Staying ahead: over veilig vliegen en het belang van ‘vooruit denken en werken’ deel 3 (slot)

In deel 1 en deel 2 van deze drieluik maakte ik niet alleen de vergelijking tussen de werkdruk van piloten en IT-ers. Maar vooral over het verschil in volwassenheid en veiligheidsbewustzijn in deze sectoren en in het bijzonder over houding. Dingen die toch moeten gebeuren kun je beter gewoon zo snel mogelijk doen. Een goed voorbeeld daarvan is ‘security patches’; updates van de software op je systeem niet uitstellen. Dat is weer een zorg minder en scheelt je vermijdbare werkdruk tijdens spannende momenten.

Tussen de leuke reacties van de lezers, waren er ook een aantal lezers die van mening waren dat deze benadering niet volgens de huidige time management inzichten is. Natuurlijk heb ik dat nog even nagezocht en gelukkig zijn time management goeroes het meestal wel met me eens. Als ik er tenminste vanuit mag gaan dat security patching zowel dringend als urgent is. Tenslotte repareer je het dak als de zon schijnt ook al zou je dan leukere dingen willen doen!  

In deze laatste blog over de risico’s van een te afwachtende houding rond security patching richt ik me nu eens niet op IT-managers en systeembeheerders, maar op ontwikkelaars en eindgebruikers.

Ontwikkelaars zijn vakmensen. Vakmensen hebben een gereedschapskist en een klusruimte nodig. Vaak in de vorm van een laptop en een al dan niet gevirtualiseerde Ontwikkel, Test en Applicatie (OTA) omgeving. Natuurlijk hebben ze daar verregaande rechten om het systeem te beheren; vaak ‘admin’ of ‘root’. Dat is prima; een vakman (m/v) heeft een goede gereedschapskist nodig waar hij of zij mooie producten mee kan maken. Maar met rechten komen verantwoordelijkheden. De gemiddelde eindgebruiker wordt geholpen met het beheer van applicaties. Als ontwikkelaar moet je het vaak zelf regelen. Dat betekent zelf ‘security patch management’ uitvoeren van de tools en systemen waar je mooie dingen mee bouwt. Dat vraagt naast vakmanschap ook discipline; een goede houding dus. Je werkt als vakman je gereedschapskist goed bij en controleert ofdat je updates betrouwbaar zijn. Komen ze van een legitieme website en wat zegt de leverancier erover in zijn laatste nieuws. Een alerte houding van ontwikkelaars voor versiebeheer en patching in de ontwikkelomgeving is essentieel. Security Officers en opdrachtgevers geven ze dan graag het vertrouwen en voorrecht om zelf hun toolbox te onderhouden.

Eindgebruikers en met name de apparatuur en software die ze gebruiken, zijn nog steeds het grootste risico. Natuurlijk zorgt de IT-afdeling dat de laptop of desktop van de eindgebruiker zo goed mogelijk wordt onderhouden. Maar de gemiddelde eindgebruiker gebruikt allang niet meer alleen een managed device. Een managed device is een apparaat dat onder beheer staat, waardoor het onder andere niet mogelijk is om zomaar alle programma’s te downloaden.

Bring Your Own Device (BYOD) is en blijft technisch en juridisch een uitdaging. Daarnaast groeit het gebruik van ‘Shadow IT’. Dit is alle IT, zowel soft- als hardware, die buiten de IT-afdeling valt. Het inzetten van zelf aangeschafte of privé apparatuur en Publieke Cloud oplossingen is steeds verleidelijker voor eindgebruikers, hun managers en klanten.

In welke mate dat acceptabel is hangt af van de organisatie en het type data dat wordt verwerkt. Maar vooral van de weerbaarheid van het device of de Cloud omgeving. Actief bijwerken van apps, applicaties en besturingssystemen vraagt om een professionele houding van eindgebruikers. Daarmee kunnen ze in uw organisatie mogelijk het voorrecht verdienen om van deze middelen gebruik te mogen maken voor specifieke toepassingen. Gelukkig faciliteren veel organisaties bescherming van gegevens onafhankelijk van het device. En zijn er veel tools beschikbaar om de ‘gezondheid en weerbaarheid’ van devices ‘gratis’ geautomatiseerd te onderhouden. Ook door eindgebruikers.

Zijn ontwikkelaars en eindgebruikers nu passagiers of piloten? Zoals wel vaker in IT-Security is dat niet zo scherp afgebakend. Daarin schuilt het grootste gevaar: onduidelijkheid over rollen en verantwoordelijkheden. Dan komt het toch weer neer op ‘houding’. Als je gebruik maakt van managed devices moet je er als IT-passagier vanuit kunnen gaan dat de houding van beheerders van deze omgeving resulteert in snelle installatie van patches.

Maar als je besluit ‘zelf (mee) te vliegen’ dan vraagt dat voorrecht om jouw actieve houding en professionaliteit rond patching. Alleen dan kun je voorkomen dat jij, maar ook anderen met wie je samenwerkt, wordt overvallen door veel vermijdbaar werk op momenten waarop het slecht uitkomt.

Maak dus actief gebruik van de ‘patch advisories’ van fabrikanten en van de ‘verkeersleiding’. De publieke diensten die een veilige vlucht op internet willen ondersteunen. NCSC.NL, US-CERT, ENISA en vele anderen zenden meerdere keren per dag passende vlucht (patch) adviezen!

Ben je zelf verantwoordelijk voor de systemen van een ander of voor je eigen devices of infrastructuur; abonneer je op RSS-feeds, installeer een ‘health check’/versiebeheer tool op je device en houd je systeem up-to-date. Staying ahead, ook in IT, zeker als je Mission Critical bezig bent.

Have a safe and nice flight on the internet!