13-06-2014

‘Security is voor veel mensen een zwart gat’


Bijna elke CISO of CIO krijgt ermee te maken: er moet een roadmap voor IT Security opgesteld worden en door de Board worden goedgekeurd. Deze roadmap moet helpen om de veiligheid in de IT systemen zo snel mogelijk naar een hoger plan brengen en daar houden. Dit is dus nadrukkelijk geen technische roadmap. Van gewone gebruikers tot aan topbestuurders moet de roadmap begrepen worden. Dit is niet alleen een leuke opdracht, maar ook een uitdagende. Tijdens de Executive People CIO Round Table sprak Sjoerd Blüm, Manager IT Security bij NN Groep over zijn ‘lessons learned’.

“Het opstellen van een IT Security Roadmap is vooral leuk”, zegt Sjoerd Blüm, IT Security Manager bij NN Groep, voorheen ING Insurance. “Ook het neerzetten van die roadmap in de organisatie is een geweldige exercitie. Je hebt wel te maken met veel borden tegelijk om op te schaken. Daarom is het goed om voor je begint over een paar belangrijke vragen na te denken: wat is het ambitieniveau, wat wil je bedrijf worden op het gebied van security? Heeft IT daar zelf over nagedacht? Heeft de board erover nagedacht? Dan komt het bepalen van een punt aan de horizon, de nulmeting. Dat wordt het startpunt voor de IT Security Roadmap.”

In de financiële sector wordt invoering van de security-strategie sinds enige tijd eenvoudiger gemaakt door de zogenoemde DDOS-blessing. De grootschalige DDOS-aanvallen waar banken mee te maken hebben gehad hebben de sense of urgency bij raden van bestuur aanzienlijk vergroot, en het is daardoor minder moeilijk voor security officers om toegang te krijgen tot die board.

Ver-van-mijn-bed show

Het opstellen van een IT Security Roadmap is echter één ding. Cruciaal is vervolgens om de mensen erachter te krijgen. Dat heeft zowel een kwantitatieve als een kwalitatieve kant. Geld uitgeven is het eenvoudig, maar hoe bereken je de benefits? Veel organisaties vervallen in een theoretische ver-van-mijn-bed show. De uitdaging is het verhaal begrijpelijk te vertellen.

Na de approval stap volgt het doen. Daarin is een hindernis vaak dat de IT-afdeling wordt gevormd door technische mensen, die niet altijd van nature de veranderaars zijn in een organisatie. Er zijn bovendien veel andere mensen betrokken bij dergelijke projecten. Zoals een van de aanwezigen het formuleerde: hoe houd je alle kikkers in de wagen? Het zijn over het algemeen niet de meest herenbare trajecten voor medewerkers, en security is niet voor iedereen urgent.

Dit leidt tot een discussie over het belang van awareness. Acceptatie door gebruikers is essentieel. Er moet basis-awareness zijn, om vervolgens tot een meer specifieke invulling te komen. Dat is vaak een proces in meerdere stappen. De basisboodschap neerzetten voor de hele groep kan door middel van brede broadcasting. Dat kan overal zorgen voor een zelfde mate van awareness. Daarnaast is het zaak bepaalde specifieke groepen, zoals developers, asset owners en product managers er gericht bij te betrekken.

Mobiele security is uitdaging

Een hot topic tijdens het debat blijkt voor de meeste deelnemers mobiel te zijn. Dat levert op securitygebied weer heel eigen uitdagingen op. Dit blijkt onder meer bij het invoeren van een enterprise appstore door een van de aanwezigen bij een financiële instelling. bank. Security is voor desktop en notebooks over het algemeen technisch goed geregeld. De uitdaging zit op andere gebieden. Bijvoorbeeld wanneer security wordt ingevuld met een identificatiepas, want die past niet in een tablet of smartphone. Dat zijn zaken waar, zeker gezien het groeiende aantal tablets en smartphones, veel aandacht aan besteed moet worden.

De exacte aanpak volgt natuurlijk uit de behoefte van de business. Maar omdat de implementatie ook speelt op het niveau van de IT infrastructuur kan die andere mindset zorgen voor botsingen, zegt een van de aanwezigen. Want IT wil vooral voorzichtig zijn. Alles moet uitgebreid worden getest en volledig goedgekeurd. Bij voorkeur lopen ze een paar versies achter. “Onze business wacht al een hele tijd op mobile solutions door deze instelling van IT.”

Een andere aanwezige heeft hier als projectmanager eveneens ervaring mee. Het is volgens hem een zaak van veel praten en uitleggen. Security is niet wezenlijk anders dan andere projecten, maar men denkt er niet vanzelf aan. Het is voor veel mensen een zwart gat. Het moet dus concreet worden gemaakt. Sjoerd Blüm voegt hieraan toe dat hij zelf heeft gekozen voor een heldere tagline: Safe simpel secure. Safe: klanten vertrouwen ons hun gegevens toe, die moeten veilig zijn. Simple: we moeten het kunnen uitleggen, niet te ingewikkeld. Secure gaat over de kwaliteit, je moet het gewoon goed doen.

Geen sluitpost

Een belangrijk onderdeel van de IT Security Roadmap, dat echter maar al te vaak onderbelicht blijft, is de audit. Dat leverde discussie op tussen de aanwezige IT-ers en een auditor. De laatste pleitte ervoor dat auditors in een vroegtijdig stadium inzicht krijgen in de afwegingen die zijn gemaakt. “Mijn ervaring is dat auditors daar realistisch mee omgaan. In praktijk worden we er vaak bij betrokken. Een keer ben ik zelfs een dag van tevoren gevraagd om controls te accorderen.”

Op powerplay reageren auditors volgens hem allergisch. “De auditor gaat het erom dat het aan het eind een goede en deugdelijke grondslag heeft. Hij wil niet gestresst of gehaast worden, anders doet hij zijn werk niet goed, Geef hem die ruimte. Neem hem mee. Sommigen verliezen in een project de realiteit uit het oog, daar wordt een auditor voor aangewezen, om ervoor te zorgen dat het niet uit de hand loopt.”

Daar was een andere aanwezige het mee eens. “Ik ben op dat gebied ervaringsdeskundige. In mijn jeugdige enthousiasme was ik bij een van mijn eerste projecten vergeten de auditor erbij te betrekken. Ik had alles gemanaged, dacht ik, maar op het laatste moment heeft de auditor het stilgelegd. Ik heb mijn les geleerd, blijf nu altijd nadenken over de vraag wie het project kan tegenwerken.”

MvdH

 

Terug naar video overzicht

Tags

Security