Het Security team van inspearit hanteert als motto “Sturen op vertrouwen, bouwen aan vertrouwen”. Die nadruk op vertrouwen, dat klinkt vreemd voor een team dat zich met security bezig houdt. Geldt op dat terrein juist niet de uitspraak van de Russische leider Lenin, uit 1921: “Vertrouwen is goed, controle is beter”? Wij denken van niet! Of, beter gezegd, wij brengen de juiste nuance aan in deze uitspraak. In een vijftal blogs leggen we uit waarom en hoe.
In deze blog beschrijft Marc Chang Sing Pang hoe informatiebeveiliging een traditie heeft om op basis van risico’s maatregelen te nemen in het (bedrijfs)proces en te controleren hoe effectief de maatregelen zijn. “Deze aanpak loopt spaak bij het uitbesteden van een proces naar de cloud omdat je geen inzicht krijgt in het proces wat binnen de cloud afspeelt. Hoe gaan we dit aanpakken?”
Traditionele aanpak
Informatiebeveiliging heeft sinds de laatste revisie van ISO 2700x de volgende aanpak:
- bepaal welke informatie belangrijk voor het bedrijf is en wat de waarde ervan is
- bepaal welke bedreigingen er zijn waardoor de waarde van de informatie verloren gaat of beschadigd wordt
- bepaal en selecteer maatregelen die je tijdens het verwerken van de informatie (het proces) toepast om mogelijke schade te beperken
- implementeer de maatregelen in het (bedrijfs)proces
- monitor de effectiviteit van de maatregelen, pas ze zo nodig aan, voeg nieuwe maatregelen toe of haal ineffectieve maatregelen juist weg.
Deze methodiek werkt heel goed als je inzicht hebt in het proces en als je maatregelen kan nemen.
Cloud computing en maatregelen nemen
Laten we bekijken wat er gebeurt als je delen van je proces uitvoert met behulp van cloud computing diensten. De cloud computing dienst beschrijft precies wat voor input het verwacht, en wat voor output er dan gegenereerd wordt, met een opgave van de benodigde tijd en kosten. Als afnemer van de dienst scheelt je dit een heleboel hoofdbrekens zoals: Hoe richt ik het proces in? Doe ik het op de goede manier? Hoe optimaliseer ik het proces? Als afnemer van de dienst let je alleen op kosten, doorlooptijd en natuurlijk de kwaliteit van het geleverde product.
Het proces en wel/niet willen weten hoe het werkt
Hoe past de traditionele aanpak van informatiebeveiliging in “het nieuwe werken” met een cloud computing dienst? Slecht, zou ik zeggen. Aan de ene kant moet bekend zijn hoe het proces van de dienstverlening loopt om de informatiebeveiligingsmaatregelen te bepalen en te implementeren. Als organisatie wil je weten welke bedreigingen er zijn en wanneer de informatie aan bedreigingen blootgesteld wordt “binnen in” de cloud computing dienst. Tegelijkertijd wil je als afnemer van de dienst niet weten hoe dat proces in elkaar zit. De cloud provider is immers verantwoordelijk voor de interne werking van een cloud computing dienst.
En om het helemaal af te maken: zelfs als je de interne werking van de cloud dienst zou weten, dan kan het zijn dat de cloud computing provider morgen beslist om het op een net iets andere manier te doen. Immers, de cloud computing provider is verantwoordelijk voor het interne proces van de cloud dienst en mag die naar eigen inzichten aanpassen. Hoe hou je nog bij of je maatregelen ook nog valide zijn in het veranderende proces?
De huidige vormen van informatiebeveiliging in cloud computing hinken voor een deel nog op de oude methoden. Auditors bekijken de interne processen van de cloud computing provider en verklaren dat er de juiste maatregelen genomen worden. Hierbij vertrouwen we wel de beoordeling van een voor ons onbekende partij. Terwijl we onze cloud computing partner zelf niet vertrouwen.
Wanneer vertrouwen we elkaar zodat we kunnen leren van elkaars fouten?
Mijn droom is dat er een volgend niveau van informatiebeveiliging bereikt wordt. Op dit niveau toont de cloud computing provider aan dat hij/zij een goed begrip heeft van de actuele en toekomstige bedreigingen op de informatie. Deze “awareness” van het “slagveld” wordt aangetoond door regelmatige evaluaties van het “slagveld” en het pro-actief aanpassen van de maatregelen op veranderingen. Een cloud computing provider toont deze houding aan door zijn aanpassingen in het verleden en de omgang met en responses op onverwachte beveiligingsincidenten openbaar te publiceren. Met dit track record bouwt een cloud computing provider vertrouwen op.
De beste cloud computing providers leveren dus niet alleen een dienst of functionaliteit aan tegen voorspelbare tijd en geld maar leveren tegelijkertijd ook een voldoende niveau van informatiebeveiliging én bewijs van een zeker mate van agility om in te kunnen spelen op veranderende beveiligingseisen. Als cloud consumer geeft mij dit het vertrouwen om met een dergelijk bedrijf in zee te gaan.
Daarbij kijk ik als consument met bewondering naar de manier waarop de luchtvaartsector omspringt met incidenten. Wanneer daar een ongeval plaatsvindt, dan wordt het ongeval tot in de kleinste details geanalyseerd en onderzocht. De resultaten worden met iedereen in de industrie gedeeld. Luchtvaartmaatschappijen leren van het ongeval en nemen maatregelen (individueel of in samenwerkingsverbanden) zodat dergelijke ongevallen in de toekomst voorkomen worden. Het idee is dat een incident schadelijk is voor de gehele sector. De gehele luchtvaartsector heeft zich dan ook als doel gesteld om incidenten te voorkomen in de toekomst.
Mijn droom is dat bedrijven in de cloud computing providers op een vergelijkbare manier om zullen gaan met beveiligingsincidenten. Niet meer angstvallig geheim houden, maar elkaar op de hoogte houden zodat de sector als geheel zich kan wapenen tegen nieuwe bedreigingen. Een eerste stap daartoe is gezet in een wetsvoorstel dat een verplichte meldplicht voorschrijft voor de (rijks)overheid en vitale sectoren.
Controle is goed. Vertrouwen in elkaar en op de juiste manier omgaan met incidenten vind ik beter.