InfoSec 2014, meer van een beetje anders hetzelfde

We onderschatten vaak de (maatschappelijke) implementatietijden van concrete nieuwigheden en overschatten de implementatietijden van wat vagere, minder zichtbare ontwikkelingen. Waardoor we ons vooral achteraf afvragen waarom we het niet zagen aankomen terwijl het allemaal zo helder voor ons lag. Hiding in plain sight…

Desondanks toch een voorspelling voor dit jaar, hoe het gaat lopen met die maatschappelijke ontwikkelingen en wat er binnen uw organisatie gaat gebeuren. Welke specifieke information-securityaspecten dit jaar in het nieuws zullen zijn, daar kom ik binnenkort in een volgend stuk op terug.

‘Extern’: Maatschappelijke ontwikkelingen

Qua externe ontwikkelingen, de dingen die in het (vak- en algemene-) nieuws komen maar waar we niet noodzakelijkerwijs direct zelf iets mee ‘moeten’, gaan we een interessant jaar tegemoet. Maar liefst zeven ontwikkelingen zullen het ICT-nieuws van dit jaar domineren:

Things, internet of ~; de koppeling van steeds meer devices aan … nou ja, niet het Internet zoals we dat kennen. Juist dit jaar zullen we de eerste implementaties tegen gaan komen van thing-to-thing interfacing. Weliswaar zijn er nog geen goede algemeen geaccepteerde en gebruikte standaarden (“APIs”) om koppelingen te maken, maar de eerste cross-sector koppelingen zullen een beeld geven van een ‘betere’ toekomst: Uw in-car (?) navigatiesysteem leest in uw agenda wel waar u heen wilt. Uw (nou ja, een demo-model) koelkast communiceert met de Appie op uw mobieltje voor een boodschappenlijstje. Dat soort dingen. Daar is dus wat anders dan HTML voor nodig. 
En misschien zien we wel de eerste gadget-niveau domoticadoorbreken; follow-me verlichting en muziek in huis liefst zonder de hele bekabeling te hoeven vernieuwen. 
Ook business-to-business zien we ‘things’ doorbreken met bijvoorbeeld XML/XBRL-koppelingen tussen administraties waar steeds minder mensenhand aan te pas komt – al zal de kwaliteit van de data daarmee wel fors achteruit gaan; pas nu komen alle vuiltjes en systematische foutjes tevoorschijn…

ID take 2; een vernieuwde poging om de ideeën van OpenID en zo algemeen aanvaard te krijgen. Nu de traditionele (kantoornetwerk-)softwareleveranciers minder in de melk te brokkelen hebben en de nieuwe groten belang hebben bij klanttotaalbeelden, zullen beveiligde, al of niet federatieve IDs wellicht eindelijk eens van de grond komen. Maar houdt wel rekening met flink wat discussie over veiligheidsgaranties (quod non) waaronder privacywaarborgen. Dus vér voorbij alleen maar beloften; beloften zijn in 2014 het waardeloze gebabbel van achtergebleven bureaucraatjes. ‘Credibility’ komt dit jaar bottom-up op basis van reputatie, niet op basis van de (negatieve!) reputatie van organisaties.

Trust is namelijk het volgende item. Na de kredietcrisis kwam Trust al naar voren als hetgeen dat door het ijs was gezakt en diende te worden hersteld. Terwijl er in de tussentijd niks aan is gedaan. Het oude vertrouwen in alles dat groot is en zo goed voor ons zou hebben gezorgd (van ons bedrijf dat wel wat kon hebben tot en met (supra)nationale overheden: Allen worden ze niet meer geloofd. En het vertrouwen komt slechts te voet terug, if at all. Want zolang er nog geen werkelijk doorvoeld inzicht maar juist blindheid is voor het verlies van vertrouwen, is de start van herstelpogingen nog ver weg. Dit jaar zien we in plaats daarvan de doorbraak van bottom-up vertrouwen, in kleine, dichtbij-netwerkjes en netwerken. M’n (virtuele ..!) buurman ken ik en vertrouw ik, de grijze massa niet. En de wetgeving en uitvoering (toezicht en sancties) rond cookies en spam zal dit jaar een make-over krijgen en nu eindelijk eens serieus worden genomen.

Social everything. Ja, ook afgelopen jaar was socmed belangrijk, maar nog als nieuwigheid. Die nieuwigheid is er dit jaar af. ‘Algemeen’ nieuws is geen nieuws meer, hooguit voor de zo ver achteropgeraakte onbegrijpenden; managers, ‘executives, u kent de leggards wel. 
Wel zullen we nog een heel jaar worden overladen door allerlei detail-ontwikkelingen. Verschuivingen in platformen (wie Facebookt er eind ’14 nog ..? Is Twitter next? Hoe gaat het met Snapchat en Vine ..?) en in inkomensmodellen, de vermenging van gamification met MOOCs, etc.; het zijn allen steeds meer specialistische trends – die we als ICT’ers en InfoSec-professionals wel in de gaten moeten houden.

Mobile: Idem. Gelukkig wordt dit het jaar van de uniformisering van de user experience over platformen en schermgroottes heen. Welk device we ook pakken, de look&feel én de functionaliteit zullen hetzelfde zijn. Zie Cloud hieronder, ook. Dat zal overigens wel een forse inspanning op ontwikkelgebied vergen, maar achterblijven wegens het oude, versteende denken in (gebrek aan) budgetten kan echt niet meer. Do or die…

Analytics, Predictive ~; als in Big / Smart Data everywhere beyond the hype. We gaan steeds eenvoudiger implementaties zien van smart data analyses, her en der leidende tot predictive computing in MKB- en consumenten-handen. Dat is een hele volzin voor de doorbraak van de tools die in academia al een jaar of vijftien de ronde doen. Dit jaar zullen we ook de eerste verdienmodellen (anders dan voor massale marketing-individualisering) zien opduiken. 
In buitenlanden met zwakke privacy-regelingen zullen de markten voor consumentengegevens ook eindelijk in de openbaarheid komen, uit de schimmige sfeer die er nu nog is. De consument kan er tóch niks tegen doen…

Cloud. ‘Zucht, ja wéér’, voor wat betreft de theorie. Maar dit jaar met heel wat ‘hé wat aardig dat is nou een goede feitelijk implementatie’ eroverheen. Want dat is wat 2014 ons brengt: Doelbewust ontworpen en (dus) succesvolle cloud-(gebruik-)implementaties in plaats van qua cloud struikelend de toekomst in. Onderdeel van dit succes is dat we dit jaar zullen leren (van anderen?) hoe informatiebeveiliging en continuïteit goed kunnen worden ingeregeld ver voorbij de holle-frasen papieren compliance met standaarden. Ook overheden gaan nu dan eindelijk over tot grootschaliger cloud-gebruik.
Helaas komen we er in 2014 achter dat de cloud providers in Europa … eigendom zijn van bedrijven, of gebruik maken van providers, in Amerikaanse, Chinese, Indiase of Russische handen.

Nodeloos op te merken dat dit maatschappelijke ontwikkelingen zijn die (vlak) voor uw deur langs kunnen trekken zonder u te raken – of u wordt op een dag wakker en de ontwikkelingen vinden juist binnen uw organisatie plaats…

‘Intern’: Wat merkt uw ICT-afdeling ervan qua InfoSec

In bovenstaande leest u al een paar keer zaken waar plots aan u kan worden gevraagd: ‘Dat ~ hè, wat moeten we daarmee ..?’ en ‘Kijk nog even naar wat we stiekum allemaal aan ~ hebben geïmplementeerd, maak jij het veilig je hebt twee dagen’. Succes ermee.

Daarnaast blijft BYOD zich verder ontwikkelen. In de zin dat het simpele PC-beheer steeds minder wordt en de dwang om steeds gemakkelijker koppeling met bedrijfsdata mogelijk te maken, toe zal blijven nemen. Slimme organisaties zullen dit jaar aangrijpen om de daardoor ontstane tijdruimte (jawel) te gebruiken om eens en voor altijd een voor deze keer eens goede herimplementatie van de ‘ITIL’-processen door te voeren. Niet top-down vanuit het boekje (de boekjes) busladingen procedure’tjes de organisatie infietsen maar bottom-up noteren wat wél werkt en aanvullen met slimme controls. Denk aan down-to-earth dingen als asset/configuration/inventory-management. Van hardware via middleware tot en met software(licenties), de berg werk ligt voor u. ‘80% Goed’ zal bedroevend (moeten) zijn, 99% Goed is net aan voldoende… Nu kan het, doe het dan ook! De inzichten die nu eindelijk uit de processen komen, zullen helpen om veel eenvoudiger, werkelijk, lean and mean te gaan opereren. Dat BYOD-gedoe staat toch op afstand.

Ook zullen we helder zien dat ‘ERP’ in stilte is teruggevallen, is ingeklonken, tot een factor van minder belang. Natuurlijk, de boekhouding gebeurt nog met dat grote pakket, en soms nog een paar aanpalende processen. Maar de aandacht is er niet meer. De implementatie staat, met al z’n gebreken, en draait, en gebruikers hebben zich naar de onhebbelijkheden gevoegd. De aandacht is er meer voor working around the system, en voor ‘slimme’ data-extractie en reporting.

Waarbij op organisatieniveau gelukkig de aandacht voor ‘three lines of defense’ zal terugvallen. De drie lijnen zullen namelijk blijken niets te helpen tegen tegenslagen in de business, omdat ze niet tussen kwetsbaarheden en bedreigingen instaan. Hooguit helpen ze de werkvloer af te schermen tegen de onbeholpen en onbegrijpende invloeden van regelgevers en, zacht gezegd, qua werkelijke operationele business ‘wat minder’ competente bestuurders die hun abstracte beleidslijnen tot in de met pietluttige regeltjes vertaald willen zien inclusief totaal omgekeerde bewijslast. Hetzelfde geldt overigens voor het risicomanagement-gebeuren; na de zogenaamde implementatie door opgewonden kantoorklerken die zich meer op de methodologie (quod non) richtten dan op (de) risico’s tussen de oren, zullen we dit jaar veel meer gewoon informeel risicomanagement zien. Dat succesvoller zal blijken dan het proceduregepruttel.
En ja, toezichthouders zullen dit jaar helder krijgen dat ze bezig waren rond te lopen in des keizers kleren – en zich in stilte, maar anderhand merkbaar, gaan richten op de werkelijk verantwoordelijken. Geen strenge gesprekken meer maar harde sancties, relevant hoge boetes en straffen. Een mens mag dromen, toch?

Tot slot zal er een forse druk zijn om toch vooral veel meer te gaan doen met informatiebeveiliging. Wat tot nu toe deed u dat veel te weinig …! Nou ja, veel te weinig zichtbaar. Ook hier zien we overigens een langzaam verlaten van de vaste, verkalkte waarden van een ISO 2700x en zo. 27k1 is in de laatste versie niet voor niets al veel ‘losser’ geworden. Dit jaar zullen we veel meer ‘eigen’ informatiebeveiligingsimplementaties zien, die terugvertaalbaar de ‘locale’ implementatie van ISO-standaarden zullen geven. Substance over form..!

Voor zover, we kunnen wel door blijven gaan terwijl 2014 al is begonnen. En alles is onzeker, vooral de toekomst. 
De enige zekerheid van 2014 is dat de oh zo wannabee hipsterbaarden zó 2013 zijn … hopelijk..


Jurgen van der Vlugt is IT security consultant en IS auditor bij Maverisk.

Dit artikel verscheen op 3 januari 2014 op het Kennisplatform van Cqure en is met toestemming van de auteur op ISP Today gepubliceerd.

Over Jurgen van der Vlugt