Onderstaand artikel is 4 februari 2011 op Computable geplaatst. Het volledige artikel op Computable is hier te lezen.

Ik was deze week in Dubai op een conferentie van chief information security officers (ciso’s) uit het Midden Oosten. Wat me daar als eerste opviel was de volwassenheid van Informatie Beveiliging in die regio. Als wij in West Europa de beelden op tv zien bekruipt ons al snel een superioriteitsgevoel: ‘ze lopen daar toch best wel achter’. Nou dat doen ze dus niet!

Maar ze willen wel graag leren. En dan zijn er natuurlijk altijd diverse West Europeanen bereid hun goede ideeën te delen. Vooral de aanwezige Britten begonnen natuurlijk direct over ‘best practices’ zoals onder andere verwoord in de ISO 27000 standaarden. Maar om aan te komen met een standaard van meer dan twintig jaar oud als antwoord op vragen over cyber-, cloud- en mobile-security is misschien wel ‘practice’ maar waarschijnlijk niet ‘best’.

Je kunt je overigens afvragen of het toepassen van ‘best practice’ een goed concept is in het kader van security. Als we namelijk allemaal op dezelfde manier gaan beveiligen maken we het de hacker community wel heel makkelijk… Misschien dus toch maar een soort ‘defense in depth’ door eigenwijze controls en technologieën te kiezen en niet massaal de trendrapporten en adviezen te volgen.

Niet dat ik iets tegen heb op de ISO-standaard en op leren van elkaars ervaringen, maar als we niet oppassen wordt het een doekje tegen het bloeden en gebruiken we het als een excuus om niet te hoeven nadenken over de moeilijke vragen die we echt moeten beantwoorden, zoals: hoe ontwikkel ik een security architectuur die flexibel is maar tegelijk robuust genoeg om dreigingen die ik nu nog niet ken het hoofd te kunnen bieden of die in ieder geval te detecteren. Helaas, daar hadden ze in Dubai ook nog geen pasklaar antwoord op. Toch maar zelf blijven nadenken dan!