Zo heeft een audit natuurlijk geen zin…

De titel triggerde mij om het blog van Roger A. Grimes te lezen, zoals dat op Computerwereld gepubliceerd werd.

Maar ook de inleiding van het blog gaf voldoende aanleiding om door te lezen:
Om de beveiliging van het bedrijfsnetwerk te verhogen, richten sommige IT-beveiligers zich op één aspect en vergeten ze de rest. Toch is dat meer dan de meeste organisaties doen (bron). Een eenvoudige zin, maar lees hem nog eens en laat hem op je inwerken.

Nu ga ik hier natuurlijk niet het hele blog herschrijven, want ik raad je gewoon aan dat blog ook eens te lezen, maar ik voel me wel zo vrij om daarop door te borduren.

Heel herkenbaar zoals het geschreven wordt. Er worden allerlei adviezen gegeven en toch lijkt het maar niet te lukken om de beveiliging ook echt op orde te krijgen. Niet door een top-down benadering maar ook niet door een bottom-up benadering. Sterker nog, hoe uitgebreider jouw advies, hoe kleiner de kans dat het opgevolgd wordt. Men ziet letterlijk door de bomen het bos niet meer en als men al komt tot prioritering dan is de kans groot dat na twee of drie maatregelen de managers hun interesse hebben verloren.

Toevallig (toeval bestaat niet, maar toch) had ik hier kort geleden nog een interessant gesprek over bij een opdrachtgever. We hameren er vanuit onze visie op dat we niet moeten redeneren vanuit beveiligingsmaatregelen maar juist vanuit operationele risico’s (en het liefst nog vanuit “enterprise risks”).

Dat is nog steeds helemaal waar, maar het grote gat zit hem in het feit dat organisaties vergeten de combinatie te maken. Ofwel ze redeneren vanuit operationele risico’s en het lukt maar niet om daar de juiste maatregelen bij te treffen. Of ze redeneren steeds vanuit beveiligingsmaatregelen zonder die te koppelen aan de operationele risico’s.

Wat hier nu zo interessant aan is, zul je je afvragen. Nou, het was voor mij weer eens een bevestiging dat we ons verhaal en ons advies af moeten stemmen op onze doelgroep. Dat proberen we natuurlijk altijd, maar het is goed om daar weer eens aan herinnert te worden. We moeten er dus voor zorgen dat we de managers informeren over operationele risico’s maar we moeten er ook voor zorgen dat we degene die het uit moeten voeren (functioneel beheerders bijvoorbeeld) concreet aan de slag laten gaan met maatregelen.

Zij hoeven niet het denk werk te doen over het “wat”, nee, dat moeten wij voor ze doen. Laat hun aan de slag gaan met het “hoe” en we zijn “on speaking terms” Houden we dan ook nog in de gaten dat het advies geen 100 pagina’s dik mag zijn, dan zijn we weer een stukje verder. Wij weten dan misschien wat ze de komende 3 tot 7 jaar allemaal moeten doen om “in control” te raken, maar dat wil nog niet zeggen dat we ze al die informatie in een keer moeten geven.

We kunnen natuurlijk de schuld leggen bij de organisatie, want beveiliging is nu eenmaal een lijnverantwoordelijkheid, toch? Maar laten we de schuld eerst bij onszelf zoeken. Blijkbaar managen we vanuit security de boel nog niet goed. En dat is een constatering die ikzelf meermalen heb gedaan. We zijn wel druk bezig maar doen we ook de juiste dingen en doen we de dingen juist op basis van een meerjaren plan?

Lukt het ons om draagvlak te creëren bij het management? Rapporteren we met de juiste informatie aan het juiste niveau? Hebben wij de prioriteiten gesteld zodat de uitvoerders daar niet mee lastig worden gevallen en gewoon aan de slag kunnen? Communiceren wij met de juiste bewoording naar de personen? Het zijn zomaar een aantal vragen die we onszelf kunnen stellen.

“Zo heeft een audit natuurlijk geen zin…” kan ik alleen maar onderschrijven. Voordat we aan die audit beginnen moeten we het toch op de juiste manier gaan managen. We eten de olifant toch ook niet in een keer op? Waarom proberen we dat met die kudde olifanten, die we gemakshalve security zullen noemen, dan wel?

Nou, nog een mooie metafoor dan uit het blog:
Je vindt beveiliging prioriteit hebben, maar je acties geven anders te kennen. Je bent net zoals die kerel die, met zijn goede voornemens in gedachten, in januari een jaarabonnement bij de sportschool neemt en in maart stopt.

Ach, security, het is allemaal niet zo ingewikkeld, als we het maar op de juiste wijze managen en ook daadwerkelijk beginnen met de eerste stappen te zetten. De marathon wordt een stuk makkelijker als we niet nadenken hoever de finish wel niet is maar gewoon beginnen met rennen (althans, dat is me verteld, ik heb nog nooit een marathon gelopen…die finish is me echt te ver en ik begin liever die kudde olifanten op te peuzelen). En vergeet niet dat er genoeg mensen zijn die starten met de marathon om nooit de finish te halen.

Is dat erg? Nou, in ieder geval kunnen ze zeggen dat ze er aan zijn begonnen…en veel bedrijven kunnen dat op dit moment nog niet met droge ogen beweren.

Tekenen voor gedragscode en sanctiebeleid

We hebben de gedragscode en het sanctiebeleid en dat is ook nog eens goed vindbaar op het intranet. De medewerkers weten van het bestaan en er ontstaat een cultuur waarbij beveiliging niet langer een vreemde eend in de bijt is.

De vraag voor vandaag:
Heeft het personeel voor kennisname van de gedragscode en het sanctiebeleid getekend?

De organisatie bestaat al langer dan dat we een gedragscode of sanctiebeleid hebben. Nieuwe medewerkers tekenen hier bij indiensttreding voor en de getekende exemplaren zitten netjes in het personeelsdossier. Het lijkt misschien allemaal een formaliteit, maar willen we iets met die gedragscode of het sanctiebeleid kunnen doen dan moeten we enig bewijs hebben dat de medewerker die gezien heeft. Een handtekening is prima en we pakken het personeelsdossier er wel bij als er echt iets aan de hand is.

En dan komen we tot de conclusie dat de medewerker, die nu toch echt de regels heeft overtreden, langer in dienst is dan dat de gedragscode bestaat. We hebben dus geen handtekening van hem en hopen dat we nog iets kunnen met de handtekening op zijn arbeidscontract. Misschien staat daar iets in over gewijzigde regelgeving die automatisch van toepassing is. Erg zwak natuurlijk, maar zeker het proberen waard.

De strekking van dit verhaal is natuurlijk dat we er voor moeten zorgen dat van iedere medewerker die in dienst is een dergelijke handtekening beschikbaar is. Voor nieuwe medewerkers, voor medewerkers die al 30 jaar voor ons werken maar ook voor inhuurkrachten, uitzendkrachten en stagiaires. Allemaal nog steeds niet zo ingewikkeld en vrij logisch zul je zeggen. Dat zijn we direct met elkaar eens.

Maar als dit zo logisch is, zullen we dan, gewoon voor de grap, eens kijken naar het aantal personeelsdossiers en het aantal getekende gedragscodes? Grote kans dat we het goed voor elkaar hebben…op papier, een nog grotere kans dat de administratie toch wat andere signalen afgeeft. Grote delen van de administratie hebben niet de gedragscode, ergens in het proces is wellicht ooit iets niet goed gegaan en de achterstanden hebben we nooit helemaal weggewerkt. Dat is het beeld dat de praktijk vaak laat zien.

Als we dan toch de beveiliging willen verbeteren dan kunnen de we interne auditafdeling eens vragen om hier een audit op uit te voeren. De resultaten daarvan gebruiken we in ons verbeterplan. We zorgen ervoor dat nieuwe medewerkers (internen, externen, stagiaires) vanaf nu een verklaring ondertekenen door onze processen aan te passen en we gaan er aan werken om de achterstanden weg te werken.

Tot zover geen wolkje aan de lucht. Totdat de OndernemingsRaad er lucht van krijgt. Om dat voor te zijn betrekken we die er natuurlijk bij (als het goed is zijn ze ook betrokken geweest bij het opstellen van de gedragscode en het sanctiebeleid). We informeren het management dat we aan een opschoon actie beginnen en gaan aan de slag.

Al snel komen we uit bij die medewerkers die inderdaad al 30 jaar voor ons werken. Het merendeel tekent zonder morren de verklaring en gaat weer door met de werkzaamheden. Maar juist die ene (of twee of nog iets meer) zijn er stelselmatig tegen. Die gaan er echt niet voor tekenen want ze doen dit werk nu al 30 jaar zonder zo’n verklaring.

En nu? Wat ga je doen? Die medewerker doet inderdaad al jaren keurig zijn werk en de targets worden met twee vingers in de neus gehaald. Krijg jij van het management voldoende steun om je auditfinding weg te werken of blijf jij met open eindjes zitten (waardoor jouw bonus in gevaar komt)? Uiteraard is dit helemaal afhankelijk van de organisatie, maar het is wel een goede thermometer om te achterhalen hoeveel steun je kunt verwachten op meer ingewikkelde aspecten van beveiliging. Zo heeft het oppakken van een ogenschijnlijk simpele actie toch meer belang dan we dachten. In ieder geval weet je nu welke temperatuur jouw thermometer aangeeft en daar kun je dan de implementatie van andere maatregelen weer op aanpassen.

Periodieke onafhankelijke toetsing van beveiliging

Inmiddels zijn we al een aardig stuk op weg om de beveiliging goed ingeregeld te krijgen. We hebben hard gewerkt aan het beleid, we hebben de organisatie ingericht, we hebben inmiddels draagvlak bij het hoogste management maar ook bij de medewerkers.

Waarschijnlijk hebben we inmiddels ook al allerlei beveiligingsmaatregelen getroffen. Hoewel we al goed op weg zijn, wordt het nu wel extra oppassen. Oppassen voor schijnveiligheid. Doen we wel de juiste dingen en doen we die dingen wel juist? Een vraag die we, terecht, vaak horen: hoe goed doen we het nu eigenlijk? Daarmee zijn we aangekomen bij de volgende vraag:

Worden de genomen beveiligingsmaatregelen periodiek door een onafhankelijke organisatie doorgelicht/beoordeeld?

Oh, jee. Ik hoor het je denken. Daar komt een heel batterij auditors aan met rode potloden om alles af te kraken wat we zo zorgvuldig hebben opgebouwd. Krijgen we weer allerlei findings aan de broek die ons dagelijks werk enorm gaan verstoren. Toch is dat helemaal niet nodig.

Strikt genomen kun je de aanpak van beveiliging inderdaad door een onafhankelijke derde laten toetsen. Dat kan in een later stadium zeker een goed idee zijn want zij kunnen zaken zien die wij over het hoofd hebben gezien. Toch hoeven we in dit stadium nog geen duur extern accountskantoor of een interne auditafdeling in te zetten. We kunnen ook gewoon een keer een collega manager vragen om eens met ons mee te denken, hoe kijkt hij of zij er tegen aan? Zit onze aanpak logisch in elkaar? Missen we nog zaken?

Ja, ja, ik hoor de tegenargumenten: we gaan onze vuile was toch niet met een andere manager delen? Wat weet hij of zij nou eigenlijk van beveiliging? Nou, waarschijnlijk niet bijzonder veel. Maar daar gaat het ook niet om. Het gaat niet om het laten beoordelen van al onze beveiligingsmaatregelen (op dit moment, later kan dat altijd nog een keer door een specialist). Nee, het gaat er juist om of onze aanpak logisch in elkaar zit, of we de juiste risico’s onderkend hebben, of het beveiligingsbeleid een beetje begrijpelijk is en of de taken, bevoegdheden en verantwoordelijkheden ook echt gedragen worden.

Aan de hand van de informatie die we van onze collega hebben ontvangen kunnen we weer een verbeterslag maken. Daarna kunnen we altijd nog onze interne auditafdeling vragen ook eens met ons mee te kijken. Niet om onze beveiliging genadeloos de grond in te boren, maar juist om ons weer te wijzen op aspecten die we anders of beter aan kunnen pakken. Niet door het over de schutting gooien van allerlei dikke pakken papier. Nee, door met hen in gesprek te gaan en hen er echt om te vragen. Nog voordat de directie het de auditafdeling vraagt…want dan kan het een ander spel worden.

De auditfindings zien we dan ook niet als aanval op onze aanpak, maar zien we als wederom mogelijke verbeterpunten. Toegegeven, er zijn slechte en goede auditors…wat dat betreft zijn het net mensen. Maar met de goede auditors kunnen we in gesprek gaan, niet om allerlei beveiligingsmaatregelen die uit de findings komen te implementeren maar om de risico’s af te dekken. Kortom: voordat we een finding blind accepteren vragen we een nadere toelichting op het risico dat we af moeten dekken. De auditor is er niet om ons af te straffen, maar is een instrument van de directie om aantoonbaar te maken hoe goed onze aanpak is.

Zo, inmiddels hebben we al wat verbeterslagen geslagen door de adviezen van onze collega’s (managers en auditors) door te voeren. Als we dat willen, omdat we bijvoorbeeld gecertificeerd willen worden, kunnen we nu een externe partij vragen om er ook eens naar te kijken. We kunnen goed onderbouwen waarom we sommige zaken wel en sommige zaken niet hebben opgepakt. We tonen ze niet allerlei losstaande beveiligingsmaatregelen maar onze aanpak. Ongetwijfeld komen ook daar auditfindings uit, maar dat is geen probleem. Dat zijn er een stuk minder dan normaal en diegene die er zijn passen we in in onze totale aanpak.

Ook die externe partij is niet een vijand van ons, maar is een instrument om de beveiliging goed in te richten. Want dat is wat we willen, toch?

Maak de interne en externe auditors tot je beste kameraad, zie auditfindings niet als aanval en ga in gesprek over de risico’s die we nog af moeten dekken. Zo bereiken we een niveau dat goed is voor de organisatie.

Periodieke en onafhankelijke toetsing

Inmiddels hebben we de beveiligingsorganisatie beschreven en weet iedereen wat zijn taken, bevoegdheden en verantwoordelijkheden zijn, toch? Dat is allemaal leuk en aardig, maar hoe weten we nu of het ook echt werkt? Vandaag gaan we verder in op de toetsing van de beveiligingsmaatregelen. We zijn daarmee aangekomen bij vraag 3.

De derde vraag die we moeten stellen is:
Worden de genomen beveiligingsmaatregelen periodiek door een onafhankelijke organisatie doorgelicht?

En het antwoord? Ja, nee of weten we het eigenlijk niet?

Het lijkt hier misschien of het gaat om de toetsing van de beveiligingsmaatregelen die we genomen hebben. Kijk, de firewall doet het want het rode lampje knippert. Maar daar gaat het in eerste instantie helemaal niet om. Nee, in eerste instantie willen we weten of de risico’s voldoende zijn afgedekt. Of, anders gezegd: of we wel de juiste set aan beveiligingsmaatregelen hebben genomen waarbij de risico’s altijd leidend zijn (theorie) of zouden moeten zijn (praktijk).

Enerzijds gaat het er dus om of we de juiste set aan beveiligingsmaatregelen hebben genomen, maar anderzijds willen we er ook zeker van zijn dat deze maatregelen ook echt werken. Leuk hoor, die firewall en ik zie inderdaad dat hij 230volt krijgt want het lampje knippert inderdaad, maar wat doet hij nu echt? Welk verkeer houdt hij nu werkelijk tegen en is dat verkeer dat naar binnen of juist naar buiten wil?

Bij het toetsen van de maatregelen (of noemt het auditen, het maakt mij niet zoveel uit, ik begrijp je toch wel) moeten we niet alleen kijken naar de bekende termen als: opzet, bestaan en werking, maar moeten we juist ook nadenken of we de risico’s wel echt afdekken.

Te vaak zien we nog dat binnen organisaties het auditinstrument misbruikt wordt. Oh nee, we hebben een aanbeveling of rode kaart aan de broek. Snel oplossen die handel anders komt mijn bonus in gevaar. Daarbij vergeten we nog wel eens dat de auditor met zijn aanbeveling waarschijnlijk een doel voor ogen had (een bepaald risico afdekken). Een goede auditor gaat het er niet zozeer om dat je zijn aanbeveling exact implementeert, nee, het gaat hem er om dat het risico acceptabel wordt of op het juiste niveau geaccepteerd wordt.

Een klein praktisch tipje: zie de auditor niet als vijand met een rood potlood, nee, ga met hem of haar in overleg welk risico er afgedekt moet worden. Auditors zijn ook mensen, echt, geloof me (nou ja, de meeste dan). Wacht overigens niet tot de “expire date”, want dan ben je te laat en kun je waarschijnlijk op weinig bijstand rekenen.

Zo, vandaag een klein lichtje laten schijnen op de audits. Als we de samenwerking met de auditafdeling aan kunnen gaan dan is er een grotere kans dat we ook echt beter beveiligd zijn. We zijn dus weer een stap verder en kunnen met een gerust hart op weg naar vraag 4.

Nogmaals, voor diegene onder jullie die echt niet 10 dagen willen wachten, je kunt de quickscan zelf ook al doorlopen door hier te klikken of door me snel uit te nodigen voor die bak koffie.