We geven je zeven fouten die veel worden gemaakt. Kijk maar waar je zelf schuldig aan bent en wat je daaraan wilt doen.

1 Geen risicoanalyse voor het instellen van een policy

De eerste vraag die een bedrijf zich moet stellen voordat het een policy instelt is: “Waarom heb ik deze policy nodig en wat willen we ermee bereiken?” Dat klinkt heel logisch, maar het is een cruciale stap die vaak wordt overgeslagen. Dat zegt tenminste Charles Cresson Wood, een onafhankelijke consultant.

“Ik werk nu met een klant die heel erg strikt kijkt naar wat voor policies hij van de overheid in moet stellen. Maar een risico-analyse heeft hij in geen drie jaar gemaakt”, zegt Wood. “Ze weten echt niet wat ze aan het doen zijn, dus de policies die ze instellen hebben helemaal geen nut. Ja, ze voldoen aan de letter van de wet, maar zeker niet aan de geest.”

2. Een ‘one-size-fits-all’-mentaliteit

Veel organisaties gebruiken simpele voorbeelden uit boeken of ze lenen ze van andere organisaties, zegt Wood. “Ze hergebruiken gewoon wat ze vinden.” Wood heeft zelfs voor een bedrijf gewerkt dat de naam van een ander bedrijf nog op de prints had staan. Toen hij dat onder de aandacht van het management bracht, was hun enige reactie dat het document niet zo goed was geredigeerd.

Maar het schrijven van een beveiligingspolicy die werkt betekent meer dan alleen maar redigeren. Je kunt gerust het voorbeeld van een andere organisatie volgen, maar dat kun je alleen maar doen nadat je een goede risico-analyse hebt gemaakt van je eigen bedrijf. En dan is het van het grootste belang om het hele plan aan te passen aan je EIGEN bedrijf. Dat betekent dat je de tijd moet nemen om policies te maken die jouw unieke beveiligingsprofiel op het lijf geschreven staan.

3. Geen standaardsjabloon

En nu willen we je echt niet in de war maken. Natuurlijk, een ‘one-size-fits-all’-mentaliteit is verkeerd, maar dat betekent niet dat je policies niet consistent hoeven te zijn. Dat zegt Scott Hayden, een beveiligingsconsulent die is gespecialiseerd in management, policy en governance.

“Er moet wel een standaardstructuur zijn voor elk document dat altijd gevolgd wordt”, zegt hij. “Soms kom ik bij organisaties die maar wat aanmodderen. Sommige policies staan op papier, andere weer niet. Sommige zitten zelfs in de e-mail.”

Hayden adviseert zijn klanten om standaardprocedures in te stellen voor het aanmaken, onderhouden en distribueren van policies. “Ik leg er bij mijn klanten heel erg de nadruk op dat ze altijd hetzelfde sjabloon moeten gebruiken bij het opstellen van policies en altijd dezelfde procedure moeten volgen.”

Het gebruiken van steeds dezelfde standaard zorgt er ook voor dat ze consistent blijven en daardoor beter leesbaar. “Elke keer dat ik bij een organisatie kom en weer een policy van 100 pagina’s voor mijn neus krijg, weet ik direct dat het onmogelijk is in het gebruik”, zegt Hayden. “Dat komt doordat je het steeds moet herzien als er iets verandert in de policy en het ook aan iedereen bekend moet maken.”

4. Policies die er goed uitzien op papier

“We zien vaak dat policies neergeschreven worden om alleen maar ergens een vinkje te kunnen zetten. En dan zijn ze absoluut niet afdwingbaar”, zegt Hayden. “Dat is een groot probleem.”

Cresson Wood is het daar helemaal mee eens. Hij zegt dat zijn klanten zich vaak niet realiseren dat ze de policies die ze hebben helemaal niet navolgen. En dat zijn dan weer organisaties die ook niet controleren of de policies goed werken. “Organisaties die het beste uit de bus komen als het gaat om datalekken, die controleren elke twee weken op compliance. En ze automatiseren dat proces.”

Hayden ziet bovendien vaak policies die gewoon niet realistisch zijn. “Je ziet bijvoorbeeld wel eens policies zoals dat je zakelijke computers niet voor privé doeleinden mag gebruiken”, zegt hij. “Maar dat is niet af te dwingen, omdat je dan persoonlijk gebruik moet gaan definiëren.” Je kunt denken dat zo’n policy geen kwaad kan, maar dat is volgens Hayden een grove misvatting. Als je policies hebt die je niet af kunt dwingen, dan wordt het hele policy-systeem een lachertje. “De afdwingbaarheid van een policy is cruciaal”, zegt hij. “Als je ze niet af kunt dwingen, dan word je afgeslacht bij een controle en kom je er net zo slecht uit als wanneer je helemaal geen policies had.”

5. Het management hoeft zich niet aan policies te houden

Je verwacht van iedereen dat ze een badge dragen, maar laten we de directeur maar niet lastig vallen met dit soort fratsen, toch? Fout! Iedereen moet zich aan de beveiligingspolicies houden, aldus Wood. En dat geldt tot en met de eigenaar. “In veel gevallen denken ze dat het hoger management hen niet zal steunen als die er zelf ook aan mee moeten doen. Of ze denken dat de CEO de technologie niet begrijpt of dat hij zich gewoon niet met dit soort dingen bezig houdt”, zegt hij. “Maar het hoger management moet juist het goede voorbeeld geven bij dit soort beveiligingsmaatregelen.”

Wood heeft bijvoorbeeld bij organisaties gewerkt waarvan het hoger management laptops had met minder strikte beveiliging, om ze makkelijker te maken in het gebruik. “Dat is niet het voorbeeld dat je wilt geven”, zegt hij. “Ze moeten zich aan dezelfde regels houden als iedereen. Er zijn zelfs redenen aan te dragen waarom ze onderworpen moeten worden aan nog striktere policies, omdat ze toegang hebben tot veel meer gevoelige informatie.”

Cresson Wood vertelt een prachtig verhaal over hoe een klant zich hiermee flink in de vingers sneed. Bij een prestigieuze bank wilde het management hun dure pakken niet verpesten door het dragen van een badge. “Ze brachten wel regelmatig mensen mee om hen te laten zien wat voor mooie apparatuur ze hadden, natuurlijk zonder badge. En uiteindelijk heeft daar iemand gebruik van gemaakt. Het enige wat hij nodig had om binnen te komen was een mooi duur pak.”

6. Policies schrijven nadat het systeem is uitgerold

Waarom zou je geen policies kunnen schrijven nadat het systeem in gebruik is genomen? Omdat de beveiliging onderdeel moet zijn van het ontwikkelproces van het systeem! Dat is tenminste de visie van Cresson Wood, die bijvoorbeeld vaak ziet dat de patch management programma’s van klanten verouderd zijn en niet aansluiten bij wat er verder gaande is bij de beveiliging.

“Vanaf het allereerste begin, zelfs vanaf de haalbaarheidsanalyse, moet beveiliging onderdeel zijn van de discussie. Als beveiliging een add-on is, dan lopen we altijd achter de feiten aan. Als je de beveiliging al vanaf het begin meeneemt kun je je ervan verzekeren dat wat je doet ook echt gaat werken in jouw omgeving. Als security een sluitpost is, dan kan het niet anders dan dat het incompleet, ontoereikend en inadequaat is.”

7. Gebrek aan follow up

Uiteindelijk heb je een beveiligingspolicy opgezet. Misschien heb je dat best goed gedaan. Wie weet heb je je niet schuldig gemaakt aan een van de zes doodzonden die hierboven beschreven staan. Maar hoe zit het met het vervolg?

Beveiligingspolicies moeten zeker elk jaar opnieuw worden geëvalueerd, misschien zelfs vaker”, zegt Cresson Wood. Hij wijst er weer op dat policies als een proces moeten worden gezien. Dat betekent dat ze onderhouden moeten worden. Er moet steeds worden gekeken of ze nog werken en zo nodig moeten ze worden aangepast aan nieuwe ontwikkelingen.

“Het schrijven van policies is geen op zichzelf staand werk”, zegt hij. “Maar zo wordt het wel gezien door veel IT-afdelingen.”

Bron: Techworld