People, Process, Technology

Ik ben in een vlaag van opruimzin door oude papieren aan het gaan. Voordat het internet ons enige communicatiekanaal werd, stuurden bedrijven waar je diensten van afnam regelmatig informatiekrantjes. Zo ook OHRA. Ik had daar een paar pagina’s uit bewaard en mijn oog viel op een artikel op de achterzijde ervan, met de titel ‘Hoe veilig is het internet?’. Het is bedoeld om mensen comfortabel te maken met zakendoen over het internet. Veel details hebben te maken met de menselijke kant en de procesmatige aspecten: ‘Beveiliging is meer dan voorkomen dat onbevoegden van buitenaf inbreken. Het heeft ook te maken met stabiliteit en betrouwbaarheid.’

‘De inspanningen om systemen te beveiligen hebben tot doel om het zo lastig mogelijk te maken hierin in te breken. In vrijwel alle gevallen wordt misbruik opgemerkt voordat het daadwerkelijk plaatsvindt.’ Nou, dat laatste zou ik anders verwoord hebben, toch zijn ook die misverstanden op het raakvlak van proces en techniek van alle tijden.

Maar dan: ‘Voor de beveiliging van de website wordt gebruikgemaakt van zogenoemde certificaten, waarmee in Amerika goede ervaringen zijn opgedaan. De techniek hiervan laat zich moeilijk uitleggen, maar simpel gezegd komt het erop neer dat aan elk inkomend of uitgaand bericht een certificaat hangt dat bevestigt dat de informatie ook daadwerkelijk van de afzender afkomstig is én dat ervoor zorgt dat de informatie op de juiste plek terechtkomt.’ Eerst wil ik wel een compliment geven voor het vermijden van woorden als ‘cryptografie’. Als je nu een korte lijst zou moeten maken welke maatregelen voor de beveiliging van een website gelden, zou een certificaat wellicht niet eens genoemd worden, omdat het geen keuze meer is. Wel staat er een hele rits aan maatregelen op.

Dan denk ik gelijk ‘people, process, technology’. En de volgorde waarin die staan, dat is niet toevallig. Technologie is de meest veranderlijke van de drie. Processen zijn al minder veranderlijk en mensen hebben echt een aversie tegen verandering. Als techniek zonder mensen kan werken, gaat ontwikkeling snel, maar als er mensen bij betrokken zijn, moet er expliciet rekening gehouden worden met het tempo. Daarom gaat AI zo snel en is uitleg van uitkomsten zo lastig. Procedures en processen zitten er tussenin. Ze moeten het mogelijk maken mensen techniek te laten gebruiken.

Techniek daarentegen ontwikkelt zich steeds sneller. Kijk bijvoorbeeld naar geluids- en beelddragers: 78 toerenplaten kwamen rond 1890 op de markt, vinylplaten in 1948, CD’s in 1982 en DVD’s in 1996. Toen kwam de USB-flash drive: 8MB in 2001, 64MB (equivalent van een CD in MP3) in 2003, 4GB (equivalent van een DVD) in 2005, 32 GB (een Blue-ray disk) in 2007. Geen wonder dat Blue-ray, geïntroduceerd in 2006, nooit echt doorgebroken is. En nu heeft streaming alles overgenomen, een USB-flash drive is een zeldzaamheid geworden. Maar het proces van afspelen is maar weinig gewijzigd. Geluidsafspeelprogramma’s op de PC lijken op de oude hifi-apparaten.

Zo moeten we in informatiebeveiliging dus tegen people, process, technology aankijken: investeer in het gedegen bewustzijn van mensen en het implementeren van veilige processen. Maar houd ook in de gaten waar techniek zijn eigen gang lijkt te kunnen gaan, los van mensen en processen, zoals bij AI. Dat zijn de toepassingen die snel extra aandacht moeten krijgen, zodat we ze kunnen blijven beheersen met standaarden en technische maatregelen.

Lex Borger
security consultant bij Tesorion en oud-hoofdredacteur van iB-Magazine.
Lex is bereikbaar via lex.borger@tesorion.nl

Deze column verscheen in IB3-2023.