Hoe lang is een best practice houdbaar?

Best practices binnen security zijn al zo oud als het werkveld informatiebeveiliging zelf. Doordat ze zo vaak gebezigd worden, kun je een aantal ervan ongetwijfeld inmiddels dromen: gebruik een sterk wachtwoord, beveilig je WiFi-verbinding, installeer updates, zorg voor een goede firewall, etcetera. Stuk voor stuk prima adviezen. Niks mis mee. Maar duik je dieper in de best security practices, dan zijn er een aantal bij die je intussen beter kunt vergeten.

Bad practices

Ik hoor je denken: “Jor, wat is dan een ‘bad practice’, wat hoor ik niet langer te doen?” Het antwoord hierop kan voor iedere organisatie anders zijn. Er zijn genoeg organisaties die hun security superslim aanpakken en daarvoor credits verdienen. Maar dat het toch vaak genoeg flink fout gaat, vernemen we met regelmaat uit de media. Door te werken met oogkleppen, inmiddels betere oplossingen en/of complexer wordende omgevingen, is wat een aantal jaar geleden nog buitengewoon slim was om te doen misschien inmiddels een hopeloos verouderde methode.

‘Verander je wachtwoord zeer regelmatig en gebruik diverse tekens!’

Waar jarenlang van de daken is geschreeuwd dat een wachtwoord zo vaak mogelijk gewijzigd moest worden om deze veilig te houden, is dit inmiddels al een tijdje achterhaald. Het zeer regelmatig wijzigen van je wachtwoord werkt in de hand dat je een opnieuw gewijzigd wachtwoord zeer moeilijk onthoudt. Gevolg: het wachtwoord wordt op de laptop ergens opgeslagen, in een agenda geschreven of op een post-it geplakt. Dat willen we juist tegengaan!

Stel daarom in dat een wachtwoord een relatief lange retentieperiode van bijvoorbeeld 180 dagen heeft, maar maak de eisen aan dit wachtwoord wel scherper. Het gaat dan vooral om de lengte. Vereis minimaal 10 of 12 tekens; hoe langer het wachtwoord, hoe moeilijker te hacken. Het toevoegen van vreemde tekens aan een korter wachtwoord weegt niet op tegen de lengte van een langer wachtwoord. Dwing dus een minimale lengte af, in plaats van zogenaamde complexiteit door vreemde tekens, hoofdletters en cijfers. Daarnaast geldt altijd dat een wachtwoord alleen niet voldoende is. Het inrichten van tweefactor-authenticatie is tegenwoordig een no-brainer. Altijd doen dus!

‘Een security risco? Plak een oplossing!’

Een ander voorbeeld is de ‘best’ practice dat voor ieder securityrisico een oplossing bestaat. Dat is alleen waar als je elk probleem als een issue op zich beschouwt en niet verder kijkt naar de gevolgen van het toepassen van nieuwe technologie. Security is te complex geworden om pleister op pleister te blijven plakken

In de loop der jaren heeft de strijd tussen hackers en beveiligers een palet aan nieuwe security-technologieën opgeleverd: EDR, DPI, IPS, IDS, noem maar op. Voor elke technologie is wel iets te zeggen en ik wil ze zeker niet afraden om te gebruiken. Maar als je ze gebruikt, dan moet je weten hoe je ze goed instelt en ook de tijd nemen om de logbestanden controleren.

Een extra tool toevoegen aan je security-gereedschapskist blijkt niet altijd nodig omdat we uit ervaring weten dat organisaties soms niet alle mogelijkheden van bestaande security-oplossingen benutten. Ook is het de vraag of je gebruikers een plezier doet met een extra beveiligingslaag: als deze te agressief staat ingesteld, kan het juist gaan leiden tot schaduw IT, juist het tegenovergestelde van wat je wilt bereiken.

Risico’s van een groeiend ICT-landschap

Kortom, niet alle security-adviezen blijken altijd slim om toe te passen. Als je weet dat elk onderdeel in de security-keten gekraakt kan worden en jouw veiligheidsniveau wordt bepaald door de zwakste schakel, dan kan het idee dat steeds meer devices en IoT-apparaten verbinden met jouw (cloud)omgeving angst aanjagen. Het klopt dat hoe complexer ICT-security wordt, hoe moeilijker de totale keten is te verdedigen.

De domste ‘oplossing’ is om rücksichtslos allerhande tools en best-practices tegen je omgeving te blijven smijten met het idee dat daarmee alle risico’s worden afgedekt. Soms is het juist goed om bestaande wijsheden en technologieën nog eens goed onder de loep te nemen en wellicht met de blik van een externe expert te komen tot nieuwe inzichten. Wat is specifiek voor jouw organisatie het best passende en slimste om te doen qua informatiebeveiliging? (En als je dat denkt te weten, weet je dat ook 100% zeker?) Ik ga er graag over met je in gesprek.