht op IT Infrastructure & Cyber Security. Zij interviewt op regelmatige basis prominente CISO’s en Security Managers over hun visie op security. dkwakman@tergos.nl

One Reply to ““Security is een functionele requirement.””

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *