1. Blog
  2. Advise & architect
  3. Zijn sommige security oplossingen onnodig?

Zijn sommige security oplossingen onnodig?

Blog door: Peter Mesker, CTO.

Ik herinner mij een periode in mijn carrière waarin wij vrij makkelijk IPS/IDS (Intrusion Prevention/Detection Systems) verkochten. Dit zal ergens rond 2006/2007 geweest zijn. Op zich was dat natuurlijk prima, want alles wat bijdraagt aan een hoger beveiligingsniveau is uitstekend. Maar de achterliggende reden was feitelijk vooral een stuk verplichting van onder andere de Nederlandse bank, die financiële instellingen voorschreef dat zij zo’n systeem moesten hebben.

Wat er gebeurde is dat veel van deze systemen quasi default en zonder actief beheer werden ingezet om maar aan de voorwaarde te kunnen voldoen. Jammer? Natuurlijk. Ga maar na, er wordt veel geld uitgegeven aan een oplossing die vervolgens niet optimaal wordt ingezet. Vandaag de dag wordt er veel selectiever omgegaan met investeringen en inzet van de juiste preventieve- en detectieve maatregelen. Toch?

“Security oplossingen worden vaak zonder duidelijke risicoprofiel ingezet, wat leidt tot onnodige maatregelen.”

Tijdens onze Security Bootcamp, op 13 maart jongstleden hebben wij de bovenstaande stelling geplaatst. Wat blijkt: ruim 65% van de respondenten geeft hierop ‘JA’ als antwoord. Dat is interessant aan de ene kant, maar in onze optiek ook wel weer logisch.

Interessant

In de toelichtingen vallen een aantal interessante opmerkingen terug te lezen. De rode draad die ik eruit haal is: “een duidelijke risico profiel opstellen gebeurd onvoldoende en het gevolg is een vaak een onsamenhangend geheel aan security maatregelen die niet effectief of optimaal worden ingezet of beheerd.”

En dat is nogal wat zeg, want opmerkingen als:

  • “Brandjes blussen i.p.v. het grotere geheel overzien”
  • “Ik mis inderdaad in deze wereld vaak een aanpak gebaseerd op een analyse vooraf”
  • ”Veel is vaak gebaseerd op bangmakerij”
  • “Ik heb nog weinig echte goed uitgewerkte risicoafwegingen gezien die als basis dienden voor een investeringsvoorstel”
  • “Vaak gaat de digitale oplossing voor de organisatorische uit”
  • “Vooral het gelaagd dubbel aanbrengen van maatregelen komt veel voor”
  • “Niet omdat het moet, maar omdat het kan lijkt soms de drijfveer”

…klinken niet zo professioneel als dat wij zouden willen.

Logisch

Gelukkig is er een groep van ruim 35% die aangeeft zich niet te herkennen in de stelling en dus ook terugkoppelt dat security maatregelen weloverwogen gekozen worden of zijn en dat er een bedrijfs- of risico-inschatting aan ten grondslag ligt om een goede business case te maken. Zo word ik blij van feedback zoals:

  • “Security oplossingen worden alleen op basis van risico’s overwogen”
  • “Hoewel het gestelde ongetwijfeld zal voorkomen ben ik van mening dat bij middelgrote- en grote ondernemingen wel degelijk aandacht wordt besteed aan risicoprofielen alvorens tot de aanschaf van security oplossingen over te gaan”
  • “In onze situatie maken we een bewuste afweging om juist maatregelen te treffen daar waar risico het hoogst is”

In onze jaarlijkse visie en tijdens de Bootcamp hebben wij een aantal malen benadrukt dat een risk based approach de juiste basis is voor het bepalen van de benodigde preventie, detectie en response oplossingen. En, zoals aangegeven in onderstaand plaatje, geeft dit aan waar en hoe het beste de financiële middelen ingezet kunnen worden.

Maar ook logisch, omdat het vrijwel onmogelijk is gebleken om de configuratie en policies optimaal te houden van alle preventieve security maatregelen die getroffen zijn. Vaak treffen wij configuraties aan die al jaren onveranderd zijn, en dat terwijl er legio business wijzigingen zijn.

Enkele van de opmerkingen bij de stelling waren: “Security oplossingen worden vaak helemaal uitgemolken en als puntoplossing geïmplementeerd. Zo schiet de implementatie zijn doel ver voorbij in veel gevallen. Uiteindelijk leidt dit tot frustratie van zowel de gebruikers als de beheerders van de oplossing zelf.” of “Na de 4e SIEM oplossing was ik er wel klaar mee.”

Hieruit haal ik dat de best mogelijke en meest optimale inzet en configuratie slechts zelden bereikt wordt. Wij zien dat  bij de omgevingen van onze klanten en ook op de, door ons, geconfigureerde en beheerde componenten. De integratie, een continue toets op best practices en focus op policy optimalisatie zijn dan ook key om iedere dag beetje beter te zijn dan de vorige dag. Een juist fundament en effectieve security controls zijn essentieel.

Mijn advies is een regelmatige risicotoetsing en een check op het nut en de effectiviteit van de totale set aan maatregelen. Alleen dan zullen aanvullende investeringen in mensen, processen en technologie helpen bij het veilig enablen van uw business.

Better Together!

Ook interessant voor u…

Security Maturity Assessment

Meer over het Security Maturity Assessment


meer_presentaties_bekijken

Download de presentatie sheets van alle sessies van Security Bootcamp 2019


Security-Bootcamp-2019

Dagverslag Security Bootcamp 2019


Delen