De titel triggerde mij om het blog van Roger A. Grimes te lezen, zoals dat op Computerwereld gepubliceerd werd.
Maar ook de inleiding van het blog gaf voldoende aanleiding om door te lezen:
Om de beveiliging van het bedrijfsnetwerk te verhogen, richten sommige IT-beveiligers zich op één aspect en vergeten ze de rest. Toch is dat meer dan de meeste organisaties doen (bron). Een eenvoudige zin, maar lees hem nog eens en laat hem op je inwerken.
Nu ga ik hier natuurlijk niet het hele blog herschrijven, want ik raad je gewoon aan dat blog ook eens te lezen, maar ik voel me wel zo vrij om daarop door te borduren.
Heel herkenbaar zoals het geschreven wordt. Er worden allerlei adviezen gegeven en toch lijkt het maar niet te lukken om de beveiliging ook echt op orde te krijgen. Niet door een top-down benadering maar ook niet door een bottom-up benadering. Sterker nog, hoe uitgebreider jouw advies, hoe kleiner de kans dat het opgevolgd wordt. Men ziet letterlijk door de bomen het bos niet meer en als men al komt tot prioritering dan is de kans groot dat na twee of drie maatregelen de managers hun interesse hebben verloren.
Toevallig (toeval bestaat niet, maar toch) had ik hier kort geleden nog een interessant gesprek over bij een opdrachtgever. We hameren er vanuit onze visie op dat we niet moeten redeneren vanuit beveiligingsmaatregelen maar juist vanuit operationele risico’s (en het liefst nog vanuit “enterprise risks”).
Dat is nog steeds helemaal waar, maar het grote gat zit hem in het feit dat organisaties vergeten de combinatie te maken. Ofwel ze redeneren vanuit operationele risico’s en het lukt maar niet om daar de juiste maatregelen bij te treffen. Of ze redeneren steeds vanuit beveiligingsmaatregelen zonder die te koppelen aan de operationele risico’s.
Wat hier nu zo interessant aan is, zul je je afvragen. Nou, het was voor mij weer eens een bevestiging dat we ons verhaal en ons advies af moeten stemmen op onze doelgroep. Dat proberen we natuurlijk altijd, maar het is goed om daar weer eens aan herinnert te worden. We moeten er dus voor zorgen dat we de managers informeren over operationele risico’s maar we moeten er ook voor zorgen dat we degene die het uit moeten voeren (functioneel beheerders bijvoorbeeld) concreet aan de slag laten gaan met maatregelen.
Zij hoeven niet het denk werk te doen over het “wat”, nee, dat moeten wij voor ze doen. Laat hun aan de slag gaan met het “hoe” en we zijn “on speaking terms” Houden we dan ook nog in de gaten dat het advies geen 100 pagina’s dik mag zijn, dan zijn we weer een stukje verder. Wij weten dan misschien wat ze de komende 3 tot 7 jaar allemaal moeten doen om “in control” te raken, maar dat wil nog niet zeggen dat we ze al die informatie in een keer moeten geven.
We kunnen natuurlijk de schuld leggen bij de organisatie, want beveiliging is nu eenmaal een lijnverantwoordelijkheid, toch? Maar laten we de schuld eerst bij onszelf zoeken. Blijkbaar managen we vanuit security de boel nog niet goed. En dat is een constatering die ikzelf meermalen heb gedaan. We zijn wel druk bezig maar doen we ook de juiste dingen en doen we de dingen juist op basis van een meerjaren plan?
Lukt het ons om draagvlak te creëren bij het management? Rapporteren we met de juiste informatie aan het juiste niveau? Hebben wij de prioriteiten gesteld zodat de uitvoerders daar niet mee lastig worden gevallen en gewoon aan de slag kunnen? Communiceren wij met de juiste bewoording naar de personen? Het zijn zomaar een aantal vragen die we onszelf kunnen stellen.
“Zo heeft een audit natuurlijk geen zin…” kan ik alleen maar onderschrijven. Voordat we aan die audit beginnen moeten we het toch op de juiste manier gaan managen. We eten de olifant toch ook niet in een keer op? Waarom proberen we dat met die kudde olifanten, die we gemakshalve security zullen noemen, dan wel?
Nou, nog een mooie metafoor dan uit het blog:
Je vindt beveiliging prioriteit hebben, maar je acties geven anders te kennen. Je bent net zoals die kerel die, met zijn goede voornemens in gedachten, in januari een jaarabonnement bij de sportschool neemt en in maart stopt.
Ach, security, het is allemaal niet zo ingewikkeld, als we het maar op de juiste wijze managen en ook daadwerkelijk beginnen met de eerste stappen te zetten. De marathon wordt een stuk makkelijker als we niet nadenken hoever de finish wel niet is maar gewoon beginnen met rennen (althans, dat is me verteld, ik heb nog nooit een marathon gelopen…die finish is me echt te ver en ik begin liever die kudde olifanten op te peuzelen). En vergeet niet dat er genoeg mensen zijn die starten met de marathon om nooit de finish te halen.
Is dat erg? Nou, in ieder geval kunnen ze zeggen dat ze er aan zijn begonnen…en veel bedrijven kunnen dat op dit moment nog niet met droge ogen beweren.