zondag 10 maart 2013

Beheer je security infrastructuur


Het is bijna perfect

De laatste jaren heb je als organisatie intensief geïnvesteerd in de technische security infrastructuur. Intussen kun je gerust zeggen dat je iedere commerciant van ‘Wij-van-WC-eend’ wel over de vloer gehad hebt. Je hebt iedere keer succes bij de directie en krijgt je voorgestelde investeringen zonder mokken.

 Laten we even kijken wat je in huis hebt:
  • Firewalls
  • Web Application Firewalls
  • VPN’s
  • Intrusion Prevention
  • URL-filtering
  • Antispam & email security oplossingen
  • Antivirus en antibot oplossingen
  • Data Loss Prevention
  • Identity Management oplossingen
  • Encryption oplossingen
  • Remote access oplossingen
  • Mobile security oplossingen
  • Endpoint security oplossingen
  • Logging, Monitoring & Reporting met SIEM-tooling.
  • Procesbeheer voor Operational Security Management op basis van GRC-tooling
  • Threat Management oplossingen
  • Vulnerability Management oplossingen
  • Patch Management oplossingen


Alles werkt geïntegreerd en je kijkt alleen nog maar op de schermen om afwijkingen van de ‘dagelijkse gang van zaken’ te identificeren.

De risicobewuste medewerkers werken buiten de deur met vertrouwelijke informatie op hun eigen apparatuur. Ze slaan klantgegevens en/of patiëntgegevens veilig op in Dropbox, ze wisselen veilig vertrouwelijke informatie uit met andere organisaties via WeTransfer.

De jongens van Risk & Compliance zijn tevreden, de CFO weet precies wat er aan de hand is op het vlak van security, de directie verantwoord zich met een gerust geweten tegenover de auditors en de accountants.

Alles loopt gladjes en veilig.  

Wat? Herken je jouw situatie hierin niet?

OK, bellen met Ed van ‘WC-eend’, offertes aanvragen, projectvoorstellen doen, aanschaffen, implementeren en smile! Eindelijk veilig.

Als je security bottom-up benaderd dan beschrijft het bovenstaande ongeveer de weg die je bewandelt. Ik ben wellicht nog een tool vergeten, maar zo ongeveer het hele commerciële aanbod kun je er wel in terugvinden. Dat je als organisatie nog niet alles in huis hebt begrijp ik wel. Je wist niet dat dit allemaal mogelijk was, of je hebt een beperkte kijk op wat ‘veilig’ is. Misschien is je overredingskracht bij de directie als sneeuw voor de zon vertrokken. Kortom, allemaal redenen om nog niet zo ver te zijn.

Een bijkomend punt is dat strategisch, tactisch en operationeel security management nauwelijks is ingevuld. OK, er is een verantwoordelijk directielid, er staat iets in het IT-handboek over security en privacy en medewerkers hebben verklaard dat ze als goed huisvader de verstrekte IT-middelen zullen behandelen.

Het vervelende van security management is de praktijksituatie waarin via een top-down-aanpak diverse zaken zijn beschreven. Er is echter geen aansluiting bij het operationele security beheer en de technische security infrastructuur. Veelal eindigt het in het beschrijven van de noodzakelijke ISO 27002 controls.

Nou, knappe jongen als je die een beetje samenhangend hebt kunnen vertalen naar de operationele security management processen en de technische security infrastructuur.

Goed. Een knap beroerde situatie als je het bovenstaande leest. Herken je het?

Schepje er bovenop, leuk!

Stel dat je als organisatie strategisch en tactisch security management wel in de steigers gezet hebt. Stel dat jouw technische security infrastructuur wel het merendeel van de genoemde tooling bevat.

Het volstaat tegenwoordig niet meer om te vertrouwen op tooling die kwaadaardige software herkent op basis van statische signatures. Moderne inbraken vinden plaats op basis van nieuwe onbekende patronen. De aanvallen passen zich aan als ze ten dele herkend worden. Advanced Persistent Threats laten zich niet makkelijk identificeren en duiken direct weer onder de radar als dat wel het geval is.

Operationeel security management is meer dan het beheer van de technische security infrastructuur. Jouw mensen moeten security analisten zijn. De traditionele beheerder die de firewall er ‘even bij doet’ voldeed al niet, maar de securitybeheerder die dedicated de security infrastructuur ‘in de lucht houdt’ schiet ook te kort. Het draait om (security) informatie management.

Hebben jouw mensen die kennis en ervaring? Heb je de eerste sollicitanten naar die functie al op bezoek gehad? Zie jij voldoende gekwalificeerde mensen van de opleidingen de arbeidsmarkt opstromen?

Goed, misschien heb ik mijn bril niet op. Mij zijn ze nog niet opgevallen.       

Mooi balen, nou moet je ook nog eens met 3 P’s aan de gang: Product, Process & People.

Laten we even kijken naar het ideale plaatje:
  • Je hebt het merendeel van de genoemde tooling in huis.
  • Je hebt security management goed beschreven en de nodige processen gedocumenteerd.
  • Je hebt een aantal goede security professionals in dienst.

Mijn ervaring is dat technologie en processen niet vanzelf werken. In sommige organisaties is het treurig gesteld en werken zelfs de mensen niet vanzelf. Dat laatste is wel erg negatief. Toch zijn producten en processen wel erg afhankelijk van de mensen. En daar wil ik je als laatste een paar tips voor meegeven. Daarbij maak ik de vergelijking met het elftal van mijn zoon. Een goede veldverdeling, iedereen een eigen taak/verantwoordelijkheid en een gemeenschappelijk doel. Samenwerking als een team.

 Wat kun je doen om jouw mensen als team te laten samenwerken? De medewerkers van een goed team beschikken over een aantal eigenschappen:
  • Ze hebben een eenduidig beeld van de taken en doelstellingen van het team.
  • Ze beschikken over de juiste vaardigheden, expertise en kennis.
  • Ze werken op dezelfde manier aan hun taken.
  • Ze zijn bereid om informatie met elkaar te delen.
  • Ze vertrouwen en ondersteunen elkaar.
  • Ze kunnen goed met conflicten omgaan.
  • Ze nemen verantwoordelijkheid voor zowel hun individuele taken als de teamtaken.


Een aantal tips voor het bouwen aan je team zijn de volgende:
  • Beschrijf een teammissie: waarom bestaat het team?
  • Besluit welke doelstellingen het team nastreeft (korte en lange termijn).
  • Maak een overzicht van de kennis, ervaring en vaardigheden binnen het team.
  • Verdeel de teamrollen binnen het team (Belbin-rollen).
  • Stel vast hoe meetings verlopen en welke werkwijzen gehanteerd worden (conflicten oplossen, informatie delen, communiceren, besluitvorming, ondersteuning bieden, creativiteit en innovatie, …).
  • Breng de stakeholders in beeld (samenwerken met het team, blokkeren van het team, …).
  • Verdeel de taken binnen het team.
OK, nu je dit weet, aan de slag dus. Bel Ed van ‘WC-eend’, die technische security infrastructuur moet voller! Bel Sjaak, de externe security consultant die security management pragmatisch bij jullie in de steigers komt zetten. Bel HR om de juiste mensen te werven. Ontwikkel je visie op professioneel, organisatiebreed, security management (strategisch, tactisch, operationeel). En kies je leiderschapsstijl.
Vertrekpunt voor goed security management moet zijn: risicobewust beheer van security waarbij de (uitvoerende) mensen bepalend zijn voor het succes.

People, Process & Product! Houd die volgorde aan!  

Haal jij, na het lezen van het bovenstaande verhaal, je schouders op? Is alles bij jou in de organisatie al perfect? 

Dan daag ik je uit. Laat het weten, treed naar buiten en leer ons hoe je dat gedaan hebt. Je bent redelijk uniek naar mijn oordeel. Je hebt eigenlijk een morele verplichting om te helpen bij de veilige verwerking van vertrouwelijke informatie binnen Nederlandse organisaties! 

Ik hoor vast snel van je. Alvast bedankt.  
Gepost door op

Geen opmerkingen:

Een reactie posten

Abonneren op: Reacties posten (Atom)