blog

Common best practices

jan-karel

4 min read
Common best practices
Photo by Jon Tyson / Unsplash

Laten we eens zes puntjes aanstippen, gewoon omdat het kan 😃

Er bestaat een hardnekkig misverstand dat cybersecurity iets is wat je “erbij doet” zodra je organisatie groot genoeg is om een CISO te hebben en klein genoeg om nog net geen brandblussers in de serverruimte te gebruiken als deurstopper. In werkelijkheid is cybersecurity vooral: niet elke dag op exact dezelfde banaan uitglijden en dan verbaasd roepen dat de vloer glad is.

Common best practices — wachtwoordmanagers, multi-factor, patchen, back-ups, least privilege, logging, segmentatie, awareness — klinken ongeveer zo sexy als “eet vezels” en “slaap acht uur”. Niemand zet er een poster van boven zijn bed. Maar net als vezels en slaap hebben ze Ă©Ă©n onhandig voordeel: ze werken. Niet spectaculair, niet filmisch, maar op die saaie, betrouwbare manier waarop je hoopt dat remmen op een auto werken.

1) Best practices zijn de vangrails van de menselijke soort

Cybersecurity faalt zelden omdat iemand een demonisch genie is met een hoodie en een groen computerscherm. Het faalt omdat mensen mensen zijn. Mensen klikken. Mensen hergebruiken wachtwoorden. Mensen sturen vertrouwelijke bijlagen naar “Jan” terwijl het eigenlijk “JĂ„n” is, of “jan.van.financien.biz” — een domein dat al schreeuwt: ik ben nep, maar ik heb haast en jij ook.

Best practices zijn ontworpen voor de realiteit, niet voor het ideaal. Ze gaan niet uit van “iedereen is alert en rationeel”, maar van:

  • iemand opent toch die bijlage;
  • iemand wil “even snel” iets fixen;
  • iemand plakt een wachtwoord op een post-it omdat het anders “niet te doen” is;
  • iemand heeft op vrijdagmiddag een brein dat al in het weekend zit.

Daarom is multi-factor authenticatie zo’n geniaal concept. Niet omdat het elegant is, maar omdat het een tweede slot op de deur zet voor het moment dat iemand de sleutel onder de bloempot legt. MFA is eigenlijk een subtiele belediging richting de mensheid, en terecht.

2) De meeste aanvallen zijn niet uniek — jouw verdediging hoeft dat ook niet te zijn

Als je een huis hebt, bouw je dat niet met “artistieke” experimentele deuren die alleen open gaan als je een haiku voordraagt. Je gebruikt een deur. Met een slot. Omdat 99% van de problemen “iemand probeert gewoon naar binnen te lopen” is.

Cyberaanvallen zijn vaak net zo fantasieloos. Phishing is nog steeds de koning van de ellende. Ransomware is vaak “binnenkomen via iets doms, lateraal bewegen via te brede rechten, encrypten, geld vragen.” Het is geen opera. Het is fastfoodcriminaliteit.

Best practices zijn de standaarddeur-met-slot van IT. Patchmanagement is letterlijk: “maak je ramen dicht als het regent.” Least privilege is: “geef niet iedereen een kopie van alle huissleutels inclusief die van de kluis.” Netwerksegmentatie is: “als er brand is in de keuken, is het handig als niet meteen het hele huis mee in de fik staat.”

En toch blijven we verbaasd als we geen best practices doen en het misgaat. Dat is alsof je zegt: “Ik heb geen rookmelder, geen brandblusser, ik frituur in bed, maar wĂĄt een pech dat het hier brandt.”

3) Best practices zijn de prijs van schaal

In een klein team kun je soms nog leven op sociaal vertrouwen en geheugen: “Oh ja, Piet weet wel hoe dat ding werkt.” Maar zodra je groeit, verandert je organisatie in een soort reizend circus met wisselende artiesten, stagiairs, leveranciers, cloud-diensten, overnames, tijdelijke accounts, “even snel een testomgeving”, en een Excel-bestand dat ooit begon als “Accounts_lijst_definitief_FINALv7.xlsx”.

Best practices zijn wat er gebeurt wanneer je accepteert dat complexiteit altijd wint, tenzij je haar met discipline te lijf gaat.

  • Asset management: weten wat je ĂŒberhaupt hebt. (Revolutionair!)
  • Configuratie-baselines: niet elk systeem een unieke sneeuwvlok laten zijn.
  • Back-ups + hersteltesten: niet alleen kopiĂ«ren, ook Ă©cht kunnen terugzetten.
  • Logging + monitoring: als je geen sporen ziet, weet je ook niet wanneer je beroofd bent.

Zonder dit alles ga je niet “een beetje onveilig” zijn; je gaat blind zijn. En blindheid is in cybersecurity geen vibe, het is een uitnodiging.

4) Het nut van saai: security is het beste als niemand het merkt

De tragiek is dat goede cybersecurity voelt als overbodige voorzichtigheid
 tot de dag dat het je redt. Dan voelt het als magie.

Neem back-ups. Back-ups zijn de groente van IT: iedereen weet dat het moet, niemand heeft zin, en pas als je systeem in een smeulende crater is veranderd zeg je: “Had ik maar.” Maar een goede back-upstrategie — met offline/immutability, rotatie, en hersteltesten — is het verschil tussen “we zijn een week down en betalen losgeld” en “we hebben een rotmiddag en daarna koffie.”

Of patchen. Patchen is onderhoud, en onderhoud is ondankbaar. Je wordt niet beloond voor alles wat nĂ­Ă©t kapot gaat. Je wordt alleen gestraft voor wat wĂ©l kapot gaat. En toch is patchen waarschijnlijk de meest kosteneffectieve beveiligingsmaatregel ooit uitgevonden, op de voet gevolgd door “zet MFA aan” en “maak admin-rechten schaars als parkeerplekken in het centrum”.

Best practices zijn de kunst van het voorkómen van drama. En drama is leuk in een film, maar irritant als het je facturatie, patiëntendossiers of productieplanning is.

5) Best practices zijn geen religie — ze zijn een startpunt met bewezen ROI

Er is altijd iemand die zegt: “Maar onze organisatie is uniek.” Dat klopt. Iedereen is uniek. En toch dragen we allemaal ongeveer dezelfde soort schoenen, omdat voeten op de hele planeet dezelfde irritante behoefte hebben: bescherming tegen stenen en glas.

Best practices zijn geen heilige teksten; het zijn samengeperste lessen uit miljoenen incidenten, audits, en fouten waar iemand anders al voor betaald heeft. Het is een koopje: je krijgt de wijsheid zonder de littekens.

Je hoeft ze ook niet dogmatisch te volgen. Het punt is niet “vink het lijstje af en ga naar huis.” Het punt is:

  • Begrijp het risico.
  • Pas de basis toe.
  • Meet of het werkt.
  • Verbeter iteratief.

Cybersecurity is geen eindbestemming; het is een hygiĂ«nestandaard. Je kunt best Ă©Ă©n keer je tanden poetsen en dan zeggen: “Zo, nu ben ik klaar met tandzorg,” maar je gaat het een paar maanden later aan je keuzes zien.

6) De echte vijand is niet de hacker — het is de interne “ach joh”

De grootste tegenstander van best practices is niet een elite-aanvaller. Het is dat ene zinnetje dat overal klinkt, in elke taal, in elk kantoor:
“Ach joh, het is maar tijdelijk.”
“Ach joh, we fixen het later.”
“Ach joh, het is maar een test.”
“Ach joh, het kost tijd.”

Dat “later” is waar de ellende woont. Later is de plek waar kwetsbaarheden zich ophopen, rechten uitwaaieren, accounts blijven bestaan, en niemand nog weet waarom “serviceaccount_prod2” overal admin op heeft.

Best practices zijn een manier om “later” te verhinderen. Ze zetten proces boven improvisatie. Niet omdat improvisatie slecht is, maar omdat improvisatie op schaal verandert in chaos — en chaos is de favoriete huisstijl van aanvallers.