DearBytes: "Hoe bereik ik 100% veiligheid?"
•
0 j'aime•277 vues
De veel herhaalde boodschap dat 100% veiligheid een utopie is, leidt tot stilstand en daarmee achteruitgang in informatiebeveiliging. Het wordt vaak geroepen als excuus en staat daarmee in de weg om tot resultaten te komen. Om op dit onderwerp te verbeteren, is de mentaliteit nodig om ons op 100% veiligheid in te zetten. En om daar ook nu mee te starten. Stop dus met het herhalen van de 100% boodschap en ga aan de slag.
Recommandé
Recommandé
Contenu connexe
En vedette
En vedette (20)
DearBytes: "Hoe bereik ik 100% veiligheid?"
- 2. Informatiebeveiliging is het geheel van preventieve, detectieve, repressieve en correctieve maatregelen alsmede procedures en processen die de beschikbaarheid, exclusiviteit en integriteit van alle vormen van informatie binnen een organisatie of een maatschappij garanderen, met als doel de continuïteit van de informatie en de informatievoorziening te waarborgen en de eventuele gevolgen van beveiligingsincidenten tot een acceptabel, vooraf bepaald niveau te beperken.
Notes de l'éditeur
- Even voorstellenMijn verhaal gaat niet over techniek of oplossingen maar over motivatie en mentaliteitVolgens mij hebben op dit moment veel mensen het idee dat IB geen zin heeftOf anders niet weten waar te beginnenEn ik zie geen verbeteringen. Overheid is traag, consultants leveren alleen papier en managers zien alleen maar beren en geen wegIn mijn optiek is dit de status quo en die wil ik uitdagen
- Om te beginnen maar even de definitie van informatiebeveiligingOf zelfs het woord informatiebeveiligingDus geen computerbeveiliging of netwerkbeveiliging maar informatiebeveiligingHet draait dus om informatie.Informatie kan net zo goed in hoofden zitten of op papier staan En het is dus niet iets technisch, of slechts ten delenHet is dus niet iets wat zomaar bij IT kan worden neergelegd.Er zijn er vele definities van informatiebeveiliging te vinden. Dat alleen al geeft aan dat het een abstract onderwerp is, waar ieder ook vooral zijn eigen invulling aan moet geven.Degene waar ik mij het best in kan vinden komt van wikipediaHoofdelementen heb ik dik gedruktOnthoud vooral dat stukje over een acceptabel, vooraf bepaald risiconiveau.
- - Het beste voorbeeld waarin de utopie nonsens gebruikt werd, en ook wel aanleiding voor mij om hier te staan, was rondom diginotarAls je zoekt op 100% veiligheid diginotar dan vind je onnoemelijk veel hits van mensen die in die context hierover iets zeidenMaar als je inzoomt op het incident, dan zie je dat het hier totaal irrelevant is of 100% veiligheid wel of niet haalbaar isDe meest basale beveiligingsstukken, waarvan men op papier had staan dat het geregeld was, bleken ronduit slecht geregeldHet doet er dan toch niet toe of 100% haalbaar is?Waarom wordt het dan toch gezegd?Dat zal ik u zeggen: het is een excuus van mensen die zich willen indekken. Mensen die geen verantwoordelijkheid willen nemen.
- Wat nu nodig is, zijn mensen die juist WEL verantwoordelijkheid durven te nemenDie geen excuses nodig hebben, maar geestdriftDie zorgen dat risico’s tot een vooraf bepaald, acceptabel niveau worden ingeperkt
- En is elk incident dan te voorkomen?Ik zou wel durven zeggen dat er in principe altijd een oplossing isAls informatie zo kritisch is dat elke vorm van verlies moet worden voorkomen, dan is een reeel gedacht om stekkers eruit te trekkenMisschien niet van de stroomvoorziening, maar wel van het netwerkMaar soms zl blijken dat het middel ergen wordt dan de kwaal. Dat de oplossing dus te duur of onwerkbaar is en dat we daardoor besluiten het risico te accepteren.En daarmee komen we tot de kern van de boodschap
- Onveiligheid is prima zolang het een bewuste keuze is.Ik herhaal: onveiligheid is prima zolang het een bewuste keuze isHet is dus OK om bewust onveilig te zijnIs deze jongen hier 100% veilig?Wat is de kwetsbaarheid van deze jonge fietser? zijn ontblote lichaamWat is de dreiging? Dat hij valtZijn hoofd is het meest kritische asset Dat hij bezitMaar zijn gewrichten zijn ook waardevol. Knieen, elleboog of pols beschermers kunnen toegevoegd wordenEn schaafwonden dan? Misschien moet hij wel een motorpak aantrekkenMaar dan wordt ie traag en bovendien onaantrekkelijk. Geen vriendjes meer, niemand die meer met hem wil pratenNiemand dus, die meer zaken met hem wil doenHet is ok om bewust onveilig te zijn
- Als je beveiliging van A tot Z wil regelen, dan zijn er ontelbaar richtlijnen zoals ISO, cobit, cyber security framework van NISTMaar die zijn complex, en over status quogesproken: als die zouden werken zou iedereen inmiddels zijn zaakjes op orde hebbenDe kunst is dus om te vereenvoudigen. Om complexe materie terug te brengen tot behapbare babystepsEn als ik het geheel aan noodzakelijke maatregelen samenvat, dan kom ik tot PRO:Preventie, Respons en Organisatie
- Op het vlak van preventie is een risicogedreven aanpak hard nodig.Veel standaarden bewegen hier ook naartoeCompliance is namelijk niet gelijk aan veiligheidJe moet redeneren vanuit je meest kritische informatie en systemenRisico’s in kaart brengen, continu en van boven naar beneden afhandelenPer stuk de keuze maken: accepteren of mitigeren
- Vervolgens heb je dus een slot op de deur, maar toch heb je ook camera’s nodig.Wat heb je bij camera’s nog meer nodig?BewakerOpslag om terug te kunnen kijkenEn misschien kies je voor een camera met bewegingsdetectie: duurdere camera, maar niet meer continu de noodzaak van een beveiligerZo ook in het digitale domeinAmerikanen loggen ook om terug te kijken
- Met organisatie begint het eigenlijkWie is verantwoordelijk?Welke informatie is kritisch?Waar ligt de balans tussen veiligheid en werkbaarheid?Maw: welke risico’s zijn acceptabel?Kortom: een beleidMaar dat moet niet eenmalig worden bedacht, maar continu worden toegepastMaar houdt het vooral simpel. Bedenk vuistregels en pas zaken stap voor stap toe
- Nu wil iedereen hier weglopen met een concrete eerste stap.Dus hierbij mijn adviesStart met het creeeren van inzichtBinnenkort komen wij met een case study die laat zien hoe dit in praktijk te realiseren wasIn een mooie term komt dit neer op Situational AwarenessVanuit het inzicht kunnen we verder bouwen. Op basis van harde cijfers ipv bangmakerij
- Wat je wilt bereiken is dat je sneller en beter wordt in het signaleren van dreigingen of incidentenHet laatste Data Breach rapport liet zien dat het duidelijk is dat de meeste partijen laat reageren op inbrakenBijv. Malware kan midden in de nacht een netwerk bereikenBest practice is om in dat geval een systeem te disconnecten van het netwerkMaak hem overigens dan ook niet direct schoon. Denk aan de noodzaak om een forensisch onderzoek te starten waar de sporen op het systeem noodzakelijk voor zijnEen IR plan waarin stappen en verantwoordelijkheden staan, is heel belangrijkMaar zoek ook naar mogelijkheden om stappen in het IR plan te automatiseren
- TenslotteGa gewoon aan de slagBlijf niet afwachten totdat je een a tot z plan hebt dat 100% veiligheid biedt. Dat is gewoon kansloosTerwijl je je plan maakt, dienen de nieuwe, tot dan toe onbekende dreigingen zich weer aanLeg de lat hoog, maar zet behapbare stapenEn het belangrijkste: start vandaag!