Zomaar op kijkafstand staan van een kostbaar kunstwerk, zonder dat je wordt geblokkeerd in je beleving. Zo kunnen kunstliefhebbers in het Louvre de Mona Lisa bewonderen. En toch is het schilderij zwaar beveiligd. Je merkt er alleen niets van. Diezelfde benadering van beveiliging is nodig om de nieuwe generatie kenniswerkers overal en altijd hun werk te laten doen. Niet door een doos over de Mona Lisa te zetten, maar door ict-security te creëren die ongezien zijn werk doet. Het kan dankzij big data en analytics.
Vroeger was beveiligen eenvoudig. Je zette een hangslot op de deur en niemand kwam erin. Zo bewaken we traditioneel onze spullen. Online doen we hetzelfde met onze waardevolle data. Daarvoor hebben de meeste organisaties diverse beveiligingslagen in het leven geroepen: eerst de fysieke hindernissen van detectiepoortjes en toegangspasjes, daarna op de werkplek via user-id’s, wachtwoorden, security keys en allerhande beveiligingssoftware. Vaak zijn de belangrijkste bedrijfsgegevens alleen toegankelijk via vaste kantoor-pc’s met allerlei internetrestricties.
Dat mag niet van de zaak
En dat terwijl er nu een generatie opstaat die wars is van zulke beveiliging. Hoezo kan ik bij de McDonald’s niet met mijn eigen iPad bij mijn werk? Wie vandaag de dag een universiteit bezoekt en ziet hoe het talent van de toekomst werkt, met al hun hulpmiddelen in de cloud, dan sta je verbaasd over de ‘flow’ waarin ze hun werk doen, overal en altijd. Het is een manier van werken waarmee ze enorm productief en creatief zijn. Maar als die talenten het bedrijfsleven binnenkomen, stuiten ze op een andere wereld. Mag het niet van de zaak? Dan droppen we het toch zelf even ergens in de cloud? Maar daarmee worden alleen maar nieuwe beveiligingsrisico’s gecreëerd.
Het huidige beveiligingsdenken is veelal nog doordrenkt van de reflex tot verbieden en ‘dichttimmeren’. Verbieden, want medewerkers mogen om securityredenen dit niet en dat niet. En dichttimmeren, want zo houden we onze bedrijfsgeheimen binnen. Beveiligen zal wat dat betreft altijd een wapenwedloop blijven. Als je hoge muren opwerpt, bedenkt de vijand een hogere ladder. Als je een gracht om je fort heen legt, vindt hij het buskruit uit. Steeds verder dichttimmeren is dus een logische reflex. Maar als je jonge, getalenteerde mensen aan je wilt binden, zul je het anders moeten aanpakken. Want als je alleen blijft verbieden en dichttimmeren, haal je de nieuwe generatie kenniswerkers uit die creatieve flow.
Een fort of het Louvre?
Let wel, de noodzaak tot beveiligen is er niet minder om geworden. Het aantal beveiligingsincidenten is afgelopen jaar wederom toegenomen. De criminele organisaties die ons aanvallen, zijn slim. Ze zijn georganiseerd als een bedrijf en nemen briljante mensen in dienst, met als enige verschil dat die voor een ‘andere’ carrière hebben gekozen. Maar de vraag is hoe je de strijd aangaat. Als we het nieuwe werken echt mogelijk willen maken, moeten we onze eigen organisatie niet langer als een fort zien. In plaats daarvan kunnen we inspiratie opdoen in een museum. Als je eenmaal binnen bent, kun je vrij rondlopen in het Louvre. Je kunt de Mona Lisa bekijken en zelfs heel dichtbij komen, zonder dat je wordt geblokkeerd in je beleving.
Toch is de Mona Lisa goed beveiligd. Je merkt er alleen niets van. Toch houden camera’s onrustig rondlopende bezoekers in de gaten. Onzichtbare laserstralen zetten een waarschuwingstoon in werking zodra je ook maar één vinger uitsteekt naar het schilderij. En vanuit een geheim deurtje stormen er opeens bewakers naar binnen als iemand toch iets kwaads in de zin heeft. Zo zouden we ook naar online security moeten kijken. Het moet er zijn, maar je hoeft niet te ervaren dat het er is. Met andere woorden: niet steeds nee zeggen als beveiliger, maar een enabler worden.
Verdachte patronen signaleren
Het mooie is: dat kán. Aan de basis ligt een nieuwe kijk op beveiligen: niet alleen tegenhouden van bedreigingen die je al kent, maar ‘big data’ en analytics inzetten om verdachte patronen en afwijkend gedrag te herkennen. Zo kunnen we toewerken naar beveiliging die op drie niveaus werkt: preventie, detectie en respons. Dankzij die drietrapsraket kunnen we iedere medewerker zijn werk laten doen en pas ingrijpen als het echt nodig is.
In de eerste preventielaag kunnen analytics-oplossingen ons helpen doordat ze precies weten hoe een component zich hoort te gedragen – op basis van alle big data die daarover beschikbaar is – en anderzijds heel snel afwijkingen daarop kunnen constateren. Zo kunnen er gerichte maatregelen worden genomen nog voordat er zich daadwerkelijk een gevaar heeft voorgedaan, vaak ook zonder dat de gebruiker er last van heeft. In aanvulling daarop kunnen eigen, veilige cloudoplossingen een antwoord zijn op de openbare filesharing-diensten die nu zo populair zijn.
Afwijkend gedrag constateren
De detectielaag voeden we met andere big data: bijvoorbeeld over het verkeer tussen servers en pc’s. Dan valt het de analytics-software vanzelf op als er ergens kort na elkaar honderden inlogpogingen worden gedaan of als er om drie uur ’s nachts gegevens worden verstuurd naar een land waar het bedrijf geen zaken doet. Ook informatie over botnets, geïnfecteerde machines, spammers en phishers – de zogenaamde security intelligence – wordt in het systeem ingevoerd.
Tot slot is het zaak om snel en adequaat te kunnen handelen. In het verleden zagen we vaak aanvallen aankomen, maar we konden niet ingrijpen. Of we moesten alle systemen twee dagen op slot doen, om vervolgens op zoek te gaan naar het lek. Nu kunnen we gericht maatregelen nemen, zodat medewerkers kunnen blijven werken – ook op de iPad bij de McDonald’s – en klanten online zaken kunnen blijven doen. Bij een lek of een ander security-incident kunnen we bovendien sneller forensisch onderzoek verrichten naar herkomst en oorzaak, om zo gaten structureel te kunnen dichten.
Integrale benadering
Wie moet deze verandering gaan oppakken? Ict-beveiliging is de verantwoordelijkheid van de chief information security officer. Veel ciso’s hebben een achtergrond in de ict-wereld en dragen vele jaren aan beveiligingsdenken met zich mee. Het blokkerende beveiligingsdenken is daar een onderdeel van – en dat is de comfortzone waar ciso’s nu uit kunnen stappen. In samenspel met de andere disciplines in de organisatie, want ict-beveiliging vraagt om een integrale aanpak. Met human resource (hr), met procesmanagement, aangestuurd door de risk manager, die steeds vaker ict-beveiliging in zijn totale risicoplaatje opneemt.
Een goede zaak, want in de nieuwe online-wereld hoort Iict-beveiliging een normaal onderdeel van de dagelijkse bedrijfsvoering te zijn. Geen verzekering tegen schade, maar een best practice. Risk officers en ciso’s kunnen met hun collega’s in de organisatie hand in hand toewerken naar het nieuwe faciliterende beveilingsdenken. Zodat ook de nieuwste generatie kenniswerkers bij wijze van spreken met zijn neus op de Mona Lisa kan staan.
Erno Doorenspleet, securityexpert bij IBM
Wat hier beschreven wordt lijkt veel op SIEM, actieve monitoring welke echter wel enige beperkingen heeft. Zo valt dus alles buiten de radar wat niet binnen eigen netwerk gebeurt en dus is het nog maar de vraag of CISO’s werkelijk het blokkerende beveiligingsdenken achterwege kunnen laten. Tenslotte hebben we het hier alleen nog maar over de bedreigingen die via het netwerk komen.