Veilig voelen of veilig zijn

december 15, 2013   Artikel

infosecurity05-2013HR2

Denk je aan Volvo, dan denk je aan veiligheid. En ongetwijfeld spreek je dan van goede marketing. Tegelijkertijd is er meer aan de hand. Volvo is ervan overtuigd, dat je geen concessies doet op veiligheid van mensen wanneer je van a naar b rijdt. Ze innoveren voortdurend in beveiliging waarmee rijden zonder zorgen wordt gewaarborgd.

Dat zou ook voor de informatievoorziening van overheid en bedrijfsleven moeten gelden. Security in de genen van een organisatie waarmee je meer en beter zakendoet. Helaas is dat niet altijd het geval. Nog steeds nemen veel organisaties beveiligingsmaatregelen omdat het moet. Wet- en regelgeving verplicht bedrijven en instellingen daartoe. Of het is iets dat nog wel een keer aan de orde komt. Of die andere afdeling gaat daar wel voor zorgen. Maak het tastbaar en concreet, is mijn advies. Veilige informatievoorziening is de mate waarin de belevingswereld overeenkomt met de realiteit. Alleen op basis van zekerheid, wil je en kun je beter beslissingen nemen, ofwel zakendoen.

Informatiebeveiliging is het middel waarmee je acteert op basis van feiten in plaats van gevoel. Dat is een doorlopend proces in een omgeving waar verandering de enige constante is. Ieder organisatie-asset doorloopt zijn eigen levenscyclus; bedenken, beschrijven, bouwen, beoordelen, benutten, bewerken dan wel beëindigen. In elke fase van deze levenscyclus kunnen gevoel en realiteit uiteen lopen.

Ons advies is daarom het volgen van een Secure Development Lifecycle. Daarmee worden problemen direct opgelost waar ze ontstaan. Op deze manier wordt informatiebeveiliging een integraal onderdeel van de levenscyclus van bedrijfsactiviteiten. Hogere kwaliteit is het gevolg. En producten of diensten gaan sneller de markt op. ‘In één keer goed’ wordt werkelijkheid met een Secure Development Lifecycle.

Helaas is de inzet van zo’n Secure Development Lifecycle niet altijd direct toepasbaar. In situaties waar alles volledig up & running is, is teruggaan naar eerdere ontwikkelfases geen optie. Voor bestaande informatiesystemen worden bedreigingen en zwakheden in kaart gebracht. Anders gezegd, applicaties worden getest op hun mate van veiligheid. Uiteraard niet zonder eerst de waarde van deze systemen te kennen. Op een waardeloze oude fiets zet je natuurlijk ook geen slot van 200 euro.

Voor minder kritische applicaties kun je volstaan met een volledig geautomatiseerde test. Vergelijkbaar met de crashtest van NCAP (New Car Assessment Program). Specifieke tools signaleren veel voorkomende situaties die als zwakheid worden aangemerkt. Een geautomatiseerde test is snel en herhaaldelijk uit te voeren. Door patroonherkenning krijg je gelijk inzicht in de zwakte van het systeem.

Het risico van patroonherkenning is de zogenaamde ‘false positive’. Er wordt iets herkend zonder dat dit werkelijk een bevinding is. Dan is het raadzaam een handmatige check te doen op de uitkomsten. Dan weet je zeker of het al dan niet werkelijke bevindingen zijn. En voorkom je verspilling van tijd en geld om het probleem op te lossen. Hoe specifiek deze test tooling ook is, het blijven generalistische tools voor het automatisch testen van informatiesystemen. Ze snappen hoe een applicatie werkt en communiceert, maar in beide gevallen niet het hoe en waarom. Zo maakt de tool bijvoorbeeld geen onderscheid tussen een website en een bedrijfsapplicatie.

Een handmatige gedegen test verdient de voorkeur bij bedrijfskritische applicaties. De automatische test kan daarmee ook worden uitgebreid. Zo komen afwijkende gevallen wel naar boven als er geen sprake is van bekende patronen.

Het gaat uiteindelijk om het risiconiveau. Is er sprake van verantwoord of onverantwoord risico? De gevonden zwakheid kan dezelfde zijn. Echter, de impact van dit risico kan per scenario enorm verschillen. Zo is er een groot verschil in risico van een vergelijkbare zwakheid in bijvoorbeeld een database van een grote bank of eentje van uit te faseren boeken in een bibliotheek.

Voor deze situaties is een pentest het devies. Daarmee komen zwakheden in scenario’s boven tafel. En op die manier worden echte risico’s in kaart gebracht. Uiteraard gebeurt dit vooral bij bedrijfskritische applicaties. Een gedegen risico-analyse is nodig om de juiste maatregelen te nemen.

Als eenmaal bestaande informatiesystemen volledig getest zijn op hun veiligheid, is het een goed moment om Secure Development Lifecycle toe te passen. Dan kun je tenslotte proactief te werk gaan. Niet anders dan Volvo. Als veiligheid in de genen van organisaties zit, geeft dat overal en altijd de zekerheid dat veiligheid gewaarborgd is.

Als deze security genen van toepassing zijn, verbindt dat bovendien mensen en afdelingen. Waar zaken veelal over de spreekwoordelijke schutting van een andere afdeling worden gegooid, ontstaat nu samenwerking. Gebaseerd op gemeenschappelijke genen. Samen innoveren, horizon verbreden en nieuwe ervaringen opdoen. Dat is evengoed van toepassing voor de weg naar de cloud, Big Data of de inzet van Bring Your Own Device. Voor al deze thema’s geldt dat security integraal onderdeel is, en zo een bindende factor is voor deze technologische ontwikkelingen.

Gelukkig staat ‘security als enabler’ ofwel veiligheid die meer mogelijk maakt, steeds hoger op de bedrijfsagenda. De wil komt er wel omdat organisaties, net als Volvo, ervan overtuigd zijn, dat beveiligingsacties werkelijk leiden tot meer en beter zakendoen.

Marinus Kuivenhoven, Senior Security consultant van Sogeti