Security is een onderwerp waar lang niet iedereen van houdt. Het is iets wat alleen maar geld lijkt te kosten, levert voor de business niet direct waarde op en daardoor is er vaak weinig budget voor. Ook zit niemand te wachten op een te lang wachtwoord wat je niet kunt onthouden of een beleid waardoor men elke maand weer een ander wachtwoord moet kiezen. Of denk aan al die security awareness video’s waar medewerkers niks van opsteken maar wel moeten bekijken voor de ISO 27001 certificering van hun werkgever. Informatie die het ene oor in gaat en gelijk weer weg is. Zo zijn er genoeg voorbeelden waarom security echt als vervelend wordt ervaren. Niet alleen in de werksfeer maar ook thuis.
Toch is security iets wat erg belangrijk is en waar naar mijn mening nog veel te weinig aandacht voor is. Al die vervelende dingen zijn er niet voor niks, en ja, soms zijn ze vervelend, maar dat hoeft niet. De aanpak kan makkelijker of leuker worden als men daar de moeite voor neemt. Het veranderen van een format kan iets wat vervelend is leuk maken, door het eens anders te doen dan men normaal gesproken gewend is.
Dat leuker maken vind je nog maar zelden terug bij organisaties. Het zijn allemaal droge standaard controls regelrecht uit ISO 27001 of de Baseline Informatiebeveiliging Overheid (BIO). Het is vaak aan een CISO (Chief Information Security Officer) of ISO (Information Security Officer) die het beleid bepaald. Uiteraard zijn er ook wel succesverhalen en best practices die werken, maar die kom ik minder tegen dan ik zou willen.
Als test consultant en security specialist heb ik al van alles meegemaakt bij klanten. Één van de grootste uitdagingen is het mee krijgen van medewerkers in de security transitie, die voornamelijk over cultuur en awareness gaat. Thuis doe je ook je deur op slot als je weg gaat en je auto laat je ook niet met de deur open staan. Maar als het om IT gerelateerde zaken gaat is men vaak niet strikt genoeg, totdat het een keer fout gaat. Dat lange wachtwoord is vervelend, dus maar een makkelijke soms met een kleine variatie. Een goed alternatief is natuurlijk het gebruik van een wachtwoordmanager en overal een ander wachtwoord met extra veel characters. Als je eenmaal weet hoe dit werkt, is het eigenlijk nog veel makkelijker dan wachtwoorden onthouden. En uiteraard echt veel veiliger.
Dat men anders naar security kijkt als men een keer gehackt is, is niet zo vreemd en mensen eigen. Er moet eerst iets voorvallen om het probleem aan te pakken. Zo gaat dat ook nog bij veel organisaties. Pas als een organisatie gehackt is, wordt er een CISO aangenomen, wordt er van alles ingericht of wordt het budget verhoogd.
Een ander probleem wat ik vaak merk is dat er op een hoog niveau aan de hand van verschillende richtlijnen, zoals de ISO 27001 of BIO, zaken worden bepaald, maar dat de teams die de software maken daar vaak geen kennis van hebben. Door dat kennisgebrek in development teams kan het heel goed zijn dat de software die naar productie gaat helemaal niet zo veilig is als men denkt. Of dat na de introductie van een applicatie nooit meer gecheckt wordt of de applicatie later nog steeds voldoet. Het begrip “Security By Design” kom ik bijvoorbeeld nog niet zoveel tegen en een security engineer in een team is ook nog vrijwel nergens ingevuld.
Als iemand die begaan is met kwaliteit vind ik het ook bijzonder dat er in de wereld van quality assurance wel veel tijd besteed wordt aan een goede testdekking als we het over functioneel testen hebben. Maar waarom testen we dan maar 1 keer per jaar of soms alleen bij de introductie van een applicatie op security.
Als je vandaag een pentest zou doen, dan kan er morgen een bug geïntroduceerd worden die ervoor zorgt dat we gehackt kunnen worden. Zoals de functioneel tester veel kennis moet hebben van het testobject, moet een security specialist ook weten waar hij of zij mee te maken heeft. Als een tester ook redelijk veel van security weet is dat handig, want dan ben je waarschijnlijk een DevOps Engineer die van alles kan doen met testen. Niet iedereen wil zich specialiseren in al die test expertises. Daarom zien we steeds vaker dat er ook security specialisten in de teams plaats nemen. Teams die normaal DevOps deden worden uitgebreid tot DevSecOps-team of als het team te groot wordt, gebeurt het soms zelfs dat het Dev-deel zich splitst en er nog een SecOps-team bij komt. Die splitsing bepaal je zelf, maar het belangrijkste is de chemie in het team en de awareness. De samenwerking tussen de CISO, ISO, pentester en teams moet beter in elkaar over lopen, want daar schort het nog veel te vaak.
Het feit dat security nou eenmaal steeds belangrijker wordt is een gegeven. Een zorgvuldig opgebouwd imago kan door een hack binnen één dag weg zijn. En de hacker die alle tijd heeft om onderzoek te doen en exploits te maken leidt de innovatie. Hoe slimmer de criminele hacker wordt, hoe beter organisaties zich moeten beveiligen.
Daarom is het belangrijk dat security een beter imago krijgt en waar het kan ook leuker of makkelijker wordt. Betrek medewerkers bij de cultuur en awareness shift en zorg ervoor dat de maatregelen ook goed te begrijpen zijn. Ik luisterde deze week naar een podcast van ESET over CISO’s met als thema “Secure the future”. Daarin vertelde CISO Fleur van Leusden dat de traditionele phishing acties niet zo goed werken voor haar organisatie. Dat heeft ze anders aangepakt door ethical hackers in te huren die in een sessie laten zien hoe ze binnenkomen via phishing mails. Veel interessanter en leuker dan zo’n standaard phishing mail, waarvan een medewerker toch een vervelend gevoel overhoudt als hij of zij erop geklikt heeft. De opkomst voor die sessie was erg hoog en hierdoor waren medewerkers meer betrokken en vonden ze het ook echt leuk om aan de sessie deel te nemen. Dit is een voorbeeld van een actie die een stukje security awareness creëert en medewerkers op een leuke manier meeneemt in de wereld van security.
Nieuwsgierig geworden en wil je meer weten over testen? Neem dan contact op met Praegus – 085-1305977 / info@praegus.nl of kijk op www.praegus.nl
