zaterdag 22 december 2012

Maya-voorspellingen. Je bent er nog!


Echte profetieën.

Ongemerkt heb ik gisterenavond mijn kinderen een extra aai over hun bol gegeven toen ik ze naar bed bracht. In mijn achterhoofd speelde onbewust de Maya-voorspelling mee. Ik hoor ze deze morgen trouwens boven al op hun kamer rondlopen. Mijn ongerustheid was dus onterecht.

Ik weet niet hoe we hier op gaan terugkijken in de komende tijd. Wordt het een dag zoals iedere andere dag? Of komt 21 december 2012 in de geschiedenisboeken naast 2 juli 1600 te staan? Herinner je je die memorabele dag trouwens nog?  Iets met Nieuwpoort …? Feit blijft dat mensen er serieus aandacht hebben besteed. Er zijn ook mensen die zich opgesloten in Bugarach in de Pyreneën.

Voor mij is het de vraag of we ons iets moeten gaan aantrekken van de voorspellingen die onze mailbox binnenstromen. Ikzelf hecht er echt heel veel waarde aan. Ze zijn een trapleuning voor de security investeringen van volgend jaar! Daarom wil ik je als security professional graag een aantal profetische waarschuwingen voor 2013 meegeven.  

  • Cloud – let op voor een toenemend aantal kwetsbaarheden!
  • BYOD/Mobile malware – al die smartphones en tablets blijven lastig om te managen.
  • Targeted attacks/Social engineering – er zijn mensen die malware op je systeem willen injecteren via slimme doelbewuste aanvallen.
  • DDoS attacks – ook jij bent een potentieel doelwit!
  • Big data – enorm veel kwetsbaarheden.
  • Cyber espionage – Veelal kijkt er een buitenlandse overheidsmedewerker over je schouder mee.
  • Advanced Persistent Threats – er worden steeds geavanceerdere aanvalsmthoden ontwikkeld en toegepast.
  • Mac malware – ook jouw Apple is doelwit.
  • Hacktivism – het is een echte bedreiging!

Deze voorspellingen had je ook zelf kunnen bedenken. Ik heb die moeite niet genomen. Getuige de bovenstaande lijst. Ere wie ere toekomt. Dit lijstje heb ik van Constantine von Hoffman, blogger bij CIO.com.

  • De waarde van de voorspellingen ligt vooral in de voorspelbaarheid.
  • Die van vorig jaar in een ander jasje.Veel self fulfilling prophecies!
  • De een nog verwarrender dan de andere!


De vraag is welke leidraad jij nodig hebt voor de juiste security investeringen in 2013?

Een van de meest voorkomende vergissingen die ik tegenkom bij organisaties is de discussie om van 90% risicodekking tot 95% te komen. Dit gebeurt, terwijl met een kijkje in het datacenter en een paar vervelende vraagjes al snel duidelijk wordt waar de uitdaging echt ligt. Niet de overgang in de hoogste regionen van risicodekking. Nee, gewoon risicodekking van 50% tot 75% is voor veel organisaties al een hele kluif.

Pin me niet vast op de getallen, val me ook niet aan op het gebruik van getallen. Feit is dat de discussie op de verkeerde manier gevoerd wordt. En in veel gevallen over de verkeerde onderwerpen. Ik heb in een voorgaand artikel al gesproken over Terug naar de basis. ‘ First things first’ zoals Steven Covey verder uitgewerkt heeft in zijn boek ‘ Seven Habitsof Highly Effective People’.

Zijn voorspellingen dan helemaal niets waard? Nee, dat zeg ik niet.

Ik wijs alleen op de profetische waarde die je ook in je eigen gloeilamp had kunnen ontdekken. Ik vraag je goed na te denken over de risico’s die je loopt bij verwerken, opslaan en versturen van vertrouwelijke informatie.

Wil je een overzicht van risico’s? OK, hier vindt je een lijstje.  Het is maar een voorbeeld. De kracht ligt in het risico assessment van je belangrijkste processen. Discussie, nieuwe inzichten, met elkaar eens worden, besluiten, … Allemaal belangrijke elementen van een goede voedingsbodem voor investeringsbesluiten.

Even recapituleren.
  • We zijn op 22 december 2012 nog steeds op deze aardbol ons leventje aan het leiden.
  • We waren even de slag bij Nieuwpoort vergeten.
  • De meeste profetische voorspellingen kun je zelf bedenken.
  • De uitdaging bij jou in de organisatie ligt niet in risicodekking op 95%.
  • Op basis van ‘ First Things First’  zul je moeten bouwen aan fundamentele bouwstenen in je security infrastructuur.
  • De meest voor de hand liggende methode voor waardevolle investeringen is het uitvoeren van risico assessments voor de belangrijkste processen.

Ga de uitdaging aan om van de huidige risicodekking van om en nabij 50% te komen tot een risicodekking die past bij jouw organisatie. Daar hoort niet een vast getal bij. De key proceseigenaren bij jou in de organisatie beslissen zelf welk risico ze acceptabel vinden.

Mocht je moeite hebben om de juiste argumentatie te vinden val dan niet direct terug in je vertrouwde oplossingsmethode ‘Wij van WC-eend’ . Heb je vragen waar je niet uitkomt ga dan een serieus gesprek aan met je security partner. Dan bedoel ik niet die ene die je net de nieuwste producteigenschappen heeft opgesomd.

Op naar de kalkoen en de schoonfamilie! Fijne feestdagen. Ik zie je bij IKEA.
Gepost door op Geen opmerkingen:

zaterdag 15 december 2012

De Nordman is binnen

Jawel, dit weekeinde staat de belangrijke opdracht voor het halen van de kerstboom op het takenlijstje. Je kunt niet thuiskomen met een zelf omgezaagde variant van een kersttak. Nee het wordt, net als vorige jaren, een Nordman!

Duur, dat wel. Maar kwaliteit, hé!

Met kerst voor de deur zie ik mensen in de vakantie weer lekker achter de laptop of tablet kruipen. De kerstkaartjes worden virtueel geknutseld en geplakt. Postzegel er op en naar de virtuele brievenbus. Meer mensen, meer tijd en de hang naar nonsensinformatie op je scherm. Laat het werk even het werk. Kerst is bedoeld om je gedachten even terug over het jaar te laten gaan en in gezellig samenzijn over koetjes, kalfjes en ander geluk te spreken.

Ik zie dan ook een gerede kans dat er meer laptops, tablets en smartphones besmet raken. Maar, who cares? We hebben ook nog de rest van de kerstvakantie om de rotzooi van het systeem te vegen. Minder bewust, onder het genot van een warme chocomel, gaat Nederland de digitale snelweg op. Nog even die leuke kerst app laden en dan de wereld aan wensen de ether in slingeren.

Is de kans groter dat juist met kerst meer besmettingen bewaarheid gaan worden? Ik heb geen zin om dat statistisch te gaan onderbouwen. Het is meer een gevoel.

Waar ik jullie nog wel even voor wil waarschuwen is de brandgevaarlijkheid rond kerst. Onderstaand een lijstje met mogelijke oorzaken van brand. 
  • verlichting/trafo kerstboom wordt te warm
  • slechte of overbelaste verlengkabels 230 volt
  • brandbaar materiaal dicht bij lampen, kachels, etc.
  • brandende kaarsen in kerststukjes
  • brandende kaarsen die omvallen of dicht bij de gordijnen staan
  • bijvullen met spiritus van warme branders voor het gourmetten
  • vlam in pan of flamberen tijdens het koken
  • vuurwerk op het toetje
  • niet geveegde schoorstenen
Het is zo logisch. Hier hebben we allemaal wel wat mee. Volendam, Enschede die hebben ons wel wakker geschud. Welke schade binnen de digitale wereld zou hetzelfde effect hebben? Een lek EPD? Een onbetrouwbare overheidsinstelling voor digitale certificaten?

Die laatste heeft natuurlijk het afgelopen jaar wel zijn sporen achtergelaten. We worden steeds bewuster. De overheid werkt daar ook positief aan mee. Maar de vraag is in hoeverre die indrukken blijven hangen?

Als ik denk aan de beelden van Volendam zie ik alle redenen om de bovengenoemde oorzaken van brand goed te checken.

Ik stel me zo voor.

Ministers Opstelten en Schippers staan met een drijfnat pak op het Binnenhof met een stapel, eveneens drijfnat, papier onder de arm (lees: het opengebroken digitale EPD). Onze digitale forensische brandweerman Erik Akerboom (Nationaal Coördinator Terrorismebestrijding) staat in brandweerpak ernaast. Hij houdt de nadruppelende brandweerslang nog in de aanslag.  

Maakt het indruk? Nee, ik zie weer die beelden uit Volendam. Die ontploffing in Enschede.

Leren we van iets wat indruk maakt?

Gisteren hoorde ik alweer dat er meer vuurwerk in omloop is dan vorige jaren. Er zullen wel dode slachtoffers vallen. Dat kan niet uitblijven.

Ik zeg, leg dat natte lekkende EPD op de verwarming. Laat het even drogen. Kruip lekker in de kerstvakantie achter je schermpje. Knutsel een leuk kaartje, laad die leuke app met dansende elanden. Stuur mij alleen geen eigen knutsels via internet. Ook ik wil even niet met mijn beroep bezig zijn.

Zo, nu die Nordman naar binnen slepen. Leuk, die echte kaarsjes er in!
Gepost door op Geen opmerkingen:

woensdag 12 december 2012

Is Noord Korea een Advanced Persistent Threat?


Vanmorgen heeft Noord-Korea een (langeafstands)raket gelanceerd en een satelliet in een vlucht om de aarde gebracht. De North American Aerospace Defense Command bevestigde het bericht. Gelukkig ‘vormden zowel de eerste trap als de tweede trap, inclusief bijbehorende afvalresten, geen gevaar voor Noord Amerika’. 

 
Ik stel me zo voor dat we hier te maken hebben met een geavanceerde tegenstander. Wellicht is de vergelijking met een Advanced Persistent Threat op z’n plaats.

 
Is dat wel zo? Laten we eens kijken naar de karakteristieken van een Advanced Persistent Threat. De volgende figuur geeft de levenscyclus van een APT weer.

 

 
De volgende aspecten zijn karakteristiek voor APT’s:
  • Ze zijn erg doelgericht (targeted). Vooraf wordt in kaart gebracht welk doelwit de meest waarschijnlijke grote buit herbergt.
  • Ze zijn complex. Ze zijn niet gemakkelijk te herkennen doordat ze samengesteld zijn uit verschillende aanvalsmethoden.
  • Ze zijn permanent. Bij de eerste tegenslag laten ze zich niet uit het veld slaan. Vasthoudend als ze zijn blijven ze zoeken naar wegen om de waardevolle informatie te ontfutselen.
  • Ze verstaan de kunst van het ontwijken. APT’s laten zich niet gemakkelijk zien. Ze kunnen nieuwe aanvalsmethoden toepassen op het moment van herkenning. Ze duiken zeer gemakkelijk onder de radar. 
 
De raketlancering van Noord-Korea is niet bepaald doelgericht te noemen. Althans niet gericht op een van hun opponenten (Amerika of Zuid-Korea). Maar wellicht dat hier een geavanceerde aanvalsstrategie achter zit en op later moment vanuit de ruimte een aanval gepleegd wordt? De mate waarin doelbewust voor deze aanval is gekozen valt te bezien. Misschien is het niet meer dan een stukje machtsvertoon en kan van een aanval domweg niet gesproken worden.

 
De complexiteit van de aanval laat zich moeilijker analyseren. Noord-Korea beschikt over de technologie om kernbommen te fabriceren. Op zichzelf is dat complex. Maar de complexiteit van de aanval maakt niet dat een potentiële aanval onherkenbaar blijft. Nogmaals, het kan zijn dat op later moment vanuit de ruimte een onverwachte aanval plaatsvindt. Dan zit momenteel de hele wereld zich onterecht te verontwaardigen over een NKISS (North Korean Impersonating Space Station). En hebben we regelrecht te maken met een atoomwapen.

 
Van de buiteland commentator van BNR (Bernard Hammelburg)  begreep ik dat Noord-Korea nog niet in staat is om hun kernkoppen dusdanig klein te maken dat ze op de langeafstandsraket passen. Het blijft gissen in mijn ogen. Wel staat boven water dat de raketlancering zeer zichtbaar is geweest voor de wereld.

 
Hoe lang het projectiel (lees satelliet) in de ruimte blijft is ook onbekend. Hoelang Noord-Korea in deze hoedanigheid dit soort spelletjes kan blijven spelen op het wereldtoneel is ook de vraag. Kortom, het is onduidelijk welke van de twee het meest permanente karakter heeft (de satelliet of Noord-Korea). Bij het permanente karakter van APT’s hoort ook een stuk vasthoudendheid. Met de geschiedenis van Noord-Korea voor ogen, in een snel veranderende wereld, wordt snel duidelijk dat er sprake is van vasthoudendheid bij de leiding van het land.

 
Hoe ontwijkend is Noord-Korea? APT’s hebben het vermogen om de aanvalstactiek aan te passen als ze op het punt staan ontdekt te worden. Hier is nauwelijks sprake van ‘op het punt staan om ontdekt te worden’. Het enige dat ik me kan voorstellen is het moment waarop de satelliet toch blijkt te beschikken over een geavanceerd wapensysteem. Daarbij is het goed mogelijk dat de communicatie tussen het control center in Noord-Korea en de satelliet te onderscheppen is. Ook hier is maar zeer beperkt sprake van enig ontwijkend karakter.

 
Is hiermee de vergelijking tussen Noord-Korea en APT’s voldoende duidelijk geworden?

 
De vraag is natuurlijk of je überhaupt die vergelijking kunt maken? Feit blijft dat APT’s tegenwoordig in vele verschijningsvormen een realiteit zijn. De dagelijkse werkelijkheid maakt dat organisaties zich echt zorgen moeten maken over verlies of diefstal van gevoelige informatie. Dreigend machtsvertoon van wederzijdse ‘Koude Oorlog praktijken’ speelt geen rol van betekenis hierbij.

 
De eenzijdige toepassing van deze tactieken door een land als Noord-Korea maken nog niet dat de wereld met een directe dreiging te maken heeft. Nauwlettend volgen van de situatie door de VN is het enig juiste wat moet gebeuren. Dat is een van de voordelen die deze raketlancering als gevolg heeft. In tegenstelling tot APT’s is het duidelijk welke dreiging er in de lucht hangt.

 
Wat dat betreft kun je jezelf misschien gelukkiger prijzen met deze situatie dan met de eerstvolgende cyberaanval op je IT-infrastructuur. Dat laat onverlet dat diefstal van vertrouwelijke informatie in geen verhouding staat tot de gevolgen van nucleaire dreiging!

 
APT's hebben de vervelende eigenschap onder de radar te duiken en te blijven. Vooropgesteld natuurlijk dat er een radar aanwezig is binnen de organisatie! Daarbij heeft het merendeel van organisaties enkele maanden nodig om te ontdekken dat ze geïnfecteerd zijn (Verizon). Er is geenszins te spreken van 'continuous monitoring'!

 
Dit in tegenstelling tot de raketlancering vanmorgen in Noord-Korea. Daarbij is direct duidelijk geworden dat de wereld op verschillende manieren dit soort activiteiten in de gaten houdt. Hier is weldegelijk sprake van een vorm van 'continuous monitoring'.

 
In mijn vorige blogartikel heb ik gesproken over 'terugkeer naar de basis'. Daar hoort wel de ambitie bij om sterk geautomatiseerd gebruik te gaan maken van security intelligence. Het gebruik van 'continuous monitoring' speelt een belangrijke rol. 

 
Is Noord-Korea een APT? Ik denk van niet. De situatie is wereldschokkend, dat wel. Maar de duidelijkheid van hetgeen gebeurt is maakt de behandeling door bijvoorbeeld de VN realiseerbaar. 

 
Vergelijk die situatie met je eigen organisatie. Is het duidelijk welke cyberaanvallen daar hebben plaatsgevonden? Is een concreet behandelplan actief om de infecties op te ruimen? Of duurt het nog enkele maanden voordat je door hebt dat de IT-infrastructuur geïnfecteerd is? 

 
Wat zul je staan te kijken als blijkt dat de eerstvolgende cyberaanval vanuit Noord-Korea plaatsvindt!

 
Succes met je voorbereiding op cyberaanvallen. 

 

 

 

 
Gepost door op Geen opmerkingen:

dinsdag 11 december 2012

Terug naar de basis


In november heb ik een aantal presentaties gegeven over de voorbereiding op cyberaanvallen. Op zowel het Cybersecurity congres van Heliview als het E-Crime congres vertelde ik over de wijze waarop organisaties zich zouden moeten voorbereiden op cyberaanvallen. Een aantal van de kernpunten in mijn betoog waren de volgende:
  • Meer dan de helft van de organisaties hebben enkele maanden nodig om te ontdekken dat ze geïnfecteerd zijn. Het duurt dan vaak nog enkele weken voordat ze de boel opgeruimd hebben (Verizon).
  • Advanced Persistent Threats zijn venijnige dingen. Ze blijven op geavanceerde wijze onder de radar (voor zover die aanwezig is in de organisatie). De malware draait al in de netwerken van organisaties in stealth mode.
  • De kennis voor het detecteren en oplossen van cyberaanvallen is niet in voldoende mate op de arbeidsmarkt aanwezig. In de Verenigde Staten is NICE opgestart om 30.000 cyber security specialisten op te leiden. Verhoudsingsgewijs komen er de komende jaren in Nederland géén 1.500 cyber security specialisten van de hogescholen en universiteiten.
  • Organisaties moeten een geavanceerd Cyber Defense Management System optuigen. Dit is een uitgebreid stelsel van maatregelen en services die gebaseerd zijn op security intelligence. Het systeem wordt gevoed vanuit verschillende feeds, waaronder bijvoorbeeld fraud feeds en geo-location feeds.
Organisaties beschikken gewoonweg niet over de kwaliteiten, de kennis en de ervaring om zich effectief te prepareren op cyberaanvallen. En daar waar ze willen investeren in kennis en/of ervaring is het aanbod de komende jaren minimaal. De keuze om eens met je security partner te gaan praten is in mijn ogen zo gek nog niet. De vraag is echter wat je verwacht van jouw security partner?

Je kunt je daarbij prima laten leiden door best practisces als die van SANS Institute (Twenty Critical Security Controls for Effective Cyber Defense). Op basis van die best practices kunnen bestaande security infrastructuren en het security management stapsgewijs op een hoger plan gebracht worden.

Veel van de organisaties waar ik over de vloer kom leunen nog op een perimeter-based security infrastructuur. Security wordt behandeld als een connectiviteitsvraagstuk. De beschikbaarheid en de performance van de firewall worden geoptimaliseerd. Dit is in mijn ogen dé snelweg naar een enorme crash waarbij vertrouwelijke personeelsgegevens, klantgegevens of patiëntendossiers op straat komen te liggen.

Ik ben ervan overtuigd dat meer security intelligence ingezet zal moeten worden om effectief voorbereid te zijn op cyberaanvallen. Helaas moet ik ook constateren dat in de basis nog veel zal moeten verbeteren voordat effectief gebruik gemaakt kan worden van security intelligence.

Terug naar de basis dus!      

Die basis bestaat uit de best practices zoals die in de SANS Critical Security Controls for Effective Cyber Defense zijn beschreven. Ze zijn ook gelinkt aan de Australische 35 Strategies to Mitigate Targeted Cyber Intrusions. Van deze 35 maatregelen hebben in het afgelopen jaar de eerste vier méér dan 85% van de cyberaanvallen op Australische overheidsinstellingen tegengehouden. We spreken hier over zaken als application whitelisting, patchen van applicaties en OS en beperken van admin rechten (local/domain).  

Nu zullen de meeste security professionals bezorgd zijn over de resterende 15%. Ikzelf maak me voor veel organisaties zorgen over die 85%. In de kern zullen veel organisaties nog alle zeilen moeten bijstellen om bovengenoemde basismaatregelen goed te realiseren. Vergaande automatisering is trouwens een voorwaarde voor een verhoogd effect van bijvoorbeeld de SANS best practices.

Goed voorbereid zijn voor cyberaanvallen lukt niet alleen door stapsgewijs de basismaatregelen in te gaan regelen. Met de wetenschap dat malware al in stealth mode in de netwerken draait bestaat de voorbereiding op cyberaanvallen ook uit een goede incident respons procedures. Wat ga je zeggen tegen de pers? Wie zijn de aangewezen personen om de gedupeerden te woord te staan? Welke weg bewandel je om dit soort bedrijfsrisico’s te managen?

Aan de huidige situatie rondom cyber security kleeft nu eenmaal de vraag ‘wanneer je gehackt wordt’. De vraag ‘of …’ is een gepasseerd station. 

 Ben je er snel genoeg bij? De tijd zal het leren. 

 Blijft het bij één keer? Wie zal het zeggen?

 Maar in ogen van cyber criminelen zijn marketingplannen, pricingstrategieën, ontwerpplannen, klantgegevens en patiëntendossiers toch echt bijzonder aantrekkelijk.

De eerste inbraak is al bezig. De tweede inbraak loert al om de hoek! Dus bereid je voor en bouw je basis security infrastructuur uit!
Gepost door op Geen opmerkingen:

donderdag 22 november 2012

Aanvulling om vergeten te worden

Obstakels om te vergeten



 Op Europees niveau heeft ENISA haar steentje bijgedragen aan het 'recht om vergeten' te worden. Duidelijkere definities, betere juridische handvatten, wie mag vragen om het wissen, onder welke omstandigheden, ... Dit zijn enkele van de obstakels die ENISA naar voren brengt. 

 Het recht om vergeten te worden is onderdeel van de nieuwe Europese richtlijn voor Data Protection Regulation zoals eurocommisaris Viviane Reding dit heeft voorgesteld. Deze richtlijn moet nog door het Europees Parlement worden goedgekeurd. 

 ENISA richt het rapport dat u onder bovenstaande link kunt vinden op het terugbrengen van de hoeveelheid persoonlijke data die wordt opgeslagen. Dit zeggen zij naar aanleiding van hun onderzoek naar de impact op de privacy als gevolg van het monitoren en vastleggen van gebruikersgedrag. 

 Een van de adviezen van ENISA is de toepassing van encryptie voor opslag en transport van persoonlijke gegevens. Ik juich zo'n advies toe als gebruikers patiëntgegevens in Dropbox op mogen slaan van hun directie!

 In mijn vorige blogartikel heb ik al aangegeven dat ik positief sta tegen extra monitoring. Ik heb echter ook aangegeven dat de dialoog met de betrokkenen moet plaatsvinden om een acceptabele grens vast te stellen. Hier heiligt het doel niet alle middelen! 

 Ik herhaal daarom: 'voer de dialoog met de gebruikers, stel een acceptabele grens vast en voeg professioneel security information management toe aan het security management binnen de organisatie!'

Veel leesplezier, maar wees kritisch. De malware draait al in stealth mode in je netwerk!
Gepost door op Geen opmerkingen:

dinsdag 20 november 2012

Ik wil ook vergeten worden


DNA vastleggen

Deze week is in Friesland een verdachte aangehouden voor de moord op Marianne Vaatstra. Aan de hand van een DNA-match is een lokale bewoner in hechtenis genomen. De verdachte had meegewerkt aan de vrijwillige afgifte van DNA-materiaal onder enkele duizenden lokale bewoners.

Gisteren betoogde Peter R. de Vries in De Wereld Draait Door dat het praktisch zou zijn dat er een verplichte landelijke DNA-database aangelegd zou worden. Bij rampen en terroristische aanslagen zouden eenvoudig losse armen en benen gelinkt kunnen worden met de gevallen slachtoffers.

In het gesprek was ook juridisch commentator van NRC, Folkert Jensma, aanwezig. Hij gaf aan dat rationeel er geen directe aanleiding was om een verplichte landelijke DNA-database aan te leggen. Het succes op basis van vrijwillige afgifte door lokale bewoners was volgens hem onvoldoende om zo’n grote stap te rechtvaardigen.

Andere argumenten van Jensma waren emotioneel van aard: ‘hij vertrouwt de overheid niet in zo’n gevoelige kwestie’, ‘hij wil niet tot in detail vastgelegd worden, hij wil ook vergeten kunnen worden’.

De Vries gaf aan dat alle mensen van Nederland in de bestanden van de Belastingdienst staan. Alles wat iedereen bezit is al vastgelegd. Daar doet niemand moeilijk over.  

En dat is precies het punt waarom ik het onderwerp in dit blogartikel gekozen heb.

Ik ben geboren toen alle gegegevens over bezit in mijn familie al waren vastgelegd bij de Belastingdienst. Daar heb ik geen moeite mee. Als er gesproken wordt over het praktisch nut van een verplichte landelijke DNA-database raakt dat de essentie van mijn persoonlijke identiteit. Alles wat de wetenschap over de mens heeft kunnen ontdekken wordt herleid naar DNA.

Voor mij is DNA het meest fundamentele en essentiële bewijs van mijn individualiteit. Daarmee is mijn DNA ook een onderdeel van mijn grondrecht op privacy. Het verplicht vastleggen staat daarom erg ver van mijn wens om ‘ook vergeten te kunnen worden’.  

Als security professional ben ik daarnaast ook erg huiverig over de capaciteiten van de overheid om waterdichte borging te realiseren van die opgeslagen DNA-gegevens.

Vanuit mijn vakgebied zie ik de discussie over privacy veelvuldig voorbijkomen. Het monitoren van netwerkverkeer, in feite gebruikersgedrag, mag niet buitenproportioneel zijn. Duidelijk moet zijn welk doel er mee gediend is.

Dat er extra monitoring plaats moet vinden staat als een paal boven water. Bij data loss prevention trajecten schakel ik echter direct de Ondernemingsraad in om de dialoog over nut en noodzaak van het vastleggen van gegevens op te starten. Je staat als organisatie buitenspel als die dialoog te laat wordt opgestart.

De tools om intensief en indringend te monitoren zijn beschikbaar. Als security professional zie ik daar de voordelen positief van in. Echter, de vraag is en blijft iedere keer hoever je bereid bent te gaan om privacy op te rekken. 

Ik ben bang dat verplichte instemming met het vastleggen van al het gebruikersgedrag een te grote stap voorwaarts is. Net als de landelijke verplichte DNA-database.  

Kortom, voer de dialoog met je gebruikers. Start de discussie met de OR. Verken de grenzen van het acceptabele en vul je security management systeem ook aan met professioneel ‘security information management’.

Blijf alert! Cybercriminelen houden je in de gaten. Nee sterker nog, de malware draait al in stealth mode in je netwerk!
Gepost door op Geen opmerkingen:

vrijdag 16 november 2012

Waar haalt u uw Cyber Security kennis vandaan?

Het aantal cyberaanvallen neemt intensief toe. Ze vormen voor iedere organisatie een probleem. De schade als gevolg van cyberaanvallen neemt verschillende vormen aan: omzet- & winstdaling, diefstal van intellectuele eigendommen, hoge kosten (boetes en herstelwerkzaamheden) en aantasting van de concurrentiepositie.

Deze week opende Minister Opstelten de site Alert Online om het bewustzijn ten aanzien van cyber security te vergroten. De site opende maandag 12 november met een aantal beginnersfouten (cookiewetgeving, auteursrechten, ..). Maar dat is ze vergeven. Feit is dat de site van start is en er waardevolle tips en handreikingen worden gegeven.

Om goed voorbereid te zijn op cyberaanvallen zullen organisaties echter een vergaande integrale aanpak moeten hanteren. Mensen, processen en technologie vormen één dimensie. Preventie, detectie en respons de tweede dimensie. Die aanpak moet procesmatig aangepakt worden (Plan–Do–Check–Act). Het is een aanpak die opgebouwd is rondom security intelligence en vraagt om ondersteuning door hoogwaardige cyber security specialisten.

De vraag is echter waar de benodigde kennis te halen is?

In de Verenigde Staten is in 2011 het National Initiative for Cybersecurity Education (NICE) van start gegaan. Dit is een programma met afspraken tussen overheid en opleidingsinstituten om naar schatting 30.000 cyber security specialisten op te leiden in de komende jaren. Momenteel betreft het een volwassen programma dat bestaat uit:

·        Een curriculum met opleidingen.
·        Job descriptions.
·        Richtlijnen voor opwaarderen van de cyber security workforce binnen organisaties.
·        Maturity scans.

Als de Verenigde Staten 30.000 specialisten nodig hebben, betekent dat de vraag in Nederland verhoudingsgewijs 1500 hoogwaardig opgeleide specialisten bedraagt. Op nationaal niveau bestaat de Nationale Cyber Security Research Agenda. Via intensief onderzoek moet kennis ontwikkeld worden voor het opleiden van cyber security specialisten op een breed scala onderwerpen. Ondanks dat er een Nationale Cyber Security Research Agenda bestaat ben ik van mening dat die 1500 specialisten de komende jaren niet in die grote getale aan de Nederlandse opleidingen zullen afstuderen.

Bedenk nog even dat volgens het Verizon Data Breach Investigation Report 2012 meer dan 50% van de onderzochte bedrijven enkele maanden nodig heeft om te ontdekken dat ze geïnfecteerd zijn.

Tel daarbij op dat Advanced Persistent Threats doelgericht en vasthoudend onder de radar bezig zijn om waardevolle informatie te verzamelen in uw netwerk.

De nationale initiatieven zijn goed maar de resultaten laten op zich wachten (begrijpelijk).

Kortom, u moet op zoek naar de juiste kennis en ervaring om een intensieve aanpak op poten te zetten tegen cybercriminaliteit.  Die kennis en ervaring is momenteel alleen voorradig bij security experts en vendoren. 

 Mijn advies is dan ook: Ontwikkel met uw security partner een gedeelde ambitie voor een gedeeld probleem.

Zorg er dan wel voor dat uw security partner echt goede kennis en praktisch toepasbare ideeën heeft.

Succes met het opzetten van een succesvolle aanpak van cybercriminaliteit!

Let op! Malware draait al in stealth mode in uw netwerk!

In volgende blogberichten zal ik toelichting geven op enkele praktische maatregelen die u kunt nemen. 
Gepost door op Geen opmerkingen:

zondag 11 november 2012

Herfstweer, dicht met die deuren


Nu alle zorgplannen van Rutte II van tafel lijken is het echter nog niet gedaan met mijn bezorgdheid over kosten van de huishouding. Net heb ik nog lekker door de natuur gewandeld en genoten van het lekkere weer. Toch ben ik scherp op alles waarop we kunnen besparen. Zo zijn we thuis intensief bezig om de kinderen besef bij te brengen over onnodige kosten voor verwarming en elektricieit.

Het start met vriendelijk vragen om het licht uit te doen op hun kamer, of de deur achter zich dicht te doen. Een beetje ouder onder u weet dat zoiets niet effectief is. Dan komen de zwaardere maatregelen aan de orde. Drie keer deur openlaten betekent vandaag niet op de iPad. En als dat niet werkt gaan we aan het zakgeld sleutelen. En het werkt ook nog!

Het is deze week trouwens ‘week van het geld’, het is dus een prima week om je kinderen besef van kosten bij te brengen. Kijk even op 'week van het geld'.

Waarom begin ik over kosten van energie en deuren die dicht moeten?

Afgelopen vrijdag heeft Homme Bitter op ‘security.nl’ zijn column geschreven over ‘open deuren van DigiNotar’. Natuurlijk wisten we al veel van DigiNotar en hebben velen van u het rapport van Fox IT door zitten spitten. Homme legt echter op eenvoudige wijze uit dat het bij DigiNotar wel over een heleboel open deuren ging. Ik kijk al uit naar het tweede deel van zijn column.

De vraag is natuurlijk hoe dat soort open deuren ontstaan in beveiligingsinfrastructuren? Een beheerder die op eigen initiatief iets openzet? Of ligt hier een andere oorzaak aan ten grondslag?

Bij Diginotar waren vele open deuren niet gedocumenteerd. Voor mij is het dan al snel duidelijk. Gebrek aan kwaliteit van IT-beheer, ontbrekende security awareness en ondoordachte bedrijfsvoering binnen zo’n organisatie. Als security niet een serieus onderdeel is binnen een organisatie krijg je vanzelf open deuren.

Uit eigen ervaring weet ik dat het merendeel van die open deuren het gevolg zijn van snelle projecten, bijbehorende managers en ongeliniteerde dadendrang. De nieuwe services moeten de lucht in, de nieuwe klant moet gisteren aangesloten zijn, …

Natuurlijk ligt er een verantwoordelijkheid voor een security officer om bij ieder project van te voren de eisen t.a.v. security onder de aandacht te brengen. Maar het is niet iedere security officer gegeven om dat in de politieke arena te bevechten. Vooropgesteld natuurlijk dat er in de organisatie een security officer is aangesteld.

Kortom, open deuren als gevolg van een gebrekkig besef van security. Ik denk dan aan een regelrecht gebrek aan risicomanagement. De signalen kennen we wel. Angstige gezichten van directieleden als hun organisatie negatief in de pers komt.

Terug naar mijn kinderen. Bij mij thuis doen de kinderen de deuren nu vaker dicht door het direct gevolg voor hun zakgeld. 

Je hoeft geen gedragswetenschapper te zijn om te weten dat een gemiddeld directielid nerveus wordt als je aan zijn bonus zit. Ik stel voor dat je eens met de firewall beheerder doorneemt hoeveel deuren onbedoeld open staan. Schat eens in hoeveel daarvan het gevolg zijn van snelle projecten, doordrukken en politieke spelletjes.

Gebruik dat getal eens in het volgende gesprek met de directie over security. Laat hem zelf dan aangeven wel deel hij van zijn bonus bereid is in te leveren per open deur! Kijk deze week samen met directieleden ook even op ‘week van het geld’.

Wees wel snel want de malware draait al in stealth mode in je netwerk!

Succes met opvoeden.
Gepost door op Geen opmerkingen:

dinsdag 6 november 2012

Nivelleren in 2012


Nivelleert u al?

Het tweede kabinet Rutte is gisteren twee keer geïnstalleerd. Dat is nog eens een stevig fundament. Dat zullen ze trouwens wel nodig hebben want de weersvoorspellingen zijn onheilspellend. Nivelleren is het credo. Voor de één is het een feestje, voor de ander is het een regelrechte ramp.

Het draait deze weken om de zorgpremie. Ons vakgebied (security) is vaak vergeleken met een (zorg)verzekeringspremie. Als ik kijk waar de commotie in het land over bestaat trek ik al vlug een vergelijking met mijn eigen professie.

Ik zie veel mensen erg bewust beslissingen nemen over de verzekeraar waar ze zich het komende jaar aan verbinden. Daarbij wordt nauwkeurig gekeken of ze niet te veel betalen voor risico’s die ze niet lopen. Een goede vriend van mij windt zich erg op over kraampakketten die hij kan krijgen. De beste man heeft geen kinderplannen meer met drie koters op de achterbank.  

Wellicht herkent u het elan waarmee dit soort beslissingen besproken worden?

Waar het bij Rutte II helaas aan ontbreekt is een duidelijke visie op de effectiviteit van zorg, het terugdringen van de vraag naar zorg, de efficiëntie van zorg en het verminderen van de kosten van zorg. Kortom, waar individuele inwoners van het land zich druk maken over herverdeling van kosten, ontbreekt leiderschap en visie ten aanzien van de grootste kostenpost in het land.

En nu de parallel met security in de organisaties die ik bezoek.

Ik zou willen dat alle medewerkers van een organisatie zich persoonlijk druk zouden maken over security. Ze zouden bewust ongerust moeten zijn over de veilige omgang met enerzijds klantgegevens, maar anderzijds ook hun eigen gegevens in hun personeelsdossier. Het zou fantastisch zijn als het midden management met hun vuist op tafel de kwaliteit van hun werk (lees ‘veilig omgaan met vertrouwelijke gegevens’) staat te verdedigen. Vuur en passie. Hebt u het laatst nog gezien tijdens het werkoverleg?

Een ander punt is dat security door directies onvoldoende serieus genomen wordt. Daarligt toch echt een uitdagende taak voor de security officer. Maar nee, security bestaat uit een jaarlijkse investering in een nieuwe technische oplossing. Die investering wordt gedaan op basis van een overtuigende account manager van ‘Wij van WC-eend’.

Om dat te begrijpen verwijs ik je naar een goed commentaar van Fred Streefland in de Computable van 5 november j.l. Hij beschrijft het onvermogen van organisaties om te leren van het verleden. Daarbij geeft hij aan dat veel beslissingen in security genomen worden op basis van enthousiaste verhalen van ‘Wij van WC-eend’. Ik onderschrijf zijn mening dat organisatie beslissingen moeten baseren op een goede analyse van de risico’s die ze lopen. Er blijft een geaccepteerd restrisico over, dat niet beveiligd hoeft te worden.

Als je dan als organisatie zover bent dat het risicomanagement goed is ingeregeld komt het er op aan om security management professioneel in te richten. Daar komen visie en leiderschap ten aanzien van de effectiviteit van security, efficiëntie van security en beheersing van de kosten van security weer om de hoek kijken. Staat dat bij u in de organisatie goed op het netvlies van verantwoordelijke directieleden en/of managers?

Denk eens na over de verdeling van kosten voor security. Als security gezien wordt als een IT-gerelateerd onderwerp betalen afdelingen waarschijnlijk naar rato van het aantal IT-diensten dat ze afnemen. 

Daarentegen is het een leuke discussie als afdelingen zouden moeten betalen naar de mate waarin ze risico lopen. HR heeft personeelsdossiers, marketing & sales hebben klantgegevens, R&D heeft intellectuel property, de polisadministratie en zorgafdelingen verwerken veel patiëntgegevens. 

Je kunt natuurlijk ook nivelleren op basis van de omzetten die afdelingen genereren of verwerken. Marketing & sales, productieafdelingen en logistiek kunnen dan zwaarder 'aangeslagen' worden.    

Ik wens Rutte veel succes met de discussies over zorgpremie en koopkrachtplaatjes. Daarnaast zou ik iedere security professional willen aansporen om even over de muren van het eigen werkterrein te kijken. Dring bij directies en midden management aan op een professionele aanpak ten aanzien van security. Geloof vooral alle commerciële blauwe ogen die je de nieuwste vinding komen aanprijzen. Maar blijf bewust van de risico’s die je wilt afdekken.

‘Nee, ik wil geen kraampakket!’. 



Gepost door op Geen opmerkingen:

zaterdag 30 juni 2012

Veilige Social Business vraagt om de juiste kaders!

Organisaties worstelen zich door het oerwoud van nieuwe trends. Het Nieuwe Werken, cloud computing, social media en bring your own device (BYOD) zijn erg populair als ik om me heen kijk. Het gaat daarbij om loslaten, vertrouwen, verbinden, sturen op resultaat en eigen verantwoordelijkheid. Deze trends vragen om transparantie van binnen naar buiten en andersom.

In de BYOD-workshops die ik bij organisaties geef zie ik de worsteling tussen directies, midden management en medewerkers. Maar ook tussen medewerkers onderling. Wat betekent die nieuwe openheid nu voor de mensen individueel? En wat kunnen ze samen aan voordelen er uit halen? Kunnen ze er ook iets mee naar hun klanten? Waar liggen grenzen? Wordt de productiviteit er niet mee ondermijnd? Of wordt de productiviteit er juist door gestimuleerd?

Bij invoering van Het Nieuwe Werken zie je vaak de ‘bricks & bytes’ op orde gebracht worden. Relatief nieuwe kantoorpanden worden verlaten, nieuwe kantoorconcepten worden op kansvolle braakliggende terreinen uit de grond gestampt. Iedereen een laptop, een smartphone, een tablet, een flexibel contract, een flexibele onkostenvergoeding en we zijn er!

Helaas wordt de derde ‘b’ van ‘behaviour’ vergeten. We leren de mensen niet hoe ze samen moeten werken, hoe ze informatie met elkaar moeten delen. En wat zijn de kaders die openheid en sociale cohesie tot een succes voor de organisatie maken? 

Ik zie veel organisaties op die manier de eerste stapjes zetten naar een intensievere sociale cohesie. Enerzijds onderling tussen medewerkers en anderzijds in relatie tot hun omgeving. Die sociale cohesie en transparantie moeten echter wel ergens toe leiden. Onderstaand zijn een aantal doelstellingen weergegeven:

·        Medewerkers vinden sneller kennis in de organisatie.

·        Innovatie kan sneller.

·        Organisatiebrede communicatie kan sneller en effectiever.

·        Overnames en organisatieaanpassingen kunnen beter begeleid worden.

·        Kennis en informatie is sneller beschikbaar in het contact center (betere klantafhandeling).

·        Up-to-date kennis en informatie is beschikbaar voor sales.

·        Klanten worden langer aan de organisatie verbonden door communities.

·        Klanten kunnen intensiever en effectiever informatie krijgen over de organisatie, de dienstverlening en de producten.

·        Klanten kunnen problemen snel oplossen, mede op basis van andere klantervaringen.

·        Klanten kunnen vaker benaderd worden, de klantrelatie wordt hechter.

·        Klanten kunnen betrokken worden bij innovatie.

·        Nieuwe producten en diensten kunnen sneller en effectiever onder de aandacht van klanten gebracht worden.

·        Nieuwe medewerkers kunnen via social media en communities gerecruteerd worden.

·        Het imago van de organisatie kan positief ondersteund worden.

·        Problemen van klanten kunnen wereldwijd in behandeling genomen worden.

·        Nieuwe klanten dienen zich aan via social media.

·        De concurrentie is beter in beeld op social media.

Nou, als dat de voordelen zijn: ‘Aan de slag dan met die social business oplossingen!’ 

NB! Ik heb het hier niet over een Facebook-pagina, een LinkedIn-account, een Yammer-account en een Dropbox-account. Natuurlijk ben je dan al lekker op weg, want veel organisaties zien de voordelen hiervan nog niet. Maar het gaat hier over integrale social business oplossingen die in het hart van je organisatie komen te staan. Interne blogs, whiteboards, presentation area’s, knowledge rooms, knowledge inventories, … De lijst is te lang om verder op te noemen. Onder andere Microsoft, IBM, JIVE bieden deze integrale social business oplossingen.

Een mooi voorbeeld zag ik van het Leger Des Heils. Zij gaven op de Social Business Convention in Rotterdam vorige maand  een presentatie over het gebruik social business software binnen hun organisatie. Met de titel ‘Hoe sociaal kun je worden?’ gaven ze inzicht in de voordelen voor henzelf en hun hulp aan de kansarmen in de samenleving. Voor hen geldt natuurlijk niet het voordeel dat hun ‘concurrentie’ beter in beeld is. Ik denk dat iedere organisatie zijn eigen voordelen er uit kan en wil halen.

OK, openheid en transparanties dus? Maar wat betekent dit voor de verantwoordelijkheid van medewerkers in bijvoorbeeld zorginstellingen, financiële instellingen en andere organisatie waar met vertrouwelijke informatie gewerkt wordt?

Vrijheid, eigen verantwoordelijkheid, vertrouwen en sturen op resultaat vormen de nieuwe managementstijl. Iedereen moet plaats- en tijdonafhankelijk kunnen werken. Maar veel managers weten dat medewerkers binnen de muren van de organisatie van elkaar verschillen. Op basis van situationeel leidinggeven hanteert de manager een zekere stijl bij een ervaren en verantwoordelijke medewerker. Die verschilt weer van de aansturing bij een minder ervaren en jongere collega. Ik sprak hier al over in een eerder artikel.

Wordt dat anders als ze op een andere plek of op een eigen apparaat werken?

Nee, naar mijn mening blijft die, op de individu afgestemde, managementstijl noodzakelijk. Veel medewerkers zullen niet kunnen omgaan met die enorme vrijheid. Ze hebben het praatje bij het koffieapparaat nodig, ze hebben fysieke aanwezigheid van collega’s nodig, ze hebben vaste structuren en werktijden nodig. De kans is groot dat deze medewerkers verzuipen in vrijheid.

Vorige week hoorde ik op BNR Nieuwsradio de column van Ewald Theunisse over ‘het nieuwste werken’. Hij sprak ook over die opdeling tussen medewerkers.

Als je behoort tot de groep die optimaal van vrijheid en eigen verantwoordelijkheid wilt genieten, dan raad ik je het boek ‘Slimmer werken met het kantoor in je tas’ van Gerald Essers aan. Boordevol slimme tips voor de ‘nomad worker’.

Loslaten is OK, maar de verbinding is nodig in het kwadraat! Het nieuwste werken, in social business,  vraagt om een individuele afstemming.

Goed, nu weer terug naar die vertrouwelijke gegevens.

Wet- & regelgeving zetten druk op de openheid. De Wet Bescherming Persoonsgegevens wordt momenteel aangescherpt. Als een datalek ontdekt wordt moeten organisaties daar melding van gaan maken bij het College Bescherming Persoongegevens. De sancties die het CBP mag opleggen worden sterk verruimd. Er is sprake van een maximale boete van 200.000 euro!

Betekent dit dat we die openheid en sociale cohesie met de omgeving dan maar in de ijskast moeten zetten?

Dat zal iedere organisatie voor zichzelf moeten uitmaken. Ik kan me voorstellen dat wereldwijde reiskosten enorm hoog oplopen. Het toepassen van skype, in combinatie met de kans op datalekken (lees boetes van het CBP), kan in zo’n situatie een meer dan sluitende business case opleveren.

Ik ben een groot voorstander van de openheid en de genoemde sociale cohesie. Maar vanuit mijn professie ben ik me terdege bewust dat er grenzen aan zitten als er met vertrouwelijke gegevens gewerkt wordt. In mijn werk hoor ik het hele spectrum aan meningen voorbijkomen. Dat is een razend spannende beleving. Hoe rolt de bal? Waar worden de piketpalen geslagen in de discussies?  Hoe bang is de directie? Welke verantwoordelijkheid tonen directieleden? In welke mate volgen medewerkers dat voorbeeldgedrag? Welke sluipweggetjes worden gevonden?

Het is een mooie tijd als beveiliger. Mensen willen meer vrijheid en meer verantwoordelijkheid. Sommige kunnen dat, anderen moeten daarbij geholpen worden. Feit blijft dat social business ook verantwoord gedrag met vertrouwelijke gegevens nodig heeft.

Ik zorg dat ik de komende tijd bij de discussies betrokken blijf. Het is leuk om een bijdrage te leveren aan ‘loslaten en verbinden’, met een accent op vertrouwen. Vertrouwen bedoel ik dan op twee manieren: de manager die zijn medewerkers vertrouwt en de professionele omgang met vertrouwelijke gegevens door diezelfde medewerkers.

In een volgend blogartikel zal ik verder ingaan op randvoorwaardelijke aspecten die spelen bij veilige verwerking van vertrouwelijke gegevens in een social business.

Blijf alert! Cybercriminelen houden je in de gaten!
Gepost door op Geen opmerkingen:

donderdag 3 mei 2012

Wanneer is security effectief?

In de rol als Security Manager heb ik in het verleden verschillende voorstellen gedaan voor nieuwe security trajecten. De beslissers die ik tegenover me trof waren op dat moment eigenlijk maar in één ding geïnteresseerd: ‘Wat is de Return On Security Investment?’ Of te wel: ‘Al zet je tien slagbomen voor ons kantoor, ik wil weten wanneer ik die euro’s terugverdien’.

Als beslisser kun je jezelf vandaag de dag echter niet meer onttrekken aan een gefundeerde mening over security. Of je wordt persoonlijk aansprakelijk gesteld, of de reputatie van jouw organisatie wordt geschaad. Dit kan al door een simpele USB-stick die een van je medewerkers verliest.  Je moet er grip op krijgen!

De vraag is echter: Wanneer vind je security effectief?

Voor iedereen binnen een organisatie zal dit een ander antwoord opleveren. Zo zal de directie geïnteresseerd zijn in de organisatiebrede verdeling van verwantwoordelijkheden en budgetten voor security. De IT-Manager wil graag weten in hoeverre securityprocessen (vulnerability management, patch management, incident management) effectief zijn. De business unit manager wil graag weten in hoeverre zijn processen veilig en effectief door IT-security ondersteund worden. De IT-Security Officer is op zoek naar de effectieve werking van security oplossingen. De Corporate Security Officer heeft van nature interesse in alle bovenstaande zaken, dat legt zijn functie hem op.

Dit zijn slechts enkele voorbeelden van de individuele waardebeleving rondom security.  Een ander aandachtspunt hierbij is dat iedereen de lat voor zichzelf op een andere hoogte legt. Dit heeft direct te maken met het accepteren van restrisico’s. Het risicoprofiel van de organisatie speelt hierin naar mijn mening een grote rol.

Omdat de informatiebehoefte zo verschilt per rol in de organisatie moet security monitoring & rapportage hiermee rekening houden. Een samenhangende verzameling security metrics zal die gemengde informatiebehoefte moeten invullen. Voor mijzelf komt hier de samenhang tussen mens, proces en techniek om de hoek kijken. Voor ieder van die drie aandachtspunten zullen security metrics opgenomen moeten worden in de rapportage. De onderstaande tabel geeft enkele voorbeelden.

Categorie
Voorbeeld
Mens
·         Aantal medewerkers die de awareness training hebben doorlopen.
·         Aantallen afdrukken die op de printer zijn achtergelaten.
·         Naleving van de Clean Desk Policy.
·         Aantallen mails met vertrouwelijke data naar ‘privé’-accounts.
Proces
·         Gemiddelde tijd om incidenten op te lossen.
·         Gemiddelde kosten om kwetsbaarheden te identificeren en op te lossen.
·         Percentage systemen die gepatched zijn op het vereiste niveau.
Techniek
·         Aantal tegengehouden DDOS-aanvallen.
·         Aantal virussen die zijn ontdekt.
·         Aantal virusuitbraken die zijn voorkomen.
·         Aantal botnets die zijn ontdekt.


Momenteel zijn verschillende fabrikanten van securityproducten in staat om grote hoeveelheden informatie te rapporteren. Op basis van SIEM-oplossingen en GRC-oplossingen worden adviezen gegeven en workflows in gang gezet om geconstateerde misstanden op te lossen. Zo kan de RSA Envision SIEM-oplossing méér dan 1500 standaard rapporten opleveren. Een GRC-oplossing is in staat om te rapporteren over een totaal framework als COBIT met honderden controls en bijbehorende metrics, die voornamelijk gericht zijn op processen.

Het is bijna onmogelijk om hieruit een effectieve standaardrapportage te kiezen die recht doet aan de verschillende waardebelevingen met betrekking tot security, zoals ik die bovenstaand heb aangegeven.  

Is er tot nu toe dan geen set security metrics samengesteld die inspeelt op individuele wensen en de drie aandachtspunten mens, proces en techniek? Het antwoord is ja, en nee!

Er zijn verschillende initiatieven. Binnen COBIT 5.0 is de bijdrage van IT (en daarmee IT-security) aan de business centraal komen te staan. Zoals ik al eerder aangaf is COBIT erg procesgeoriënteerd. ISO 27004 geeft een richtlijn voor security metrics met betrekking tot het security management proces (ISO 27001). NIST heeft op basis van SP 800-55 een richtlijn opgesteld voor security metrics die meer technisch geörienteerd zijn. Het Center for Internet Security heeft een verzameling metrics samengesteld die grotendeels procesgeoriënteerd zijn.

Andrew Jaquith heeft met zijn boek SecurityMetrics: Replacing Fear, Uncertainty, and Doubt’ in mijn ogen de beste kijk op security metrics neergezet. Dat is onderbouwd door de periodieke MetriCon meetings waar indringend gediscussieeerd wordt over de juiste security metrics. In hoofdstuk 10 bouwt Jaquith een ‘Balanced Security Score Card’ op met de indeling: financieel, klant, intern proces en leren & groeien. De voorbeelden van security metrics die hij geeft zijn veelzijdig en kunnen goed gebruikt worden om individuele wensen in te vullen. Daarbij is het ook mogelijk om samenhang aan te brengen tussen mens, proces en techniek.

Heeft Jaquith daarmee de ultieme methode en verzameling security metrics te pakken?

Wellicht, maar bedenk goed op welke wijze jouw organisatie stuurt op organisatiedoelstellingen. De balanced scorecard methode, zoals Jaquith in hoofdstuk 10 beschrijft, is van nature een top-down aanpak. Dat houdt in dat midden management en medewerkers mee moeten in de rapportagecultuur en beperkte mogelijkheid hebben tot eigen inbreng. De effectiviteit van security besturen in een organisatie is in mijn ogen sterk afhankelijk van de wijze waarop de organisatie als geheel bestuurd wordt. En de balanced score card past daar misschien niet bij.

Als je in jouw organisatie de effectiviteit van security duidelijk wilt maken, houd dan goed rekening met de individuele wensen. En probeer samenhang aan te brengen tussen mens, proces en techniek. Als je al gebruik maakt van standaardrapportages houd die dan eens tegen het licht en bekijk of ze voldoen aan die individuele wensen. Pas ze zonnodig aan.
Heb jij specifieke ervaringen op dit gebied, of heb je een uitgesproken mening over de waarde van security? Laat die dan weten! Alvast bedankt.  
Gepost door op Geen opmerkingen:
Abonneren op: Posts (Atom)