09-04-2015 | door: Marco van der Hoeven

Security: ‘De CIO is het probleem’

Gisteren kwam de Executive People CIO Community bijeen voor een Ronde Tafel in Restaurant Zuiver in Utrecht, op uitnodiging van Intel Security. Het thema dit keer was Risk Management en Security, een regelmatig terugkerend thema waar onverminderd veel belangstelling voor is. Een combinatie van executives die verantwoordelijk zijn voor IT, security en business discussieerde over diverse uitdagingen op het gebied van informatiebeveiliging.

Spreker Maurice Cashman Intel Security, heeft een achtergrond van informatiebeveiliging in het Amerikaanse leger. Hij was intelligence officer op het gebied van cybersecurity, een van de bedreigingen. “De transformatie die wij in het leger doormaakten is vergelijkbaar met de huidige journey waar bedrijven nu mee worstelen, Het grote verschil is wel dat de veranderingen veel sneller gaan dan destijds.”

Hij vervolgt: “We maakten een aantal jaren geleden een overgang door van compliance driven naar een threat focussed approach . Dat vraagt om een grondige transformatie van de manier waarop je omgaat met security.” Die transformatie was het startpunt van de discussie.
“De kern van het probleem is al jaren hetzelfde. De data moet beschermd worden. Alleen de snelheid waarmee bedreigingen de kop opsteken en op blijven steken neemt enorm toe. Dat vraagt om een resilient omgeving. Digitaal is een nieuw operating domain. Een aanvaller kan je business online verstoren, dat vraagt om resilience.”, door de aanwezigen vertaald als weerbaarheid.

Verkeerde taal
Cashman: “We hebben altijd de verkeerde taal gebruikt. Als militairen hebben we ook security aan iet technische mensen verkocht. Maar ik kon geen code verkopen aan generaals. Je moet de waarde van security vertalen naar zaken als geld besparen voor de business. Het heeft te maken met het vergrote van de awareness. Er is voldoende nieuws, maar het komt niet voldoende aan.”

Hij noemt een voorval dat in 2006 speelde in het Amerikaanse leger, dat in die tijd veel missies yuitvoerde. “Wij hadden gestandaardiseerde end point security gekocht, voor 45 miljoen dollar. Dat is nooit goed geïmplementeerd. Die situatie Is veranderd door een aanval in Irak. De dreiging kwam doordat buiten de kampen USB-sticks werden neergelegd, de soldaten waren nieuwsgierig, en zij staken die in hun computer. Die plugden ze vervolgens weer in op een secure omgeving.”

Pijnlijk
“Pas toen een generaal vroeg waarom we die dreiging niet tegen konden houden was het antwoord dat we de oplossing wel hadden, maar dat die niet goed werrd gebruikt. We hadden dus dat incident nodig om het echt goed in te voeren. En dat zou eigenlijk niet nodig moeten zijn. Het was pijnlijk, maar we hebben er veel van geleerd. De vraag is dus, wat zouden we moeten doen om die mentaliteit te veranderen bij de business kant?”

Een van de aanwezigen, die ook betrokken is bij de sector veiligheid van de Nederlandse overheid herkent dit. “Je moet de mensen leren om niet zomaar vreemde USB-sticks in je computer te stoppen. Negen van de tien keer blijkt security geen technisch vraagstuk, maar je gebruikt wel technologie om het op te lossen.”

Risicoprofiel
Dit leidt tot een discussie over het belang van mensen en cultuur. Een van de deelnemers zegt: “Je hebt een risicoprofiel nodig, en je hebt behoefte aan een benchmark. Hoe doen andere bedrijven in dezelfde sector het? Hoeveel geven zij uit aan digitale veiligheid? Maar de beschikbare gegevens blijken niet eenduidig, er zijn problemen met de definitie. Soms is bijvoorbeeld fysieke security ook onderdeel van de uitgaven. Als security professionals hebben we dus niet altijd te beschikking over de juiste informatie.”

Een collega vult aan: “Het heeft alles te maken met strategie. Wij willen bijvoorbeeld de meest betrouwbare verzekeraar worden in Nederland in 2020. Maar dat haal je nooit als je steeds in het nieuws komt met problemen met je security. Alles is dus met elkaar verbonden.”

Een CISO van een bank voegt daaraan toe: “Onze board members lezen ook de krant, zij zijn echt wel op de hoogte van zaken als de Sony-hack, Die aandacht van de board is dus niet zo moeilijk te krijgen. Wij hebben zelf ook een militair onderzoek laten doen, en daaruit kwamen allemaal bedreigingen. Maar hoe realistisch is het dat je met die bedreigingen te maken krijgt? Want je kunt niet blijven investeren om alle mogelijke bedreigingen het hoofd te bieden. Wij zijn niet het leger. Je vindt altijd iets, maar waar bescherm je je tegen?”

Geld vragen
Dat raakt aan de werkwijze en de uitdagingen van de board, zegt een andere deelnemer: “Wanneer je in de board zit komt er ieder half uur wel iemand om geld vragen. Want dat is wat er in de dagelijkse praktijk gebeurt. Je moet daar dus in staat zijn om in heel korte tijd goed uit te leggen waarom je in bepaalde vormen van security zou investeren. En daar zijn wij als techneuten vaak niet toe in staat.”

Een security consultant zegt daarover: “Geef bedreigingen een gezicht. Ik heb veel bedrijven van binnen gezien, en laten we eerlijk zijn: we doen het niet goed. De meeste financiële instellingen bijvoorbeeld weten niet eens wat ze hebben, dus hoe kun je dat in hemelsnaam beschermen? Daarbij komt dat veel CIO’s heel conservatief zijn, en niet teveel willen veranderen. De CEO is wel aware, de CFO wil investeren, maar de CIO is het probleem. Hij worstelt met de systemen, met het budget. Hij wil niet teveel veranderen. Want availability staat bovenaan, niet security.”

“Als security officer moet je vooral op de risico's wijzen. Het is niet je taak om ervoor te zorgen dat het in praktijk gebeurt. Ik merk bij CISO’s dat er daarover veel frustratie is. Het is de verantwoordelijkheid van de CIO dat het gebeurt. Het probleem ligt aan de basis, en om dat op te lossen moet er veel gebeuren.”

Worstelen
Een van de aanwezigen voegt hieraan toe: “Wij moeten vaak grote bestanden delen met onze klanten. Die zijn te groot voor email. Daar bestaan mooie oplossingen voor. Dan gaan mensen bijvoorbeeld Wetransfer gebruiken. Google bijvoorbeeld heeft de strategie om zoveel mogelijk macht leggen bij de eindgebruiker, met allerlei deel-functionaliteit. Dat zorgt voor een enorm risico voor data. Daar moet je iets mee doen in je security-strategie. Onderwijzen van de mensen hoort daarbij. Je attitude als security officer moet veranderen, want je kunt niet de technologie tegenhouden. Het is een trend, het gaat nu eenmaal die kant op, het zal een keer fout gaan. Je kunt security niet eer centraal regelen.”

Een ander zegt daarop: : Het is niet mijn taak om te verbieden of toe te staan, ik geef de grenzen aan.” Een collega zegt: “Wij staan formeel niet toe dat je Dropbox gebruikt voor het versturen van bedrijfsdata, maar we gaan het ook niet technisch blokkeren. Wij doen het op het gebied van beleid.” Daar worstelen meer CIO’s en CISO’s mee: “We hebben een gekeken hoeveel mensen vanuit ons bedrijfsdomein op dropbox inlogden, en dat was een heel hoog aantal.”

Ook compliancy speelt hierin een rol, zegt een deelnemer uit de financiële sector: “We hebben ons gecommitteerd aan een beleid dat we geen data buiten Europa brengen. Dit betekent dat je diensten als Wetransfer en Dropbox niet eens mag gebruiken, hoe handig ze ook zijn. Sterker nog, het is ronduit dom die diensten te verbieden. Luister in plaats daarvan naar de business, en vraag waarom ze die diensten gebruiken. En biedt alternatieven. geef ze een dienst die ze kunnen gebruiken.”

En als altijd komt het aan op de gebruikers: “Je kunt nog zoveel geld stoppen in technologie, maar als ze een password kiezen dat in het woordenboek staat is het systeem in vier seconden gekraakt.”

Terug naar video overzicht

Tags

Security
Security