Heel Holland bakt rust op drie pijlers: receptuur, vakmanschap en
jurering. De thuisbakkers tonen in de tent hoe goed ze in de eerste twee zijn;
voor de derde zijn ze volledig afhankelijk van de smaak van de tweehoofdige
jury.
Ik herken mijn eigen vak
hierin (anders was ik er niet over begonnen). Een recept bestaat uit twee
delen: de lijst van ingrediënten en de bereidingswijze. Onze ingrediënten zijn
virusscanners, firewalls, authenticatie- en autorisatiesystemen, wet- en regelgeving,
normenkaders en gedragsregels – en nog een heleboel meer dingen. De
bereidingswijze geeft aan hoe je deze ingrediënten samen moet verwerken om tot
het beste resultaat te komen. Zoals de bakker per recept bepaalt hoe hard zijn
mixer moet draaien, zo moeten een virusscanner en een firewall geconfigureerd
worden, zodat je in de gegeven omstandigheden tot het gewenste resultaat komt.
Ook het op de juiste wijze
toepassen van wet- en regelgeving, normenkaders en gedragsregels hoort bij de
bereidingswijze, maar dan zijn we inmiddels bij de tweede pijler aanbeland:
vakmanschap. Tweehonderd gram bakmeel, boter en suiker afwegen lukt iedereen
nog wel. Maar wat is de juiste manier om deze te mengen, en wanneer moeten de
eieren erbij? En moet dat dan één voor één of allemaal tegelijk? Maakt het
überhaupt iets uit? Het toepassen van onze beveiligingsregels werkt net zo. Als
je een systeem beheert, dan moet je begrijpen wat zo’n regel in jouw context
betekent, en hoe je haar naar dat systeem vertaalt. Als je eindgebruiker bent –
en dat zijn we allemaal – dan moet je al die regels zien toe te passen op het
gebruik van je laptop, tablet en telefoon. Hoe beter ons aller vakmanschap, hoe
beter het resultaat wordt.
Een cake moet er niet alleen
maar mooi uitzien, hij moet ook eetbaar (en bij voorkeur lekker) zijn. Als je
er een dikke laag glazuur overheen gooit, dat ziet dat er misschien wel strak
uit, maar het ding wordt er ook mierzoet van. Evenzo streven we niet naar maximale
beveiliging, maar naar optimale beveiliging: je moet in de eerste plaats
met een systeem kunnen werken, en dan op zo’n manier dat je beschermd bent
tegen de specifieke dreigingen waar je mee te maken hebt. In de cake-analogie
zou de bakker vanuit gebruiksgemak kunnen denken dat het handig is om de oven
in de hoogste stand te zetten, omdat de cake dan lekker snel klaar is. Daardoor
zal hij echter aan de buitenkant verbranden en binnenin niet gaar worden. De
bakker kiest dus de optimale temperatuur, zodanig dat de binnenkant gaar is
wanneer de buitenkant lekker bruin is.
In onze organisatie heb je
vrije toegang tot het internet; we blokkeren alleen sites met een
beveiligingsrisico en sites die in een categorie vallen die van hogerhand
ongewenst is verklaard (gokken, porno, softwaredownloads, cloudopslag en zo).
Je mag dus overal bij, tenzij het op de blacklist
staat. Ben je echter bijvoorbeeld data-analist, waardoor je bij ‘veel’ gegevens
kunt, dan is het omgedraaid: je mag alleen naar sites die op een whitelist staan, en de inhoud van die
whitelist wordt getoetst. Andersom kan ook: in bepaalde functies moet je zelfs
naar sites kunnen waar gewone medewerkers niets te zoeken hebben. En ook dat is
mogelijk, maar dan verlangen we meer alertheid van de medewerker. Zo gaan
technische en organisatorische maatregelen hand in hand.
In het tv-programma zie je
dat de juryleden regelmatig al tijdens het bakken tips geven en soms zelfs in
een pannetje staan te roeren, als een kandidaat even handen tekort komt. Voor
de beveiligingsadviseur is dat de kern van zijn werk. We roepen niet achteraf
als een jurylid bij een talentenjacht wat je allemaal fout hebt gedaan, maar we
helpen je waar we kunnen om een goed resultaat te halen. Daarbij blijf jij wel
baas in eigen keuken, of in organisatietaal: beveiliging is een
lijnverantwoordelijkheid. Wij helpen je waar nodig aan ingrediënten en we
verbreden en verdiepen waar nodig je vakmanschap met onze inzichten,
bijvoorbeeld als het gaat om het interpreteren van regelgeving.
Is er dan geen jury die
oordeelt over je prestaties op beveiligingsgebied? Maar wel degelijk: het
management. Daar moesten ze in het begin nog wel aan wennen. Maar dat besef
moet zo langzaamaan toch in iedere zichzelf respecterende organisatie zijn
doorgedrongen. En anders helpen we ook op dát gebied graag een handje.
Neem nog een cookie.
En in de grote boze buitenwereld …
... draagt ook de
ouderenbond een steentje bij in de bestrijding van WhatsApp-fraude.
... maakt prof. Robbert
Dijkgraaf zich zorgen over de manier waarop we met onze privacy omgaan.
... konden de Duitse en
Amerikaanse inlichtingendiensten decennialang wereldwijd inlichtingen
verzamelen bij zowel vriend als vijand, dankzij afgezwakte crypto-algoritmes.
Ook Nederland speelde hierin een rol.
· Nederlands
artikel: https://www.vpro.nl/argos/lees/nieuws/2020/cryptoleaks-geheime-evaluatierapporten-CIA-en-BND-uitgelekt.html#
· Amerikaans
artikel: https://www.washingtonpost.com/graphics/2020/world/national-security/cia-crypto-encryption-machines-espionage/
... moet je Emotet niet
onderschatten.
... vormt ransomware een
kostbaar probleem.
... gebruiken bedrijven
andere beveiligingsproducten dan consumenten. AV-TEST testte vijftien corporate solutions.
... verkoopt iemand openlijk
‘kastjes’ waarmee je auto’s kunt stelen. Heb je zo’n auto met keyless entry, berg dan thuis je
sleutels (beide!) op in een gesloten blikje. Dat werkt als een kooi van
Faraday, die geen radiostraling doorlaat.
... lees je hier de laatste
DDoS-trends.
... worden veel mensen
digitaal gestalkt door hun (ex)partner.
... overleeft deze
Android-malware zelfs een factory reset.
... krijgt de verkoop van
gebruikersgegevens door beveiligingsbedrijf Avast nog een staartje.
... moest een
sleutelceremonie voor digitale certificaten worden uitgesteld omdat een fysieke
kluis, waarin wachtwoorden worden bewaard, niet kon worden geopend (boze tongen
beweren dat de sleutel zoek is). Dit overkwam ICANN, de hoeder van het
internet.
... proberen nepwebshops je
op te lichten. Tip uit dit artikel: betaal liever met een creditcard dan met
iDeal, want dan kun je je geld terugvragen als het misgaat.
... misbruiken criminelen
het coronavirus voor phishing-doeleinden.
... gaat het Nederlands
Security Meldpunt je benaderen als je een gehackt IoT-device hebt.
... heeft zelfs Facebook een
Twitter-account, en dat werd gehackt.
Geen opmerkingen:
Een reactie posten