Beveiliging meten op de Improvement Kata-manier

We hebben verbeterkata's gebruikt om onze processen te verbeteren. We hebben hierover een in-depth blog geschreven, maar de essentie is dat je een proces verbetert door kleine, gerichte veranderingen door te voeren en te meten of je dichter bij je doel bent gekomen. Meten is essentieel in dit proces; als je niet meet, weet je niet of er iets te verbeteren valt en of je veranderingen effectief waren. Gelukkig is het vinden van wat je moet meten relatief eenvoudig... meestal.

Waarom veiligheid?

Laten we onze aandacht verleggen naar beveiliging. Beveiliging is belangrijk. Dat weten we allemaal. We willen niet dat je naam en adres worden gedeeld op het internet en we willen niet dat je je examenresultaten kwijtraakt. Veiliger is beter. Maar meer beveiliging is niet per definitie veiliger. Als we een alarm zouden zetten op alles wat fout kan gaan en elke beweging op onze systemen zouden monitoren, zouden we verdrinken in afleidende meldingen. We zouden geen tijd hebben om aan iets anders te werken. We moeten dus kiezen wat we doen. We moeten de beveiliging meten als we onze beveiligingsprocessen willen verbeteren. Maar hoe meet je beveiliging?

Manieren om veiligheid te meten

Beveiliging is niet erg eenvoudig te meten, zeker niet binnen een kort tijdsbestek. Voor sommige processen zou je kunnen meten hoeveel tijd een gebruiker nodig heeft om een bepaalde taak op een webpagina uit te voeren, of je kunt het aantal vragen over een bepaald onderwerp bijhouden. Vervolgens kun je wijzigingen aanbrengen en opnieuw meten om te zien hoe de cijfers zijn veranderd. Maar voor beveiligingsprocessen is er gewoon niet genoeg flow door het proces. We kunnen bijvoorbeeld geen zinvolle metingen doen op basis van het aantal datalekken. We kunnen niet verbeteren vanaf 0 en geen datalekken betekent niet dat er geen mogelijkheid is voor datalekken, wat een van de dingen is waarin we geïnteresseerd zijn. We moeten dus andere manieren bedenken.

Beveiligingsproblemen tellen

Laten we eerlijk zijn, er bestaat geen digitaal systeem zonder beveiligingsproblemen. Vooral een systeem dat altijd verandert. Wanneer deze problemen worden gevonden, moeten ze worden gemeld. Dit zijn alle meldingen van beveiligingsproblemen in een systeem, van beschikbare gegevens waar ze niet horen te zijn tot iemand die zijn sleutel van het kantoor kwijt is. Een manier om te meten is door deze beveiligingsproblemen te tellen.

Deze metriek kan erg nuttig zijn, maar ook erg misleidend. Minder problemen betekent niet noodzakelijkerwijs minder problemen, alleen dat je er minder kunt vinden. Het is net als schatzoeken; als je niet in het zand graaft, zul je niets interessants vinden, maar je kunt niet zeggen dat er geen schat is. In zekere zin betekent het verhogen van het aantal beveiligingsrapporten dat we een beter overzicht krijgen van onze beveiligingstoestand. Dit kan een belangrijk doel zijn, maar het is niet de manier om veiligheid te meten.

Naleving van wet- en regelgeving

In plaats van door te meten, wordt beveiliging vaak gewaardeerd op basis van specifieke normen. In de EU is dit meestal de GDPR, de strengste beveiligingswet ter wereld. Het beschrijft regels voor hoe om te gaan met verschillende soorten gegevens. Dit biedt een basisniveau van beveiliging en verantwoording, specifiek met betrekking tot misbruik en oneigenlijk gebruik van gegevens.

Natuurlijk is dit belangrijk. Als je GDPR-problemen hebt, moeten die worden opgelost. Niet alleen om juridische redenen, maar ook omdat we de veiligheid van onze klanten belangrijk vinden. We zijn GDPR compliant en zullen dat blijven. Aan de andere kant is het een basislijn waarna er nog steeds veel flexibiliteit en kans op beveiligingsproblemen is.

Risicobeoordelingen

Een tijdje geleden zijn we ons gaan verdiepen in de ISO 27001 norm. De norm beschrijft een manier van werken met een Information Security Management System (ISMS) om informatiebeveiliging te overzien en te behandelen. We zijn dus aan dit ISMS gaan werken omdat het ons een beter kader zou bieden om te zien hoe we het doen op het gebied van beveiliging.

Als onderdeel van het ISMS zijn we begonnen met het uitvoeren van risicobeoordelingen. In een risicobeoordelingsvergadering bespreken we een lange lijst met mogelijke beveiligingsrisico's met een groep medewerkers van verschillende afdelingen: een software engineer, de CTO en de privacy officer. Voor elk risico geven we een score voor de waarschijnlijkheid dat het zich voordoet en de impact als het zich voordoet. Dit geeft ons een lijst van verschillende mogelijke problemen die moeten worden voorkomen of beperkt, gesorteerd op hun blootstelling, een combinatie van waarschijnlijkheid en impact.

Dit lijkt misschien veel op het tellen van beveiligingsproblemen, maar er zijn enkele interessante verschillen:

1. Ze hebben een blootstellingsclassificatie die ons helpt bij het kiezen van de risico's die we moeten aanpakken voor het grootste effect;

2. De volgende risicobeoordeling heeft dezelfde lijst met risico's, wat betekent dat we de voortgang van de blootstelling van de risico's kunnen vergelijken in plaats van het aantal risico's.

Dit maakt metingen van de risicobeoordelingen een stuk eenvoudiger. We hebben nu een gestructureerde manier om naar de beveiliging van Easy LMS te kijken. We vullen de risicobeoordeling met de kennis die we krijgen uit rapporten over beveiligingsproblemen en onze dagelijkse observaties, waarna we stap voor stap verbeteringen aanbrengen.

Certificering

Er is een probleem met het meten vanuit de risicobeoordeling: het is misschien niet helemaal objectief. We kunnen alleen rapporteren wat we zien en ze beoordelen op basis van onze eigen ervaringen en gedachten over het onderwerp. Dit creëert in feite een luchtbel met wat we weten en waar we aan werken, maar het laat ons niet zien wat er buiten de luchtbel is.

Daarom hebben we besloten om verder te gaan met de ISO 27001-norm als geheel, die ook een proces voor certificering beschrijft. Een externe partij beoordeelt ons op onze implementatie van beveiligingsmaatregelen en het ISMS; in feite een controle om te zien of anderen het ermee eens zijn dat we zijn waar we denken dat we zijn.

We werken er dus hard aan om onszelf klaar te stomen voor dit certificeringsproces en we hopen onszelf ergens in 2023 ISO 27001 gecertificeerd te mogen noemen!

Hoe we veiligheidsmaatregelen implementeren die werken

Nu hebben we een proces om onze beveiliging te verbeteren. We hebben de dingen die we moeten verbeteren uitgekozen en zijn begonnen met de implementatie ervan in ons bedrijf. We zijn er echter nog niet helemaal. We moeten er ook voor zorgen dat de implementatie succesvol zal zijn.

Het punt is dat iedereen weet dat beveiliging belangrijk is, maar dat mensen er eigenlijk niet graag aan werken. Het kan snel net zo worden als belastingen; het moet gedaan worden, maar het is een vervelende klus. Hoe zorgen we ervoor dat dit geen probleem wordt?

Obstakels verwijderen

De grootste reden waarom beveiligingsmaatregelen niet werken, is dat mensen er omheen werken. Dit probleem ligt bij de maatregel, niet bij de mensen. Het betekent dat het creëren van omwegen gewoon handiger is dan het daadwerkelijk volgen van de regels en processen. Het proces kent te veel obstakels en het ligt in onze aard om de weg van de minste weerstand te nemen. Dit kan desastreuze gevolgen hebben.

Een extreem voorbeeld is de ramp in Bhopal in 1984, waar verschillende veiligheidsmaatregelen werden verwaarloosd. Een stad werd overspoeld met giftig gas, waarbij duizenden doden en meer dan een half miljoen gewonden vielen. Natuurlijk zouden beveiligingsincidenten bij Easy LMS niet zulke extreme gevolgen hebben, maar het laat wel zien hoe gemakkelijk beveiligingsmaatregelen kunnen worden omzeild, ondanks de mogelijke gevolgen.

Het is het beste om het volgen van beveiligingsprocedures zo eenvoudig mogelijk te maken. Probeer het met name eenvoudiger te maken dan de maatregelen te omzeilen. Er kunnen enkele extra stappen zijn die genomen moeten worden voor veiligheidsdoeleinden, maar niet te veel. Er mag geen extra wachttijd zijn. Beveiligingsprocedures moeten uw werknemers niet beletten om hun werk te doen; ze moeten hen helpen om het veiliger te doen.

Veiligheidsprocedures moeten je werknemers niet verhinderen hun werk te doen; ze moeten hen begeleiden bij hoe ze het veiliger kunnen doen.

Laten we het voorbeeld nemen van het melden van een beveiligingsprobleem. Stel dat dit moet worden gedaan via een aangepast archiefsysteem waarbij veel specifieke gegevens moeten worden opgezocht en ingevuld, waarvan de meeste toch niet worden gebruikt, wat de medewerker 15 minuten van zijn tijd kost. Het kan in het begin worden gebruikt, maar het is niet duurzaam. Het is gemakkelijker om het later te doen en het te vergeten. Neem nu een ander systeem waarbij een medewerker een eenvoudig bericht op Slack kan sturen met een korte beschrijving van het probleem, en het zal worden afgehandeld. Er zijn nog steeds enkele stappen voor de werknemer, maar het is heel eenvoudig en weinig moeite. Misschien nog belangrijker, de medewerker is niet langer verantwoordelijk voor het oplossen ervan. Ze sturen het bericht en kunnen doorgaan met hun dag, wat een stuk makkelijker is dan omgaan met de onvermijdelijke gevolgen van een beveiligingsincident. Dus in plaats van mensen te dwingen inefficiënt te werken en ze vervolgens de schuld te geven dat ze fouten maken, kijk je naar wat er inefficiënt aan is en verbeter je het, zodat het makkelijker wordt.

Natuurlijk zijn er stappen te nemen om veiliger te werken, maar obstakels op de weg voor je medewerkers maken hun werk onnodig zwaarder. Veel van deze obstakels kunnen worden weggenomen door automatisering of eenvoudige delegatie van taken.

Veiligheid voor mensen

We hebben het eerder gehad over veiligheid voor mensen in de context van fouten maken. We kunnen dit ook toepassen op beveiliging. Mensen moeten over beveiliging kunnen praten, beveiligingsproblemen kunnen noemen en elkaars gedrag kunnen corrigeren zonder negatieve gevolgen. Als medewerkers het gevoel hebben dat ze niet over beveiliging kunnen praten of niet weten waar ze dat moeten doen, zullen beveiligingsmaatregelen een obstakel voor ze vormen. Medewerkers hebben allemaal hun eigen expertise en ervaring in hun domein, dus ze weten waar ze mee bezig zijn.

Mensen moeten over veiligheid kunnen praten, veiligheidsproblemen kunnen noemen en elkaars gedrag kunnen corrigeren zonder negatieve gevolgen.

Ze kunnen helpen door maatregelen voor te stellen voor specifieke beveiligingsproblemen, ze kunnen feedback geven over al geïmplementeerde maatregelen en ze kunnen je op de hoogte brengen van obstakels die op hun weg liggen. Dus toen we hoorden dat iemand zijn sleutels kwijt was of dat het papierwerk rond het opzetten van een klantgesprek te veel werk was, waren we niet boos of afwijzend. We waren blij dat ze naar ons toe kwamen met deze informatie. Als je deze feedback niet als waardevol behandelt of als je er niets mee doet, verlies je de interesse van je werknemers om veilig te werken.

Blijf verbeteren 

We hebben het al gehad over het verbeteren van onze informatiebeveiliging, maar het is net zo belangrijk om de beveiligingsprocessen voor onze werknemers te blijven verbeteren. Als je niet actief luistert naar je werknemers en verandert wat niet werkt, zal de beveiligingsmaatregel uiteindelijk niet meer werken. De medewerkers zullen, net als het bedrijf zelf, blijven veranderen. Easy LMS zal blijven veranderen en zo ook onze beveiligingsprocedures, niet alleen om ze beter te maken maar ook om ze makkelijker te maken.