Security by design
Meer dan alleen een slot op de deur. (click here for English version)
Laatste tijd hoor ik er veel over in de media; - datalekken -. We leggen veel data vast in systemen welke relatief makkelijk zijn in gebruik. Daar bovenop komt dat het thuiswerken ook de sociale controle vermindert. Deze combinatie blijkt gevoelig voor misbruik van data. Wat kun je als organisatie doen om dit tegen te gaan?
Om dit vraagstuk te beantwoorden is het goed om het op te knippen in een aantal onderdelen;
- Technisch; hardware (infra) en software (applicaties)
- Procesmatig; functies, processen en ‘ease-of-use’
- Sociaal; bewustwording en cultuur
De eerste categorie (Technisch) is naar mijn mening als CTO de makkelijkste. Richt Identity en Access Management goed in (IAM, beheer van identificatie en toegang). Beperk en segmenteer je infrastructuur en hardware zodat je niet één groot netwerk hebt waar alles en iedereen toegang tot heeft. Probeer dat ook op hardware niveau te realiseren. Een stap hoger naar applicaties is naast identificatie, de toegang tot de applicatie, ook belangrijk dat je de authenticatie inricht. Makkelijk om te onthouden: identificatie zegt iets over OF iemand toegang heeft. Authenticatie zegt iets over WAAR iemand toegang tot heeft. Ik adviseer altijd de tweede (authenticatie) zo op te zetten dat het werkbaar blijft (en niet iedereen alsnog de zwaarste authenticatie nodig heeft) maar toch duidelijke segmenten te creëren in lijn met functies en processen. Streef een duidelijke rol-scheiding na, maar daarover later meer. Vergeet ook niet toezicht in te richten en vast te leggen zeker bij gevoelige gegevens: “wie wanneer waar naar heeft gekeken”. Zorg ook dat er een proces is om misbruik te detecteren en er opvolging aan te geven. In films zie ik dat vaak dat iemand inlogt in de computer van de FBI en er gelijk allemaal zwaailichten afgaan en mensen gealarmeerd worden.
Naast bovenstaande is de procesmatige inrichting van je organisatie ten aan zien van security minstens zo belangrijk. Immers luidt het spreekwoord “… gelegenheid maakt de dief …”. Let daarbij op dat functies zo zijn afgestemd dat ze elkaar nodig hebben, aanvullen en controleren. Zorg ook dat je niet te weinig barrières opwerpt maar ook niet te veel. Bij te veel barrières zie je vaak dat het lastig is om geautoriseerd te worden tijdens een verlof of vakantie van een collega en er dan maar gewerkt word met de identificatie en autorisatie van de collega. Tja dan helpt de techniek hier ook niet tegen. Ook ‘on-boarding’ en ‘off-boarding’ zijn belangrijk. Als iemand start met werken maar nog belangrijker als iemand stopt met zijn werkzaamheden en de organisatie verlaat. Wat nog vaker mis gaat is wanneer iemand promotie maakt en bij een andere afdeling gaat werken om z’n authenticatie aan te passen (doorstroom). On-, off-boarding en doorstroom moeten goed verankerd zijn in de processen van de organisatie.
Als laatste punt wil ik het sociale benadrukken. De organisatie moet investeren in een veiligheidscultuur. Een cultuur waarbij medewerkers zich bewust zijn van de gevaren en risico’s en daar ook om geven. Zorg dat deze bewustwording dicht bij de individuele normen en waarden liggen. Ook moet het management luisteren naar de medewerkers en stappen ondernemen als er terecht zaken worden aangekaart. Bagatelliseren is schadelijk voor al de voorgaande punten, als de baas zich niet druk maakt over security, waarom zullen wij dat wel doen? Zo zie je maar weer dat het sleutelwoord samenwerken is!
Casper.
https://www.casperotto.nl/blog
Foto: De Nieuwe Hollandse Waterlinie;
Blog
