Het is bijna perfect
De
laatste jaren heb je als organisatie intensief geïnvesteerd in de technische
security infrastructuur. Intussen kun je gerust zeggen dat je iedere
commerciant van ‘Wij-van-WC-eend’ wel over de vloer gehad hebt. Je hebt iedere
keer succes bij de directie en krijgt je voorgestelde investeringen zonder
mokken.
- Firewalls
- Web Application Firewalls
- VPN’s
- Intrusion Prevention
- URL-filtering
- Antispam & email security oplossingen
- Antivirus en antibot oplossingen
- Data Loss Prevention
- Identity Management oplossingen
- Encryption oplossingen
- Remote access oplossingen
- Mobile security oplossingen
- Endpoint security oplossingen
- Logging, Monitoring & Reporting met SIEM-tooling.
- Procesbeheer voor Operational Security Management op basis van GRC-tooling
- Threat Management oplossingen
- Vulnerability Management oplossingen
- Patch Management oplossingen
Alles
werkt geïntegreerd en je kijkt alleen nog maar op de schermen om afwijkingen
van de ‘dagelijkse gang van zaken’ te identificeren.
De risicobewuste
medewerkers werken buiten de deur met vertrouwelijke informatie op hun eigen
apparatuur. Ze slaan klantgegevens en/of patiëntgegevens veilig op in Dropbox,
ze wisselen veilig vertrouwelijke informatie uit met andere organisaties via
WeTransfer.
De
jongens van Risk & Compliance zijn tevreden, de CFO weet precies wat er aan
de hand is op het vlak van security, de directie verantwoord zich met een
gerust geweten tegenover de auditors en de accountants.
Alles
loopt gladjes en veilig.
Wat?
Herken je jouw situatie hierin niet?
OK,
bellen met Ed van ‘WC-eend’, offertes aanvragen, projectvoorstellen doen,
aanschaffen, implementeren en smile! Eindelijk veilig.
Als
je security bottom-up benaderd dan beschrijft het bovenstaande ongeveer de weg
die je bewandelt. Ik ben wellicht nog een tool vergeten, maar zo ongeveer het
hele commerciële aanbod kun je er wel in terugvinden. Dat je als organisatie
nog niet alles in huis hebt begrijp ik wel. Je wist niet dat dit allemaal mogelijk
was, of je hebt een beperkte kijk op wat ‘veilig’ is. Misschien is je
overredingskracht bij de directie als sneeuw voor de zon vertrokken. Kortom,
allemaal redenen om nog niet zo ver te zijn.
Een
bijkomend punt is dat strategisch, tactisch en operationeel security management
nauwelijks is ingevuld. OK, er is een verantwoordelijk directielid, er staat iets
in het IT-handboek over security en privacy en medewerkers hebben verklaard dat
ze als goed huisvader de verstrekte IT-middelen zullen behandelen.
Het
vervelende van security management is de praktijksituatie waarin via een top-down-aanpak
diverse zaken zijn beschreven. Er is echter geen aansluiting bij het
operationele security beheer en de technische security infrastructuur. Veelal
eindigt het in het beschrijven van de noodzakelijke ISO 27002 controls.
Nou,
knappe jongen als je die een beetje samenhangend hebt kunnen vertalen naar de
operationele security management processen en de technische security
infrastructuur.
Goed.
Een knap beroerde situatie als je het bovenstaande leest. Herken je het?
Schepje
er bovenop, leuk!
Stel
dat je als organisatie strategisch en tactisch security management wel in de steigers
gezet hebt. Stel dat jouw technische security infrastructuur wel het merendeel
van de genoemde tooling bevat.
Het
volstaat tegenwoordig niet meer om te vertrouwen op tooling die kwaadaardige
software herkent op basis van statische signatures. Moderne inbraken vinden
plaats op basis van nieuwe onbekende patronen. De aanvallen passen zich aan als
ze ten dele herkend worden. Advanced Persistent Threats laten zich niet makkelijk
identificeren en duiken direct weer onder de radar als dat wel het geval is.
Operationeel
security management is meer dan het beheer van de technische security
infrastructuur. Jouw mensen moeten security analisten zijn. De traditionele
beheerder die de firewall er ‘even bij doet’ voldeed al niet, maar de
securitybeheerder die dedicated de security infrastructuur ‘in de lucht houdt’
schiet ook te kort. Het draait om (security) informatie management.
Hebben
jouw mensen die kennis en ervaring? Heb je de eerste sollicitanten naar die functie
al op bezoek gehad? Zie jij voldoende gekwalificeerde mensen van de opleidingen
de arbeidsmarkt opstromen?
Goed,
misschien heb ik mijn bril niet op. Mij zijn ze nog niet opgevallen.
Mooi
balen, nou moet je ook nog eens met 3 P’s aan de gang: Product, Process &
People.
Laten
we even kijken naar het ideale plaatje:
- Je hebt het merendeel van de genoemde tooling in huis.
- Je hebt security management goed beschreven en de nodige processen gedocumenteerd.
- Je hebt een aantal goede security professionals in dienst.
Mijn
ervaring is dat technologie en processen niet vanzelf werken. In sommige
organisaties is het treurig gesteld en werken zelfs de mensen niet vanzelf. Dat
laatste is wel erg negatief. Toch zijn producten en processen wel erg
afhankelijk van de mensen. En daar wil ik je als laatste een paar tips voor
meegeven. Daarbij maak ik de vergelijking met het elftal van mijn zoon. Een
goede veldverdeling, iedereen een eigen taak/verantwoordelijkheid en een
gemeenschappelijk doel. Samenwerking als een team.
Wat
kun je doen om jouw mensen als team te laten samenwerken? De medewerkers van
een goed team beschikken over een aantal eigenschappen:
- Ze hebben een eenduidig beeld van de taken en doelstellingen van het team.
- Ze beschikken over de juiste vaardigheden, expertise en kennis.
- Ze werken op dezelfde manier aan hun taken.
- Ze zijn bereid om informatie met elkaar te delen.
- Ze vertrouwen en ondersteunen elkaar.
- Ze kunnen goed met conflicten omgaan.
- Ze nemen verantwoordelijkheid voor zowel hun individuele taken als de teamtaken.
Een
aantal tips voor het bouwen aan je team zijn de volgende:
- Beschrijf een teammissie: waarom bestaat het team?
- Besluit welke doelstellingen het team nastreeft (korte en lange termijn).
- Maak een overzicht van de kennis, ervaring en vaardigheden binnen het team.
- Verdeel de teamrollen binnen het team (Belbin-rollen).
- Stel vast hoe meetings verlopen en welke werkwijzen gehanteerd worden (conflicten oplossen, informatie delen, communiceren, besluitvorming, ondersteuning bieden, creativiteit en innovatie, …).
- Breng de stakeholders in beeld (samenwerken met het team, blokkeren van het team, …).
- Verdeel de taken binnen het team.
OK,
nu je dit weet, aan de slag dus. Bel Ed van ‘WC-eend’, die technische security
infrastructuur moet voller! Bel Sjaak, de externe security consultant die
security management pragmatisch bij jullie in de steigers komt zetten. Bel HR
om de juiste mensen te werven. Ontwikkel je visie op professioneel,
organisatiebreed, security management (strategisch, tactisch, operationeel). En
kies je leiderschapsstijl.
Vertrekpunt
voor goed security management moet zijn:
risicobewust beheer van security waarbij de (uitvoerende) mensen bepalend zijn
voor het succes.
People,
Process & Product! Houd die volgorde aan!
Haal jij, na het lezen van het bovenstaande verhaal, je schouders op? Is alles bij jou in de organisatie al perfect?
Dan daag ik je uit. Laat het weten, treed naar buiten en leer ons hoe je dat gedaan hebt. Je bent redelijk uniek naar mijn oordeel. Je hebt eigenlijk een morele verplichting om te helpen bij de veilige verwerking van vertrouwelijke informatie binnen Nederlandse organisaties!
Ik hoor vast snel van je. Alvast bedankt.
Geen opmerkingen:
Een reactie posten