Herkenbaar? De jaarlijkse security audit komt eraan en dit vraagt om bepaalde maatregelen die aanwezig moeten zijn. Maar iedereen binnen de securityafdeling weet dat een bepaalde maatregel niet aanwezig is en niet is geïmplementeerd. Laten we deze maatregel ‘checkbox alpha’ noemen.
Ergens in de organisatie staat een doosje met product X. Product X heeft één simpele functie: bevestigen dat checkbox alpha aanwezig is. Echter ligt product X op een plank, in een doos, en wordt het niet gebruikt.
Klinkt dit als een scenario welke niet voorkomt in jouw organisatie? Zeker weten?
Securityfeatures uit het oog verliezen
Naarmate we meer en meer IT-producten gaan gebruiken (of het nu van een cloud leverancier is of een on-prem oplossing), moeten we ook meer securitymaatregelen implementeren.
Elk afzonderlijk business product heeft zijn eigen security eisen en oplossingen. Het is de taak van de securityafdeling om ervoor te zorgen dat alles op een veilige manier wordt gebruikt.
Dit betekent dat het bijna onvermijdelijk is dat je uit het oog verliest welke functies elke securityoplossing biedt.
De kennis en vaardigheden die nodig zijn om het inzicht in de gehele infrastructuur en alle applicaties van het bedrijf te houden worden steeds breder. De vraag ‘zijn wij veilig’ wordt steeds complexer om te kunnen beantwoorden.
Dit betekent dat het bijna onvermijdelijk is dat je uit het oog verliest welke functies elke securityoplossing biedt. Waardoor je wel een security-oplossing X bezit om ‘checkbox Alpha’ aan te kruisen… maar deze niet is opgezet om echt veilig te kunnen werken.
Waarom business en operation niet op elkaar zijn afgestemd
Dit is waar we laten zien dat de samenwerking tussen business en operation echt belangrijk is.
De organisatie (business) verbetert haar dienstverlening en operationele processen. En heeft hiervoor een applicatie aangeschaft. De organisatie is zich ervan bewust dat er een bepaald niveau van security vereist is en heeft daarom ook product X aangeschaft. Nu denken zij zeker te weten dat ze veilig werken.
De securityafdeling (operation) is zich niet bewust van de reden waarom product X is aangeschaft. Ze kijken ernaar en zeggen ‘Onze business heeft het nodig, dus wij beheren het’. Zonder echt goed te doorzien wat er geconfigureerd moet worden.
Hier bevinden we ons in precies hetzelfde scenario als het eerder gegeven voorbeeld: we hebben het product wat nodig is om de checkbox aan te kruisen. Dit keer hebben we het van de plank en uit het doosje gehaald, maar is het niet juist geconfigureerd.
Dus, gebruiken we de securityproducten eigenlijk wel?
De vraag die we onszelf op zowel C-level als Operationeel niveau moeten stellen is de volgende: Hoe gebruiken we onze huidige security-producten? En als ze niet goed geconfigureerd zijn, heeft het dan wel nut om ze überhaupt te gebruiken?
Hebben we de vaardigheden en kennis om de functies die beschikbaar zijn daadwerkelijke te gebruiken en te monitoren?
Hebben we producten alleen omdat we dan een vinkje kunnen zetten? Een vinkje voor de audit of een vinkje voor de business? Laten we mooie kartonnen dozen op een plank staan? Of hebben we de kennis en kunde in huis om onze securityoplossingen echt goed te gebruiken en monitoren? En zijn we in staat om alle configuraties effectief te benutten?
Een fundamenteel andere benadering tot security is nodig
Vanuit onze ervaring vraagt deze uitdaging om een fundamenteel andere benadering van security. Een benadering die wij hebben gevonden in Zero Trust: een data-centrisch perspectief op je security, met business-doelstellingen in het achterhoofd.
Dit haalt een overschot aan product-oplossingen weg en brengt de focus terug naar waar deze moet zijn: veilig zakendoen.
Johan Bogema
Product Owner Cloud Security
