Een security framework gebruiken geeft rust

niv-singer-520292-unsplash

Wanneer is een organisatie, systeem of product veilig genoeg? Deze vraag komen we in de praktijk veelvuldig tegen. En ondanks het feit dat we al heel lang actief zijn in de wereld van digitale beveiliging, valt hierop geen eenduidig antwoord te geven. Je hoort weleens: ‘zorg dat jouw systemen veiliger zijn dan die van jouw buren, dan breken ze bij jou niet in’. Maar dat gaat niet op voor bijvoorbeeld ‘targeted attacks’. Veel organisaties hebben wel allerhande maatregelen genomen op het gebied van digitale beveiliging, maar ze kennen hun (ware) risicoprofiel nog niet. Ondanks alle nadruk op cybersecurity en digitale weerbaarheid zijn nog veel organisaties ‘onbewust onbekwaam’ of ‘bewust onbekwaam’.

Secura is een kenniscentrum op het gebied van digitale veiligheid. Wij helpen onze klanten om de beveiliging op een hoger niveau te brengen. We benaderen het onderwerp digitale beveiliging op een holistische manier: mensen, proces en techniek (zie figuur).

Secura-300x300

Het niveau van beveiliging zal op elk van deze domeinen goed geregeld moeten zijn, om een goede beveiliging van een organisatie met bijbehorende systemen en producten te waarborgen.

Standaarden en normenkaders

Hoe kunnen we digitale veiligheid nu meer in kaart brengen? Onze ervaring is, dat het gebruik van standaarden en ‘security metrics’ hierbij helpt. Wij proberen deze te gebruiken om er mensen, processen en systemen tegenaan te houden, om zodoende een meer objectieve maatstaf te hanteren in het meten van security.

Als het gaat om mensen, dan zijn er allerhande trainingsprogramma’s die helpen om mensen op een bepaald kennisniveau te krijgen. Dit kan variëren van awareness-programma’s tot ISACA- (bijvoorbeeld CISA, CISM) en ISC2- (denk aan CISSP) en EC-Council- (CEH, ECSS) certificeringen. Deze garanderen niets, behalve dat een bepaald basiskennisniveau kan worden verondersteld bij de mensen die deze titels hebben.

Als het gaat om processen zijn er allerlei standaarden die controls voorschrijven om security te borgen. De meest bekende standaard is ISO 27001. Hierop bestaan allerlei varianten (NEN 7510, BIO, Cyber Essentials en andere). Verder zijn er allerhande standaarden voor software-ontwikkelprocessen (Secure Software Development Lifecycle) en assessments daarop (bijvoorbeeld OWASP SAMM). Ook hiervoor geldt dat het hebben van een certificaat geen garantie is op security, maar wel helpt in het verhogen van de security-graad binnen een organisatie (ook afhankelijk van het ‘statement of applicability’).

Kijken we naar techniek (software, systemen en producten), dan zijn er allerlei standaarden en guidelines die kunnen helpen om security te verifiëren. Zo is er de OWASP Top 10 (in verschil­lende varianten) voor webapplicaties. En kennen we de IEC 62443-standaard voor Industrial Control Systems (en andere embedded systemen). Voor cloud-applicaties bestaan er de guidelines van de Cloud Security Alliance (CSA). Voor IoT zijn er bijvoorbeelden standaarden van OWASP en van IoT Security Foundation. Er zijn specifieke standaarden in de maak voor de digitale beveiliging van auto’s (ISO-SAE AWI 21434) en medische apparatuur (ISO 14971). Elk van deze standaarden kan helpen bij het in kaart brengen en het vergroten van de volwassenheid van de digitale veiligheid van deze software, systemen en producten.

Security Framework

De visie van Secura is, dat een klant goed in beeld moet hebben welke beveiligingsniveaus gewenst zijn binnen zijn organisatie qua mensen, processen en techniek. Het normenkader gaat geen garantie bieden voor digitale veiligheid, maar het kan wel helpen om inzicht te verschaffen en om het algemene beveiligingsniveau te verhogen (en aan te tonen aan de buitenwereld). Het voldoen aan (internationale) standaarden is een manier of een taal om beveiliging op een compacte manier uit te drukken. Als je weet dat een product aan IEC 62443-4-2 voldoet, dan mag je daar een bepaalde verwachting aan hechten.

Het mooiste is als het beveiligingsniveau dat wordt geambieerd door een organisatie, wordt samengevat in een Information Security Management System (ISMS) en een security framework. Het is van belang dat het gewenste beveiligingsniveau van een organisatie expliciet wordt benoemd en dat het juiste normenkader daaraan gehangen wordt.

Resultaat

Het resultaat van een expliciet beveiligingsbeleid en een security framework is, dat een organisatie op een evenwichtiger en meer proactieve manier met beveiliging om kan gaan. Onze ervaring is dat het rust geeft. Minder achter de feiten aan rennen en meer gestructureerd werken. Beveiliging wordt daarmee niet meetbaar zoals een temperatuur of een elektrische stroom. Maar door het gebruik van (internationaal) erkende standaarden en normen wordt beveiliging wel meer inzichtelijk, transparanter en beter vergelijkbaar (benchmarks). Het kan helpen om meer ‘in control’ te komen.

Dirk Jan van den Heuvel is Managing Director van Secura