Open Deuren blog voor business managers

Deze blog is niet bedoeld voor mijn security collega’s, maar voor hun businessmanagers.

Ik werd onlangs weer eens geconfronteerd met het feit dat directieleden op andere manier kijken naar informatiebeveiliging dan mijn security collega’s. Mijn vurige pleidooi om meer te doen om kwetsbaarheden in de digitale infrastructuur te meten en aan te pakken; ‘vulnerability management’, strandde weer eens op een mild geïnteresseerde maar vragende reactie; “Waar heb je het over?”.  

Het leek voor mij een ‘open deur’ en het ging ook nog eens over ‘open deuren’ maar het kwartje viel weer eens niet.

Als security professionals houden we ons dagelijks bezig met het verhogen van de (digitale) weerbaarheid van organisaties. We kijken iedere dag door een gekleurde bril naar onze organisatie, vergelijkbaar met een wijkagent. Die kijkt echt op een andere manier naar een gezellige straat dan een argeloze toerist. Ook ik maak nog steeds wel eens de fout dat ik aanneem dat managers en directeuren met mijn ‘security-bril’ naar hun organisatie kijken.

Niet dus, daarom twee blogs over ‘kwetsbaarheden management voor managers’.

De meeste mensen controleren voor het slapen gaan of alle deuren thuis op slot zitten. Dat is goed voor de nachtrust van alle huisgenoten. En het helpt als een professional heeft beoordeeld of alle hang -en sluitwerk kwalitatief goed genoeg is. Denk hierbij aan het Politiekeurmerk Veilig Wonen voor een inbraak werende woning. Soms krijg je daarmee zelfs korting op je inboedelverzekering.

In digitale bedrijfsomgevingen is een dergelijke ‘heb ik goede sloten en zit alles op slot’ controle echt essentieel voor de nachtrust van een bestuurder.

In plaats van een fysiek rondje door je huis of bedrijf maken we voor de digitale bedrijfsomgevingen gebruik van ‘vulnerability management scanners’. Applicaties die de infrastructuur op (bekende) kwetsbaarheden controleren en daarover rapporteren.

Je kunt zo’n controle van buitenaf initiëren en daarmee snel een beeld krijgen van de status van de digitale weerbaarheid van uw organisatie vanaf het internet gezien. Een gratis en geautomatiseerd voorbeeld is een scan via internet.nl.

Veiligheidsonderzoekers gaan nog iets verder. Die zoeken ongevraagd met kennis en creativiteit naar kwetsbaarheden vanaf het internet. Die kwetsbaarheden bepalen de digitale weerbaarheid van uw organisatie. Vergelijkbaar met ‘voelen aan de huisdeur of hij op slot is’ of ‘zien dat de sleutels nog in het slot zitten’. Zo’n goedwillende onderzoeker doet vervolgens bij u melding van de kwetsbaarheid onder verwijzing naar uw Coordinated Vulnerability Disclosure beleid.

Dit beleid beschrijft hoe dit soort meldingen op een verantwoorde manier gedaan kunnen worden bij uw organisatie. De onderzoeker gaat niet op straat roepen dat uw voordeur niet op slot is of een te eenvoudig slot heeft. Het geeft u de kans om het gevonden probleem op te lossen. Daarnaast belt u niet de politie en geeft een passend blijk van waardering als de melder zich aan de afspraken heeft gehouden. Veiligheidsonderzoekers werken ook steeds vaker samen om organisaties te wijzen op actuele, specifieke kwetsbaarheden. Bijvoorbeeld via securitymeldpunt.nl.

U kunt ook een professionele inbreker inhuren om te kijken of hij van buitenaf bij u in kan breken. Het spreekt voor zich dat u dan wel met hem afspreekt hoever hij mag gaan, hoeveel schade acceptabel is en dat u geen aangifte gaat doen naar aanleiding van deze activiteiten. In de thuissituatie komt dit niet zo vaak voor maar in het bedrijfsleven is de inzet van ‘ethical hackers’ inmiddels een geaccepteerde en uitstekende methode om te bepalen hoe digitaal kwetsbaar uw organisatie is. Vooral om vast te stellen of uw (web)applicaties en andere systemen die bereikbaar zijn vanaf het internet weerbaar genoeg zijn.

Denk daarbij niet alleen aan de voordeur maar ook aan de leveranciersingangen; de achterdeuren! Dat was de buitenkant; alles op slot en sleutelbeheer goed geregeld?

In de volgende blog van Paul Oor lees je meer over de binnenkant…