Een zeker basisniveau van beveiliging

Mijn security carrière is ooit begonnen als stagiair bij Lips beveiliging. Met een ervaren monteur mee om beveiligingssystemen te plaatsen, bij bedrijven, gemeenten, maar ook bij particulieren. Wat mij bijgebleven is van die tijd is dat we regelmatig nieuwe of uitgebreidere systemen gingen plaatsen bij bedrijven of particulieren die al wel een beveiligingssysteem hadden, maar waar toch ingebroken was en vaak de boel ook leeggehaald was.

De gemeenschappelijke factor was dat ze allemaal precies wisten wanneer het gebeurd was. Dus een prachtig signalerend systeem, maar het voorkwam de inbraak niet. Natuurlijk kan je grote sirenes en zwaailichten ophangen, camera’s, borden waarop “verboden toegang” of, “dit pand wordt beveiligd door huppeldepup beveiliging” en daar zal vast een afschrikwekkend effect vanuit gaan, maar voorkomt het een inbraak? Bij een gemeentehuis had een inbreker gewoon de sirene met purschuim dichtgespoten, het alarm ging dus wel af, maar niemand hoorde het. Iets anders wat ik in die tijd schokkend vond, was dat er op de meeste alarmsystemen in die tijd default monteurscodes ingebakken waren, als monteur konden wij altijd de systemen aan of uit zetten!

Andere verhalen uit die tijd, maar ook later nog, als ik een securitytraining aan het geven was en ook mijn cursisten met voorbeelden kwamen, gingen over de achterdeur die open stond (letterlijk) of dat iemand überhaupt vergeten was het systeem aan te zetten of vergeten de deur op slot te doen. Dat na een verbouwing de beveiliging ver onder de maat was, dat via de buren bijvoorbeeld zo binnengelopen kon worden.

Die stage was in de vorige eeuw en natuurlijk is er op het gebied van beveiliging vele veranderd, maar de universele waarheden rondom fysieke beveiliging blijven bestaan en gelden vaak ook voor IT-beveiliging. Een zeker basisniveau van beveiliging begint bij het fundament. Ramen en deuren dicht en op slot, degelijke sloten, de poort van de tuin op slot zodat het lastiger is om bij je schuur of achterdeur te komen, je kan het vaak met je boerenverstand wel verzinnen, maar je moet het wel doen!

Ik kan zo af en toe aan mijn kinderen vragen of ze weten dat ze de deur op slot moeten doen, en het antwoord zal ook ongetwijfeld ja (of beter jaahaa) zijn, maar als het niet gebeurt staat wel gewoon mijn deur open. Mijn “audit” kan dan geslaagd zijn, maar ze kunnen nog steeds mijn koffiezetapparaat (noem even het voor mij meest waardevolle apparaat thuis) weghalen!

Helaas is het vaak zo dat bij bedrijven gekeken wordt naar de regeltjes, de afspraken, voldoen we op papier wel aan de eisen die interne of externe auditors stellen en verliezen we daarmee de basis uit het oog. Admin wachtwoorden die default zijn, die overal hetzelfde zijn en/of (bijna) nooit veranderd worden. Slechte beveiliging omdat er geen onderhoud gepleegd wordt (patches dus niet op orde) of omdat na een grote wijziging er niet opnieuw naar de beveiliging gekeken wordt. Netwerk segmentatie niet op orde, dus ik kan makkelijk van het ene netwerk naar het ander komen, basis zaken die niet op orde zijn maar ook lang niet altijd uit een audit komen.

Mijn carrière in security is begonnen bij fysieke beveiliging, maar is als IT-consultant en trainer doorgegaan naar netwerk security, firewalls, security management, beleid en auditing. De security pet past me goed en ik zal de komende tijd mijn kijk op IT-security met jullie delen. Beveiliging komt in lagen, in een keten, maar de keten is zo sterk als de zwakste schakel, daar is veel over geschreven en gezegd, ik zal hierover ook mijn mening ventileren 🙂

Dan nu het reclameblok.

Didacticum levert al jaren kennis en trainingen op IT security vlak, maar sinds vorig jaar heeft de Didacticum groep er een security zusje bij waar alle security diensten ondergebracht gaan worden: Cyber7. Sinds een paar maanden mag ik me daar als CTO ook inhoudelijk mee bemoeien. Cyber7 heeft als missie Organisaties proactief helpen met als doel het risico op Cyber Security incidenten te verlagen, in plaats van achteraf de schade beperken.

Cyber7 is onderdeel van de Didacticum groep en kennis zit dus in ons DNA, we leveren securityconsultants, trainingen, workshops en young professional trajecten op het gebied van Cyber Security.

100% beveiliging bestaat niet, maar zonder de basis op orde ben je zeker niet veilig.