Security-training voor personeel is geldverspilling

Security-training voor personeel is geldverspilling althans, volgens Dave Aitel van beveiligingsbedrijf Immunity.

Het trainen van gebruikers om bijlagen en links in verdachte e-mails niet te openen is weggegooid geld, aldus een bekende beveiligingsexpert. Volgens Dave Aitel van beveiligingsbedrijf Immunity is het een “hardnekkige mythe” dat bedrijven hun veiligheid kunnen verbeteren door het personeel te leren hoe ze kunnen voorkomen om de organisatie met malware te infecteren (bron).

Nu kun je met training alleen natuurlijk nooit alle dreigingen buiten de deur houden en er zullen altijd medewerkers zijn die blind op allerlei linkjes klikken. Maar om te zeggen dat het geldverspilling is, gaat mij te ver.

Het gaat altijd om de combinatie van de juiste technische, organisatorische en procedurele maatregelen. Vergeten we er een dan hebben we een probleem en zal onze beveiliging wankelen. Daarom kan training nooit weggegooid geld zijn…mits we ons richten op de juiste aspecten en mits we die training aanvullen met andere maatregelen.

Ik ben het er wel mee eens dat de huidige manier waarop we geld stoppen in security awareness vaak weggegooid geld is. Maar dat komt niet omdat training niets toevoegt maar omdat we de verkeerde manier van trainen volgen.

De basis en de theorie zijn heel simpel: richt je op kennis, houding en gedrag en ook in die volgorde. In de praktijk zien we echter dat men zich vooral richt op kennis en dat we houding en gedrag uit het oog verliezen of simpelweg niet weten hoe we die kunnen beïnvloeden.

We kunnen blijven stellen dat de security manager verantwoordelijk is voor de training, maar daarbij heeft hij of zij wel ondersteuning nodig. Vanuit security kunnen we de inhoud goed aangeven maar we zijn geen experts op het gebied van educatie en/of menselijk gedrag. Juist als we daar experts bij betrekken die weten hoe dat exact werkt zijn we al een stap verder.

Nou ja, als we het op de juiste manier doen dan is security training geen weggegooid geld, maar we hebben voorlopig nog wel stappen te zetten om de “return on investment” te verhogen.

Drie principes voor een veilige webomgeving…maar dan wel met een integrale benadering

De golf aan beveiligingsincidenten maakt duidelijk dat gemeenten nog een flinke stap te maken hebben. Dat hoeft niet ingewikkeld te zijn als de problematiek maar serieus wordt genomen. In ieder geval volgens Brenno de Winter (bron). Kort geleden schreef hij hier een artikel over.

Wie beveiliging serieus neemt geeft ongeveer tien procent van het IT-budget uit aan de bescherming. Met dat getal rekenen veel auditors die controleren of organisaties aan eisen voldoen. Een verplichte standaard is de ISO-27001, omdat deze op de lijst van open standaarden van het Forum Standaardisatie staan. Daarnaast valt moeilijk te ontkomen aan het uitvoeren van goede technische controles.

De drie principes omschrijft hij verder als volgt:

  1. Up-to-date zijn
  2. Wees minimalistisch
  3. Wees alert

Voor een volledige toelichting op wat er bedoeld wordt verwijs ik graag naar het originele artikel dat te vinden is op www.gemeente.nu of door simpel weg hier te klikken.

Inderdaad uitstekende principes. Niets op tegen natuurlijk. Als het de gemeente dan ook nog eens lukt om een integrale beveiligingsbenadering te hanteren, gebaseerd op risico management, dan zijn we nog een stap verder. We moeten immers niet vergeten dat de informatiebeveiliging ondersteunend is aan de bedrijfsvoering van de gemeente…en die kan best een dagje zonder een website.

We moeten er vooral voor waken dat de beveiligingsmaatregelen die we nemen niet alleen maar technisch van aard zijn. Natuurlijk komen we vanzelf bij de techniek, maar een goede set bestaat uit technische, procedurele, organisatorische, bouwkundige en elektronische maatregelen.

We hebben er niets aan als we de techniek niet juist beheren met procedures, we willen er ook zeker van zijn dat iemand zich verantwoordelijk voelt voor die nieuwe firewall van ons. En dat mooie doosje met knipperende lampjes bergen we natuurlijk veilig op in onze serverruimte waarop toegangscontrole van toepassing is en waarin we netjes een alarmsysteem hebben aangebracht om fysieke inbraken te kunnen detecteren.

Vullen we de drie principe dus aan met risico management en een integrale benadering dan zijn we lekker op weg. De techniek kunnen we op die manier best onder controle houden. Waar we extra aandacht aan moeten besteden is aan de medewerkers binnen de gemeente. Veelal zien we dat de gevolgen van incidenten zich uitten als een security incident. De oorzaak ligt veelal ergens anders.

Men wil best die systemen goed beheren, men wil best patches en updates doorvoeren, men wil zich best aan de beveiligingsregels houden…maar ja, als er geen budget is of als het management niet begrijpt dat er iets moet gebeuren dan lopen we vast.

We kunnen dat natuurlijk makkelijk het management in de schoenen schuiven, maar dat is niet terecht. Het gaat er om om de beveiligingsmaatregelen (rule based benadering) door te vertalen naar de operationele risico’s (oorzaak en gevolg) die we vervolgens uitleggen in enterprise risks (omzet/budget, kosten en imago). Dit is overigens niet specifiek voor gemeenten maar ook voor alle andere organisaties. Het verschil zit hem er in dat een gemeente minder belang hecht aan de “omzet” en eerder denkt in termen als budget. Waar dan wel weer extra de nadruk op ligt is het imago.

Imago geschaad? Burgemeesterspositie op de tocht. Kunnen we dus geen rationele redenen bedenken om de beveiliging van de gemeente te verbeteren dan kunnen we het altijd nog proberen in te steken vanuit het imago van de burgemeester en wethouders…wie weet krijg je als beveiliger dan de aandacht die je verdient (maar ga daar wel gepast mee om).

Administratie van kwetsbare activa

Hopelijk zijn we inmiddels van de schrik bekomen en accepteren we dat beveiliging inderdaad een lijnverantwoordelijkheid is. Als dat zo is, dan zijn we misschien geneigd om direct aan de slag te gaan en allerlei maatregelen te bedenken waardoor de boel beter beveiligd wordt. Maar, ho, stop, voor we dat doen, moeten we stil staan bij de aspecten die voor onze organisatie kritisch zijn en op basis daarvan gaan we de beveiliging inrichten.

Vraag je je af hoe je dat moet doen en waar je rekening mee moet houden? Ja, dan kan ik je alleen maar adviseren mijn blogs van de afgelopen maanden er nog eens op na te slaan. Doorlopen we die vragen nog eens en plaatsen we die binnen de juiste kaders dan zijn we al een heel eind.

Maar voor diegene die op dit moment geen tijd hebben om alles te gaan lezen (misschien is het niet zo’n gek idee om me eens uit te nodigen voor een goed gesprek) en die gewoon aan de slag moeten, stellen we de volgende vraag:
Is er een administratie bijgehouden van de kwetsbare (kapitale) activa (zoals apparatuur en daarop geplaatste programmatuur) waaruit blijkt welke apparatuur waar vastgelegd moet zijn?

We willen een briefje van 10 euro niet beveiligen met een kluis van 1.000 euro. Logisch, toch? Zeker, hier kan iedereen zich wat bij voorstellen. Plaatsen we dit in een ander licht dan zien we toch nog vaak dat het middel erger is dan de kwaal. We nemen meer, veel meer, beveiligingsmaatregelen dan nodig zijn. Dat geeft ons immers een gevoel van veiligheid…schijnveiligheid, dat dan weer wel.

Het lijkt misschien vreemd dat ik, als adviseur op dit gebied, adviseer om juist minder beveiligingsmaatregelen te treffen. Toch is dat niet meer dan logisch (althans, dat vind ikzelf natuurlijk). Iedere maatregel die we treffen heeft weer een nieuw risico in zich…en risico’s afdekken, dat is nu juist waar het allemaal om ging. Als je tussen de regels doorleest adviseer ik je dus niet direct om minder maatregelen te nemen maar ik adviseer je om de risico’s als uitgangspunt te nemen. Doen we dat dan komen die maatregelen vanzelf wel. Doen we dat ook nog eens goed dan is er een grotere kans op een match tussen risico en beveiligingsmaatregel. We voelen ons dus niet alleen veiliger, nee we zijn ook daadwerkelijk beter beveiligd.

Maar goed, terug naar de vraag. Kijken we naar de apparatuur dan moeten we de link leggen naar de bedrijfsprocessen die ze ondersteunen. Hoe belangrijk is dat bedrijfsproces voor het voortbestaan van onze organisatie en hoeveel risico kunnen we daarmee lopen. Zo krijgen we zicht op de kritieke apparatuur die we gewoon nodig hebben. Daar moeten we dus iets mee.

Aan de andere kant hebben we misschien nog apparatuur of activa die niet zo zeer kritisch maar wel erg kostbaar is. Hebben we ons geld gestopt in een goudbaar dan is dat een kostbaar goed waar we ook iets mee moeten. Enerzijds omdat het ons teveel geld kan kosten om kapitale activa te vervangen (kost geld, misschien teveel geld waardoor we problemen krijgen met de liquiditeit) anderzijds omdat het best zo kan zijn dat die apparatuur belangrijk voor ons is.

Stel dat je een robotstraat geïnstalleerd hebt om jouw product te maken. Die robotstraat was niet goedkoop en moet jaren mee omdat we anders niet goed af kunnen schrijven. We moeten er dus iets mee. Maar die robotstraat zorgt er ook voor dat we ons product kunnen fabriceren. Ons product, waarmee we omzet maken. Ligt die robotstraat er uit omdat we de risico’s verkeerd hebben ingeschat dan kost ons dat dus omzet.

Leggen we de relatie tussen de bedrijfsprocessen en de ondersteunende middelen en houden we daarbij rekening met de risico’s die we lopen. Dan komen we vanzelf tot de kwetsbare activa (in de breedste zin van het woord) die we voldoende moeten beveiligen. Niet door nog meer maatregelen te treffen maar door te kijken naar die set (technische, procedurele, organisatorische, bouwkundige en elektronische) maatregelen die de risico’s afdekt.