Vertrouwen: noodzakelijk bij informatiebeveiliging en cloud computing

Het Security team van inspearit hanteert als motto “Sturen op vertrouwen, bouwen aan vertrouwen”. Die nadruk op vertrouwen, dat klinkt vreemd voor een team dat zich met security bezig houdt. Geldt op dat terrein juist niet de uitspraak van de Russische leider Lenin, uit 1921: “Vertrouwen is goed, controle is beter”? Wij denken van niet! Of, beter gezegd, wij brengen de juiste nuance aan in deze uitspraak. In een vijftal blogs leggen we uit waarom en hoe.

In deze blog beschrijft Marc Chang Sing Pang hoe informatiebeveiliging een traditie heeft om op basis van risico’s maatregelen te nemen in het (bedrijfs)proces en te controleren hoe effectief de maatregelen zijn. “Deze aanpak loopt spaak bij het uitbesteden van een proces naar de cloud omdat je geen inzicht krijgt in het proces wat binnen de cloud afspeelt. Hoe gaan we dit aanpakken?”

Traditionele aanpak

Informatiebeveiliging heeft sinds de laatste revisie van ISO 2700x de volgende aanpak:

  • bepaal welke informatie belangrijk voor het bedrijf is en wat de waarde ervan is
  • bepaal welke bedreigingen er zijn waardoor de waarde van de informatie verloren gaat of beschadigd wordt
  • bepaal en selecteer maatregelen die je tijdens het verwerken van de informatie (het proces) toepast om mogelijke schade te beperken
  • implementeer de maatregelen in het (bedrijfs)proces
  • monitor de effectiviteit van de maatregelen, pas ze zo nodig aan, voeg nieuwe maatregelen toe of haal ineffectieve maatregelen juist weg.

Deze methodiek werkt heel goed als je inzicht hebt in het proces en als je maatregelen kan nemen.

Cloud computing en maatregelen nemen

Laten we bekijken wat er gebeurt als je delen van je proces uitvoert met behulp van cloud computing diensten. De cloud computing dienst beschrijft precies wat voor input het verwacht, en wat voor output er dan gegenereerd wordt, met een opgave van de benodigde tijd en kosten. Als afnemer van de dienst scheelt je dit een heleboel hoofdbrekens zoals: Hoe richt ik het proces in? Doe ik het op de goede manier? Hoe optimaliseer ik het proces? Als afnemer van de dienst let je alleen op kosten, doorlooptijd en natuurlijk de kwaliteit van het geleverde product.

Het proces en wel/niet willen weten hoe het werkt

Hoe past de traditionele aanpak van informatiebeveiliging in “het nieuwe werken” met een cloud computing dienst? Slecht, zou ik zeggen. Aan de ene kant moet bekend zijn hoe het proces van de dienstverlening loopt om de informatiebeveiligingsmaatregelen te bepalen en te implementeren. Als organisatie wil je weten welke bedreigingen er zijn en wanneer de informatie aan bedreigingen blootgesteld wordt “binnen in” de cloud computing dienst. Tegelijkertijd wil je als afnemer van de dienst niet weten hoe dat proces in elkaar zit. De cloud provider is immers verantwoordelijk voor de interne werking van een cloud computing dienst.

En om het helemaal af te maken: zelfs als je de interne werking van de cloud dienst zou weten, dan kan het zijn dat de cloud computing provider morgen beslist om het op een net iets andere manier te doen. Immers, de cloud computing provider is verantwoordelijk voor het interne proces van de cloud dienst en mag die naar eigen inzichten aanpassen. Hoe hou je nog bij of je maatregelen ook nog valide zijn in het veranderende proces?

De huidige vormen van informatiebeveiliging in cloud computing hinken voor een deel nog op de oude methoden. Auditors bekijken de interne processen van de cloud computing provider en verklaren dat er de juiste maatregelen genomen worden. Hierbij vertrouwen we wel de beoordeling van een voor ons onbekende partij. Terwijl we onze cloud computing partner zelf niet vertrouwen.

Wanneer vertrouwen we elkaar zodat we kunnen leren van elkaars fouten?

Mijn droom is dat er een volgend niveau van informatiebeveiliging bereikt wordt. Op dit niveau toont de cloud computing provider aan dat hij/zij een goed begrip heeft van de actuele en toekomstige bedreigingen op de informatie. Deze “awareness” van het “slagveld” wordt aangetoond door regelmatige evaluaties van het “slagveld” en het pro-actief aanpassen van de maatregelen op veranderingen. Een cloud computing provider toont deze houding aan door zijn aanpassingen in het verleden en de omgang met en responses op onverwachte beveiligingsincidenten openbaar te publiceren. Met dit track record bouwt een cloud computing provider vertrouwen op.

De beste cloud computing providers leveren dus niet alleen een dienst of functionaliteit aan tegen voorspelbare tijd en geld maar leveren tegelijkertijd ook een voldoende niveau van informatiebeveiliging én bewijs van een zeker mate van agility om in te kunnen spelen op veranderende beveiligingseisen. Als cloud consumer geeft mij dit het vertrouwen om met een dergelijk bedrijf in zee te gaan.

Daarbij kijk ik als consument met bewondering naar de manier waarop de luchtvaartsector omspringt met incidenten. Wanneer daar een ongeval plaatsvindt, dan wordt het ongeval tot in de kleinste details geanalyseerd en onderzocht. De resultaten worden met iedereen in de industrie gedeeld. Luchtvaartmaatschappijen leren van het ongeval en nemen maatregelen (individueel of in samenwerkingsverbanden) zodat dergelijke ongevallen in de toekomst voorkomen worden. Het idee is dat een incident schadelijk is voor de gehele sector. De gehele luchtvaartsector heeft zich dan ook als doel gesteld om incidenten te voorkomen in de toekomst.

Mijn droom is dat bedrijven in de cloud computing providers op een vergelijkbare manier om zullen gaan met beveiligingsincidenten. Niet meer angstvallig geheim houden, maar elkaar op de hoogte houden zodat de sector als geheel zich kan wapenen tegen nieuwe bedreigingen. Een eerste stap daartoe is gezet in een wetsvoorstel dat een verplichte meldplicht voorschrijft voor de (rijks)overheid en vitale sectoren.

Controle is goed. Vertrouwen in elkaar en op de juiste manier omgaan met incidenten vind ik beter.

DEEL DIT ARTIKEL
VOLG ONZE BLOGS

Gerelateerde blog artikelen

  • SAFe een verkapte waterval? Echt niet!

    Erik Borgers blogt: "SAFe roept naar mijn ervaring regelmatig emotie op. Een terugkerend verwijt is dat het eigenlijk 'verkapte waterval' is."

    Lees verder
  • Het fysieke Kanban of Scrum bord

    Is er in een wereld met verregaande automatisering nog wel ruimte voor fysieke Kanban of Scrum borden? Dat is een vraag die ik mij regelmatig stel.

    Lees verder
  • Wat is nieuw in SAFe 4.0 (deel 2) - 'Solution intent’

    In dit tweede deel van mijn serie blogs over SAFe (Scaled Agile Framework) 4.0 bespreek ik een voor mij ondergeschoven kindje in agile: ‘Solution intent’.

    Lees verder
  • Wat is nieuw in SAFe 4.0 (deel 3) - Meer flexibiliteit met het 'Spanning palette'

    Brian Teunissen vertelt over het palet aan resources en items binnen SAFe die niet aan één team kunnen worden toegewezen.

    Lees verder
  • Wat is nieuw in SAFe 4.0 (deel 4) - Kanban op alle lagen

    De definitie van Kanban uit wikipedia luidt: Kanban (van het Japanse kan ‘visueel’ en ban ‘kaart of bord’) is een concept gebruikt in lean manufacturing en just-in-timeproductie.

    Lees verder
  • Wat is nieuw in SAFe 4.0 (deel 6) - Foundation layer

    SAFe 4.0 leunt op fundamenten zoals Lean and agile leaders en Communities of Practice, maar ook Core values en SAFe principles. Brian Teunissen licht deze toe.

    Lees verder
  • Wat is nieuw in SAFe 4.0 (deel 7) - Multiple portfolio’s

    In het 7e en laatste deel van de serie blogs over SAFe 4.0 gaat hij in op "Multiple portfolio’s". Een nauwelijks te vinden, maar significante aanvulling op het framework.

    Lees verder
  • Maak kennis met SAMM

    inspearit heeft samen met de Belastingdienst SAMM ontwikkeld.

    Lees verder
  • Eet je eigen hondenvoer!

    Eén van mijn principes luidt: Pas een agile werkwijze toe bij het implementeren van agile werkwijzen. "Ja, logisch toch?" zullen de meeste agilisten denken. Maar probeer dat maar eens vol te houden bij grootscheepse implementaties bij traditioneel aangestuurde organisaties. Toch loont het om de verandering zo snel mogelijk agile aan te pakken.

    Lees verder
  • De zwaluw die wél zomer maakt

    ‘Agile werken’ en ‘Scrummen’ worden steeds breder in de organisatie toegepast. Dat leidt tot doelgerichte zelforganisatie die berust op autonomie, meesterschap en zingeving.

    Lees verder
  • Wat is nieuw in SAFe 4.0 (deel 5) - Onderscheid ‘Business operation’ value stream en de ‘IT life cycle’

    In dit 5e deel van een serie blogs over SAFe 4.0 laat ik zien dat er nu beter onderscheid wordt gemaakt tussen de ‘Business operation’ value stream en de ‘IT life cycle’ value stream.

    Lees verder
  • Eerste antipatronen bij Scaling Agile

    Brian Teunissen vertelt over hoe in de praktijk de voordelen van SAFe worden ondermijnd door drie grote antipatronen.

    Lees verder
  • De Agile Architectuur Pizza

    Als agile architectuurcoach is er voor mij niets leukers om mensen met agile Frameworks te leren werken en daartoe soms diepgaande discussies te voeren over WIP limieten en WSJF-en.

    Lees verder
  • Hoe Agile en Security hand in hand gaan

    Beveiliging en agile ontwikkeling kunnen wél hand in hand gaan en vertrouwen geven dat producten naast functionaliteit ook veiligheid bieden

    Lees verder
  • Autorisaties binnen agile teams

    Michiel Broekhuijsen blogt over een oplossing voor dit veelgehoorde pijnpunt.

    Lees verder
  • Jongen, ben jij wel bang genoeg?

    Eric Nieuwland blogt: "Informatiebeveiligers zijn soms lastige zeurkousen. Uit angst voor incidenten zeggen ze al 'nee' voor ze begrijpen wat je wilt. Dat kan anders."

    Lees verder
  • De taaie kant van Scaling Agile

    Agile organisatiebreed implementeren is een hele kluif. Brian Teunissen raadt iedereen die van start gaat met het opschalen van Agile aan om zich vooral ook te verdiepen in verandermanagement.

    Lees verder
  • Scaling Agile, van trend naar gevestigde orde

    Blog van Brian Teunissen met zijn visie op de agile trend en de verschillende scaling frameworks

    Lees verder
  • ​Informatiebeveiliging versus Privacymanagement, wie wint de slag?

    In dit (gratis) event zullen de tegenstellingen tussen privacy - en informatiebeveiligingsmanagement onder een vergrootglas worden gelegd.

    Lees verder
  • 5 tips om je agile transformatie te laten mislukken

    In deze blog een vijftal concrete tips om de kans op een geslaagde agile transformatie flink te verkleinen of vertragen. Tip: stuur deze blog door naar je grootste concurrent! Of lees 'm zelf nog eens na voor alle zekerheid...

    Lees verder
  • Van Scrum team naar agile organisatie - vierde ontwikkelingsfase

    Ditmaal beschrijft Brian Teunissen de vierde ontwikkelfase om van Scrum team tot Agile organisatie te komen.

    Lees verder
  • Van Scrum team naar agile organisatie - vijfde ontwikkelingsfase

    Brian Teunissen blogt over de laatste van de vijf ontwikkelingsfasen om van Scrum team door te groeien naar een Agile organisatie.

    Lees verder
  • Pak die banaan!

    Blog van Brian Teunissen over het veel eenvoudiger budgetteren bij scaling agile.

    Lees verder
  • Melk produceren of poepscheppen

    Blog van Brian Teunissen over de productiviteit van Agile teams.

    Lees verder
  • Van Scrum team naar agile organisatie - eerste ontwikkelingsfase

    In een serie van 5 blogs gaat Brian Teunissen in op de ontwikkelingsfasen waarmee een (organisatie)structuur zich aan kan passen aan een agile werkwijze.

    Lees verder
  • Paradigmaverschuivingen bij Scaling Agile

    Brian Teunissen: In deze blog geef ik een overzicht van paradigma verschuivingen die een organisatie door moet bij het opschalen van agile werken

    Lees verder
  • Van Scrum team naar agile organisatie - derde ontwikkelingsfase

    Brian Teunissen vertelt over ontwikkelingsfase 3: fysieke product of domein afdelingen, al dan niet aangevuld met Operations.

    Lees verder
  • Van Scrum team naar agile organisatie - tweede ontwikkelingsfase

    Brian Teunissen beschrijft Agile ontwikkelingsfase 2: virtuele product teams over functie afdelingen heen.

    Lees verder
  • Is Agile werken voorspelbaar?

    Is Agile werken voorspelbaar? "Ja en nee", vindt Brian Teunissen.

    Lees verder
  • Luitenant Borgers

    Alhoewel je het uit de titel waarschijnlijk niet direct zult halen, deze blog gaat 'dus' over het schalen van Agile teams. De volhardend lezer beloon ik met concrete ideeën hoe mensen aan te zetten om een goed lopend team van teams te vormen.

    Lees verder
  • Ga goed voorbereid 2017 in!

    Ga goed voorbereid 2017 in! Je ontvangt nu nl. 17% korting op alle opleidingen die nog in 2016 gepland staan.

    Lees verder
  • Privacy

    Toen mijn grootmoeder mijn vader kwam inschrijven bij de burgerlijke stand, werd zijn achternaam voorgoed veranderd vanwege een defecte typemachine. De letter "Y" deed het niet meer, waarop de beste ambtenaar (behulpzaam als hij was) de letters "IJ" in plaats daarvan gebruikte (je hoort het verschil toch niet). Daarmee werd figuurlijk gezien een streep gezet door mijn familie stamboom.

    Lees verder
  • Het architectentheekransje

    Hier volgt een sprookje over een kennisgroep van architecten. Je kent ze wel, die clubjes die eens in de tijd bijeenkomen om gezamenlijke visies, strategieën en concrete doelen te definiëren en dan uit elkaar gaan om van alles te realiseren. Dit verhaal vertelt over hun Ups en Downs. Totdat ze samen nieuwe manieren van werken ontdekten. Herken je zaken? Doe er je voordeel mee!

    Lees verder
  • Security & DevOps: toekomstmuziek?

    Michiel Broekhuijsen wil je meenemen op een reis naar de nabije toekomst. We bezoeken een organisatie waarbij ontwikkeling, security en operations (z.g. DevSecOps) volledig zijn geïntegreerd...

    Lees verder
  • 10 eenvoudige verbetervoorstellen voor Agile architectenteams

    Ben je architect en doe je (in teamverband) voorbereidend werk voor één of meer Scrum ontwikkelteams? Hierbij 10 concrete tips die jou en je architectenteam verder helpen te verbeteren.

    Lees verder
  • Het "Juniper effect"

    Op 21 december 2015 liet Juniper (leverancier van o.a. firewall producten) weten dat ze ongeautoriseerde code hebben ontdekt, die door kwaadwillende als een backdoor kunnen worden gebruikt. Het is mogelijk dat via backdoor om versleutelde VPN verbindingen af te luisteren en/of toegang te krijgen de firewall een SSH verbinding te krijgen door middel van een ingebakken wachtwoord.


    Lees verder
  • De Agile Architect: de ultieme klimgeit?

    Agile werken lijkt voor de IT eerder regel dan uitzondering te worden. Maar bedreigen die "agile teams" het zo zorgvuldig door enterprise architecten bewaakte gedachtengoed niet? Hoe zorgen architecten ervoor dat de uiteindelijke architectuurdoelen anno 2013 geborgd blijven? In deze blog wil ik daar mijn inzichten met u over delen.

    Lees verder
  • TOGAF: radioactief materiaal voor organisaties?

    Ik geef al jaren les in TOGAF en dat kent een interessant aanvangspatroon. Op de eerste dag kom ik binnen met een hele grote doos met die vuistdikke TOGAF boeken.

    Lees verder
  • Rokjesdag voor architecten

    Waar gebeurd. Aan een door mij onlangs gegeven training voor architecten nam zowaar een vrouw deel. In mijn praktijk is dat behoorlijk zeldzaam! Gedurende de lunch dacht ik: daar wil ik wel iets meer van weten. We raakten aan de praat en ik vroeg naar haar rol.

    Lees verder
  • Round Table Scaling Agile zeer succesvol

    Op 5 oktober jl. vond op het landgoed ‘Zonheuvel’ een Round Table plaats met als thema: ‘Scaling Agile: Boardroom besluit of IT feestje?” O.l.v. Marco de Jong en Brian Teunissen werd deze vraag bediscussieerd door 16 genodigden van uiteenlopende organisaties.

    Lees verder
  • Scrum voor informatiemanagement: 5 hindernissen om te overkomen

    Ik coach informatiemanagement om Scrum te gebruiken. De verschillende rollen hebben elkaar veel te bieden en samen kunnen ze fantastische producten maken. De praktijk is echter weerbarstig. Wat zijn typische belemmeringen en wat doe je er tegen?

    Lees verder
  • Agile transformatie: het slechten van de grenzen

    "De agile en digital coaches en consultants van inspearit helpen de huidige grenzen aan agility te slechten en deze tot enablers te maken. Wij maken bij onze klanten aan den lijve mee wat het betekent om een organisatie te veranderen", blogt Sandra Schreppers.

    Lees verder
  • ​Agile Assessments: heaven or hell?

    Erik Borgers vertelt in zijn blog hoe een agile assessment best ingewikkeld kan zijn als je écht iets aan de resultaten wilt hebben.

    Lees verder
  • Op weg naar een High Performance Overheid

    Op initiatief van projectmanagers van UWV, de Belastingdienst, DUO en I-Interim Rijk werd op 10 mei jl. het seminar ‘op weg naar een High Performance Overheid’ gehouden voor medewerkers van de overheid.


    Lees verder
  • Faalangst-cultuur

    Gaat Agile tot een teleurstelling leiden als het organisaties niet lukt om hun faalangst-cultuur om te buigen?

    Lees verder
  • Werken Agile teams ook internationaal?

    Erik Borgers Blogt: Het toepassen van agile is vaak een stuk lastiger in grote internationale organisaties.Voor mij gaat het echt te ver als de globalisering dwars door teams gaat lopen.

    Lees verder
  • LeSS principes leggen de basis voor het Scaled Agile Model bij de Nationale Politie

    inspearit heeft samen met de Nationale Politie een agile samenwerkingsmodel ontwikkeld gericht op snelheid en wendbaarheid in een continue verbetercyclus.

    Lees verder
  • Aankondiging nieuwe cursussen Privacy en persoonsgegevens

    Om de ‘nieuwe’ Europese verordening gegevensbescherming (AVG) te kunnen vertalen naar de dagelijkse praktijk bieden we binnenkort twee nieuwe cursussen.

    Lees verder
  • Wat is nieuw in SAFe 4.0 (deel 1) - 'Value Stream'

    In dit 1e deel van een serie blogs over SAFe (Scaled Agile Framework) 4.0 bespreekt Brian de meest significante vernieuwing van deze versie; de 'Value Stream' laag.

    Lees verder
  • De scholingsvouchers van het UWV zijn helaas op, maar...

    De scholingsvouchers van het UWV zijn helaas op! Maar ben je werkzoekend en wil je je carrière vervolgen in de IT en heb je net misgegrepen? Wij helpen je toch graag verder.

    Lees verder
  • In the cloud we trust?

    Het nieuws dat de zgn. Safe Harbor Agreement door het Europese hof ongeldig is verklaard heeft voor een ware schokgolf gezorgd in de privacy- en informatiebeveiligingswereld.

    Lees verder
  • Round Table “De waarde van Agile: wie bepaalt dat?”

    Op donderdag 29 juni vond in Kasteel Sterkenburg een geslaagde Round Table discussie plaats rondom het thema “De waarde van Agile: wie bepaalt dat?”.

    Lees verder
  • Kerstwensboom

    December is dé maand om stil te staan bij het afgelopen jaar en vooruit te blikken op de toekomst. Maar ook om iets bijzonders te doen voor een ander. Wie in jouw omgeving wil jij verrassen met een opleiding naar keuze bij cibit academy?

    Lees verder
  • Digital Transformation en Business Analyse

    inspearit sponsorde het IIBA jaarcongres 2017. Het werd afgelopen dinsdag 14 november een goed bezochte en interessante bijeenkomst. Het thema: ‘Digital Transformation en Business Analyse’. Het vraagstuk werd door de sprekers uit verschillende invalshoeken belicht. 

    Lees verder
  • (ISC)² vernieuwt CISSP examen

    Belangrijk nieuws voor iedereen die aan het leren is voor het (ISC)² CISSP examen. Lees verder.

    Lees verder