THEMA CYBERSECURITY De laatste jaren wordt er veel gesproken over informatiebeveiliging in relatie tot fysieke beveiliging en de mogelijke gevolgen daarvan voor de security manager. In dit artikel beschrijft Jos Maas zijn ervaringen met de overstap van fysieke beveiliging naar informatiebeveiliging. tekst Jos Maas Informatiebeveiliging, wat moet ik ermee? I nformatiebeveiliging (IB) is niet hetzelfde als ITof cybersecurity. Wel zijn er raakvlakken. Net zoals informatiebeveiliging raakvlakken heeft met fysieke beveiliging. Immers, fysieke beveiliging kijkt evenals informatiebeveiliging naar de aspecten Mens, Organisatie en Techniek waar het gaat om de inrichting en implementatie van maatregelen. Dit artikel laat echter niet alleen de verschillen zien. Het zal vooral laten zien dat fysieke beveiliging en informatiebeveiliging veel meer op elkaar lijken dan vaak wordt gedacht. Ik behandel de mogelijke integratie van fysieke beveiliging en informatiebeveiliging, en uiteindelijk beantwoord ik de vraag hoe u als fysieke security manager met informatiebeveiliging om zou kunnen gaan. WAT IS INFORMATIEBEVEILIGING? Om maar meteen de eerste algemene opvatting over informatiebeveiliging recht te zetten: Informatiebeveiliging is geen IT-security. Dat klinkt misschien vreemd, maar ik zal het toelichten. IT-security richt zich enkel 10 | SEC URI T Y M A NAG E M E N T | 1 1 2 0 1 4 op het technisch beveiligen van IT-inrichtingen en diensten. Denk hierbij aan de firewall, virusscanner en alle andere technische zaken die ingeregeld worden om een IT-omgeving technisch te beveiligen. IT-security is te vergelijken met technische beveiligingsbedrijven. Dergelijke bedrijven installeren fysieke toegangscontrolesystemen, alarmsystemen, cctv-systemen en andere technische maatregelen. Goed om te hebben, maar met alleen technische oplossingen ben je er nog niet. Toch wordt zowel voor informatiebeveiliging, als voor fysieke beveiliging door de klant/de organisatie vaak aangenomen dat het dan wel voor elkaar is. Maar naast de technische zijn ook de organisatorische en de menselijke aspecten nodig. Informatiebeveiliging neemt, in tegenstelling tot IT-security, ook deze laatste twee aspecten mee. Informatiebeveiliging richt zich op een procesmatige inrichting van de beveiliging van informatie om bewust ‘in control’ te zijn door het nemen van passende maatregelen om de Beschikbaarheid, Integriteit en Vertrouwelijkheid (BIV) van informatie te borgen. Deze termen komen ook voor binnen fysieke beveiliging. De definities ervan verschillen echter op de volgende punten: ■ Beschikbaarheid: Is de informatie voor de gebruiker beschikbaar op het moment dat de informatie nodig is? ■ Integriteit: Is de informatie juist en volledig? ■ Vertrouwelijkheid: Wie mag de informatie inzien? Om informatiebeveiliging procesmatig in te richten, wordt vaak gebruik gemaakt van ISO- en NEN-normen. Enkele voorbeelden hiervan zijn: ■ ISO 27001 en 27002 (Code voor Informatiebeveiliging) ■ ISO 22301 (Bedrijfscontinuïteit) ■ ISO 31000 (Risk Management) ■ NEN7510 (Informatiebeveiliging in de Zorg) Informatiebeveiliging is hierdoor breder dan IT- en fysieke beveiliging. Informatiebeveiliging brengt deze en andere veiligheidsgebieden bij elkaar in relatie tot het beveiligen van informatie, ook wel het waarborgen van de kernaspecten van informatie (Beschikbaarheid, Integriteit en Vertrouwelijkheid) genoemd. liging de dreigingen. Deze zijn nagenoeg gelijk aan die van fysieke beveiliging. Het verschil zit hem in de nuances. Een voorbeeld hiervan is agressie en geweld. Vanuit fysieke beveiliging wordt geanalyseerd wat de dreiging is voor de persoon om in aanraking te komen met agressie en geweld en de mogelijke verwondingen die hij kan oplopen. Informatiebeveiliging kijkt bij deze dreiging vooral naar de informatie die de persoon bij zich draagt en naar het verlies van de beschikbaarheid of vertrouwelijkheid ervan in geval van agressie en geweld. In de tabel zijn diverse termen/middelen/maatregelen vanuit fysieke beveiliging naast dezelfde of gelijksoortige termen vanuit informatiebeveiliging gezet. Zo wordt inzichtelijk dat wat fysieke beveiliging doet of heeft, er een zelfde digitale tegenhanger is bij informatiebeveiliging. Het verschil zit vooral in de naam. Op zuivere inhoud of werking gelet, verschillen zij niet of nauwelijks. VERSCHILLEN Naast de overeenkomsten zijn er enkele belangrijke verschillen tussen informatiebeveiliging en fysieke beveiliging. IB ANDERS DAN FYSIEKE BEVEILIGING? De aanpak van de implementatie van informatiebeveiliging is dezelfde als van fysieke beveiliging. Vanuit een risicoanalyse worden inzichten verkregen in de volgende aspecten: Classificatie van bedrijfsmiddelen Hierin wordt bepaald hoe gevoelig/kwetsbaar of attractief een bedrijfsmiddel is, bijvoorbeeld een laptop. Vanuit fysieke beveiliging wordt dit veelal beoordeeld op de waarde van het bedrijfsmiddel of de kosten voor de vervanging ervan. Vanuit informatiebeveiliging wordt bekeken wat voor informatie in dat bedrijfsmiddel zit opgeslagen, wordt verwerkt, of inzichtelijk wordt gemaakt in relatie tot de BIV. Wet- en regelgeving Informatielekken worden bijna dagelijks in de media gemeld. Hierdoor is de noodzaak groter om informatie te willen beveiligen. Organisaties willen voldoen aan wet- en regelgeving en eisen ook van leveranciers dat zij hieraan voldoen. De implementatie van een specifieke norm is daarbij een goed hulpmiddel. Het niet voldoen aan wet- en regelgeving, bijvoorbeeld de Wet bescherming persoonsgegevens, kan voor een organisatie tot zeer hoge boetes leiden. Inzicht in kwetsbaarheden Zowel vanuit fysieke beveiliging als informatiebeveiliging wordt in deze analyse gekeken naar de mogelijke ‘gaten’ in de beveiliging. Welke maatregelen zijn er al wel of juist niet? Vanuit informatiebeveiliging vindt ook ethisch hacken plaats om de technische kwetsbaarheden in kaart te brengen. Noodzaak De gevolgen/impact van het verlies van gevoelige informatie wegen zwaar. Een krantenbericht over een vergeten laptop in de trein gaat vooral over de informatie die op de laptop is gevonden is en niet over de laptop zelf. Een ander voorbeeld is dat de Coca-Cola Company niet wakker zal liggen wanneer een trailer vol cola gestolen wordt. Maar de gevolgen/impact voor het bedrijf zullen enorm zijn wanneer het geheime recept (informatie) wordt doorgesluisd naar de concurrent of op het internet wordt gezet. Dreigingsanalyse Net als fysieke beveiliging analyseert informatiebevei- Management sign off Wanneer een organisatie informatiebeveiliging wil 11 THEMA CYBERSECURITY Fysieke beveiliging Hekwerk/ramen/deuren Fysieke toegangscontrole Sleutelbeheer Postkamer Bewegwijzering (routing door gebouw) Sleutels/keycards Inbraakalarmsysteem Attractieve goederen Magazijn/opslag BHV BCP (Business Continuity Plan) Security Manager/Officer Diefstal/inbraak Technisch, Organisatorisch, Menselijk Fysiek beveiligingsbeleid vs Informatiebeveiliging* Firewall Logische toegangscontrole Sleutelbeheer (versleuteling) Mailservers Switches (routing door netwerk) Accountnamen en wachtwoorden IDS (Intrusion Detection System) Kritieke systemen serverruimte/database CERT (Cyber Emergency Response Team) BCP of DRP (Disaster Recovery Plan) Security Manager/Officer Hacking/Social Engineering Technisch, Organisatorisch, Menselijk Informatiebeveiligingsbeleid *Ook termen vanuit IT security verwerkt implementeren conform geldende normen en standaarden, dan is een verplicht onderdeel dat het hoger management achter deze implementatie staat. Dat betekent dat er middelen in tijd, geld en mankracht beschikbaar gesteld worden door de organisatie om informatiebeveiliging op te pakken en te implementeren. Deze verschillen werken in het voordeel van informatiebeveiliging. Hierdoor wordt steeds meer tijd, aandacht en energie aan informatiebeveiliging besteed, waardoor het lijkt dat fysieke beveiliging een minder belangrijke rol speelt bij organisaties. INTEGRATIE Binnen de gebruikte normen en standaarden (zoals ISO 27001/2 en NEN 7510) voor informatiebeveiliging wordt er aandacht besteed aan fysieke beveiliging. Dat houdt vaak in dat ook de implementatie of verwerking van beleidsstukken en procedures over de ‘as’ van informatiebeveiliging gaan en niet via de fysieke security manager. Dat kan door hem als bedreigend worden ervaren. Binnen informatiebeveiliging zijn enkele onderdelen van toepassing voor fysieke beveiliging. Dat lijkt weinig maar het behelst veel inzicht en know how om fysieke beveiliging passend in stand te houden. Wat je echter ziet, is dat veel onderdelen vanuit informatiebeveiliging een overlap hebben met fysieke beveiliging. Denk bijvoorbeeld aan security awareness. Mijn advies is dan ook om awareness-trajecten samen op te pakken. Dat voorkomt dubbel werk en zorgt voor meer draagvlak vanuit de organisatie. Door samen te werken wordt bovendien de invloed van fysieke beveiliging binnen de organisatie vergroot en dat versterkt weer de eigen interne positie. AANBEVELINGEN Tot slot zal ik nog ingaan op de vraag hoe u als fysieke security manager kunt omgaan met informatiebeveiliging. Op basis van mijn ervaringen kom ik tot de volgende aanbevelingen: ■ Lift mee met informatiebeveiliging binnen uw organisatie en zoek contact met de Information Security Officer. ■ Sluit met uw fysieke beveiligingsprocessen aan bij het informatiebeveiligingsproces. Daardoor zal fysieke beveiliging minder gezien worden als sluitpost, maar juist als volwaardige partner bij de implementatie en instandhouding van informatiebeveiliging. ■ Door de samenwerking met informatiebeveiliging wordt de zichtbaarheid van fysieke beveiliging vergroot bij het management en wordt beter inzichtelijk wat fysieke beveiliging betekent in het beschikbaar en vertrouwd houden van informatie binnen de organisatie. n Jos Maas CISM is consultant bij Centric Security & Continuity Services, bestuurslid van Isaca Netherlands Chapter en voorzitter van IAHSS (International Association for Healthcare Safety & Security) Europe Chapter. 13
© Copyright 2024 ExpyDoc
