Er bestaat geen ‘Security by conformity’

By 28 februari 2020 Blog
Deel dit bericht!

“Beleid is het stellen van doelen, middelen en een tijdpad in onderlinge samenhang. Liefst zijn plaats en tijd omschreven. Onder beleid wordt dus verstaan het aangeven van de richting en de middelen waarmee men gestelde organisatiedoelen wil gaan realiseren binnen de gestelde periode.” Bron: Wikipedia https://nl.wikipedia.org/wiki/Beleid

“Life is what happens to us while we are making other plans.” – Allen Saunders, Reader’s Digest,January 1957

Een van de taken van een CISO is om de organisatie mee te krijgen in een verhoogde staat van beveiliging.
Vaak worden er dan plannen gesmeed, vendors bekeken en procedures bedacht. En dan volgt daaruit een beleid (policies). En als dat beleid eenmaal geimplementeerd is, dan is de organisatie vanzelf veiliger. Dat zou heel goed kunnen. Maar vaak wordt een beleid nooit helemaal geimplementeerd. Simpelweg omdat het als wet wordt gezien die dan te restrictief werkt op het dagelijks reilen en zeilen van een organisatie.

Hierdoor kan het twee kanten op gaan:
– De CISO/het Security Office wordt de bottlenek daar waar de rest van het bedrijf goed geschaald is en geoptimaliseerd is om soepel en zo productief mogelijk te draaien. Enorme backlogs van exceptions maken het bedrijf kreupel.

– De medewerkers worden creatief en gaan een schaduwbedrijf draaien dat helemaal los staat van alle security maatregelen.

Beide kanten kunnen natuurlijk nooit de bedoeling zijn van een security beleid. Toch maken veel beveiligers de fout om eerst ‘hun wereld’ te modelleren en dan te proberen daar de realiteit in te persen. Of men maakt een fantastisch doelbeeld, maakt een inventarisatie van de huidige toestand en tuigt een project op dat over een jaar dat doelbeeld behaald heeft. En dan is de wereld allang anders, zijn de aanvallers slimmer of hebben de destijds geidentificeerde attack vectors en risico’s allang verlaten voor compleet nieuwe trucs, technieken en praktijken.

Om het bedrijf veiliger te maken, want dat is het ultieme doel van een CISO/Security Office, kunnen de volgende punten bijdragen:
– De mensen waarmee je werkt zijn vooral geselecteerd op een specifieke skill- en mindset die misschien niet overeenkomen met die van een security specialist. Leef je in in hun vakgebied. Wordt hen. Bekijk dan hoe je, zonder al te restrictief te zijn, die werkzaamheden kunt uitvoeren, maar dan veiliger. Zorg dat je geen ‘two steps back’ veroorzaakt door je ‘one step forward’.

– Werk aan gewoontes in plaats van boekwerken met policies. Niet iedereen geniet van het kunnen opdreunen van een stamboom van ‘must’, ‘shall’ en ‘will’. Vier succesjes met je medewerkers.

– Zeg geen ‘Nee.’ maar altijd ‘Nee, maar als je nu…’. Nogmaals, de medewerkers op de vloer hebben niet hetzelfde (volledige) overzicht dat jij hebt. Help ze met een hint in de goede richting. Dan gaan ze uiteindelijk ook meer moeite doen om zich zo goed mogelijk te conformeren aan wat jij wilt.

– Leg uit dat het heel goed mogelijk is dat iemand het vaak goed doet ‘op gevoel’, maar dat policies (beleid) en werkinstructies bedoeld zijn om de kans te vergroten dat het goede gedaan wordt. Vaak worden er aannames gedaan (want dat is hoe mensen intrinsiek werken) en die zijn heel vaak goed waardoor het gevaar bestaat dat iemand bang is voor een conflict tussen haar/zijn impliciete kennis en de zeer expliciete kennis in een policy. Regel dus dat het inzicht ontstaat dat die twee elkaar niet bijten.

– Praat met mensen. Zorg dat je weet wanneer een policy niet gedragen wordt. Kijk dan hoe je hetzelfde oorspronkelijke doel via een andere weg kunt bereiken.

En tenslotte nogmaals, de organisatiedoelen zijn belangrijk. Het beleid is slechts een stuk gereedschap. Maar een goed vakman heeft niet enkel een hamer. Een goed vakman heeft een gereedschapskist waar voor elke taak het juiste gereedschap in zit.