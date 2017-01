Als het gaat om security is meer altijd beter, nietwaar? Klinkt in theorie goed, maar in de praktijk geeft dat problemen. Zo bied ik bijvoorbeeld weerstand tegen zo'n 20.000 klanten die onafhankelijke third-party assessments willen van onze beveiligingsmaatregelen. Dat beleid herzie ik zo nu en dan, maar momenteel hanteer ik dit als regel. Ik zal je uitleggen waarom.

Wat probeer je te verbergen?

Mijn team is meer dan twintig procent van de tijd kwijt aan het invullen van beveiligingsenquetes, beoordelen van security-contracten, reageren op verzoeken van informatie en het meewerken in sales-meetings om mee te denken over security en privacy. We merken vaak dat klanten onze applicaties en infrastructuur door een derde partij te laten beoordelen en dat zou simpel kunnen door ze een tool als Nessus, Qualys of Nmap te laten draaien.

Wanneer ik weiger, krijg ik altijd tegenwerpingen als 'wat probeer je te verbergen', 'hoe kunnen we je anders vertrouwen', 'je zou een gratis assessment juist moeten omarmen', of 'we kunnen niet verder zonder onze eigen beoordeling'.

Zo transparant mogelijk

Ik leg als eerste uit dat we als onderdeel van ons risicomanagement regelmatig zowel interne als third-party assessments van onze applicaties in infrastructuur laten uitvoeren. Die partijen zijn gevestigde namen die werken met een nondisclosure agreement (NDA) en een strikte opdracht hebben. Ze verrichten werkzaamheden tijdens daluren en verwittigen afdelingen omdat hun activiteiten tot prestatie-issues of andere tickets kunnen leiden.

Daarna deel ik de samenvatting van hun rapporten, inclusief high-level bevindingen en of we wel of niet gepenetreerd zijn. Ik laat ze ook third-party compliance-documenten zien. In de meeste gevallen zijn bedrijven dan gerustgesteld.

Incidentafhandeling

Vaak moet ik ook de filosofie achter mijn standpunt toelichten. De ervaring leert dat het toestaan van assessment van buitenaf kan leiden tot onaangekondigde tests en onnodige incidenten. Als we een assessment verwachten, houdt onze incidentafhandeling daar rekening mee. Bovendien delen we op dat moment geen onnodige informatie met de beveiligingscommunity, melden we het IP-adres niet aan de autoriteiten of ISP of gaan we over tot blokkeren. Als we niet weten dat een assessment wordt uitgevoerd, kan dat vervelende gênante situaties opleveren voor onze klanten en de partij die de tests uitvoert.

Bovendien, als je duizenden klanten hebt en steeds incidentafhandeling en reactie op security-incidenten moet aanpassen op assessments, is dat niet goed voor je algehele beveiliging.

Nog een nadeel is dat veel van onze klanten als MKB met kleine resources geneigd zijn om goedkope bedrijven in te huren om audits uit te voeren en de kans is groot dat die weinig ervaring hebben. We hebben geen tijd om veel partijen van te voren na te pluizen, vooral niet als het om een goedkopere buitenlandse partij gaat.

Schade door audits

Jaren geleden, toen ik nog geen 'nee' verkocht op zulke verzoeken, liet ik een klant zo'n assessment door een third-party uitvoeren en kwam erachter dat deze het werk had laten opknappen door een vierde partij. Het gevolg was een storing door een onaangekondigde DDoS en dat kostte ons geld omdat we klanten boetes moesten betalen omdat we niet voldeden aan onze SLA. Een andere keer had een klant een beveiligingsissue opgemerkt en openbaar gedeeld op een forum, wat ons merkschade toebracht.

Ik zeg tegen onze klanten: "Onze applicaties verwerken een hoop gevoelige data, inclusief financiële gegevens, gezondheidsdata en persoonlijke gegevens. Ik wil dat je nauwgezet bent in het bevestigen dat die informatie wordt beveiligen, maar als we jullie toestaan eigen tests uit te voeren, moeten we datzelfde recht verschaffen aan onze andere klanten. Wil je echt dat we een open scanbeleid voeren?"

Misschien is jouw situatie anders genoeg om klanten wel toe te staan hun eigen assessments uit te voeren. Als je dat doet, hoop ik dat je een strikt plan hanteert om de betrokken partijen te beoordelen, referenties na te gaan, juridische zaken te regelen, werkverklaringen en NDA's te hanteren, tests in te plannen en de activiteiten te monitoren. Zo niet, dan ben ik bang dat je om problemen vraagt.

Deze bijdrage is geschreven door een informatiebeveiliger die zijn praktijkervaringen met ons wil delen. Hij schrijft daarom vaker voor Computerworld. Om voor de hand liggende redenen is 'Mathias Thurman' een pseudoniem.