Is informatiebeveiliging Vastgeroest?

Cqure platformblog

Het internet is inmiddels alweer bijna 44 jaar oud. Dat is althans als u, net als ik, de eerste connectie tussen twee hosts als vertrekpunt ziet. Is dat niet het geval, dan telt u waarschijnlijk net als de rest van de wereld vanaf 1992 toen het internet lekker populair begon te worden. Of u zich nu rekent tot de zogenaamde ‘early adopters’ of dat u met enig verzet gerekend mag worden tot de groep ‘laggards’, we kunnen het snel met elkaar eens zijn dat we al best een hele tijd met deze technologie aan het stoeien zijn, en dat de impact zeker niet onderschat mag worden.

De behoefte van nu tegenover een middeleeuwse denkwijze

Op vele terreinen hebben we flinke winst geboekt. We zitten massaal in de Cloud, ook al hebben velen van u werkelijk geen idee wat dat precies inhoudt. Onze netwerken zijn virtueel geworden, evenals onze besturingssystemen en sommigen van u zijn zelfs al begonnen aan de laag met middleware en applicaties. Ik hoor steeds vaker de term ‘virtueel team’ als het gaat om de bemensing. Prachtig! Hele mooie technologische hoogstandjes allemaal. Er zijn echter een paar onderwerpen die hopeloos achterblijven bij deze sneltrein aan ontwikkelingen. Vooral de informatiebeveiliger lijkt vast te zitten. Gevangen tussen de openheid van onze virtuele teams, de dreiging van allerhande cyber idioten en de hopeloos verouderde opvattingen over hoe dit alles te beveiligen.

In de middeleeuwen hadden we behoefte aan eenvoudige en doeltreffende manieren van beveiligen. We bouwden simpelweg een dikke muur om de stad en zetten daar een paar stevige kerels op.  Was je binnen de muur dan zat je goed, was je nog buiten, dan was je eigenlijk aan de goden overgeleverd. In de late middeleeuwen hadden we al door dat dit onderscheid tussen binnen en buiten toch wel heel erg kortzichtig was en vooral groei in de weg stond. Langzaam maar zeker braken we de muren rond onze steden af. Hier en daar zie je nog mooie overblijfselen van een oude stadspoort of een stukje muur als je bijvoorbeeld door oude binnenstad van Maastricht wandelt.

Wat beveiligen we nu eigenlijk; het netwerk of juist informatie?

Jammer genoeg beveiligen we onze netwerken nog steeds op diezelfde manier. We maken een onderscheid tussen buiten en binnen. Wellicht heeft dat concept prima gewerkt toen iedereen nog lekker naar kantoor kwam om te werken, en toen alle IT nog gewoon in de kelder stond. Daar is helaas geen sprake meer van. Het is dan ook tijd om onze beveiligingsconcepten drastisch te heroverwegen.  Uiteraard begint zo’n conceptverandering met een simpele doch essentiële vraag: Wat zijn we eigenlijk aan het beschermen? Ik ben tot de conclusie gekomen dat we in alle gevallen ‘informatie’ willen beschermen, maar daarover later meer.

Het valt me namelijk op dat de meeste initiatieven die de beveiliging moeten bevorderen helemaal niet gericht zijn op informatie, maar op het netwerk dat de informatie transporteert, of op de container waar we informatie in bewaren. In essentie gaat het om de informatie zelf, om de vijf dingen die je met informatie kunt doen, en om de context waarin die vijf dingen gebeuren. Je kunt informatie:

  1. creëren
  2. verwijderen
  3. aanpassen
  4. bekijken 
  5. delen

Je moet je alleen nog even afvragen welke informatie, en in welke context je welke functionaliteit wilt toestaan of juist niet.

Onnodig onderscheid tussen binnen en buiten

We hebben bijna per definitie meerdere contexten om uit te kiezen. Werken we op kantoor, met collega’s die nog een beetje sociale controle op elkaar uitoefenen? Werken we aan de keukentafel? Werken we in de trein, waar vreemden onbedoeld naar je scherm zitten te staren? Kortom, waar werken we eigenlijk? Conceptueel maakt het niet uit of je een computer van de zaak hebt, of lekker op je eigen machine zit te werken. Als dat nog een verschil maakt, is het echt tijd om je applicaties web-enabled te maken en een OWASP deskundige in huis te halen. De reden om dat onderscheid tussen binnen en buiten nog zo hardnekkig vol te houden is vrij simpel: we weten niet waar de informatie staat die we moeten beschermen, we weten niet welke waarde het heeft voor de organisatie en we weten ook niet wie erbij kan, en wat ze er dan mee kunnen. Ironisch genoeg heet dit vakgebied ‘Informatie’-beveiliging, terwijl we van alles beveiligen, behalve informatie.

Vindt u deze blog leuk, waardevol of interessant? Deel het met uw volgers!