De wereld van informatievoorziening verandert zo snel dat een auditperiode van een jaar wellicht onvoldoende vertrouwen geeft in de veiligheid van deze informatievoorziening. Hoe kun je grip houden op het steeds veranderende IT-landschap? Is continuous auditing een haalbare oplossing?
Security controls vereisen een steeds kortcyclischer aandacht. Binnen het vakgebied Continuous Auditing is hier invulling aan gegeven voor zowel het voortbrengingsproces als de productieomgeving, in analogie met Continuous integration en Continuous Delivery van software.
Hieronder gaan we in op drie methoden voor integratie Van Continuous Auditing in de CI/CD Secure-pipeline. Hoewel er bij alle drie de methoden nog uitdagingen zijn en problemen die we moeten aanpakken, zijn de resultaten veelbelovend. Ze brengen auditing in lijn met de snelheid van ontwikkelen met DevOps en helpen daarmee ondernemingen continu in control te blijven en hun time to market te behouden. Het doel van dit artikel is om concept Continuous Auditing uit een te zetten.
Introductie continuous auditing
Nieuwe, Agile delivery paradigma’s leiden tot een steeds sneller veranderend IT-landschap. Door deze dynamiek is het niet meer voldoende om periodiek, achteraf, audits uit te voeren op beveiligingsbeleid. Om het tempo van continuous integration en deployment bij te houden is controle op continue basis nodig voor elke wijziging in het IT-landschap. Het concept van continuous auditing zou dit probleem kunnen oplossen, maar hoe haalbaar is het?
Definitie van het probleem
Traditionele auditinstituten worden om een aantal redenen geconfronteerd met nieuwe technologie waar de audit nog onvoldoende mee rekening houdt voor de certificering van informatiebeveiliging. Ten eerste is de huidige frequentie van een auditcyclus één keer per jaar met een terugblik, wat te lang is voor de snel veranderende IT-landschappen. Verder leidt het toepassen van Agile-ontwikkeling tot hoogfrequente kleine veranderingen die niet altijd worden getoetst op de Effectiviteit Van controls.
Maar ook interfaces tussen informatiesystemen, clouddiensten of interfaces tussen clouddiensten zijn flexibel en veranderen zeer snel. En ten slotte kunnen bedrijven die continu in control willen komen en blijven, niet aantonen dat hun IT-landschap aan de regelgeving voldoet en / of kwetsbaarheden worden blootgelegd. Dit betekent dat de effectiviteit van de beheersing van informatiebeveiliging niet direct bekend is, deze wordt pas bij de audit bevestigd.
Oplossingen
Het antwoord op dit probleem is om de informatiebeveiliging continu te testen. Dit betekent dat de effectiviteit van de controles op elk moment bekend is. Er zijn drie (deel) oplossingen die bijdragen aan een oplossing en die elkaar versterken, te weten: verhoging van de auditfrequentie, security by design en Continuous Auditing.
1. Hogere frequentie van auditing
De eerste en eenvoudigste manier om het probleem op te lossen, is door de frequentie van een audit te verhogen, bijvoorbeeld maandelijks in plaats van jaarlijks. Dit kunnen we realiseren door vaker evidence te verzamelen en verspilling bij het verzamelen en verifiëren van evidence te verminderen.
Beperkingen
Deze oplossing is relatief eenvoudig toe te passen, maar is aanzienlijk duurder dan een jaarlijkse audit. Ook is een maand nog steeds een lange periode, dus op zichzelf lost de oplossing het probleem niet op.
2. Security by Design
De tweede oplossing voor het probleem is de Security by Design-aanpak. Dit concept gaat over het voorkomen van gebreken in de informatiesystemen door de vereiste controls op te nemen in de volledige levenscyclus van het informatiesysteem. Deze controls zijn gebaseerd op een risicoanalyse van informatiebeveiliging. Dit omvat vier geïntegreerde valuesystems die de effectiviteit van de controls proactief moeten waarborgen, bekend als DVS, SVS, ISVS en BVS.
Development Value System (DVS)
DVS is een value system waarin het ontwerpen en bouwen van de software plaatsvindt. De controls voor informatiebeveiliging maken deel uit van het ontwerp, zoals Rest API’s die een oauth2-authenticatiemethode gebruiken.
Service Value System (SVS)
SVS is een value system waarin het onderhoud en de inzet van de software plaatsvindt. De CI / CD Secure Pipeline bevat geautomatiseerde controles voor informatiebeveiliging, bijvoorbeeld het scannen van de code op het opnemen van kwaadaardige software.
Information Security Value System (ISVS)
ISVS is een value system waarin de definitie van de informatiebeveiligingscontrols plaatsvindt, evenals de verificatie van de effectiviteit van deze controls in de DVS-, SVS- en BVS-waardesystemen zoals de 114 controls van ISO 27001: 2013.
Business Value System (BVS)
BVS is een value system waarin we het informatiesysteem op een veilige manier gebruiken zoals geëxporteerde spreadsheets en rapporten.
Alle value systems definieren we in termen van value streams die zijn ontworpen door het gebruik van use case-diagrams en use cases. Ze zijn bijvoorbeeld geschreven in de Gherkin-taal om het gedrag van de use case uit te drukken. Hierdoor blijven de value streams Agile, lossen we knelpunten op en verminderen we verspilling om de waarde voor de business (BVS) te vergroten.
Figuur 1. Value Systems
Deze integratie van waardesystemen is vergelijkbaar met de Automobiel industrie. Zo is DVS de fabriek van de auto’s waarbij de beveiliging is geïntegreerd in het ontwerp van de auto zoals de aerodynamica, het frame, de aanrijdingsdetectie, et cetera. Het SVS is de garage waarin men de auto controleert op effectiviteit van bedieningselementen zoals de wielen, de remmen en waar kwetsbaarheden worden weggenomen. Het ISVS staat voor de controls die wettelijk verplicht zijn en een garage periodiek controleert en gerapporteerd aan de overheid. En ten slotte wordt het BVS vertegenwoordigd door de beveiligingsmaatregelen die de bestuurder naleeft om alleen te rijden als hij nuchter is en niet te moe is om te rijden.
De integraties van de value systems garanderen de effectiviteit van de controls. Bijvoorbeeld de value stream van de IT-servicecontinuïteit van de SVS in relatie tot de ISVS waarin noodherstel vereist is. De controls zijn gebaseerd op geïdentificeerde informatiebeveiligingsrisico’s. Dit resulteert in een proactieve manier van informatiebeveiligingsbeheer.
Deze proactieve Security by Design-aanpak kunnen we in zowel Agile-omgevingen als niet-Agile-omgevingen gebruiken. Deze aanpak is ontwikkeld bij Plint AB (Göteborg) en wordt gepromoot in Plint-webinars samen met een publicatie in de nabije toekomst.
Beperkingen
Organisaties maken steeds vaker gebruik van informatieservices die in de Cloud worden aangeboden. Dit brengt ook (veiligheids) risico’s met zich mee. Deze informatiesystemen zijn black boxes die tot op zekere hoogte controleerbaar zijn, maar uiteindelijk black boxes blijven. Dit betekent dat we de effectiviteit van de controls, verkregen door software en hardware van leveranciers te kopen, moeten testen. In deze cloud omgevingen wordt dit testen echter nog moeilijker als blackboxes in de cloud gestapeld worden (bijvoorbeeld IAAS, PAAS en SAAS). Uiteraard zijn er SLA-clausules die transparantie vereisen van de blackboxes en wijzigingsrapportage zijn tot op zekere hoogte mogelijk. Ook kunnen er in de SLA eisen worden opgenomen zoals de ISO 27001:2013, de ISAE 3402, en certificeringen op het gebied van cyber security zoals NOREA CSA & ICR.
3. Continuous Auditing
De derde optie is om het volledige auditproces te automatiseren door alle informatie te extraheren uit de managed objects die we gebruiken om het informatiesysteem als een service aan klanten aan te bieden. De ontvangen informatie is in real-time, indien een afwijking wordt geconstateerd wordt direct een signaal afgegeven en mogelijk een correctieve actie. De mogelijkheid tot informatie-extractie moet echter worden gerealiseerd in alle relevante oude en nieuw te realiseren componenten.
Beperkingen
Alle componenten van een service moeten hun informatie exporteren in een standaard informatiestructuur (JSON-formaat). De vraag is wat de kosten zijn om deze export per product mogelijk te maken en wat uiteindelijk de daadwerkelijke dekking van deze objecten is. Ook het begrijpen van de componenten van een service is niet eenvoudig. Voor services in de cloud is dit zelfs niet mogelijk tenzij ondersteund door de leverancier van de internetdienst.
Continuous Auditing, de oplossing
Alle drie gedefinieerde alternatieve oplossingen hebben hun waarde en kunnen we ook combineren. Maar het laatste alternatief erkend men in veel organisaties als de silver bullet. Dit artikel gaat verder met het uitleggen van het concept van Continuous Auditing en sluit af met een conclusie.
Continuous Auditing concept
Het concept van Continuous Auditing wordt weergegeven in figuur 2 hieronder.
Figuur 2. Continuous Auditing
Managed objects
Infrastructuurbeheer bestaat uit de hardware (netwerkcomponenten, server blades, et cetera) en systeemsoftware (besturingssystemen, databasebeheersystemen, et cetera). Applicatiebeheer bestaat uit de componenten die bedrijfslogica bevatten zoals applicaties, databases, rapporten, et cetera. Al deze objecten moeten worden beheerd en er moeten controls worden toegepast zoals authenticatie en autorisatie.
Ook de services die worden geleverd op basis van het managed object kunnen we als managed object beschouwen.
Control evidence export
De doeltreffendheid van de control van alle managed objecten die deel uitmaken van het informatiesysteem moet worden geverifieerd en er moet dus informatie worden geëxtraheerd uit de managed objects.
Zowel de controls als de informatie die nodig is om de effectiviteit van de control te verifiëren, verschilt echter per managed object. Zo is bijvoorbeeld de geëxporteerde informatie van een firewall niet hetzelfde als voor een database. Voor een firewall moeten er controls zijn die de effectiviteit van de configuratie van de poorten en routes verifiëren. Deze controls zijn niet van toepassing op een database. In een database worden echter bedrijfsgegevens opgeslagen die controls vereisen om de effectiviteit van toegangsrechten te verifiëren.
Control database
De business rules voor het testen van de effectiviteit van de controls worden vastgelegd in de control database. Per type managed object wordt de informatie voor de bedrijfsregel gedefinieerd en geprotocolleerd. Ook zijn niet alle managed objecten even gevoelig voor een risico en hoeven ze dus niet door een control te worden getest.
Control evidence
Alle verzamelde informatie wordt centraal opgeslagen. De informatie is gestandaardiseerd en eenvoudig te toetsen aan de controls die zijn opgeslagen in de control database.
Continuous Auditing engine
De informatie in de controle evidence database moet worden geanalyseerd, gefilterd en geaggregeerd om de informatie te vergelijken met de relevante controles in de control database. Dit wordt gedefinieerd in de engine voor continuous auditing.
Auditing dashboard
De effectiviteit van de controls wordt gevisualiseerd op het control dashboard. Er zijn meerdere weergaven mogelijk om de gegevens te bekijken, zoals de
effectiviteit per value system, value stream, informatie service en managed service en ten slotte de effectiviteit volgens ISO 27001: 2013 control.
Wat zijn de uitdagingen?
Het concept van Continuous Auditing kent een aantal valkuilen:
Vereiste vaardigheden
De decompositie van de service naar componenten moet worden uitgevoerd om de managed objecten voor een service te bewaken. De kennis om deze services te analyseren vereist vaardigheden die niet altijd beschikbaar zijn (Full stack engineer / E-shaped people).
Gebrek aan evidence
Het is niet altijd mogelijk om het benodigde evidence uit de managed objecten te exporteren.
Handmatige controls
De toewijzing van de controls aan de managed objecten moet worden gedefinieerd. Voor standaardproducten op de markt kunnen we dit één keer doen, maar voor maatwerkoplossingen moet dit handmatig gebeuren.
Kwetsbaarheid
Net als bij alle monitoring tools, concentreert deze benadering alle niet-conforme informatie op één plaats. Dat is een nieuwe kwetsbaarheid die moet worden beschermd.
Het concept van Security by Design kan deze valkuilen compenseren. Ook het selecteren van managed objects voor een informatie service op basis van de gedefinieerde controles is een goede proactieve maatregel.
Conclusie
Het concept van Continuous Auditing is geen hype, het is een beweging van de markt die de oude manier van werken zal veranderen. Het bevindt zich echter nog in de beginfase en het concept is vrij onvolwassen. De toepassing van Continuous Auditing moeten worden geplaatst op de roadmap van alle organisaties die hun time-to-market van oplossingen op de markt willen behouden of verbeteren.
De oplossing van Continuous Auditing heeft potentie, maar vereist een aantal randvoorwaarden:
- De behoefte of visie om in control te zijn (informatiebeveiligingsrisico’s die we moeten beheren).
- Het vermogen om control vanuit standaarden te vertalen naar de context van de organisatie (ISO 27001: 2013 of andere kaders).
- Het vermogen om de informatiebehoefte te definiëren om de effectiviteit van een control te valideren.
- De mogelijkheid om services te vertalen naar de onderliggende managed objects (te beheren objecten zoals applicaties en infrastructure) en de juiste controls te selecteren voor de risico’s van deze managed objects.
- De mogelijkheid om evidence van de effectiviteit van de controls van de managed objects te exporteren. Het verzamelen van evidence om de effectiviteit te valideren en te visualiseren.
Dit artikel verscheen eerder op it executive
In het volgende artikel in deze serie gaan we dieper in op dit concept door voorbeelden te laten zien van implementaties van onderdelen van de ISO 27001: 2013 controls. We geven ook een vooruitblik welke tools kunnen helpen om het concept van continuous auditing te ondersteunen.
De Continuous Auditing (CA) Guild is empowered door Jan-Willem Hordijk, CTO van Plint AB, een Zweedse localisatie-organisatie. Deze publicatie is mogelijk gemaakt door Bart de Best (www.dbmetrics.nl), Dennis Boersen (Argis IT Consultants), Freek de Cloet (smartdocuments), Jan-Willem Hordijk (Plint AB), Louis van Hemmen (www.bitall.nl) Niels Talens – www.nielstalens.nl en Willem Kok (Argis IT Consultants).
ITpedia Development tool recommendations
| App Development Software Suggest | Key Features to Look For in an App Development Software: When taking a decision that which app maker software will best help you to build customized apps, pay lots of attention to four critical areas: content creation features, distribution, customer engagement, and help and support facilities. Content Creation Distribution and OS Compatibility Customer Engagement Help and Support Features |
| Backlog | Online Project Management Software for Developers | Backlog Backlog is your all-in-one project management software for your whole team. Issue tracking, Git hosting and version control, and Wiki. The right tools to help your development team to deliver quality projects faster. Start with a free account! |
| Caylent | DevOps Solutions For All Caylent provides custom DevOps solutions for companies at every stage, giving your team the freedom to focus on revenue-generating features, not infrastructure. To allow software teams to automate container deployments without any of the hassles of managing cloud infrastructure, or maintaining CI and CD pipelines. This results in effortless collaboration amongst development and operations teams, allowing them to simplify the most challenging of workflows. |
| Hive | Project Layouts. Organize projects in a Gantt chart, Kanban board, table, or calendar, and easily switch between each layout. Updates are reflected across all project views so the whole team is informed no matter what option they use. Summary Views. Combine several projects and view the big picture across your company or department. Projects can be sorted by current status, team member, or assigned labels. Action Templates. Plan and repeat tasks easily using action templates. Lay out all required steps in a reusable action template to assign tasks to the right people, at the right time. |
| IT Project Management Software Suggest | Top IT Project Management Software Solutions for your DevOps teams |
| Monday.com DV | Agile management is a set of principles that are used to help you manage projects and teams. While it is commonly misinterpreted as a bunch of magic tricks managers follow without understanding their true value, what Agile really offers is a list of core values and guidelines that have been proven to enhance both the team's performance and accountability. |
| Website Builder Services | Best Web Builders like: Wix, Bizness Apps, Weebly and Web Sitebuilder. |
