Wie hou ik voor de gek?

Calum McLeod

We hebben allemaal onze eigen slechte gewoontes. Sommigen van ons (waaronder ikzelf) hebben er meerdere, waaronder roken. Men kan natuurlijk maatregelen nemen om de risico’s te beperken. Zo koop ik alleen sigaretten met het opschrift: ‘schadelijk voor zwangere vrouwen’ – die zijn voor mij als man niet schadelijk. Wie hou ik nu eigenlijk voor de gek?

Ik ben bang dat velen onder u dan wel geen rokers zijn, maar zichzelf toch op dezelfde manier voor de gek houden. Cio’s, cto’s, it-beveiligingsmensen, die steeds weer de volgende waarschuwing negeren: “Het niet hebben van een beleid voor het beheren van uw privileged accounts kan uw bedrijf fataal worden”.

Privileged accounts zijn identiteiten die vaak zijn voorgedefinieerd in systemen en toepassingen, en bieden de gebruiker de mogelijkheid beheerfuncties uit te voeren op systemen en/of gegevens. In veel gevallen zijn deze accounts niet toe te wijzen aan personen, en kunnen niet worden hernoemd of uitgeschakeld omdat ze essentieel zijn voor effectief beheer van de systemen en of toepassingen. Verder kennen deze accounts alleen wachtwoordauthenticatie. Elk apparaat en elke toepassing in elke organisatie kent een ‘Super User Account’, in veel gevallen zelfs meer dan één. Serviceaccounts maken meestal deel uit van de groep ‘Super User Account’.

De noodzaak deze accounts te beheren en te bewijzen dat u voldoet aan externe regelgeving en uw interne beleid is van cruciaal belang in het huidige bedrijfsklimaat. De gevolgen als u niet kunt aantonen dat uw organisatie voldoet aan de regels en dat u uw eigen beleid strikt hanteert, kunnen significant zijn, waarbij juridische vervolging van leidinggevenden niet denkbeeldig is.

Een ieder die ooit een audit heeft ondergaan, intern of extern, kan getuigen van de eisen die gesteld worden. De effectiviteit van de controles en de rapportagetools van de it-beveiligingsafdeling zijn van cruciaal belang voor het met succes afsluiten van een audit en het beperken van de hoeveelheid bronnen die nodig zijn om de benodigde informatie te leveren. Uiteindelijk beantwoordt u de volgende vragen: zijn er controlemechanismen, is change management effectief geïmplementeerd en als u toegangscontrole hebt ingezet, kunt u dat dan bewijzen?

Een uitdaging voor hedendaagse organisaties is dat de regelgeving geen ruimte biedt voor onbedoelde fouten, en menselijk falen is een van de grootste risico’s voor een bedrijf, vooral nu de druk om kosten te verlagen ertoe leidt dat meer werkzaamheden worden uitgevoerd door minder personeel. Tegenwoordig komt de meeste dreiging van binnenuit. Omdat veel organisaties zich voornamelijk richten op bedreigingen van buitenaf, is er vaak onvoldoende bescherming tegen de interne risico’s.

Veel organisaties moeten stappen nemen om hun it-omgeving te beveiligen, en vaak is er geen formeel beleid aanwezig, of is dat beleid praktisch niet te implementeren of te controleren. Resultaat: bij een audit van de organisatie blijkt een groot gat tussen beleid en realiteit te zitten.

Beleid moet realistisch zijn – het moet overeenstemmen met de vereisten en niet zo complex zijn dat gebruikers geneigd zijn het te omzeilen.

Beleid moet af te dwingen zijn – goed gedocumenteerde procedures die omzeild kunnen worden, zullen bij een audit snel door de mand vallen. De enige effectieve manier om beleid zowel realistisch als afdwingbaar te maken, is door de kritische processen te automatiseren. Een beleid dat vereist dat gebruikers met beheerrechten over de juiste autorisaties beschikken, moet afdwingbaar zijn, en een beleid dat regelmatig wijzigen van wachtwoorden voorschrijft, werkt alleen als de processen geautomatiseerd verlopen.

Beleid moet controleerbaar zijn – ingesteld beleid is uiteindelijk waardeloos als er geen controles zijn die voortdurend aantonen dat het beleid aanwezig is en nageleefd wordt. Een auditmogelijkheid is echter niet afdoende. Tools moeten crossplatform zijn. Met andere woorden, de it-beveiligingsmensen moeten rapporten kunnen overleggen die over alle platformen heen consistent zijn.

Als rekening wordt gehouden met de tijd en de moeite die nodig is voor het verzamelen van gegevens van sleutelsystemen en –toepassingen, kunnen er duizenden logbestanden zijn die moeten worden bekeken voor een auditrapport. De hoeveelheid bronnen die hiervoor nodig is, is vaak niet meer in kosten uit te drukken. Het is ook nog een steeds voortdurend proces.

Voeg hieraan toe het werk van de conversie naar een gestandaardiseerd rapportformaat volgens de auditvereisten, zodat een auditor het rapport kan lezen. Het ene systeem rapporteert bijvoorbeeld een ‘log-in failure’, terwijl een ander systeem deze gebeurtenis ‘failed log-in’ noemt. Dan hebben we het niet eens over talen! Verder kennen veel systemen pre- en post-commando’s die een belangrijk onderdeel vormen van de auditgegevens, en het werk om deze gegevens handmatig te bekijken is gewoonweg onpraktisch. En er is natuurlijk het enorme risico dat een kritiek voorval over het hoofd wordt gezien in de dagelijkse praktijk.

Als u niet wilt worden uitgesloten van de groep ‘it-beveiligingsmanagers met een baan’, raad ik u aan te letten op de ‘IT Health Warning’.

Calum M. McLeod