Technische mensen – en misschien ook wel anderen – werken graag met methodes. Een methode geeft houvast, is gemakkelijk herhaalbaar en geeft resultaten die je onderling kunt vergelijken. Bovendien hoef je niet steeds opnieuw het wiel uit te vinden.
Van Dale definieert methode als volgt: “vaste, weldoordachte manier
van handelen om een bep. doel te bereiken”. Je hebt methodes in soorten en
maten. Soms is iets al een methode omdat je soortgelijke taken op steeds
dezelfde wijze uitvoert. Denk maar eens aan je ochtendroutine. Voor mij – en
waarschijnlijk ook voor jou – verloopt zo’n beetje alles wat ik doe tussen het
uitzetten van de wekker en het beginnen met werken volgens een vast stramien.
Is zo’n ochtendroutine dan een methode? Ja hoor, pel ‘m maar af: het is een
vaste manier van handelen, er is een doel (fris en fruitig aan de werkdag kunnen
beginnen) en op mijn leeftijd heb je inmiddels wel de nodige efficiencyslagen
in je ochtendroutine aangebracht, zodat er sprake is van een weldoordachte
handelswijze.
Naast deze huis-, tuin- en keukenmethodes zijn er ook meer formele
methodes. Die zijn door knappe koppen bedacht om ingewikkeldere doelen te
tackelen dan netjes achter je bureau te verschijnen. Die methodes dienen niet
alleen om taken op de automatische piloot uit te kunnen voeren, maar ook om je
te ondersteunen bij het vastleggen, ordenen en analyseren van gegevens. Vaak
horen er templates en tools bij zo’n methode. En we weten allemaal welke
verschijningsvorm dat vaak heeft: een Excel-sheet. Door de een verguisd, door
de ander omarmd: Excel is het werkpaard van onze industrie.
Er is één methode die ik het vaakst uit mijn gereedschapskist haal, en
dat is de methode die wij gebruiken voor het uitvoeren van risicoanalyses. Waar
het bij die methode om draait is dat er gewerkt wordt met een vaste lijst van
dreigingen, waar je op een bepaalde manier naar kijkt om te bepalen wat je
belangrijkste risico’s zijn. Dat klinkt nu alsof we het over de belangrijkste
risico’s voor de hele organisatie hebben, maar dat is niet zo. We voeren
risicoanalyses doorgaans uit op het niveau van een dienst die we leveren of een
systeem dat we beheren. We doen dus veel risicoanalyses en dan heb je baat bij
vergelijkbare resultaten, die je soms kunt gebruiken om problemen te detecteren
die groter zijn dan de scope van één enkele analyse. Soms leidt dat dan ook
weer tot aanpassing van de methode.
In dat aanpassen zit wel een valkuil: als je teveel aanpast, dan zijn de
resultaten mogelijk niet meer zo goed vergelijkbaar. Je moet dan de afweging
maken wat zwaarder weegt: vergelijkbaarheid van resultaten of evolutie van je
methode. Soms veranderen methodes trouwens min of meer vanzelf. Of hanteer jij
nog precies dezelfde ochtendroutine als vóór de corona-ophokplicht?
Net zoals vele wegen naar Rome leiden, zo zijn er ook meerdere methodes
voor hetzelfde doel. Voor risicoanalyses gebruiken wij IRAM, maar dat was
destijds een vrij arbitraire keus: we vroegen aan een vergelijkbare organisatie
wat zij gebruikten en of dat beviel. Soms kun je echter niet goed uit de voeten
met welke risicoanalysemethode dan ook. Dan ligt er bijvoorbeeld een
onderzoeksvraag in de trant van: als we dit-en-dat gaan doen, met welke
risico’s moeten we dan rekening houden? Of: we willen een product voor bepaalde
functionaliteit; welk van deze producten is vanuit beveiligingsoogpunt het
meest geschikt? Bij zo’n vraag moet je gewoon relevante informatie verzamelen,
analyseren en er een oordeel over vormen.
Vroeger noemden we dat een JBF-risicoanalyse: op z’n janboerenfluitjes.
Vakgenoten kennen die term wel, maar je loopt er het risico mee dan anderen je
toch minder serieus nemen. Daarom heb ik er een naam voor bedacht waarmee je
voor de dag kunt komen. De methode en de naam zijn vrij van rechten, ik doe ‘m
je bij deze cadeau: RAZM (spreek uit: razm, dus niet: er-a-zet-em). De meeste
mensen zullen onder de indruk zijn als je zegt dat je een risicoanalyse volgens
RAZM doet en niet doorvragen. Maar voor het geval dit toch een keer gebeurt:
dit acroniem staat voor RisicoAnalyse Zonder Methode. Graag gedaan.
Volgende week
verschijnt er geen Security (b)log.
En in de grote boze buitenwereld …
- draait Iraanse spyware in een Nederlands datacenter.
- had de politie nog zo gezegd dat criminele activiteiten op Nederlandse infrastructuur kansloos zijn.
- moet er meer aandacht komen voor memory safety.
- mag de politie een verdachte ‘licht dwingen’ om zijn duim op de vingerafdrukscanner van zijn telefoon te leggen.
- zie je hier hoe je bankpasje kan worden gekloond. Noot: dit verhaal speelt zich af in de VS, waar het nog gebruikelijk is om de magneetstrip te gebruiken in plaats van de chip.
- raadt de Autoriteit Persoonsgegevens scholen sterk af om te registeren welke leerlingen corona hebben en om actief aan ouders/leerlingen te vragen om een besmetting te melden.
- zijn weer een paar digifraudeurs veilig opgeborgen.
- is er politieke aandacht voor overheidsinstanties die in gebreke blijven op het gebied van privacy.
- helpt Windows je een handje bij het verwijderen van de verguisde Flash Player.
- word je bespioneerd via je inkomende e-mail.
- bestaan er privacyvriendelijke alternatieven voor WhatsApp.
Geen opmerkingen:
Een reactie posten