Security (b)log: Check

Onderbroeken: check. Tandenborstels: check. Telefoonladers: check. Vakantietijd is voor ons de tijd van de checklist. We zijn bang dat we anders iets vergeten mee te nemen dat we in den vreemde nodig hebben of dat op z’n minst erg handig is om te hebben. We hebben dus een lange lijst en die groeit al jarenlang. Toen de kinderen de telefoongerechtigde leeftijd hadden bereikt, moest er een stekkerdoos mee, want we moesten meer apparaten opladen dan de gemiddelde hotelkamer aan stopcontacten ter beschikking stelt. Dit jaar gaat voor het eerst onze handzame elektrische barbecue mee. En dan moet er ook weer een verlengsnoer mee. Check.

Als informatiebeveiliger werk je ook met checklists. Die heten dan bijvoorbeeld ISO27001 en ISO27002, om er maar eens twee te noemen waar ikzelf erg druk mee ben. Het invullen daarvan is echter vele malen moeilijker dan het invullen van mijn vakantielijstje. Een simpel kruisje voldoet daar niet. Je tandenborstel is óf wel, óf niet ingepakt (tenzij je Schrödinger heet). Het voldoen aan een beveiligingsnorm is echter zelden een binaire kwestie. Dat wil nog wel lukken met een norm als “gij zult het gebruik van sterke wachtwoorden afdwingen”. Dat kan de beheerder gewoon instellen. Moet je alleen eerst even de discussie hebben gevoerd wat je verstaat onder een sterk wachtwoord. En je moet het op alle platformen van je organisatie hebben ingericht. Pas dan mag je de norm afvinken.

Maar er zijn dus nogal wat normen die veel moeilijker zijn dan deze. Hier heb ik er zo eentje: “Toegang tot informatie en systeemfuncties van toepassingen behoort te worden beperkt in overeenstemming met het beleid voor toegangsbeveiliging.” Tamelijk willekeurig uit de ISO27002 geplukt. Het begint er al mee dat deze norm veronderstelt dat je beleid voor toegangsbeveiliging hebt. Dat hoeft op zich niet zo moeilijk te zijn: je roept iets als “need to know” en “need to do” en je bent al een heel eind. Alleen blijken er in de praktijk verschillende interpretaties van dat woordje need te zijn. Dat zie je bijvoorbeeld in devops-teams, waar ontwikkeling (development) en exploitatie (operations) door hetzelfde team worden gedaan. De ontwikkelaar had vroeger geen toegang tot de productie-omgeving, maar heeft die nu opeens wel ‘nodig’ omdat de organisatie van zijn werk veranderd is. Als je beveiligingsbeleid alleen maar op de “need to’s” gebaseerd is, dan voldoe je er nog steeds aan, maar had je het ook zo bedoeld? En hoe voldoe je aan zo’n norm als veranderingen in je klantorganisatie ertoe leiden dat data-analisten toegang tot alle informatie moeten krijgen omdat ze vooraf niet weten wat ze nodig hebben? En als dat al complex klinkt, bedenk dan eens wat dit betekent voor een organisatie met vele informatiesystemen en een ICT-afdeling met veel teams. Het is dan een hele klus om zo’n norm op groen te krijgen.

Terugkeren van vakantie is makkelijker. Geen checklist nodig – gewoon alles inpakken wat van jou is. Je moet dan wel goed oppassen dat je ook écht alles meeneemt en niet ergens overheen kijkt. Vlak voor vertrek kijk ik altijd even onder de bedden en tussen de lakens. Er zal maar een knuffel achterblijven… (of – tegenwoordig bijna nog erger – een telefoonlader). Als beveiligers doen we ook wel dingen zonder checklist. Althans, zo lijkt het. Als we ergens over adviseren, dan doen we dat vanuit onze vakkennis, maar uiteindelijk kom je toch altijd bij vragen als “mag dit?” en “hoe kunnen we dit veilig doen?” Gaan we toch weer – al is het maar in gedachten – afvinken.

Je zou kunnen zeggen dat werken voor de informatiebeveiliger één lange vakantie is, want we zijn altijd wel iets aan het afvinken. En op vakantie kun je daar ook onverwacht aan worden herinnerd. Zo kocht ik ooit in Praag een T-shirt met als opschrift de woordgrap Czech mate. Check!

Dit is de laatste Security (b)log voor de zomervakantie.