- Door
- Rashid Niamat
- geplaatst op
- 22 oktober 2013 08:12 uur
Begin oktober erd in Bunnik het security congres gehouden, een jaarlijks event georganiseerd door Isaca, Norea en PvIB. Een groep van ruim 200 personen werd in een middag geïnformeerd over de laatste stand van zaken op en er werd teruggeblikt op recente voorvallen. Doelgroep was niet exact de hosting- en datacentersector, hoewel ook vertegenwoordigers van dit type leveranciers aanwezig waren. Niet genoeg trouwens, want puur wat betreft de kennisoverdracht en de gekozen insteek is dit een voorbeeld van een bijeenkomst die meer aandacht verdient.
Een van de onderwerpen die ISPam.nl lezers zal hebben aangesproken was de update over security en cloud. Dat klinkt als een uitgemolken onderwerp, iedereen weet toch dat cloud andere eisen stelt aan onze kijk op security? Na de toespraken van twee bestuurders van de het Nederlandse chapter van de Cloud Security Alliance (CSA) was toch een aantal punten de revue gepasseerd waar iedereen in de zaal, los van zijn of haar achtergrond, nog lang over na kon denken. Om die reden zal ISPam.nl eerdaags trouwens nog meer aandacht besteden aan de CSA.
Tot de besproken punten hoorde onder andere de tijdige signalering van zwaktes. Hoe dit in de praktijk moet en wie deze taak op zich moet nemen is onderdeel van bijna elke certificering. En zonder nu al in detail in te gaan op het onderscheid tussen de verschillende certificeringen en normen: te vaak blijkt dat – los van de gekozen methode – hier een groot gat gaapt tussen wat technisch gezien mogelijk is (bijvoorbeeld: veel loggen of strikt IDM) en de praktijk (geen grondige analyse van logfiles of ad-hoc steekproeven). Resultaat is – helaas – dat te vaak problemen zichtbaar worden als het te laat is.
Die conclusie is een open deur intrappen want bijna iedereen kent cases waarin detectie pas in een zeer late fase plaatsvond. Dat is in lijn met bevindingen van het hier eerder aangehaalde Verizon Databreach rapport. Ook het SANS instituut heeft op basis van een recent gehouden onderzoek voor vendor Solarwinds onder 600 IT professionals vergelijkbare conclusies getrokken en wijst daarbij ook nog een nadrukkelijk naar het gebrek aan kennis binnen organisaties om security issues te kunnen signaleren en bestrijden. Gebrek aan kennis in combinatie met gebrek aan awareness heeft als gevolg dat volgens SANS te weinig wordt geïnvesteerd in trainingen (voorbehoud: SANS levert trainingen op dit vlak!) waarvan het doel is de keten veiliger te krijgen.
Zelf als we de bevindingen van Sans met een korreltje zout nemen, de combinatie van uiteenlopende bronnen wijst toch wel nadrukkelijk naar een beperkt aantal zwakke plekken in organisaties, waarbij kennis centraal staat. De vraag die iedereen zich daarom zou moeten stellen is: investeer ik genoeg om security issues maximaal te kunnen voorkomen?