Security is sexy (and you know it)

Transcriptie

1 Security is sexy (and you know it) Informatiebeveiliging is lang een stoffig onderwerp geweest. Security professionals verdedigden zich vaak met de opmerking Informatiebeveiliging is niet sexy, maar wel heel belangrijk. Bestuurders moesten echt overtuigd worden van het belang van informatiebeveiliging. Het belangrijkste argument om iets aan informatiebeveiliging te doen was vaak het cover your ass -principe. Net zoiets als een verzekeringspolis dus. Maar de wereld verandert in snel tempo. Bestuurders bellen diezelfde security professional tegenwoordig zelf op: Kun je me helpen? Zo n ddos-aanval wil ik niet!. Ook de arbeidsmarkt verandert. Het is nu zelfs sexy om in de informatiebeveiliging te werken. Security is booming business geworden. Het Wilde Westen Maar er is ook een keerzijde. De dagelijkse nieuwsberichten zorgen ervoor dat beveiligingsincidenten gewoon worden. Ze horen erbij, als facts of life. Je kunt het huidige internet vergelijken met het Wilde Westen. Een rauwe, avontuurlijke, deels wetteloze samenleving van vrijbuiters. De criminelen van nu zijn de goudzoekers van toen. Na de Amerikaanse burgeroorlog kwam er een einde aan het Wilde Westen. De vraag is waar het huidige tijdperk met het internet, zoals we dat nu kennen, eindigt. Criminaliteit verplaatst zich naar internet Even een stapje terug. Criminaliteit verplaatst zich in rap tempo van de fysieke wereld naar het internet. De schade van internetcriminaliteit wordt op dit moment alleen al in Nederland geschat op 8,8 miljard euro per jaar. Deze schade wordt niet alleen veroorzaakt door financiële fraude, maar ook door diefstal van intellectueel eigendom van organisaties. Door het ontbreken van regels is de pakkans bijzonder klein. Bovendien weten bedrijven vaak niet eens dát ze zijn bestolen. Naar een veiliger internet Terug naar de vraag waar het huidige internettijdperk eindigt. Mijn voorspelling - en die van velen met mij - is dat het internet in zijn huidige vorm zal eindigen in een wereldwijde oorlog en zal ophouden te bestaan. Hierna zal waarschijnlijk een betere en vooral veiligere versie van het internet worden opgebouwd. Wat kunnen we tot die tijd doen om te overleven in die rauwe, deels wetteloze wereld van het internet? Drie tips voor een veiliger internet 1. Verbeter voortdurend het beveiligingsbewustzijn van uw medewerkers 2. Bewaak en test de effectiviteit van de getroffen technische beveiligingsmaatregelen continu 3. Toon aan dat informatiebeveiliging werkt

2 1. Verbeter voortdurend het beveiligingsbewustzijn van uw medewerkers Internetrijbewijs De mens is de maat van alle dingen, zei de Griekse filosoof Protagoras van Abdera. Dit geldt ook voor infor- matiebeveiliging. Beveiliging kan veel kosten en weinig tot niets opleveren als mensen er niet mee om kunnen gaan of niet begrijpen waarom bepaalde beveiligingsmaatregelen noodzakelijk zijn. Het zou helemaal zo gek nog niet zijn als er een soort rijbewijs voor het internet zou komen. Toen de eerste auto s werden gemaakt, mocht iedereen hierin rijden. Van enige veiligheidsmaatregelen was helemaal geen sprake. De eerste auto s hadden niet eens een rem. Theorie, oefenen en de praktijk De parallel met computers en internet is duidelijk. Veel mensen hebben geen idee hoe ze een computer moe- ten besturen en hebben geen idee van de gevaren van het internet. Of denken dat hen niets zal overkomen: Wat heeft iemand nu aan mijn gegevens? Nou, lees het boek Komt een vrouw bij de h@cker maar eens. De noodzaak voor een internetrijbewijs wordt steeds groter. Dit komt niet alleen door de toenemende criminali- teit op internet, maar ook doordat de grens tussen zakelijk en privé verdwijnt. Het begint met theorie, veel oefenen en daarna een praktijkexamen. In de praktijk zijn er continu waarschuwingsborden en stoptekens. Wanneer je de regels overtreedt, kan een boete volgen. Wanneer je vermoedt dat bepaalde mensen niet veilig meer rijden, neem je opnieuw een praktijkexamen af. Dit zou ook de basis moet zijn voor een programma om het beveiligingsbewustzijn op peil te houden. Beveiligingsbewustzijn is geen eenmalige activiteit maar een continu proces. Aandacht voor veilig werken continu proces Met case based learning en gedragstesten kan een praktijkexamen worden afgenomen. Case based learning is een manier van leren, waarbij mensen dilemma s in de context van hun eigen werksituatie krijgen voorgelegd. De medewerkers geven aan wat ze in een bepaalde situatie zouden doen. Daarna test je het gedrag in de prak- tijk, bijvoorbeeld door phishing e- mails te versturen. Met deze aanpak is het mogelijk om de volwassenheid van het beveiligingsbewustzijn continu te meten. De resultaten van het praktijkexamen zijn de input voor een zogenaamd triggerprogramma. Medewerkers krijgen daarbij regelmatig kleine prikkels om veilig gedrag te vertonen. Zo zorg je dat de aandacht voor veilig werken niet verslapt. Dit is een cyclus die continu wordt door- lopen. 2. Bewaak en test de effectiviteit van de getroffen technische beveiligingsmaatregelen continu Aantal kwetsbaarheden neemt toe Meer en meer bedrijfskritische toepassingen worden verplaatst naar of zijn afhankelijk van de cloud. Dit terwijl het aantal kwetsbaarheden, vooral in applicaties, alleen maar toeneemt. Jaren geleden misbruikte een hacker vaak zwakke plekken in de firewall, router of het besturingssysteem om in te breken. De afgelopen jaren zien we dat de infrastructuur steeds beter is beveiligd. Leveranciers hebben hier een belangrijke bijdrage aan gele- verd. Een voorbeeld daarvan is Microsoft. In het verleden stonden alle functies en diensten van een server standaard aan, ook al waren deze overbodig. Tegenwoordig staan vrijwel alle functies en diensten standaard uit. Pagina 2 van 5

3 De meeste kwetsbaarheden worden tegenwoordig aangetroffen in applicaties. Opvallend is dat kwetsbaarhe- den die al veel langer bestaan en bekend zijn steeds meer voorkomen. Er zijn bijvoorbeeld veel applicaties die kwetsbaar zijn voor injection, waardoor toegang kan worden gekregen tot gevoelige gegevens. Ook cross- site scripting is een middel om mensen te misleiden en vertrouwelijke informatie in handen te krijgen. Test de beveiliging van applicaties De standaard manier om de effectiviteit van de beveiliging van een webapplicatie te testen, is het (laten) uit- voeren van een ethical hack, ofwel een pentest. Vaak wordt dit door een onafhankelijke partij gedaan of een intern team van specialisten. Daarnaast zijn de zogenaamde bug bounty platforms in opkomst. Een voorbeeld hiervan is HackerOne. Organisaties zoals Yahoo, Twitter en Dropbox gebruiken HackerOne om hun beveiliging door duizenden aangesloten hackers te laten testen en de gevonden kwetsbaarheden af te handelen. Hackers die een echte kwetsbaarheid vinden, worden beloond in reputatie of geld. Er wordt steeds meer geautomati- seerd getest met kwetsbaarhedenscanners en incidentdetectie en monitoringsystemen bewaken of de beveili- ging wordt doorbroken. Kenmerkend is dat het testen van de effectiviteit van beveiliging op zichzelf lijkt te staan. Er is wel meer aan- dacht voor security by design en veilig programmeren, maar het testen van de beveiliging is geen geïntegreerd onderdeel van de ontwikkelcyclus van een applicatie. Hier bieden, zeker wanneer sprake is van Agile of Devops ontwikkeling, continuous auditing en monitoring uitkomst. Er wordt meer tijd genomen om een theoretisch concept te realiseren door het combineren en aanpassen van een aantal van de bestaande test- en monitoring- systemen. Pagina 3 van 5

4 3. Toon aan dat informatiebeveiliging werkt Informatiebeveiliging steeds volwassener Het toenemend belang van informatiebeveiliging zorgt ervoor dat organisaties informatiebeveiliging steeds serieuzer nemen. Anders gezegd, de volwassenheid van informatiebeveiliging neemt toe. Informatiebeveiliging wordt niet langer gezien als iets dat je binnen een organisatie regelt. De beveiliging in de keten is misschien wel veel belangrijker. Deze ontwikkeling betekent dat organisaties zekerheid willen over het niveau van informa- tiebeveiliging of de effectiviteit van de getroffen beveiligingsmaatregelen. Organisaties vertrouwen elkaar niet langer op hun blauwe ogen. Beveiliging in de keten wordt belangrijker In de financiële sector is het al langer gebruikelijk dat, wanneer er belangrijke processen zijn uitbesteed, er zekerheid over de betrouwbaarheid hiervan moet worden verkregen. Nu het erop lijkt dat wettelijk wordt afgedwongen dat zorginstellingen kunnen aantonen dat er passende beveiligingsmaatregelen zijn getroffen, neemt de behoefte aan zekerheid in deze sector toe. In veel andere sectoren zien we hetzelfde. Vaak is sprake van zelfregulering. Zo conformeert de Rijksoverheid zich aan de Baseline Informatiebeveiliging Rijksdienst en hebben gemeenten zich verplicht te voldoen aan de Baseline Informatiebeveiliging Gemeenten. Een van de gevolgen is dat ook aan leveranciers wordt gevraagd of er zekerheid gegeven kan worden over het niveau van informatiebeveiliging en de effectiviteit van de getroffen maatregelen. Steeds vaker wordt dit als eis opgeno- men in aanbestedingen. Maar hoe toon je veiligheid aan? Er is in de markt veel onduidelijkheid over de zekerheid die wordt gevraagd, dan wel gevraagd moet worden. Vaak wordt alleen gesteld dat een organisatie informatiebeveiliging op orde moeten hebben. Dit kan worden aangetoond met een ISO certificaat, een ISAE3402- verklaring of een ISAE3000- verklaring. Ook wordt regelmatig een ISO of NEN7510- certificaat gevraagd. Wat kan een organisatie eisen en wanneer vraag je wat? Een kort overzicht: ISO certificaat en ISO27002 ISO27001 is een standaard die beschrijft hoe je informatiebeveiliging procesmatig kunt inrichten om risicoge- dreven maatregelen te effectueren. Om toepasselijke maatregelen te selecteren, wordt vaak ISO27002 ge- bruikt. Dit is een standaard die een aantal best practises of voorbeeldbeveiligingsmaatregelen beschrijft. Er kunnen ook andere standaarden, zoals Cobit worden gebruikt. Goed om te weten, is dat ISO27001 een norm is, maar ISO27002 juist niet. Dit betekent dat organisaties zich kunnen laten certificeren op basis van ISO27001, maar niet op basis van ISO Wat zegt zo n certificaat? Een ISO certificaat toont aan dat de organisatie of afdeling: een risicoanalyse heeft uitgevoerd; maatregelen heeft geselecteerd en ingevoerd; de effectiviteit van de maatregelen heeft gecontroleerd; het proces, dan wel de maatregelen, waar nodig heeft bijgestuurd. Het certificaat geeft geen zekerheid over de getroffen maatregelen. Aandachtspunten zijn de reikwijdte van het certificaat en de geselecteerde maatregelen. Pagina 4 van 5

5 NEN7510- certificaat voor de zorg NEN7510 is de Nederlandse vertaling van ISO27001 en ISO27002 voor de zorg. Theoretisch kan NEN7510 als basis voor certificatie worden gebruikt. In de praktijk gebeurt dit niet of nauwelijks en is op dit moment ook niet aan te raden. NEN7510 is gebaseerd op oude versies van ISO27001 en ISO27002 en de best practise maatregelen zijn weinig zorg- specifiek. Een betere strategie is een ISO certificaat met zorg- specifieke maatregelen. ISAE3402- en ISAE300- verklaring Een andere vorm van zekerheid is de zogenaamde derdepartijverklaring. Hierbij geeft een auditor (de derde partij) zekerheid aan organisatie A (klant) over de door organisatie B (leverancier) getroffen beveiligingsmaat- regelen. Er zijn op dit moment twee type verklaringen die worden gebruikt: ISAE3402 (voorheen SAS70) en ISAE3000. In beide gevallen gaat het om een internationale rapportagestandaard. Eigenlijk een afspraak tussen auditors hoe eenduidig wordt gerapporteerd over de opzet, het bestaan en de werking van bepaalde beveili- gingsmaatregelen. Let op, beide standaarden zeggen niets over welke maatregelen worden getoetst. Het ver- schil tussen ISAE3402 en ISAE3000 is vooral dat de eerste is bedoeld voor processen die van belang zijn voor de financiële verantwoording en de laatste voor al het overige. De ISAE- standaarden zijn eigenlijk bedoeld om te voorkomen dat leveranciers van elke klant een auditor op bezoek krijgen. In de praktijk zien we dat de ISAE3402- verklaring nogal eens wordt misbruikt. Vaak wordt een ISAE3402- verklaring gebruikt wanneer een ISAE3000- verklaring zou volstaan. In de nabije toekomst worden de ISAE- standaarden vervangen door de SOC- standaarden. Voordeel hiervan is dat de te toetsen beveiligingsmaatregelen hier wel onderdeel van zijn. Wanneer is welke zekerheid passend? Wanneer is nu welke zekerheid passend? Het korte antwoord is beide : zowel een ISO certificaat als een ISAE- verklaring. Ook hier geldt het credo: informatiebeveiliging is geen eenmalige activiteit. Het is belang- rijk om er zeker van te zijn dat een (potentiële) leverancier informatiebeveiliging serieus neemt en een structu- reel proces heeft ingericht. Het is ook van belang om vast te stellen dat relevante maatregelen daadwerkelijk zijn geïmplementeerd en effectief zijn. In veel situaties volstaat hiervoor een ISAE3000- verklaring. Alleen in die gevallen dat processen bepalend zijn voor een getrouw beeld van de jaarrekening is ISAE3402- noodzakelijk. Investeren in cyber security Dat er nog de nodige stappen genomen moeten worden om het internet veiliger te maken, wordt onderbouwd door de meest recente State of the Union- toespraak van president Obama. Hij noemde expliciet het belang van cyber security. Een onderwerp dat overheden, ondernemingen en burgers volgens Obama hoog op de agenda moeten plaatsen. Obama zei in zijn toespraak dat er nog een hoop werk valt te verrichten op dit terrein, zowel juridisch als met investeringen om internet veiliger te maken. De Amerikaanse overheid trekt daar 14 miljard dollar voor uit. Waarmee weer onderstreept wordt dat informatiebeveiliging de afgelopen jaren een sexy onderwerp is ge- worden. Geschreven door Erik Rutkens ADVISEUR, IT- AUDITOR Heeft u vragen? Stuur mij dan een e- mail, of bel mij op Pagina 5 van 5