Computable.nl
  • Thema’s
    • Carrière
    • IT Strategy & Governance
    • Cloud & Infrastructure
    • Data & AI
    • Security & Risk
    • Software & Development
    • Digitale werkplek
  • Sectoren
    • Channel
    • Financiële dienstverlening
    • Logistiek
    • Onderwijs
    • Overheid
    • Zorg
  • Awards
    • Computable Awards
    • Nieuws
    • Winnaars
    • Partner worden
    • Inzendingen
    • De jury en experts
  • Vacatures
    • Vacatures bekijken
    • Vacatures plaatsen
  • Bedrijven
    • Profielen
    • Producten & Diensten
  • Kennisbank
  • Magazine
    • Magazine
    • Adverteren in het magazine
  • Nieuwsbrief

Home » Security & Risk » Network & Endpoint Security » Firewall

Pleidooi voor beter Security Beheer

11 december 2010 - 13:025 minuten leestijdOpinieFirewall
Bart van den Berg
Bart van den Berg

Vraagstukken op het gebied van it-security worden meestal benaderd vanuit de technologie. Echter technologische oplossingen bieden slechts een deel van it-security. De grootste uitdagingen liggen op organisatorisch vlak. WikiLeaks kwam niet aan zijn duizenden documenten vanwege een lek in een firewall maar door een lek in de organisatie. Security is mensenwerk en het beheren van it-security infrastructuur moet beter worden geregeld.

In een moderne it-infrastructuur kunnen we niet zonder geavanceerde apparatuur en software om ongewenst dataverkeer te kunnen detecteren en te kunnen tegenhouden. Gelukkig is het besef van de noodzaak van deze apparatuur en technologieën alom vertegenwoordigd. In een organisatie waant men zich vervolgens veilig vanwege een indrukwekkend machinepark van security componenten Echter dit is een schijnveiligheid; hardware is slechts het begin..

Security policy

Essentieel is een ‘security policy'. Deze moet (pro)actief worden onderhouden en voortdurend worden bijgesteld. Belangrijk daarbij is het om een balans te vinden tussen veiligheid en bescherming enerzijds en werkbaarheid en efficiëntie anderzijds. De security policy moet een belangrijke status krijgen in de organisatie en de verantwoordelijkheid hiervoor moet belegd worden op een plaats hoog in de hiërarchie. Hierdoor kan de policy goed worden gehandhaafd. Het denken over, het beschrijven, het configureren, het beheren en het handhaven van een security policy zijn grote uitdagingen op menselijk en organisatorisch vlak.

De apparatuur zelf heeft ook onderhoud nodig: verlengen van licenties, upgrade van operating software, en updates in de vorm van security patches. Dit moet nauwgezet worden bijgehouden. Op functioneel niveau maken de componenten hun werk zichtbaar door middel van logging, alarms en meldingen, en via grafieken en diagrammen in monitoring applicaties. De grote uitdaging is om van al die stukjes output en logging een beeld te kunnen vormen van de staat van beveiliging en het te interpreteren en beoordelen. Dit is mensenwerk bij uitstek!

De praktijk in veel organisaties is dat het mensenwerk rondom security slecht is georganiseerd. Om te beginnen ontbreekt er een duidelijke en uitgewerkte security policy. En als het er al is dan is het een verouderd document dat moeilijk is te vinden en dat niet is bijgewerkt. Indien security wel organisatorisch is belegd dan is dat vaak als onderdeel van het takenpakket van de it-manager. Deze persoon heeft het te druk met de dagelijkse operationele sores van it-beheer en de beste man of vrouw staat niet hoog genoeg in de organisatie om het security beleid te handhaven.

Vaak wordt het security beleid niet actief bijgehouden en aangepast aan de veranderende omstandigheden. Er wordt dan niet meer afgevraagd waarom er destijds bepaalde keuzes zijn gemaakt en of die nog wel geldig zijn in de huidige situatie. Sterker nog, de beveiligingsmatrix die ooit schetsmatig is uitgetekend op de achterkant van een sigarendoosje en nooit verder is uitgewerkt, is een dogma geworden. Een periodieke herijking van je security uitgangspunten en richtlijnen is dus onontbeerlijk.

(Geen) duidelijk zicht

Hoe dichter we komen bij het operationele niveau, de werkvloer, hoe minder duidelijk en scherp het onderwerp security is belegd. Door de diffusie van security over de verschillende it-vakgebieden onstaat het risico dat men geen duidelijk zicht heeft of de security maatregelen naadloos op elkaar aansluiten; er kunnen ongemerkt hiaten onstaan.

Een ander risico is dat het onderwerp security een te lage status heeft omdat het er slechts als een aspect of aandachtspunt bij hangt. Het raakt makkelijk ondergesneeuwd in het dagelijkse operationele 'geweld' van incidenten, wijzigingen en spoedeisende projecten. Security is dan lastig en staat een snelle implementatie en oplossing in de weg.

En dan hebben we het alleen nog maar gehad over het operationeel technisch beheer van je security componenten. Voor de beheerders is er te weinig tijd om dagelijks meldingen, logging en trends bij te houden. Daar komt nog bij dat de loggingsinstellingen vaak te ruim zijn geconfigureerd. Initieel zijn er te veel indicatoren aangevinkt. De uitkomst is dan een te grote hoeveelheid dagelijkse output die uiteindelijk niet meer wordt bekeken. Door de te grote stroom aan hooi kan de speld niet meer worden gevonden.

De beheerders komen al helemaal niet toe aan het nauwlettend volgen van de ontwikkelingen in de markt en het op de hoogte blijven van nieuwe bedreigingen in de vorm van nieuwe virussen en beveiligingslekken in operating software.

Borgen

Ik pleit dan ook voor het borgen van security in de organisatie door het onder te brengen in duidelijk te onderscheiden functies. Ten eerste moet er een Security Officer functie worden gevormd op een niveau tussen de directie en de ict-manager in. De Security Officer moet bevoegheden krijgen om vragen vanuit de business tegen te kunnen houden op grond van security overwegingen. Hij moet daarbij dichtbij de Board staan om security het gewicht en status te geven die het verdient.
Verder dient de Security Officer een operationele staf te krijgen om de implementatie van security tot aan de werkvloer te kunnen doorvoeren en te bewaken. Er moet een security consultant komen bij het intake proces van nieuwe projecten en aanvragen en bij de 'change advisory board'. Op operationeel niveau moeten er aparte security specialisten komen bij de beheer- en implementatieteams.

Belangrijk daarbij is dat ze onderdeel gaan uitmaken van deze teams en volledig meedraaien in de dagelijkse operatie. Echter in de lijn vallen ze rechtstreeks onder de Security Officer. Enerzijds wordt security zo op operationeel niveau duidelijk belegd, anderzijds zullen zo de dagelijkse belangentegenstellingen tussen business en security niet meer op het bordje terechtkomen van de ict-manager, maar komen ze snel, via de Security Officer, terecht op directieniveau.

Het nieuwe aan deze opzet is de introductie van een security kolom die nauwer verbonden zal zijn met de reguliere beheerorganisatie naarmate men dichter bij de werkvloer komt. Op elk niveau moet de kolom bestaan uit aparte toegewijde security specialisten, zodat we duidelijk en overtuigd een antwoord kunnen op de vraag: 'Who keeps an eye on leaks?'

 

Meer over

FirewallNetworking

Deel

    Inschrijven nieuwsbrief Computable

    Door te klikken op inschrijven geef je toestemming aan Jaarbeurs B.V. om je naam en e-mailadres te verwerken voor het verzenden van een of meer mailings namens Computable. Je kunt je toestemming te allen tijde intrekken via de af­meld­func­tie in de nieuwsbrief.
    Wil je weten hoe Jaarbeurs B.V. omgaat met jouw per­soons­ge­ge­vens? Klik dan hier voor ons privacy statement.

    Geef een reactie Reactie annuleren

    Je moet ingelogd zijn op om een reactie te plaatsen.

    Awards-nominaties

    Pijl naar rechts icoon

    Check Point

    Nadia van Beelen (Sales Associate, Check Point Technologies)
    Pijl naar rechts icoon

    ForceFusion

    Amber Quist (Cyber security specialist, ForceFusion)
    Pijl naar rechts icoon

    Hyperfox

    Vereenvoudiging bestelproces bij Duplast, specialist in voedselverpakkingen (Duplast en Hyperfox)
    Pijl naar rechts icoon

    Prodek Solutions BV

    Compleet pakket voor digitale aansturing duurzame energie bij Odura (Odura en Prodek Solutions)
    Pijl naar rechts icoon

    Norday

    Hyper-gepersonaliseerde cultuurpodcasts die nieuwe bezoekers vaker laten terugkomen via Wondercast (Norday en het Rotterdams Philharmonisch Orkest)
    Alle inzendingen
    Pijl naar rechts icoon

    Populaire berichten

    Meer artikelen

    Uitgelicht

    Partnerartikel
    Cloud & Infrastructure

    Yielder bouwt aan de volgende fase: pe...

    Yielder ondersteunt organisaties over de volle breedte van hun digitale omgeving. Van werkplek en connectiviteit tot cloud en security. De organisatie heeft een vijftiental regionale specialisten samen in één groep...

    Meer persberichten

    Meer lezen

    Firewall

    Carrefour vervangt it-lappendeken door één platform

    Firewall

    Conscia vernieuwt Cisco-netwerk Meander MC

    Firewall

    Kansloze malware? Stop het in een container

    Firewall

    Bekende chocolatier slachtoffer van identiteitsfraude

    Cyber Resilience weerbaarheid
    Firewall

    Veerkracht vergroten door it-infra te consolideren

    Firewall

    Cegeka scoort deal bij vermogensbeheerder Candriam

    ...

    Footer

    Direct naar

    • Carrièretests
    • Kennisbank
    • Computable Awards
    • Magazine
    • Ontvang Computable e-Magazine
    • Cybersec e-Magazine
    • Topics
    • Phishing
    • Ransomware
    • NEN 7510

    Producten

    • Adverteren en meer…
    • Jouw Producten en Bedrijfsprofiel
    • Whitepapers & Leads
    • Vacatures & Employer Branding
    • Persberichten
    • Blogwire

    Contact

    • Colofon
    • Computable en de AVG
    • Service & contact
    • Inschrijven nieuwsbrief
    • Inlog

    Social

    • Facebook
    • X
    • LinkedIn
    • YouTube
    • Instagram
    © 2026 Jaarbeurs
    • Disclaimer
    • Gebruikersvoorwaarden
    • Privacy statement
    Computable.nl is een product van Jaarbeurs