Verslag NAF Ronde Tafel ‘Security onder Architectuur’

Organisatoren: Daan Rijsenbrij en Lex Borger, 30 mei 2013

Inhoud

  1. Inleiding
  2. Kwetsbaarheden zijn bedrijfsrisico’s
  3. Security principles in de enterprise architectuur
  4. Security bouwstenen op het lijstje van de lead architect
  5. Security onder de aandacht van de Boardroom
  6. Slotopmerkingen Ronde Tafel
  7. Deelnemers

1. Inleiding

Security staat volop in de belangstelling, mede door een aantal pijnlijke incidenten in het recente verleden. Security kan pas volwassen worden geïmplementeerd als het wordt verankerd in de architectuur. Ook bij security architectuur staat, net als bij de andere architectuurdisciplines, samenhang voorop. Het totaalplaatje van de security maatregelen is cruciaal. Waak voor het lukraak plakken van pleisters over kwetsbaarheden in de IT heen.

Centraal bij architectuur staan de architectuurprincipes, verbijzonderd naar ontwerpregels, ontwerprichtlijnen en (industrie) standaarden, en de architectuurconcepten. De architectuurprincipes worden beschouwd in de keten: van problemen / kwetsbaarheden / uitdagingen, via strategische uitgangpunten voor mogelijke oplossingen, naar architectuurprincipes die impact hebben op de te realiseren artefacten. Een architectuurprincipe beperkt de ontwerpruimte.

In feite geldt voor security hetzelfde als voor architectuur. Er is behoefte aan een praktische overkoepelende beschouwing over security die bruikbaar is voor architecten en security experts en begrijpbaar voor businessmanagers en CIO’s.

Security is een moeilijk vakgebied dat zeer ervaren, hoog opgeleide deskundigen vergt. Architectuur staat voor de totale samenhang van business, informatieverkeer, applicatielandschap, technische infrastructuur, de governance over de voorgaande vier architectuurgebieden en de security. Het is daarom uitermate belangrijk dat de chief/lead architect voldoende van security begrijpt opdat een volwassen vakinhoudelijke discussie kan worden gevoerd tussen die architecten de de totale samenhang borgen en de security experts.

Op donderdagmiddag 30 mei heeft Daan Rijsenbrij namens het NAF een Ronde Tafel bijeenkomst gefaciliteerd over ‘security onder architectuur’, ingericht als kenniscafé. Er waren vier tafels met elk een duidelijk gespreksonderwerp. Roulerend gingen subgroepen van 4 à 5 deskundigen langs de tafels om gedurende 40 minuten concreet te discussiëren bij elke tafel.

De onderwerpen aan de discussietafels:

  1. kwetsbaarheden zijn bedrijfsrisico’s
  2. security principes in de enterprise architectuur
  3. security bouwstenen op het lijstje van de lead architect
  4. security onder de aandacht van de Boardroom

Dit verslag is een weergave van de resultaten van de Ronde Tafel. Veel dank voor de inspanningen van alle deelnemers (zie de paragraaf deelnemers) voor hun waardevolle bijdragen en open deelname. Uit het verslag blijkt duidelijk dat deze Ronde Tafel slechts een eerste aanzet is. Een volgende stap zal worden gemaakt op het Landelijk Architectuur Congres 2013 in de track ´security onder architectuur´.

 

2. Kwetsbaarheden zijn bedrijfsrisico’s

gefaciliteerd door Jaap van der Veen en Lex Dunn.     

Dreigingen zijn mogelijke activiteiten die (bedoeld en onbedoeld) misbruik kunnen maken van de eventuele zwakheden in (gedigitaliseerde) businessactiviteiten, in het informatieverkeer, in het applicatielandschap, in de gegevensinfrastructuur en in de technische infrastructuur.

De drie generieke klassieke misbruikgebieden zijn het ondermijnen van `confidentiality´, ´integrity´en ´availability´.

Door de deelnemers werden de volgende primaire kwetsbaarheden onderkend:

  1. Gebruikers hebben geen zin in veilig gedrag, het duurt te lang en de incentive om veilig te handelen ontbreekt vaak. Veilig gedrag wordt vaak achterwege gelaten omdat het risico niet wordt begrepen. Hoewel de middelen om veilig te handelen al lang beschikbaar zijn, worden ze nauwelijks gebruikt. Het belangrijkste actiepunt van beveiliging zit niet meer in beperkingen van de techniek, maar ligt bij de mens zelf.
  2. Vertrouwen is anders geworden in de huidige tijd. Je kent de andere persoon niet meer (goed) en weet ook niet of hij het daadwerkelijk is.
  3. Menselijke maat van security is zoek, zowel in omvang als in complexiteit. Het is niet meer te bevatten, noch voor de gebruiker noch voor de businessmanagers.
  4. Belemmeringen van functionaliteiten door beveiligingsmaatregelen verleiden tot onveilige ‘gebruiksalternatieven’, die vaak grotere risico’s veroorzaken dan wanneer de belemmerende originele functionaliteit was toegestaan.
  5. Schijnveiligheid door een groot aantal, nauwelijks handhaafbare regels en slecht toepasbare normenkaders op de werkvloer werkt contraproductief.
  6. Security awareness en –handelen op basis van policy zit te ‘laag’ in de organisatie. Senior businessmanagement heeft veel te weinig daadwerkelijke belangstelling voor security.
  7. Identiteitsfraude door misbruik van Identity & Access Management neemt toe.
  8. Toegang tot data via de achterdeur door verclouden, verservicen, globalisering en onderschepping van data doordat andere wet- en regelgeving van toepassing wordt.
  9. Onduidelijkheid bij de beheersing van ketens en de complexiteit van eco-systemen. Wie is verantwoordelijk voor welke individuele component en wie heeft de eindverantwoordelijkheid?

10. Reparatie van fouten zonder structurele overweging van de effecten op de beveiliging.

Enkele dreigingen die misbruik kunnen maken van de kwetsbaarheden:

  1. Mondiale ontwikkelingen
    • gerichte bedrijfsspionage van gegevens, kennis en applicatiealgoritmes.
    • cybercrime op bedrijven en individuen.
    • interne en externe hackers.
  2. Gebruikersgedrag
    • snelle verandering,
    • onhandige middelen,
    • niemand heeft echt overzicht en inzicht in dreigingen en hoe te handelen,
    • marginale awareness en beveiliging van burger-IT.
  3. Veranderingen in de markt
    • snelle opmars van nieuwe technologieën, waaronder (mobiele) IT-functies,
    • financiële crisis,
    • standaardisatie
  4. Functionele eisen
    • snellere toename van eisen van bedrijven, dan wat vanuit aanbod mogelijk is
    • always online: steeds vaker permanent (en automatisch) online veroorzaakt meer kans op inbraak, vooral bij onbeschermde access points
  5. Veranderingen in de technologie
    • kwetsbaarheden lijken in snel tempo toe te nemen, gelet op de hoge frequentie van updates van gebruikerssoftware
    • patch beleid/management
    • toepassing van BYOD (‘je kunt echt niet met een fiets de (IT) snelweg op’). BYOD leidt tot een steeds grotere verwevenheid tussen privé en zakelijk
  6. Compliancy
    • Moeizame naleving van normen

De oplossingsrichting bevat onder andere de volgende ingrediënten:

  • De security problematiek moet vanuit business bekeken worden. Business doen is risico nemen, maar wel goed ingeschat.
    Het is aan de businessmanagers om op basis van zijn ´risk-appetite´[1] te besluiten wat wel en wat niet afgedekt moet worden door maatregelen, en om het restrisico te wegen tegen mogelijke kansen voor de business.
  • Het uitgangspunt ´alles is veilig´ op het netwerk moet gelet op de realiteit worden omgedraaid naar: ´alles is onveilig´.
  • Anders denken over risico’s: ‘Wat is de businesscase voor misbruik van deze kwetsbaarheid?’ Hoe meer geld/impact/schaalgrootte van toepassing is op het object, des te groter de kans is op misbruik.
  • Security moet integraal worden ‘gewogen’ en mee-ontworpen. Het is geen kwestie van toepassen van een risicoanalyse-tool en nalopen van checklistjes zoals vaak gedacht wordt.
  • Risk-based vs compliance-based redeneren: compliance-based zorgt voor een baseline, risk-based zou gevoeligere / meer kwetsbare zaken moeten beschermen.
  • Security professionals moeten in staat zijn om bedreigingen en kwetsbaarheden voor de Business Executives te vertalen naar de voor hen relevante risico’s. Het effect van risicoanalyse staat of valt met de ‘vertaling’ van security begrippen naar managementtaal.
  • Diversiteit van (goede) maatregelen voor hetzelfde doel verlaagt de businesscase voor misbruik. Niet-standaard oplossingen zijn dus niet per definitie ‘minder veilig’.
  • Mix van maatregelen (preventief, maar ook detectief) werkt het beste, dus defence in depth toepassen. Inbraak mag geen doorbraak worden.
  • Security onder de motorkap brengen voor eindgebruikers. Business en eindgebruikers zouden erop moeten kunnen vertrouwen dat IT security ingebakken is onder de motorkap. Veilig handelen moet simpel zijn voor eindgebruikers (vergelijk auto met rood waarschuwingslampje en zelfsluitende deuren), maar vereist vakmanschap bij systeemontwerp.
  • Focus op beveiliging van de data leggen in plaats van de traditionele “fort” gedachte. Jericho Forum: data moet zichzelf kunnen redden.
  • Organisaties moeten alleen software kopen met een erkend security keurmerk. M.m. geldt dat ook voor de public cloud.

Bovenstaande is een eerste begin van de verkenning van de kwetsbaarheden en oplossingen, er is nog veel werk te verrichten:

  • Opstellen van een geprioriteerde lijst van cruciale kwetsbaarheden en vereiste compliancies, zowel in de eigen organisatie als in de businessketens waarin die organisatie opereert.
  • Een inventarisatie van de verantwoordelijke betrokkenen vanuit de business. Denk ook aan de ´chain of trust´, waarin een ieder een eigen stukje verantwoordelijkheid heeft in de keten heeft via compliance.
  • Risico´s toebedelen aan eigenaars. Veel risico’s hebben nu geen eigenaar, niemand voelt zich verantwoordelijk.
  • Ordening aanbrengen in risico’s en bedreigingen, bijvoorbeeld binnen/buiten, mensen / processen & procedures / techniek.
  • Onderzoek de driehoek: risk appetite, waarde, middel.
  • Opstellen van een universele ´baseline security´.

Het is de kunst om uit alle bovenstaande teksten de architectuurrelevante zaken te destilleren en daarvoor strategische uitgangpunten te formuleren die kunnen worden doorvertaald naar security principes voor de architectuur van de organisatie.

 

3. Security principes in de enterprise architectuur

gefaciliteerd door André Smulders en Bob Hulsebosch

Zoals in de inleiding reeds vermeld, vallen security principes niet uit de lucht. Ze borduren voort op architectuurrelevante strategische security uitgangpunten. Ze beperken de ontwerpruimte voor de security maatregelen en –software, met instandhouding van de samenhang. De verzameling van security principes dient dus consistent en coherent te zijn. Voorts dienen security principes en architectuurprincipes niet tegenstrijdig te zijn. Tegenstrijdigheid zou kunnen voorkomen bij toegangsbeveiliging en gebruiksvriendelijke navigatiepaden. Ook bij mobile mag security niet in de weg zitten. De eindgebruiker wil ´secure en convenient´, een seamless customer experience.

Het denken in security principes als evenknie van de architectuurprincipes bevindt zich nog in een pril stadium. Bij veel organisaties zie je dat er nauwelijks verschil wordt gemaakt tussen architectuurrelevante strategische security uitgangspunten en security principes. Een voorbeeld van een architectuurrelevant strategisch security uitgangspunt is vereenvoudiging van de toegangscodes, daarbij hoort een security principes als single sign on.

Security principes in de enterprise architectuur hangen af van de context!

Het ontwerpen van security maatregelen gebeurt vaak aan de hand van security principes die voortkomen uit strategische security uitgangspunten. Bekende security uitganspunten zijn bijvoorbeeld need-to-know, defence in depth, traceability, don’t do it, en end-to-end security. Hoewel het nut van dergelijke uitgangspunten niet ontkend wordt, hangt hun bruikbaarheid af van de context waarin ze toegepast worden. Veranderingen op onder andere samenwerkingsvormen, technologieontwikkeling en gebruik van deze technologie, bepalen de context en leiden ertoe dat er anders over security gedacht moet worden. Voorbeelden van contextveranderingen zijn de ontwikkeling van social media, cloud diensten en het gebruik van mobiele platformen.

Door snelle contextveranderingen hebben bedrijven moeite hun systemen met dezelfde snelheid mee te veranderen. Bedrijven zullen goed moeten weten wat de invarianten zijn van hun data/systemen.

Focus op waarde van data

Doordat informatie zich bevindt in steeds meer informatiesystemen over organisatiegrenzen heen, is de focus op informatiesysteembeveiliging steeds minder doeltreffend. Een belangrijk uitgangsprincipe daarbij komt uit het Jericho Forum, dat stelt om vanuit de eigen context de kleinst mogelijke entiteit (data) te beveiligen; daarbuiten is het niet te doen. In plaats van de traditionele asset of systeem centrische beveiligingsaanpak zou een data centrische aanpak te prefereren zijn. Dit sluit ook beter aan bij de mobile en cloud ontwikkelingen waar data door verschillende systemen vanaf verschillende locaties benaderbaar moet zijn: ´function follows data´. Daarbij wordt opgemerkt dat het aantal op de Jericho principes gebaseerde toepassingen en technologieën nog beperkt is. Een principe dat hierop inspeelt is ´Don’t share the data but validate it´.

Doorzettende groei van informatieservices

Security is niet meer alleen beperkt tot de eigen organisatie. Cloud providers vormen steeds meer een onderdeel van de enterprise architectuur. Vaak zijn dit vanuit beveiligingsperspectief ‘zwarte dozen’ waar bedrijven steeds afhankelijker van worden. Bovendien optimaliseert een cloud provider de beveiliging slechts om zijn eigen risico’s te mitigeren en niet die van zijn klanten. Een eigen risk assessment doen bij een cloud provider kan dus geen kwaad voor het vertrouwen.

De netwerkgrenzen tussen privé en bedrijf vervagen met de social network ontwikkelingen (Facebook, Twitter) steeds meer. Informatiesystemen gaan over bedrijfsgrenzen heen en er ontstaan virtuele organisaties van mensen die zich over organisaties heen formeren.

De gebruiker aan de knoppen

Een andere contextverandering is het toegenomen bewustzijn van klanten met betrekking tot hun privacy. Ze willen zelf aan de knoppen zitten, als het maar begrijpelijk en gebruiksvriendelijk is. Security mag niet in de weg zitten, gebrek aan privacy ook niet. Het is evident dat dit een grote uitdaging is voor een dienstenaanbieder.

Convergentie van netwerken

Door diverse diensten via het zelfde netwerk te ontsluiten, neemt de effectiviteit van moedwillige DDoS aanvallen voor het verstoren van diensten toe. Een belangrijk principe om beschikbaarheid te garanderen is om systemen zoveel mogelijk in segmenten op te delen (compartimenteren). Bijvoorbeeld door alleen de mobiele dienstverlening te mitigeren naar een andere partij als dat compartiment aangevallen, wordt kan de rest van de dienstverlening blijven doordraaien.

Kortom het hebben van security uitgangspunten is mooi, maar ze krijgen pas betekenis als de context helder is. Bovendien als de context verandert, zullen de uitgangspunten mee moeten veranderen. Bedrijven zullen hier op een flexibele en creatieve manier mee om moeten kunnen gaan. Dit maakt dat meer dan ooit tevoren enterprise security een boardroom onderwerp is.

Kanttekeningen

  • Beveiliging is een continu proces; je bent nooit klaar. Dit wordt nog versterkt door de dynamiek in de omgeving.
  • IT-middelen kunnen gebruikt worden voor andere doeleinden. Weet waar het voor bedoeld is en zorg dat je onbedoeld gebruik herkent. Dit vergt dat normale patronen herkenbaar zijn en afwijkende patronen heel goed te signaleren.

Volgende stappen

Bovenstaande is een eerste begin van de verkenning van de strategische security uitgangspunten, maar er is nog veel werk te verrichten:

  • Formuleer minstens tien publiek etaleerbare security en privacy principes, inclusief bronnen en impactgebieden
  • Waar liggen de grenzen van ´verantwoorde openheid´?
  • Onderzoek naar een eenvoudige coherente set van principes over preventie/protectie, detectie en resillience/herstel/reparatie.
  • Hoe ga je om met big data? Denk hierbij aan structured en unstructured data. Data die van buiten naar binnen komt en omgekeerd. Labeling en monitoring van datastreams is nodig.
  • Formuleer Integrity centric data principes. Veel security principes zijn informatiesysteem gebaseerd en dat volstaat niet meer in de toekomst. Overgaan naar data centric security: function follows data.
  • Breng de eventuele interacties met architectuurprincipes in kaart.

 

4. Security bouwstenen op het lijstje van de lead architect

gefaciliteerd door Pascal de Koning en Aaldert Hofman.     

Security bouwstenen zijn in feite een soort architectuurconcepten die op conceptueel niveau als een black box kunnen worden gepositioneerd in architectuurvisualisaties om een security of privacy probleem op te lossen. Hun niveau kan worden begrepen door de lead architect.

De kenmerken van een security bouwsteen zijn:

  • Een bouwsteen biedt goed afgebakende functionaliteit.
  • Een bouwsteen kan als een black box worden gezien, met gedefinieerde input en output.
  • Een bouwsteen kan mogelijk als ´security as a service´ aangeboden worden door of in de markt, mogelijk vanuit de cloud.
  • Een bouwsteen kan onderdeel van een patroon zijn, maar mogelijk kan de bouwsteen ook beschouwd worden als een patroon met (sub)componenten die elk ook weer een bouwsteen zijn.
  • Bouwstenen zijn in principe nog merkloos, dus los van de fysieke implementatie.
  • De uiteindelijke implementatie van een bouwsteen kan per organisatie verschillend zijn als gevolg van de specifieke context van de organisatie.

Zoals security geïntegreerd dient te zijn in de architectuur, zo is het ook geen verrassing dat de security bouwstenen voorkomen in de business, het informatieverkeer en in de informatietechnologie (applicatie of infrastructuur). Deze opdeling wordt in dit verslag gevolgd.

De lijst geeft aan over welke bouwstenen bewust een keuze gemaakt moet worden ten aanzien van wel of niet implementeren. Dat hangt af van de specifieke risico’s en behoefte aan maatregelen in een specifieke organisatie. Dit is de business demand van de security. De security oplossingen die vanuit de IT geboden worden zijn generiek, dat is de IT supply. De organisatie dient vervolgens de keuze te maken of van de generieke voorzieningen gebruik wordt gemaakt of dat een specifieke oplossing gekozen wordt.

Door de Ronde Tafel worden de volgende bouwstenen als top-3 in prioriteit genoemd:

  1. Identity & Access Management
  2. Data security
  3. Personeel, met name awareness

Security bouwstenen in de organisatie

Het beveiligingsbeleid wordt niet gezien als een bouwsteen, omdat het ontbreekt aan afbakening en service mogelijkheden. Het beleid geeft input voor het risicomanagement en soms ook voor de minimale set aan beveiligingsmaatregelen.

Bouwsteen: Risicomanagement

Binnen deze bouwsteen wordt risicomanagement en risico-acceptatie ingericht. Belangrijk aspect dat daarbij op tafel werd gebracht, is het managen en up-to-date houden van kennis over security en IT-ontwikkelingen. Bijvoorbeeld de gevolgen van ketenintegratie, maar ook de opkomst van virtualisatie en de cloud. Zonder up-to-date kennis is een goede risico-afweging niet mogelijk.

Tot het Risicomanagement behoort ook classificatie. Meest bekend en meest gebruikelijk is de classificatie van bedrijfsmiddelen (assets), in de mening van de Ronde Tafel moet dat zich ontwikkelen tot classificatie van informatie (data). Diverse deelnemers geven aan dat een dergelijke verandering makkelijker gezegd dan gedaan is.

Op basis van het gevoerde risicomanagement worden requirements ten aanzien van de benodigde informatiebeveiliging gesteld.

Privacy is hierbij speciaal aandachtspunt. Privacy wordt niet beschouwd als een aparte bouwsteen, maar als een requirement die gesteld wordt op basis van data classificatie.

Bouwsteen: Audit

Deze bouwsteen bevat de rechtvaardiging van de maatregelen, waarbij getoetst wordt op compleetheid van de maatregelen, de tooling waarmee de maatregelen gerealiseerd zijn en de manier waarop de bouwstenen gepresenteerd worden. Certificering van de tooling, de maatregelen of de organisatie komen hierbij aan de orde.

Bouwsteen: Bewust en capabel personeel

Bij het Personeel, zowel bij gebruikers als bij beheerders is een goede houding en gedrag, inclusief awareness op gebied van informatiebeveiliging essentieel. Screening van de achtergrond van het personeel is gebruikelijk, evenals het verzekeren van kennis en kunde door certificeringen te vereisen.

Bouwsteen: Security Management

Het managen van de beveiligingsmaatregelen door de security organisatie in te richten op operationeel, tactisch en strategisch niveau.

Bouwsteen: Fysieke beveiliging

Fysieke maatregelen in de bouw of inrichting van gebouwen, middels toegangspoorten, badges, versterkte bouw en dergelijke.

Security bouwstenen in de IT

Bouwsteen: Identity & Access Management

Deze bouwsteen is de meest bekende en meeste genoemde onder de deelnemers aan de Ronde Tafel. Aandachtsgebieden binnen de bouwsteen zijn Identity management, Access Management (Autorisatie), Authenticatie van mensen en middelen en Audit (verificatie).

In sommige situaties wordt nog onderscheid gemaakt naar Access Management (het beheren van de toegangsrechten) en naar toegangsbeveiliging (het daadwerkelijk controleren of een individu daadwerkelijk de juiste inloggegevens heeft zodat hem/haar daadwerkelijk autorisatie wordt verleend).

Authenticatie kan op verschillende manieren gerealiseerd worden, waarbij de vereiste sterkte van de authenticatie afhankelijk kan zijn van rubricering en classificatie.

Bouwsteen: netwerkbeveiliging

De bouwsteen netwerkbeveiliging beslaat meerdere elementen, waaronder in elk geval een firewall en maatregelen tegen een Denial-of-Service aanval.

Binnen netwerkbeveiliging is ´zonering´, oftewel ´isolatie van bepaalde gebieden op basis van specifieke requirements´, een afzonderlijke maatregel. Meestal wordt een interne zone en een trusted zone onderkend. Doel is om te zorgen dat degenen die er niet in mogen, ook daadwerkelijk buiten gehouden worden.

Bouwsteen: Security Monitoring

Deze bouwsteen monitort infrastructurele componenten (zoals het netwerk) op meerdere aspecten:

  • Intrusion detection, ter detectie van indringers.
  • Intrusion prevention, ter preventie van indringers.
  • Data leakage protection, ter voorkoming van het lekken van data naar buiten.
  • Data correlatie (via SIEM-oplossing) waarbij gegevens uit diverse bronnen worden gecombineerd om geavanceerde aanvallen te detecteren.
  • Vulnerability Assessment, waarmee gedetecteerd wordt of bekende kwetsbaarheden zich nog voordoen in de infrastructuur.

De output bestaat uit rapportages en alerts.

Bouwsteen: data security

Bouwsteen ter beveiliging van data, zowel voor data in transit (datacommunicatie) als data in rest (bijvoorbeeld in een database). Hieronder vallen:

  • Encryptie service
  • Public Key Infrastructuur
  • Certificaten
  • Key management
  • Anonimisering service
  • Signing service

Bouwsteen: applicatieve beveiliging

Bouwsteen ter beveiliging van de applicatie, middels bijvoorbeeld een applicatieve firewall of geprogrammeerde maatregelen als het 4-ogen principe.

Bouwsteen: beschikbaarheid

  • Back-up
  • Restore
  • Beheercapaciteit
  • Redundante omgeving
  • Patch management
  • Hardening

Bouwsteen: Endpoint Security

Hieronder vallen:

  • Antivirus-software
  • Malware detectie
  • Host based Firewall
  • Security Reporting
  • Wipe service
  • Audit log

5. Security onder de aandacht van de Boardroom

gefaciliteerd door Ben Elsinga en Theo Arts.      

Vaak is het moeilijk om vanuit de IT-organisatie security op een aansprekende wijze bij de boardroom op de agenda te krijgen. Hoe kan de taalkloof tussen security experts en de rest worden overbrugd? Horror stories, visualisaties, cartoons?

Wat verstaan we onder de boardroom?

Er bestaan verschillen van inzicht over wat we eigenlijk onder de board verstaan. In de wat meer beperkte zin zien we de board als de beslissers aan de IT-kant waar besluiten genomen worden over de opbouw van security maatregelen. In de bredere zin wordt de board beleefd als de topmanagementlaag (CxO’s) van het bedrijf waar de strategie bepaald wordt en waar IT als een, belangrijke maar toch, ondersteunende dienst gezien wordt. Details over de IT-dienstverlening, zoals securitymaatregelen, worden door die managementlaag gezien als een tactische uitwerking en binnen dat kader niet van belang voor de agenda. Toch is iedereen ervan overtuigd dat security dusdanig belangrijk is dat de top van het bedrijf hierin betrokken moet zijn. Vraag is: Op welke manier?

De board en security

Misschien ligt de oorzaak van onze problemen aan de wijze waarop we zelf naar security kijken. Zodra we het over security hebben komen al snel kreten naar boven als DDos-aanval, hackers, intrusion detection, identity theft, etc. Soms, als we wat meer functioneel denkende mensen vragen, komen kreten naar voren als beschikbaarheid, continuïteit, foutgevoeligheid enzovoort. Wat moet de Board hiermee? In zijn beleving zijn dit allemaal tactische en operationele zaken (of bedreigingen) waarvoor de IT-organisatie aan de lat staat.

Waar is de board dan wel in geïnteresseerd? Risico’s die te maken hebben met het voortbestaan van het bedrijf! De vraag die daarbij hoort is: ‘Wat zijn de kroonjuwelen van het bedrijf?’.

Voorbeelden over het voortbestaan kunnen we voldoende vinden: Valse certificaten (Diginotar ging eraan failliet), aandelenprijzen die kelderen als gevolg van reputatieschade doordat een bedrijf gevoelige informatie kwijt raakt, verlies van vertrouwen als bekend wordt dat een bank creditcard gegevens, rekeninggegevens of zelfs geld kwijtraakt door malafide activiteiten en voor veel bedrijven belangrijk ‘bedrijfsspionage naar klantgegevens en/of intellectuele eigendommen’. Voor overheden komt daar nog politieke schade bij maar dat kan ook gezien worden als een vorm van reputatieschade.

Of de board geïnteresseerd is in security issues hangt dus niet zozeer af van taalgebruik of van de hoeveelheden geld die ermee gemoeid zijn, maar wordt bepaald door het niveau waarop de issues spelen: strategisch, tactisch en operationeel. Een board is vrijwel alleen bezig met strategische en relationele vraagstukken.

Toch kan de board binnenkort niet helemaal om de tactische en operationele aspecten van security heen. Door de komst van Europese wetgeving, waardoor het mogelijk wordt om boetes op te leggen tot een hoogte van 2% van de totale omzet, wordt de impact van falende security wel degelijk naar een hoger niveau getild. Ook de nieuwe Nederlandse wetgeving, die bedrijven verplicht om verlies/diefstal van persoonsgegevens te melden aan de overheid en aan de personen wier gegevens het betreft, zal van invloed zijn op het security beleid omdat de mogelijkheid van reputatieschade aanzienlijk toeneemt.

Praktisch gezien zal de board zich moeten uitspreken over de security kaders en de tolerantie van de onderneming voor security breaches (te vertalen naar de risk appetite van de onderneming). De Chief Information Officer en de Chief Risk Officer, binnen hun lijnverantwoordelijkheid, zijn vervolgens accountable om de vertaling te laten maken naar beleid en maatregelen. De IT- en businessorganisatie zijn vervolgens responsible voor het uitvoeren van de maatregelen.

Samengevat: Security is voor de individuele boardmembers dus iets anders dan voor de board als geheel.

Security in de business

De meeste praktijkproblemen waar we met security tegenaan lopen hebben niet te maken met de board maar met de tactische leiding van de business. Daar bestaat nog vaak het probleem dat de security awareness volstrekt onvoldoende is in relatie tot de risico’s die gelopen worden. Op dit niveau kan veel directer met betrokkenen gecommuniceerd worden en kunnen velerlei vormen gekozen worden om problemen bespreekbaar te maken. Alle vormen hebben echter één ding gemeen: ‘vermijd vakjargon en vermijd de focus op maatregelen!’. Business is net als de board voornamelijk geïnteresseerd in risico’s en de hoeveelheid geld die gemoeid is met het beperken van die risico’s. Dit kan naar voren gebracht worden door over uitkomsten van maatregelen te praten en niet over de maatregelen zelf. Daarnaast kan voor de business inzichtelijk gemaakt worden dat security aspecten vaak leiden tot procesverbeteringen en daarmee worden de doelstellingen van de business zelf ondersteund (what’s in it for me?).

Security en verandering

Iedere verandering brengt nieuwe risico’s met zich mee. Op welk niveau deze veranderende risico’s afgehandeld moeten worden zal moeten blijken uit een impactanalyse waar de business zelf accountable voor is en waarvoor de responsibility bij zowel de business als de IT ligt. Goed samenwerken en het hebben van processen die hiervoor bedoeld zijn, maken zelfs van security issues een ‘business as usual’.

Security in culturele context

In het bijzonder voor internationaal georiënteerde bedrijven, maar ook bij overheden, speelt nog een belangrijk aspect dat van invloed is op security assessments: Cultuur!

Risk appetite is erg cultuurgebonden. Wat voor een overheid onacceptabel is daar lacht het bedrijfsleven om, maar omgekeerde voorbeelden zijn ook te noemen. Denk ook eens aan China; intellectueel eigendom heeft daar duidelijk minder betekenis dan hier en internationale wetgeving heeft daar duidelijk geen invloed op. Het heeft dus geen zin om aan deze kant een miljoen te investeren in beveiliging, terwijl aan de andere kant de informatie gewoon op straat blijkt te liggen.

Aanvliegroute voor security

Security begint met het inzichtelijk krijgen van wat er beschermd moet worden en waartegen. Kroonjuwelen worden beter beschermd dan een P1 van 0,01 crt.
Goede beveiliging kost wat en mag ook wat kosten maar er moet wel vooraf duidelijk zijn dat absolute veiligheid niet bestaat. Er is dus altijd een rest-risico. Hoeveel rest-risico er binnen een onderneming acceptabel is, is de enige vraag waarover de board waarschijnlijk wel een uitspraak wenst te doen. Vervolgens wordt er tegen de business gezegd: regel het.

Nabije toekomst

Toch schijnt volgens analistenbureaus enterprise security management een nieuw boardroom issue te worden. Het is dan wel nodig dat er op een andere manier wordt gesproken / gedacht over security.

Security zal steeds minder beperkt zijn tot de eigen organisatie (cloud, grenzen tussen privé en bedrijf vervagen door facebook enzovoort). Netwerkgrenzen vervagen. Informatiesystemen gaan over bedrijfsgrenzen heen. Er ontstaan virtuele organisaties van mensen die zich over verschillende organisaties heen organiseren.

6. Slotopmerkingen Ronde Tafel

Uit de plenaire mondelinge evaluatie bleek dat de volgende onderwerpen ook wel aanbod hadden mogen komen:

  • tooling
  • impact van de bedrijfscultuur op security, mede tegen de achtergrond van globalisering
  • soft controls
  • ketenbeveiliging
  • vernieuwingen in het security denken
  • verdieping van het privacy issue

Mogelijke vervolgstappen, naast de gemiste onderwerpen hierboven:

  • opstellen van een (open source) referentiearchitectuur voor security, die bijvoorbeeld de lagere lagen van het SABSA raamwerk invullen.
  • delen van ervaringen aan de hand van casussen
  • analyse van een casus: van strategische security uitgangspunten, via security principes (in harmonie met architectuurprincipes) naar oplossingen met optimaal gebruik van functionele security bouwstenen
  • relatie tussen security experts/architecten en de lead architect/chief architect

Boodschap: security architectuur is een essentieel onderdeel van de totale architectuur, waarvan de lead architect (een 'niet-security architect') voldoende notie dient te hebben.

7. Deelnemers

Aaldert Hofman (Schiphol), André Smulders (TNO), André van Cleeff (CSC), Ben Elsinga (Capgemini), Bob Hulsebosch (Novay), Frank Derks (SNS Reaal), Harrie Bastiaansen (TNO), Henk Coenen (NXP), Henry Franken (BizzDesign), Jaap van der Veen (Belastingdienst), Jeen de Swart (Justitiële Informatiedienst), Lex Dunn (Capgemini), Martin Visser (Sogeti), Nico Slik (Tata Steel), Olaf Streutker (ABNAMRO), Pascal de Koning (KPN), Paul Samwel (RABO), Paula de Nie (Universiteit Leiden), Raymond Slot (Hogeschool Utrecht), Rieks Joosten (TNO), Rob Faber (Achmea), Rob Moes (ING), Rinus Braak (Ministerie EZ), Theo Arts (RWS), Tim Binsted (Equens), Xander Heemskerk (TomTom), Willem Voogt (Quint), Wim Michels (Politie).



[1] Risk-appetite is de acceptatie van restrisico.

Opmerking

Je moet lid zijn van Via Nova Architectura om reacties te kunnen toevoegen!

Wordt lid van Via Nova Architectura

Sponsoren

Sessies

17-04: GIA sessie over data-driven multi-channel marketing meer...

26-04: KNVI sessie over Architecture Mining meer...

Advertenties

Je kunt hier adverteren

© 2018   Gemaakt door Stichting Digital Architecture.   Verzorgd door

Banners  |  Een probleem rapporteren?  |  Algemene voorwaarden