Zoals in een recente blog [1] beschreven zijn er zeven mega trends waarneembaar op het gebied van Cyber Security. In deze blog wil ik graag wat dieper ingaan op de trend naar “manage the unexpected”. Alles wordt steeds meer virtueel en alles wordt met alles verbonden, ook wel “the internet of things” [2] genoemd. Dreigingen kunnen vanuit vele partijen over de gehele wereld komen, zoals staat beschreven in het Cyber Security beeld van het Nationaal Cyber Security Centrum (NCSC) [3], terwijl onze afhankelijkheid ten aanzien van ICT en internet steeds groter wordt. Door sociale interactie op globaal niveau worden effecten steeds onvoorspelbaarder want mensen reageren vaak onvoorspelbaar op elkaar, denk hierbij bijvoorbeeld aan het project X incident bij gemeente Haren [4] die de autoriteiten in Nederland volledig hebben verrast.
Hoe kun je nu business kansen benutten terwijl de Cyber Security risico’s op een beheersbaar niveau blijven? Hoe kun je je continuïteit blijven borgen en als organisatie in leven blijven terwijl de omgeving steeds onvoorspelbaarder en extremer wordt terwijl onze klanten steeds hogere eisen stellen aan de business processen waar wij verantwoordelijk voor zijn? Het vraagstuk rondom “manage the unexpected” wordt al enige tijd ook door de literatuur serieus behandeld in de vorm van het boek “The Black Swan” [5]. Een zwarte zwaan kun je hierbij zien als een onverwachte gebeurtenis die niet zo vaak voorkomt maar wel een extreem grote impact heeft op de mensheid, zoals de aanslag op de Twin Towers, de kredietcrisis, e.d.
Dit brengt ons bij het nieuwe beveiligingsdenken, namelijk wendbaar zijn in termen van business oplossingen en tegelijkertijd voldoende robuust zijn om de zwarte zwanen te kunnen weerstaan. Mijns inziens hoeven de doelstellingen met betrekking tot wendbaarheid en robuustheid niet strijdig te zijn en kunnen elkaar op basis van een slim business en informatieconcept en bijbehorende beveiligingsarchitectuur zelfs versterken. Het idee hierbij is dat de opzet van beveiliging de ontwikkelingen van wendbare organisaties één op één volgt. Vooruitstrevende en wendbare organisaties stappen van het model van strategisch, tactisch en operationeel niveau af, simpelweg omdat met dit model niet snel genoeg kan worden gereageerd op wensen van klanten en ontwikkelingen uit de omgeving. Ook de samenwerking met ketenpartners komt door de traagheid van het strategische, tactische en operationele model onder druk te staan.
De wendbare organisaties nieuwe stijl hebben wel het strategische niveau ingericht voor het formuleren van de business visie. Ook hebben zij het operationele niveau ingevuld op basis van bouwstenen van zichzelf en van anderen om de business visie zeer wendbaar te kunnen invullen. Deze bouwstenen [6] zijn modulair met elkaar te combineren en kennen een inherent niveau van betrouwbaarheid op basis van een transparantie en een daaraan gekoppeld reputatiesysteem.
Vervolgens worden deze bouwstenen op de middenlaag van de organisatie “Just In Time” gecombineerd om de actuele business behoefte in vullen. Zie hiervoor het onderstaande plaatje.
Het slim combineren van bouwstenen op deze middenlaag kun je vergelijken met Mashup applicaties [7] die aan de basis hebben gestaan van het sociale internet, ook wel web 2.0 genoemd. De organisatie die hierbij heel slim het risicomanagement in de gehele internetketen kan bedrijven is hierbij gedefinieerd als de “Enterprise Mashup” [8]. Volstrekt vergelijkbaar met risicomodellen waarmee creditcardmaatschappijen de wereld hebben veroverd. Het nieuwe beveiligingsdenken zou mijns inziens exact deze systematiek moeten volgen om de actuele business behoeften te kunnen volgen. Beveiliging is immers geen doel op zich en is dienend aan de business behoefte van de Enterprise Mashup. Deze secure Enterprise Mashup is in te richten door op het strategische niveau een doelbewuste keuze te maken welke beveiligingsprincipes [9] worden gehanteerd voor de komende jaren. Deze beveiligingsprincipes zijn direct afgeleid van de business strategie van de organisatie.
Voorts hebben we een tussenlaag waarvoor de toegang [10] dient te worden geregeld tussen de business actoren en de diensten die worden geboden door de bouwstenen op het operationele niveau. Hiervoor kunnen technologieën zoals Identity Access Management (IAM), Security Information and Event Management (SIEM), Workflow Management (WFM) en Business Rules Management (BRM) worden ingezet. Risk appetite [11] krijgt op deze middenlaag vorm door een dashboard voor het senior business management dat is ontworpen conform de principes van “business situational awareness” [12].
Het operationele niveau bestaat uit bouwstenen die inherent secure mogen worden verondersteld. Met bouwstenen bedoel ik complete business services die op een eenvoudige wijze kunnen worden gecombineerd. Deze aanname wordt echter wel dynamisch bewaakt op basis van state-of-the-art SIEM-technologie [13]. Verstandige organisaties realiseren zich dat voor een optimale wendbaarheid en robuustheid van business oplossingen het niet meer van deze tijd is om alle technologie zelf te ontwikkelen. Slim inkopen en combineren is de lijn voor de toekomst. Naast prijs wordt selectie [14] Business en information concept forenterprise agilityand robustnessStrategic steeringbasedonbusiness security principles Risk appetite in Enterprise MashupsSourcingmodel basedon cloud computing op basis van non-functional requirements [15] (waaronder security en privacy requirements) steeds belangrijker omdat deze bouwstenen het fundament vormen van bovenstaande piramide. U wilt uw business bouwwerk voor de toekomst toch niet baseren op het allergoedkoopste drijfzand?
Als Uw bouwwerk op een goed fundament staat, wordt U niet uit het veld geslagen door zwarte zwanen; u kunt simpelweg flexibel reageren [16] op de verstorende gebeurtenis (de zwaan is zwart), terwijl uw basis stabiel blijft (het blijft nog steeds een zwaan). Terugkijkend naar de zwarte zwaan voorbeelden moet je dus alert zijn en anomaliën herkennen zonder dat je weet, of ze een dreiging vormen of juist een nieuwe kans bieden. Blijken ze onbeïnvloedbaar en in de richting van een negatieve impact te gaan, dan moet je ze tijdig kunnen ‘afschieten’, buiten je invloedssfeer houden.
Referenties
1) De zeven security trends voor informatiemanagement
2) The internet of things:als alles met elkaar verbondern raakt [niet meer beshikbaar]
3) Het cybersecuritybeeld Nederland
4) Project X in gemeente Haren
5) The Black Swan: The Impact of the Highly Improbable: De Zwarte Zwaan
6) PRISM-vrije cloud computing [niet meer beschikbaar]
7) Mashup
8) Enterprise Mashups
9) Sturing op basis van security principles
10) Managing risk in Enterprise Mashups
11) Risk Appetite
12) Business Situational Awareness
13) Security information and event management (SIEM)
14) Sourcingmodel op basis van cloud computing
15) Non-functional requirements
16) From Train to Scooter
Expert
