Blog - Security sneltest

Door Robert Metsemakers 27 jun 2021

In zeven vragen zelf bepalen hoe je security erbij staat: hier kan het. Natuurlijk alleen voor algemeen bekende pijnpunten en best practices, maar het geeft toch snel een beeld.

1. Heb je inzicht in je security-incidenten?
2. Heb je een piepsysteem voor autorisaties?
3. Heb je inzicht in de mate van patching van software?
4. Werkt je back-upsysteem?
5. Heb je een gedragscode computergebruik voor alle medewerkers?
6. Heb je inzicht in de mate van naleving van die gedragscode?
7. Werk je op het gebied van information security samen (met externe partijen)?
Een ‘ja’ op deze vragen is helaas vaak ongefundeerd en daarom het slechtst denkbare antwoord.

Het is een gebluft ‘ja’, omdat een woord in de vraag ergens wel vaag bekend klinkt. Of omdat het lopende security-project met een beetje goede wil eigenlijk ‘logische toegangsbeveiliging’ is. Of omdat je gezien de gedane inspanningen de projectdeelnemers gemotiveerd moet houden. Of een bang ‘ja’, omdat je de veeleisende nieuwe manager niet wilt teleurstellen met de melding dat na maar liefst twee volle werkweken de informatiebeveiligingsvolwassenheid (‘security maturity’) nog niet één niveau hoger is gebracht.
en ‘ja’ is gegokt als over bestaan en werking van een systeem (zoals bij 2, 4 of 5) geen regelmatige rapportage bestaat, door een van de uitvoerder onafhankelijke, inhoudelijk deskundige persoon. Of die rapportage is er, maar de sneltest-beantwoorder leest hem niet iedere keer. Of leest hem wel, maar begrijpt hem nooit helemaal door jargon, afkortingen en onduidelijke lijnkleuren in grafieken. Ook is ‘elk jaar met Olympische Zomerspelen’ wel zeer regelmatig, maar niet frequent genoeg om security gericht te kunnen bijsturen.
Een ‘buiten je boekje ja’ kan ook: de sneltest-beantwoorder weet dan meteen het antwoord doordat hij/zij op security gebied alles zelf doet. Dus zonder activiteiten te delegeren aan medewerkers met meer beschikbare tijd en deskundigheid, of zonder verantwoordelijkheden zoals toepassen van softwarepatches op de juiste (technische) plaats in de organisatie te leggen. Daarom zijn in deze sneltest soms, af en toe, regelmatig, vaak of best wel iets betere antwoorden. Die zijn weliswaar niet objectief te meten, maar deze antwoorden kun je wel onderling rangschikken. Je twijfel of je inderdaad van alle gevallen binnen de organisatie op de hoogte bent (‘voor Windows 10 werkplekken hebben we het lek dicht, maar hoe staat het met die oudere servers?’) is nuttig. Net als het realistische inzicht dat er in de praktijk uitzonderingen zijn in de toepassing van algemeen geldende beleidsregels. Met ‘een beetje’ of ‘niet zoveel als we zouden willen’ antwoorden ben je op de goede weg. Het
allermooiste antwoord is een hartgrondig ‘nee’. Daaruit blijkt namelijk dat de beantwoorder de waarde van het onderwerp erkent. Hij weet dat het gevraagde niet altijd aanwezig is, dat het niet altijd perfect werkt, dat er personeelsverloop is in de uitvoerende functionarissen, of dat we al meer dan een jaar corona hebben. Soms bestaat het bedoelde systeem wel, maar pas sinds een week. Het is daarom hier beter een negatieve instelling te hebben en ‘soms’ te veranderen in ‘nee’. En niet een ‘soms’ werkelijkheid innerlijk te presenteren als ‘regelmatig’ en daarna te antwoorden met ‘ja’.

Een negatieve uitkomst levert in deze sneltest dus het meeste op. Dan heb je immers meteen je actiepunten te pakken. Want iedereen begrijpt dat je vraagt om securityproblemen wanneer je zelfs deze bescheiden zeven stuks nog niet hebt geïmplementeerd. Om je te helpen ‘negatief te denken vind je hieronder een toelichting per vraag.

Ad 1. Incidenten
Inzicht betekent dat je uit geregistreerde melddatum+tijdweet hoeveel security-incidenten er zijn per tijdsperiode. Hoe ze zijn verdeeld over kleine, gemiddelde en grote impact. Over gemakkelijk, gemiddeld en gecompliceerd om op te lossen. Naam van indiener en oplosser zijn bekend, zodat je ziet wie de moeilijkste gevallen ontdekt en wie ze herstelt. De oplosduur tussen melden en definitief afgemeld (sommige incidenten worden op de melddag zelf al opgelost). En een extra kolom ‘kan nooit meer optreden J/N’ naast de ‘quickfixed’ kolom.

Ad 2. Piepsysteem
Bij een piepsysteem krijgt iedereen net iets te weinig toegangsrechten om hun werk te kunnen doen – en je wacht tot ze gaan piepen om het ontbrekende stukje. Iedereen beseft dat dit een speciaal verzoek is, dat gemotiveerd moet worden en daarna beoordeeld namens de systeemeigenaar. Die verzoeken moeten betaald worden en de motiveringen kun je bewaren. Zo kun je bij een incident objectief bepalen welke medewerkers die bijzondere rechten hebben waarmee het incident (zoals: ‘hele database gewist’) is veroorzaakt.

Ad 3. Patching
Als de leverancier uit zichzelf en gratis een herstelpleister (patch) aanbiedt voor zijn software kun je die maar beter meteen toepassen. Zeker bij een wereldwijd bekend gemaakte kwetsbaarheid. Het inzicht is nodig voor alle software (soorten) die je gebruikt (zie: ‘keten en wakste schakel’).

Ad 4. Back-up
Het back-upsysteem moet de gemaakte veiligheidskopieën op het gewenste moment terugplaatsen. En gericht, alleen voor die ene gebruiker of zelfs uitsluitend dat ene bestand. In plaats van dat alleen de complete data-kubus voor de afdeling kan worden teruggezet naar de stand van gisteren (of eind vorige maand …). Dat moet je regelmatig testen want ‘echt’ restoren komt hopelijk niet zo vaak voor. Zorg ervoor dat bij een ransomwarebesmetting de malware niet ook je back-up versleutelt.

Ad 5. Gedragscode
Een gedragscode maakt medewerkers duidelijk wat op informatiebeveiligingsgebied wel en niet van hen verwacht wordt. Wel security incidenten melden, ook de zelf veroorzaakte. Geen ergens gevonden USB-sticks in het productiesysteem steken. Geen export maken van de database met persoonsgegevens van alle door jouw organisatie op corona geteste personen en die op Marktplaats (of het Darkweb) verkopen. Wel kritisch zijn op ‘te mooi om waar te zijn’ e-mails, die meestal phishing aanvallen zijn.

Ad 6. Naleving gedragscode
Nalevers, uit zichzelf of niet, hoeven niet meer (opnieuw) getraind te worden. Voor getrainde niet-nalevers is iets anders dan training nodig om het gewenste gedrag te verkrijgen. Bij 90% naleving en 90% (eerder) getraind heeft een generieke security training voor slechts 1 procent (= 0,10 x 0,10) van je populatie nut.

Ad 7. Samenwerking
Zoals De Dijk al zong: ‘Ik kan het niet alleen’, is het ook op security gebied noodzakelijk om net als cybercriminelen samen te werken met lotgenoten in dezelfde branche en onderling vertrouwelijk maar openhartig jullie lessons learned, best practices en take aways uit te wisselen. Want ‘Together Everyone Achieves More’ (= TEAM).

Robert Metsemakers



Robert Metsemakers schrijft op persoonlijke titel en is als ervaren IT-auditor en informatiebeveiligingsexpert beschikbaar voor security-advies en (algemene) schrijfopdrachten via robert.metsemakers@gmail.com

Dit blog verscheen in IB3-2021.