Het daadwerkelijke onderhoud van informatiesystemen

Gingen we gisteren in op het systeem (of eigenlijk met name de keuzes en de achtergronden) bij het onderhouden van de informatiesystemen. Vandaag gaan we kort in op het daadwerkelijke onderhoud.

Daarom de vraag:
Vindt onderhoud conform dit onderhoudssysteem periodiek plaats?

Leuk hoor dat we er inderdaad voor gekozen hebben dat we voor dit specifieke systeem onderhoud willen hebben. Dat ligt vast in de SLA met de leverancier en daarbij bood hij ons de keus tussen brons, zilver of goud…waarbij wij natuurlijk voor goud zijn gegaan. Nu nog zorgen dat dat onderhoud ook echt plaats gaat vinden en dat het middel niet erger gaat worden dan de kwaal.

We moeten er dus voor gaan zorgen dat we het onderhoud periodiek en gepland plaats laten vinden om zo de kans op uitval van het systeem te verminderen. Soms zullen we preventief alvast onderdelen moeten vervangen die aan het eind van hun Latijn lijken te zijn. De remblokken van de auto vervangen we, hopelijk, ook al voordat ze echt op zijn.

Toch een kanttekening bij het onderhoud. We moeten er voor waken dat het onderhoud er niet voor zorgt dat het systeem “in storing” staat gedurende de reguliere werktijden omdat we zo nodig even iets moeten onderhouden volgens de planning. Je wilt ook je CV-ketel thuis niet in onderhoud zetten als je vrouw net onder de douche springt (of, misschien wil jij dat juist wel…maar het gaat om het voorbeeld). Juist door het plannen kunnen we dit voorkomen, is er niet binnenkort een onderhoudsweekend gepland? Mooie gelegenheid om ook het onderhoud voor ons systeem uit te voeren, toch?

Ok, we kunnen echt niet alle storingen voorkomen, het kan altijd een keer gebeuren dat een component de geest geeft. Wel kunnen we proberen met onderhoud de kans op storing te minimaliseren, de technische levensduur en omzet te maximaliseren en de werking van de bedrijfsprocessen te continueren.

Zeurt de boekhouding of inkoopafdeling over de kosten voor onderhoud? Reken dan even voor wat uitval kost in de vorm van misgelopen omzet en wat het oplevert als we het systeem een paar jaar langer operationeel kunnen houden. Grote kans dat je de business case rond krijgt en inderdaad besluit dat voor “goud” (of zilver of brons) gaan in dit geval grote besparingen kan realiseren…de kosten gaan echter nog steeds voor de baten uit.

Periodieke beveiligingsrapportage

Oei, vandaag is het 13 mei, vrijdag 13 mei. Alle bijgelovige (security) managers houden hun hart vast…wat voor ongeluk staat ons vandaag allemaal nog te wachten. Wacht, ik maak het nog erger voor je.

Ja, 100% beveiligen is niet mogelijk, dus we lopen altijd de kans verrast te worden door een incident waar we niet op hadden geanticipeerd. Maar, als we beveiliging serieus hebben aangepakt, dan hebben we de kans inmiddels wel een stuk verkleind en is het management volledig op de hoogte van de status van de beveiliging. En voor die gevallen waar het dan toch fout lijkt te gaan, kunnen we altijd teruggrijpen op ons Business Continuity Plan. Mooi bruggetje naar de volgende vraag, lijkt me zo:

Wordt er periodiek gerapporteerd over de status van beveiliging aan de (hoogst) verantwoordelijke binnen de organisatie (CEO, CSO, ..)?

Ik zal niet ontkennen dat deze vraag erg nauw aansluit bij de vorige, maar als we de beveiliging dan toch meten, waarom leggen we daar dan geen verantwoording over af? Managers (ik bedoel nu even niet de security managers) die beveiliging en risicomanagement serieus willen nemen, ontbreekt het vaak aan goede managementrapportages. Ze hebben geen zicht op wat er met de (veelal hoge) beveiligingsbudgetten gebeurt is, welke risico’s we lopen en vragen zich vaak terecht af of dat geld niet op een andere wijze tot meer rendement had kunnen leiden. Ehm, ja, waarschijnlijk hadden we met het geld inderdaad meer rendement kunnen lopen…maar dat was dan misschien wel een risicovolle investering geweest.

De opmerking die ik nog wel eens hoor is dat het management het allemaal niet wil horen. Volgens mij (en dat is misschien naïef) klopt dat helemaal niet. Ze willen het wel degelijk horen, maar dan wel in hun taal en niet in allerlei oeverloze details die ze (terecht) toch niets zegt.

Het management heeft recht op inzage in de bestedingen. Werken we met een proactieve en preventieve wijze van beveiligen dan kunnen we de begroting vooraf inzichtelijk maken. Waarbij overigens niet gezegd wordt dat er geen budget gereserveerd hoeft te worden voor onvoorziene omstandigheden. Maar geloof me, dat budget komt er echt wel als het voortbestaan van de organisatie in gevaar komt.

Het risico van het ontbreken van managementrapportages is gebrek aan inzicht bij het management. Terecht krijgen zij geen goed gevoel bij de bestedingen en bij de eerst volgende bezuinigingsronde zal dan ook extra kritisch gekeken worden naar de bestedingen op dit gebied. Misschien wordt er niet eens kritisch naar de besteding gekeken maar wordt er vrij simpel 20% van je budget afgesnoept. Als we beveiliging tot op heden nog niet goed genoeg hebben aangepakt zullen ze daar waarschijnlijk niet eens iets van merken.

We kunnen deze bezuinigingsronde gelaten over ons heen laten gaan en accepteren dat we het met nog minder moeten doen. Maar we kunnen deze bezuiniging ook aangrijpen om aantoonbaar te maken wat we dan (20%) minder gaan doen en hoe dat doorwerkt op de risico’s van de organisatie. Het management heeft er recht op te weten welke risico’s met minder budget zullen toenemen. Kunnen we die 20% zomaar slikken, dan hebben we de afgelopen jaren misschien wel altijd teveel budget ontvangen. Bezuinigingen zijn op zich ook helemaal niet slecht, als de organisatie en wij daar maar goed mee omgaan (ja ik weet het, dat gebeurt vaak, ogenschijnlijk, niet) en de consequenties inzichtelijk maken. Doen we dat niet dan zullen we vele slapeloze nachten hebben omdat we niet meer weten waar we het vandaan moeten halen…kwestie van rapporteren en de pijn neer leggen waar hij hoort.

Vergeet niet dat beveiliging nog steeds een lijnverantwoordelijkheid is en dat daar dus de budgetten beschikbaar moeten zijn. Het beveiligingsbudget dat de security afdeling beschikbaar heeft moet er op gericht zijn om voldoende te kunnen doen aan het inrichten van de beveiliging en de advisering van de lijn. We hoeven vanuit dat budget niet de processen, producten en diensten te beveiligen. Nee, dat zal de verantwoordelijke lijnmanager moeten doen, die zal moeten bepalen welke 20% van beveiliging hij daarvan wegbezuinigd.

Bij het ontbreken van financieel inzicht ontstaat een vicieuze cirkel. Het management vraagt zich af wat er in hemelsnaam met het budget gedaan is en welke incidenten voorkomen zijn. Hierdoor ontstaat de neiging om op beveiliging te bezuinigen waardoor er de kans op een goede managementrapportage wordt verkleind. Het management krijgt nog minder inzicht en als snel bevinden we ons in een neerwaartse spiraal waarbij we welhaast kunnen wachten op een volgend groot incident. Dat laten we ons toch niet gebeuren? Nee, voordat het kalf verdronken is gaan we werken aan een goede periodieke beveiligingsrapportage.

Periodieke en onafhankelijke toetsing

Inmiddels hebben we de beveiligingsorganisatie beschreven en weet iedereen wat zijn taken, bevoegdheden en verantwoordelijkheden zijn, toch? Dat is allemaal leuk en aardig, maar hoe weten we nu of het ook echt werkt? Vandaag gaan we verder in op de toetsing van de beveiligingsmaatregelen. We zijn daarmee aangekomen bij vraag 3.

De derde vraag die we moeten stellen is:
Worden de genomen beveiligingsmaatregelen periodiek door een onafhankelijke organisatie doorgelicht?

En het antwoord? Ja, nee of weten we het eigenlijk niet?

Het lijkt hier misschien of het gaat om de toetsing van de beveiligingsmaatregelen die we genomen hebben. Kijk, de firewall doet het want het rode lampje knippert. Maar daar gaat het in eerste instantie helemaal niet om. Nee, in eerste instantie willen we weten of de risico’s voldoende zijn afgedekt. Of, anders gezegd: of we wel de juiste set aan beveiligingsmaatregelen hebben genomen waarbij de risico’s altijd leidend zijn (theorie) of zouden moeten zijn (praktijk).

Enerzijds gaat het er dus om of we de juiste set aan beveiligingsmaatregelen hebben genomen, maar anderzijds willen we er ook zeker van zijn dat deze maatregelen ook echt werken. Leuk hoor, die firewall en ik zie inderdaad dat hij 230volt krijgt want het lampje knippert inderdaad, maar wat doet hij nu echt? Welk verkeer houdt hij nu werkelijk tegen en is dat verkeer dat naar binnen of juist naar buiten wil?

Bij het toetsen van de maatregelen (of noemt het auditen, het maakt mij niet zoveel uit, ik begrijp je toch wel) moeten we niet alleen kijken naar de bekende termen als: opzet, bestaan en werking, maar moeten we juist ook nadenken of we de risico’s wel echt afdekken.

Te vaak zien we nog dat binnen organisaties het auditinstrument misbruikt wordt. Oh nee, we hebben een aanbeveling of rode kaart aan de broek. Snel oplossen die handel anders komt mijn bonus in gevaar. Daarbij vergeten we nog wel eens dat de auditor met zijn aanbeveling waarschijnlijk een doel voor ogen had (een bepaald risico afdekken). Een goede auditor gaat het er niet zozeer om dat je zijn aanbeveling exact implementeert, nee, het gaat hem er om dat het risico acceptabel wordt of op het juiste niveau geaccepteerd wordt.

Een klein praktisch tipje: zie de auditor niet als vijand met een rood potlood, nee, ga met hem of haar in overleg welk risico er afgedekt moet worden. Auditors zijn ook mensen, echt, geloof me (nou ja, de meeste dan). Wacht overigens niet tot de “expire date”, want dan ben je te laat en kun je waarschijnlijk op weinig bijstand rekenen.

Zo, vandaag een klein lichtje laten schijnen op de audits. Als we de samenwerking met de auditafdeling aan kunnen gaan dan is er een grotere kans dat we ook echt beter beveiligd zijn. We zijn dus weer een stap verder en kunnen met een gerust hart op weg naar vraag 4.

Nogmaals, voor diegene onder jullie die echt niet 10 dagen willen wachten, je kunt de quickscan zelf ook al doorlopen door hier te klikken of door me snel uit te nodigen voor die bak koffie.