Securitybudget in gevaar!

Cyprus leent van Griekenland. Vul het ene gat met het andere gat!

Bizar, de EU loopt tegen de grenzen van het begrip begrotingsdiscipline aan. Noodfondsen, steunpakketten, Dijsselbloemen, spaarbelasting, ... Nu wil Rusland de Cyprioten niet helpen, dan gaan ze in zee met die andere amateurboekhouders. Inventief is het zeker!

Heb jij dit jaar ook te maken met krimpende securitybudgetten? Ik zou deze dagen even goed opletten wat er gebeurt in Cyprus. Hogeschool financiering lijkt me zo. 

Nu draait het bij begrotingsdiscipline veelal om het krijgen van garanties. Dat loopt voornamelijk bij anderen door de boeken. Jij hebt met je ambitieuze securitystrategie een serieus probleem want dat loopt direct bij jouw organisatie door de boeken. 

Ik ga het echter niet met je hebben over het regelen van je benodigde budget. Ik wil het met je hebben over de aantoonbare waarde van de securityinspanningen in jouw organisatie. De ROI van securityinvesteringen berekenen op basis van de kans dat er een inbraakpoging schade oplevert laat ik even links liggen. 

Veel meer geloof ik in de werkelijke effecten van de dagelijkse inspanningen. Goed, je wilt de verstrekker van het budget het vertrouwen geven dat de investering het waard is. De onderbouwing van jouw positieve beeldvorming (de business case) komt pas echt tot leven als je de dagelijkse effecten van de investeringen aantoont. 

De vraag is dan echter welke lineaal je gaat gebruiken om die dagelijkse effecten te meten? 

Ik heb veel informatie over security metrics onder ogen gehad. Mooie artikelen en bijzondere boeken. Een zeer goed boek is 'Security Metrics: Replacing Fear, Uncertainty, and Doubt' van Andrew Jaquith. Vooral het hoofdstuk waarin de Security Balanced Score Card wordt beschreven is erg goed. Je gaat bijna geloven dat security te besturen is, als was het een organisatie. Dat is denk ik toch de kracht van de principes achter de balanced score card. 

Een meer pragmatische aanpak vind je bij het Center for Internet Security. Met het Consensus Security Metrics programma hebben ze een praktische set security metrics opgezet.  

Er zijn verschillende metrics verdeeld over belangrijke processen: Incident Management, Vulnerability Management, Patch Management, Application Security, Configuration Management en Financial Metrics.

De onderstaande tabellen geven deze metrics weer. 

Wanneer doe je het goed?   

Ik ben van mening dat de koppeling tussen de metrics en de processen de waarde van security goed onderbouwt. Natuurlijk wil je ook technische metrics, maar die worden niet zo indringend beleefd bij de investeerders (het verantwoordelijke directielid die je had overtuigd om te investeren). 

Security is ook een terugkerende bezigheid. Je moet iedere dag zwaar aan de bak om er iets van te maken.Dat schreef ik al in een voorgaand blogartikel. Je wordt een topsporter op het gebied van security als je dagelijks lange saaie slagenwisselingen maakt. De processen moeten droog en zonder mokken uitgevoerd worden. 

Topmateriaal is zeer welkom, maar het is vaak duur en het maakt je nog geen professional. Training en uitvoering op het gebied van de security processen zijn de maat voor de echte kwaliteit van security binnen de organisatie. 

Vind jij dat uitvoeren van droge processtappen leuk? Ben jij overtuigd van de effectiviteit ervan? Blijf je enthousiast over je vakgebied?

Mooi, dan voldoe je aan een paar basisvoorwaarden om het securityniveau bij jou in de organisatie omhoog te stuwen. 

Mocht je onverhoopt uitgeblust raken van de droge dagelijkse proceshandelingen dan raad ik je een vakantie naar een Grieks eiland aan. Dat kan ook Cyprus zijn. Even de lokale economie spekken! Geniet van de zon. 

Succes trouwens met de volgende virusuitbraak!

Beheer je security infrastructuur

Het is bijna perfect

De laatste jaren heb je als organisatie intensief geïnvesteerd in de technische security infrastructuur. Intussen kun je gerust zeggen dat je iedere commerciant van ‘Wij-van-WC-eend’ wel over de vloer gehad hebt. Je hebt iedere keer succes bij de directie en krijgt je voorgestelde investeringen zonder mokken.

 Laten we even kijken wat je in huis hebt:

• Firewalls
• Web Application Firewalls
• VPN’s
• Intrusion Prevention
• URL-filtering
• Antispam & email security oplossingen
• Antivirus en antibot oplossingen
• Data Loss Prevention
• Identity Management oplossingen
• Encryption oplossingen
• Remote access oplossingen
• Mobile security oplossingen
• Endpoint security oplossingen
• Logging, Monitoring & Reporting met SIEM-tooling.
• Procesbeheer voor Operational Security Management op basis van GRC-tooling
• Threat Management oplossingen
• Vulnerability Management oplossingen
• Patch Management oplossingen

Alles werkt geïntegreerd en je kijkt alleen nog maar op de schermen om afwijkingen van de ‘dagelijkse gang van zaken’ te identificeren.

De risicobewuste medewerkers werken buiten de deur met vertrouwelijke informatie op hun eigen apparatuur. Ze slaan klantgegevens en/of patiëntgegevens veilig op in Dropbox, ze wisselen veilig vertrouwelijke informatie uit met andere organisaties via WeTransfer.

De jongens van Risk & Compliance zijn tevreden, de CFO weet precies wat er aan de hand is op het vlak van security, de directie verantwoord zich met een gerust geweten tegenover de auditors en de accountants.

Alles loopt gladjes en veilig.  

Wat? Herken je jouw situatie hierin niet?

OK, bellen met Ed van ‘WC-eend’, offertes aanvragen, projectvoorstellen doen, aanschaffen, implementeren en smile! Eindelijk veilig.

Als je security bottom-up benaderd dan beschrijft het bovenstaande ongeveer de weg die je bewandelt. Ik ben wellicht nog een tool vergeten, maar zo ongeveer het hele commerciële aanbod kun je er wel in terugvinden. Dat je als organisatie nog niet alles in huis hebt begrijp ik wel. Je wist niet dat dit allemaal mogelijk was, of je hebt een beperkte kijk op wat ‘veilig’ is. Misschien is je overredingskracht bij de directie als sneeuw voor de zon vertrokken. Kortom, allemaal redenen om nog niet zo ver te zijn.

Een bijkomend punt is dat strategisch, tactisch en operationeel security management nauwelijks is ingevuld. OK, er is een verantwoordelijk directielid, er staat iets in het IT-handboek over security en privacy en medewerkers hebben verklaard dat ze als goed huisvader de verstrekte IT-middelen zullen behandelen.

Het vervelende van security management is de praktijksituatie waarin via een top-down-aanpak diverse zaken zijn beschreven. Er is echter geen aansluiting bij het operationele security beheer en de technische security infrastructuur. Veelal eindigt het in het beschrijven van de noodzakelijke ISO 27002 controls.

Nou, knappe jongen als je die een beetje samenhangend hebt kunnen vertalen naar de operationele security management processen en de technische security infrastructuur.

Goed. Een knap beroerde situatie als je het bovenstaande leest. Herken je het?

Schepje er bovenop, leuk!

Stel dat je als organisatie strategisch en tactisch security management wel in de steigers gezet hebt. Stel dat jouw technische security infrastructuur wel het merendeel van de genoemde tooling bevat.

Het volstaat tegenwoordig niet meer om te vertrouwen op tooling die kwaadaardige software herkent op basis van statische signatures. Moderne inbraken vinden plaats op basis van nieuwe onbekende patronen. De aanvallen passen zich aan als ze ten dele herkend worden. Advanced Persistent Threats laten zich niet makkelijk identificeren en duiken direct weer onder de radar als dat wel het geval is.

Operationeel security management is meer dan het beheer van de technische security infrastructuur. Jouw mensen moeten security analisten zijn. De traditionele beheerder die de firewall er ‘even bij doet’ voldeed al niet, maar de securitybeheerder die dedicated de security infrastructuur ‘in de lucht houdt’ schiet ook te kort. Het draait om (security) informatie management.

Hebben jouw mensen die kennis en ervaring? Heb je de eerste sollicitanten naar die functie al op bezoek gehad? Zie jij voldoende gekwalificeerde mensen van de opleidingen de arbeidsmarkt opstromen?

Goed, misschien heb ik mijn bril niet op. Mij zijn ze nog niet opgevallen.       

Mooi balen, nou moet je ook nog eens met 3 P’s aan de gang: Product, Process & People.

Laten we even kijken naar het ideale plaatje:

• Je hebt het merendeel van de genoemde tooling in huis.
• Je hebt security management goed beschreven en de nodige processen gedocumenteerd.
• Je hebt een aantal goede security professionals in dienst.

Mijn ervaring is dat technologie en processen niet vanzelf werken. In sommige organisaties is het treurig gesteld en werken zelfs de mensen niet vanzelf. Dat laatste is wel erg negatief. Toch zijn producten en processen wel erg afhankelijk van de mensen. En daar wil ik je als laatste een paar tips voor meegeven. Daarbij maak ik de vergelijking met het elftal van mijn zoon. Een goede veldverdeling, iedereen een eigen taak/verantwoordelijkheid en een gemeenschappelijk doel. Samenwerking als een team.

 Wat kun je doen om jouw mensen als team te laten samenwerken? De medewerkers van een goed team beschikken over een aantal eigenschappen:

• Ze hebben een eenduidig beeld van de taken en doelstellingen van het team.
• Ze beschikken over de juiste vaardigheden, expertise en kennis.
• Ze werken op dezelfde manier aan hun taken.
• Ze zijn bereid om informatie met elkaar te delen.
• Ze vertrouwen en ondersteunen elkaar.
• Ze kunnen goed met conflicten omgaan.
• Ze nemen verantwoordelijkheid voor zowel hun individuele taken als de teamtaken.

Een aantal tips voor het bouwen aan je team zijn de volgende:

• Beschrijf een teammissie: waarom bestaat het team?
• Besluit welke doelstellingen het team nastreeft (korte en lange termijn).
• Maak een overzicht van de kennis, ervaring en vaardigheden binnen het team.
• Verdeel de teamrollen binnen het team (Belbin-rollen).
• Stel vast hoe meetings verlopen en welke werkwijzen gehanteerd worden (conflicten oplossen, informatie delen, communiceren, besluitvorming, ondersteuning bieden, creativiteit en innovatie, …).
• Breng de stakeholders in beeld (samenwerken met het team, blokkeren van het team, …).
• Verdeel de taken binnen het team.

OK, nu je dit weet, aan de slag dus. Bel Ed van ‘WC-eend’, die technische security infrastructuur moet voller! Bel Sjaak, de externe security consultant die security management pragmatisch bij jullie in de steigers komt zetten. Bel HR om de juiste mensen te werven. Ontwikkel je visie op professioneel, organisatiebreed, security management (strategisch, tactisch, operationeel). En kies je leiderschapsstijl.

Vertrekpunt voor goed security management moet zijn: risicobewust beheer van security waarbij de (uitvoerende) mensen bepalend zijn voor het succes.

People, Process & Product! Houd die volgorde aan!  

Haal jij, na het lezen van het bovenstaande verhaal, je schouders op? Is alles bij jou in de organisatie al perfect? 

Dan daag ik je uit. Laat het weten, treed naar buiten en leer ons hoe je dat gedaan hebt. Je bent redelijk uniek naar mijn oordeel. Je hebt eigenlijk een morele verplichting om te helpen bij de veilige verwerking van vertrouwelijke informatie binnen Nederlandse organisaties! 

Ik hoor vast snel van je. Alvast bedankt.  

Bruggenbouwen met securitypatronen

In het vorige blogartikel heb ik je bericht over het structureel bouwen aan security infrastructuren. Dat doe je op basis van security patronen. De patronen die het PVIB heeft opgesteld zijn goed gedocumenteerd en kun je HIER downloaden. 

Ik zeg: 'veel leesplezier'. 

Heilige huisjes en bruggenbouwen

28 februari gaat de geschiedenis in als de dag waarop de paus aftrad. De laatste paus die dat deed was paus Celestinus V in 1294. De vraag is wanneer een volgende paus zijn functie neerlegt? Wellicht weer over 700 jaar. Gisteren was dus een dag van betekenis voor een heilig huis als de kerk!

Deze week is het laatste heilige huis voor de VVD gesneuveld. De 3% limiet voor het begrotingstekort is door de VVD losgelaten voor 2013. Maar, in 2014 moet er weer strak aan voldaan worden!

In het laatste geval zagen we Minister van Financiën Dijsselbloem een trektocht maken langs de fracties van de oppositie. Dit zagen we in 2012 ook al gebeuren door de toenmalige Minister van Financiën, de Jager. Als ware bruggenbouwers zijn zij klinkende akkoorden in elkaar gaan smeden. Lenteakkoord was het in 2012, nu spreken ze over Oranjeakkoord.

In het geval van de nieuwe paus hoopt een groot deel van de westerse wereld op een paus die als bruggenbouwer optreedt. Een leeglopende kerk, mede als gevolg van het optreden van de net afgetreden paus , snakt naar een paus die de hand reikt naar de nieuwe generatie. Hij moet generaties en continenten verbinden.

Als we kijken naar ons vakgebied zien we dat security managers ook bruggenbouwers moeten zijn. Niet de Security Manager is verantwoordelijk voor security, maar het is een organisatiebrede verantwoordelijkheid. De Security Manager moet belangen bij elkaar brengen en bruggen bouwen tussen afdelingen. Daarvoor moet hij over verschillende expertises beschikken. Hij moet specialist zijn op het vlak van HR, communicatie, wet- & regelgeving, techniek, bedrijfsstrategie, …

Deze week heeft het PVIB tijdens de bijeenkomst ‘Securitypatronen’ het gedachtengoed over gestructureerd bouwen van securityinfrastructuren gepresenteerd. Vier leden van een uitgebreide community rondom securitypatronen gaven uitleg over de goed gedocumenteerde materie (Renato Kuiper, Jaap van der Veen, Onno Massar en Rinus Braak). Een mooie prestatie!

Wat lost een securitypatroon op?

Dit werd verduidelijkt door het voorbeeld van een te bouwen brug. Een lange stalen balk buigt door en geeft onvoldoende steun voor een stevige brug. Daarom moet die balk verstevigd worden. Daarvoor is een driehoek een prima constructie. In de onderstaande plaat is dit weergegeven.

De driehoek is een standaard oplossing voor het specifieke probleem van doorbuiging van lange constructies zoals een stalen balk.

Gisterenavond waren de genoemde heren bescheiden in hun uitingen. Graag wilden ze nog meer kunnen presenteren, maar daarvoor deden ze een beroep op de aanwezige PVIB-leden. Het heeft hun veel vrije tijd gekost en er moest na drie jaar echt iets op papier komen, vonden zij zelf.

Het document bevat meer dan 30 beschouwingsmodellen en thema’s die verdeeld zijn in een aantal categorieën: koppelvlakken, identity management, encryptie en logging/monitoring/continuïteit. Het voert te ver om de patronen inhoudelijk de revue te laten passeren. Achterin het document staat een mooie verwijzing vanuit de verschillende ISO 27001/2 aandachtsgebieden naar de bijbehorende securitypatronen.

Als bekend is waar het document verkrijgbaar is zal ik dat laten weten. Je kunt zelf ook de PVIB-website in de gaten houden.  Er wordt trouwens ook een Masterclass georganiseerd op 14 maart. 

Voor mij ligt de waarde van de securitypatronen in de eenduidigheid. Architecten en security experts kunnen nu, aan de hand van iets wat lijkt op een cookbook, robuuste en logische security infrastructuren gaan vormgeven. De commerciant van ‘Wij-van WC-eend’ zal duidelijk moeten maken hoe zijn oplossing past in de beschreven security architectuur.

Met het document over securitypatronen is een mooie stap voorwaarts gezet als het gaat om eenduidig construeren van een technische security infrastructuur.  

Zit je zelf met de vraag hoe je die technische security infrastructuur goed aan elkaar moet knopen?  Houd dan de PVIB site of deze blog in de gaten. Succes met het oplossen van je security problemen!