Hoe mogen wij u helpen?
Poll
Wat is de belangrijkste eigenschap voor een tester?

Top Employers 2011

Neem securitymaatregelen vanaf het begin mee in het ontwerp

Deze maand zag ik 2 artikelen[1,2] die duidelijk aangeven dat veel bedrijven (lees: managers) de kop in het zand steken als het op security aankomt. Vooral bedrijven die IT gebruiken als middel en niet als primaire bron van inkomsten lijken deze houding massaal te hebben. Een veel gehoorde opmerking is: "wij zijn geen IT of securitybedrijf dus we steken er geen geld in". Dit in een tijd waarin de controle over de eigen infrastructuur en data minder en minder wordt. Nederland ligt voorop in de acceptatie van privé-apparaten op het interne netwerk voor zakelijk gebruik, het mobiele platform en "the cloud" worden met open armen binnen gehaald. 

Niemand zou het accepteren als ziekenhuizen zouden zeggen: "wij houden ons bezig met het genezen van mensen en niet met IT", of als de belastingdienst zegt: "wij houden ons bezig met belastinginning en niet met IT". Beide organisaties hebben immers dusdanig privacygevoelige data te bewaken dat er verwacht wordt dat ze die data beschermen. Waarom denken bedrijven die met minder gevoelige data werken wel weg te kunnen komen met zo'n houding? Ook van een bakker zouden we het als een inbreuk op de privacy beschouwen als je kassabon aan andere klanten getoond wordt, ook al staat daar niks gevoeligs op.

In een tijd waarin we meer en meer van onze identiteit online zetten en waarin we altijd en overal bij deze gegevens willen kunnen komen kun je security niet meer beschouwen als een "extra". De dreiging komt ook niet langer van een groep specialisten die dingen doen die niemand snapt. Hacking tools zijn vrij verkrijgbaar en worden steeds gebruikersvriendelijker. Kennis over problemen en hoe die uit te buiten wordt steeds meer een commodity. Misbruik van applicaties en het stelen en verkopen van data is al jaren een industrie waar honderden miljarden in omgaan en die groter is dan de wereldwijde handel in marihuana, heroïne en cocaïne bij elkaar[3].

Ook het vertrouwen dat een security test in productie (de zogenaamde pentest) alle problemen naar boven zal brengen is niet langer gerechtvaardigd. De complexiteit van problemen, het groeiende aantal applicaties en de diversiteit van de infrastructuur zorgen er voor dat deze vorm van testen meer en meer een steekproef wordt en de gevonden problemen steeds duurder om op te lossen[4].

Het is tijd om een pas op de plaats te maken en eens goed na te denken over de rechten en plichten die men heeft tegenover klanten en de staat van de maatregelen op het gebied van informatiebeveiliging goed onder de loep te nemen. Airbags worden bij auto's immers ook meegenomen in het ontwerp en niet "achteraf gemonteerd waar het toevallig nog past". Als securitymaatregelen niet vanaf het begin worden meegenomen in het ontwerp (of dat nou applicaties, infrastructuur of procedures zijn) heb je de strijd bij voorbaat al verloren en is het afwachten wanneer de klap komt.

[1] http://www.managersonline.nl/nieuws/11819/managers-liggen-niet-wakker-van-security.html
[2] http://nakedsecurity.sophos.com/2012/01/12/despite-what-you-may-think-it-security-is-your-business
[3] http://www.symantec.com/content/nl/nl/home_homeoffice/html/cybercrimereport/
[4] http://www.govinfosecurity.com/blogs.php?postID=1174

Dave van Stein
Security Test Specialist

Ps. Reageren of meer informatie? Mail dan met Dave van Stein, Dit e-mailadres is beschermd tegen spambots. U heeft Javascript nodig om het te kunnen zien.



Copyright © 2010 KZA BV