Waarom lukt het maar niet met de beveiliging?

Terwijl we bezig blijven met onze analyses en algemene discussies rond informatiebeveiliging, moeten we ook nadenken waarom dat informatiebeveiliging soms faalt. We kennen de verhalen van  enkele van de grootste bedrijven ter wereld. De meesten van ons, die dagelijks bezig zijn in dit prachtige vakgebied weten dat informatiebeveiliging niet 100% effectief kan zijn,  maar wel dat het aantal informatie beveiliging incidenten kan worden verkleind.

In dit artikel zou ik je een paar voorbeelden willen voorleggen over fundamentele zaken als: kan een organisatie worst case scenario's plannen en zo ja, hoe? Kunnen we risico’s voldoende meten, ze opvolgen, weten wat we moeten doen en weten we of de organisatie voldoende maatregelen heeft genomen?

Wij willen voorbereid zijn. We willen onze informatie goed beveiligen, onze systemen wapenen tegen ongewenst misbruik. Daarom betalen we voor bewakers aan de deur en elektronische beveiligingsproducten. En toch zijn we steeds weer verrast en overweldigd door (cyber) criminelen en andere inbreuken op de beveiliging. Het nieuws over wat voor enorme schadebedragen er bij komen kijken. Ik zou je een paar voorbeelden willen voorleggen over fundamentele zaken als: kan een organisatie worst case scenario's plannen en zo ja, hoe? Kunnen we risico’s voldoende meten, ze opvolgen, weten wat we moeten doen en weten we of de organisatie voldoende maatregelen heeft genomen?

De primaire reden voor het implementeren van (informatie) beveiliging ligt in de complexiteit van de IT van een organisatie. Organisaties hebben oudere legacy systemen, uitbestede systemen, oplossingen in de cloud en een verzameling van zakelijke partners en derden. Het is dan ook niet zo vreemd, dat een organisatie niet weet, of niet zeker weet, dat er een schending van hun informatie beveiligingsbeleid heeft plaatsgevonden. Maar waar begin je en wat zou je einddoel moeten zijn? Wat is een echte ‘breach’ en wat is een false positive? Een lastige opgave en niemand heeft zin of tijd in een onderzoek van ieder incident, waardoor er een conclusie getrokken wordt op basis van wat ze ‘denken’ dat er is gebeurd.
Naast de complexiteit van het systeem is de afhankelijkheid van beveiligingsprogramma’s een reden. Natuurlijk zijn de hulpmiddelen belangrijk, maar de overtuiging dat je daarmee ‘’in control’ bent is een misvatting. De hulpmiddelen zijn bedoeld om kwetsbaarheden of problemen te identificeren. Alle vakgenoten kijken naar het IPS, het inbraak preventiesysteem, dat wel rapporteert maar in veel gevallen niet kan voorkomen dat indringers naar binnen kunnen komen.

Soms lijkt het of organisaties werkelijk alle beveiligingshulpmiddelen in huis hebben. Maar het werd mij snel duidelijk dat deze hulpmiddelen slechts deels werden ingezet waarvoor ze bedoeld zijn. Daar zijn natuurlijk allerlei redenen voor aan te voeren, maar in de praktijk blijkt dat het leiderschap in de (informatie)beveiliging een komen en gaan van goede bedoelingen is. Iedere nieuwe CISO brengt met het beleid ook adviezen mee voor de hulpmiddelen en de leveranciers ervan. Zodra de CISO vertrekt, op eigen initiatief of door een wijziging in de organisatie, komt de nieuwe veiligheidsfunctionaris, met zijn eigen beleid en adviezen met betrekking tot de hulpmiddelen. Met als resultaat dat de organisatie vele hulpmiddelen aankoopt, maar bijna nooit volledig installeert.

De derde reden dat beveiligingsprogramma's de volledige implementatie missen, is dat er issues tussendoor komen die de implementatie stoppen of vertragen. Dat kan door onjuiste informatie van de leverancier komen (IPS is het antwoord op alles….) of door de complexiteit van het systeem zoals ik hierboven beschrijf. Dat maakt implementatie vaak óf heel erg complex óf zelfs onmogelijk. Onlangs zag ik dat gebeuren bij twee bedrijven die samengaan. In dat voorbeeld worden twee systemen (landschappen) samengevoegd. De hulpmiddelen die klaarstonden voor implementatie liggen op de plank.

Tot slot mislukken implementaties omdat het onderhoud niet plaatsvindt. Medewerkers komen op andere posities, trainingen worden niet bijgehouden of er is geen budget voor onderhoud en training. In de loop van de tijd verdwijnt het hulpmiddel naar de achtergrond of wordt vervangen door een ander (soortgelijk) hulpmiddel. Recent zag ik dat in een organisatie waar, na een overname, de cultuur zo veranderde dat de medewerkers de kont tegen de krib gooiden. De medewerkers kregen het idee dat de organisatie bereid was medewerkers te ontslaan die niet in de nieuwe cultuur wilde meedraaien of dat ze een eenvoudig te vervangen onderdeel zijn. Je ziet die trend wel vaker, de cultuur gaat lijken op wat je ziet in programma’s als Utopia of Big Brother. Programma’s waar samenwerken wordt overschaduwd door twijfelachtige (persoonlijke) tactiek.

Recent werden bij Neiman Marcus de security officers gealarmeerd dat er mogelijk een incident speelde. Ze werden door de security officers opgemerkt en geëscaleerd. Op hun beurt schakelde de manager de leverancier in. De leverancier kreeg wel de mededeling dat ze moesten terug melden dat het een false positive was (off the record). Op die manier kon gerapporteerd worden dat er niets aan de hand was, terwijl er meer onderzoek had moeten plaatsvinden. De uiteindelijke schade bedroeg 1.1 miljoen dollar.

In de praktijk zie ik ook dat veel organisaties kiezen voor outsourcing van hun informatiebeveiliging, de algehele beveiliging of specifieke cybercrime oplossingen. Outsourcing haalt de beveiliging weg uit de bedrijfscultuur en bedrijfspolitiek. Nieuwe softwareversies, patches en dergelijke komen dan bij de leverancier te liggen. Dit geeft betere garanties op daadwerkelijke controle van de systemen van de organisatie. Natuurlijk moet de leverancier goed betrokken blijven bij projecten waar wijzigingen in organisatie, systemen en werkwijzen worden behandeld. De organisatie dient de rapportages over de geboden dienst goed te blijven volgen en beoordelen.

Ongeacht of een organisatie de beveiliging uitbesteedt, de eindverantwoordelijkheid ligt altijd bij de eigenaar van de informatie. Veiligheid vereist een belangrijk commitment van elke organisatie.