dit boekje (PDF) - Blog over informatiebeveiliging – Erik

Beste
bestuurder
Informatiebeveiliging begint bij u…
DearBytes B.V.
Postbus 42
1940 AA Beverwijk
T +31 (0)251 750 250
F +31 (0)251 750 249
[email protected]
www.dearbytes.nl
K.V.K. Amsterdam nr. 370.960.52
BTW nr. NL 81.55.32.520.B01
Rabobank 33.64.68.296
Informatiebeveiliging begint bij u…
Erik Remmelzwaal
Beste bestuurder,
informatiebeveiliging begint bij u...
ICT-afdelingen hebben behoefte aan leiding
in informatiebeveiliging binnen hun
organisatie.
Bestuurders zijn aan zet.
Tweede druk 2013
© 2013 DearBytes BV, Beverwijk
www.DearBytes.nl
Illustraties: Nicoline Heemskerk
www.nicoline-heemskerk.nl
Alle rechten voorbehouden / All rights reserved
Niets uit deze uitgave mag worden verveelvoudigd en/of openbaar
gemaakt door middel van druk, fotokopie, microfi lm of op welke
andere wijze en/of ander medium ook, zonder voorafgaande
schriftelijke toestemming van DearBytes BV.
Deze uitgave is met de grootst mogelijke zorgvuldigheid
samengesteld. De maker stelt zich echter niet aansprakelijk voor
eventuele schade als gevolg van eventuele onjuistheden en/of
onvolledigheden in deze uitgave.
2
Inhoud
Voorwoord
4
Stap 1 - Beleid
7
Stap 2 - Inventaris
10
Stap 3 - Prioriteiten
12
Stap 4 - Kwetsbaarheden
14
Stap 5 - Bedreigingen
16
Stap 6 - Risico
18
Stap 7 - Technologie
20
Stap 8 - Afdwingen
22
Stap 9 - Evalueren
24
Stap 10 - Compliancy
26
Nawoord
28
3
Informatiebeveiliging begint bij u…
Voorwoord
Informatiebeveiliging is vandaag de dag een veel besproken thema.
Niet in de minste plaats als gevolg van een grote hoeveelheid
datalekken en incidenten dat zich de afgelopen tijd heeft voorgedaan.
Het gevolg is dat men naarstig op zoek is naar antwoorden op de vraag
hoe informatiebeveiliging verbeterd kan worden. Het antwoord is niet
te vinden in techniek alleen. Wat nu bij bijna alle organisaties die ik
de afgelopen tijd heb bezocht nodig is, heet “beleid” én een goede,
werkbare toepassing van dat beleid.
Als bestuurder speelt u daarom binnen uw organisatie een sleutelrol
in de verbetering van informatiebeveiliging. Om die rol te kunnen
vervullen, is het nodig dat u begrijpt hoe dit proces optimaal
functioneert. Daarom heb ik besloten dit boekje te schrijven,
speciaal voor bestuurders. Hierin behandel ik in 10 stappen hoe
risicomanagement kan worden toegepast op informatiebeveiliging. Het
resultaat van deze aanpak is optimale preventie, overeenkomstig met
veel gebruikte normeringen zoals ISO 27001.
Bestuurders zien IT Security vaak als een puur technische taak en
laten het in de praktijk daarom over aan de ICT-afdeling. Dit terwijl de
gevolgen van een datalek de (soms hoofdelijke) verantwoordelijkheid
van de directie zijn. In de honderden Nederlandse bedrijven die ik
bezocht heb de afgelopen twaalf jaar, heb ik de afstand van directie tot
de beveiliging van hun eigen digitale goud regelmatig tot incidenten
zien leiden. Incidenten met soms grote financiele gevolgen die met
meer betrokkenheid eenvoudig voorkomen hadden kunnen worden.
Alleen op directie-niveau kunnen de fundamentele en soms moeilijke
beslissingen genomen worden die nodig zijn om beveiliging echt te
laten functioneren. En die beslissingen zijn in de basis helemaal niet
technisch van aard. Informatiebeveiliging gaat om het herkennen
en afwegen van risico’s, dus de keuze te maken om een risico te
accepteren, dan wel het op te lossen.
4
Risico’s die geaccepteerd worden, kunnen leiden tot incidenten. Een
plan voor hoe te handelen bij incidenten is daarom ook onomtbeerlijk.
Uiteindelijk bestaat informatiebeveiliging dus vooral uit preventieve
en reactieve maatregelen met als doel om continuiteit te waarborgen
en de gevolgen van incidenten tot een acceptabel niveau te beperken.
Daarbij kunnen we als wetmatigheid aannemen dat hoe meer aan de
preventieve kant wordt gedaan, des te minder kosten zullen in reactieve
zin gemaakt worden en andersom. Waar de balans ligt, wat ‘acceptabel’
is, is typisch zo’n fundamentele beleidsbepaling die iedere individu en
elke organisatie voor zich moet maken.
Voor het digitale tijdperk, pakweg een halve eeuw geleden,
konden bestuurders ook heel goed begrijpen dat hun intellectuele
eigendommen achter slot en grendel moesten worden opgeslagen.
5
Informatiebeveiliging begint bij u…
Ook toen werd gevoelige informatie in een afgesloten kast gelegd, of
in een kluis bewaard. Ook toen werd al besloten welk gereedschap,
welke informatie, voor wie en wanneer beschikbaar is. En wie de sleutel
beheert. En over wat te doen bij calamiteiten. Diezelfde betrokkenheid
van bestuurders is nodig om informatiebeveiliging te laten slagen.
Ik heb in de praktijk geleerd dat het goed werkt om een metafoor te
gebruiken vanuit een andere vorm van beveiliging om de benodigde
keuzes te verduidelijken. In dit boekje trek ik dan ook de parallel tussen
informatiebeveiliging en de beveiliging van een bedrijfspand. Zo wordt
het proces van informatiebeveiliging begrijpbaar voor bestuurders en
kan de nodige betrokkenheid door hen worden ingevuld.
6
Stap 1: Beleid
Het Pand
Stelt u zich voor dat u een nieuw bedrijfspand betrekt dat al helemaal
ingericht is en waar uw bedrijfsdocumenten ook zullen worden
opgeslagen. Tot uw niet geringe verbazing staan alle deuren en ramen
permanent open. Iedereen kan in- en uit lopen en alles meenemen,
zonder dat iemand ook maar iets in de gaten heeft. Klinkt belachelijk?
Toch is dit de situatie die zich voordoet als het computernetwerk niet
beveiligd is.
Terug naar het bedrijfspand. Voordat we deze bizarre situatie gaan
oplossen, moet eerst duidelijk zijn wat we precies willen bereiken met
beveiliging. Het doel is om alle documenten op een veilige manier op
te bergen. Dit wordt schriftelijk vastgelegd, zodat iedereen weet wat
er wordt verwacht in termen van beveiliging. Begin altijd de essentie
te formuleren, waar in geval van onduidelijkheid op teruggevallen kan
worden. Zoals op het water de eerste regel “Goed Zeemanschap” is.
De eerste beleidsregels: Alleen bevoegden mogen het pand betreden
en de belangrijkste documenten worden opgeborgen in een kluis die in
de archiefruimte staat.
Op zich voor de hand liggende regels, maar wat betekenen ze in de
praktijk?
Een voorbeeld:
Alle medewerkers zijn bevoegd om het pand in te gaan en zij worden
van onbevoegden gescheiden door een elektronische toegangspas.
Slechts een paar medewerkers krijgt toegang tot de archiefruimte.
De kluis is alleen toegankelijk voor de directie. Bezoekers, klanten of
leveranciers krijgen een tijdelijke toegangspas tot de gebouwen of
bepaalde ruimtes. Alle gebruikers worden in groepen ingedeeld, zodat
7
Informatiebeveiliging begint bij u…
toegangsmogelijkheden op functieprofiel kunnen worden gesorteerd.
Kortom, niemand kan het pand in of uit zonder dat dit geregistreerd
wordt. De eerste stappen zijn op papier gezet. Persoonsgebonden
toegang tot ruimtes in het gebouw waar de documenten worden
opgeslagen. Helder, gaan we regelen!
Het Netwerk
In de vergelijking met het bedrijfspand stellen de verschillende
computers in het netwerk de verschillende ruimtes in het bedrijfspand
voor. Veel computers kunnen door alle medewerkers gebruikt worden
en een aantal alleen door een beperkte groep. En wat er op die
computers gedaan kan worden of welke programma’s er gebruikt
kunnen worden, is afhankelijk van het functieprofiel.
8
In het geval van het bedrijfspand lijkt het grootste deel van de
beleidsbepalingen volstrekt logisch en dat komt omdat de voorbeelden
zeer tastbaar zijn. Bij het netwerk- en de informatiebeveiliging zijn
de verschillende regels misschien minder tastbaar – maar vaak net zo
goed volstrekt logisch. Zo logisch zelfs, dat u bepaalde basiswaarden
als vanzelfsprekend beschouwt, terwijl ze in de praktijk helemaal niet
geregeld zijn.
De beveiliging van het netwerk valt of staat bij dit inzicht van urgentie
en basale logica. Het bepalen van het beleid moet daarom worden
geformuleerd en uitgedragen door het management van dat bedrijf
zodat de ICT-afdeling een handleiding heeft.
Want als de ICT-afdeling zelf moet bepalen dat een deur die altijd open
heeft gestaan ineens op slot moet, botst de afdeling met collega’s die
dit beleid ongedaan willen maken omdat zij het lastig vinden om altijd
de sleutel bij zich te hebben.
Het maken van ICT-beleid is de eerste stap naar een beveiligde
omgeving – dit is een dynamische exercitie en zal worden aangescherpt
naarmate de volgende stappen worden ondernomen.
9
Informatiebeveiliging begint bij u…
Stap 2: Inventaris
Het pand
De volgende stap: Wanneer het beleid bepaalt dat alleen bevoegden
toegang hebben tot de bedrijfsruimten, dan moet in kaart worden
gebracht welke ruimten beschikbaar zijn en hoe ze gebruikt worden.
We hadden al besloten om een archiefruimte in te richten met daarin
een kluis. Maar hoeveel deuren verschaffen toegang tot die ruimte?
Meerdere deuren naar één ruimte levert gebruikersgemak op, maar ook
meer risico dat er een deur blijft openstaan. Welke ruimten zijn er en
wat is de functie daarvan?
Eigenlijk is er dus een plattegrond nodig om te zien waar de risico’s zich
bevinden om daar gericht iets aan te kunnen doen. Vervolgens moet
er geregeld worden dat die plattegrond ook wordt bijgewerkt als er
uitbreidingen aan of verbouwingen in het pand plaatsvinden. Als er
een nieuwe archiefruimte komt op een andere plaats moet dit worden
meegenomen. De plattegrond blijft dus actueel!
Het netwerk
Ook bij het beveiligen van het computernetwerk is een actuele
plattegrond vereist. In dit geval spreken we van de inventaris, of in het
Engels “inventory”. In de inventaris staan alle systemen opgesomd die
onderdeel uitmaken van het netwerk. En net als bij de bedrijfsruimten
is dit niet alleen een lijst met systemen, maar is ook in kaart gebracht
wat de functie is van al die systemen. Is het een gewone computer of
een laptop? Is het een server en zo ja, wat is de functie ervan? Of is het
misschien zelfs een mobiele telefoon of een printer? Tegenwoordig
wordt steeds meer apparatuur aangesloten op een netwerk en dit
moet in beeld worden gebracht om een compleet beveiligingsbeleid
te kunnen maken en uitvoeren. In de praktijk is zoiets fundamenteels
als een up-to-date inventaris vaak helemaal niet beschikbaar. Er is
10
geen actueel beeld van de systemen die onderdeel uitmaken van het
netwerk, waardoor de beveiliging ervan dus al direct op losse schroeven
komt te staan. Immers: als je niet weet wat je bezit, hoe kun je het
dan beveiligen? Vraag gerust eens aan uw ICT-afdeling of zij over een
continu actuele inventaris beschikken. De kans is groot dat u schrikt.
11
Informatiebeveiliging begint bij u…
Stap 3: Prioriteiten
Het pand
Het beleid schrijft voor dat er alleen persoonsgebonden toegang
tot ruimtes (of kasten in die ruimtes) is. Er is dus verschil in het soort
ruimte en de ene ruimte is belangrijker dan de andere. In het voorbeeld
heeft de veiligheid van de documenten in de kluis prioriteit boven
documenten in de archiefruimte, en deze hebben weer prioriteit boven
de documenten die elders in het pand aanwezig zijn.
Stel dat de receptionist na een korte afwezigheid constateert dat een
onbevoegd persoon is gepasseerd en zich ergens in het pand moet
bevinden. Waarheen moeten de bewakers als eerste worden gestuurd?
Of een ander voorbeeld: Als de stroom in alle ruimten is uitgevallen en
het noodaggregaat slaat aan, welke ruimten moeten dan in ieder geval
van stroom worden voorzien?
Het netwerk
Ook de ICT-systemen hebben prioriteiten ten opzichte van elkaar.
Ze zijn ondersteunend voor bepaalde werkzaamheden en die
werkzaamheden zijn in min of meerdere mate belangrijk voor de
business. Het kan een zuiver financiële afweging zijn welke systemen
voorrang krijgen als alles uitvalt. Als het om een industrieel bedrijf
gaat, zal de fabriek in elk geval moeten kunnen functioneren. In een
ziekenhuis zijn de medische systemen natuurlijk letterlijk vitaal. Gaat
het om een dienstverlener? Dan is de bereikbaarheid voor de cliënten
wellicht het belangrijkste.
12
Als niet wordt gekozen welke systemen het belangrijkst zijn voor de
business, is de kans groot dat bij calamiteiten de ICT-afdeling het eerst
in actie komt bij de manager die het hardst roept. Dan kan het zomaar
zijn dat de laptop van die manager eerder werkt dan die belangrijke
robot in de fabriek.
Het indelen van systemen in prioriteiten kan onderdeel uitmaken van
een organisatiebrede Business Impact Analyse (BIA). Belangijk is wel
dat dit niet een eenmalige actie is: ICT-systemen komen en gaan vaak
elke dag, en moeten dus bijna continu op prioriteit kunnen worden
ingedeeld.
13
Informatiebeveiliging begint bij u…
Stap 4: Kwetsbaarheden
Het pand
Nu wij de prioriteiten op een rijtje hebben, kan er aan het risicoprofiel
van de onderneming worden gewerkt. De eerste stap in dit proces is het
in kaart brengen van de kwetsbaarheden. Het pand in het voorbeeld
heeft verschillende ruimtes en de documenten worden op verschillende
manieren en op verschillende plaatsen opgeborgen. Die plaatsen
zijn voor verschillende mensen toegankelijk. Uit de voorgaande
inventarisatie worden de mogelijke kwetsbaarheden gehaald. Neem
bijvoorbeeld het aantal deuren dat toegang geeft tot het archief.
Welk systeem hebben we aangebracht om de deur te beveiligen?
Kunnen medewerkers dezelfde toegangspas voor verschillende ruimtes
gebruiken?
Omdat er zich op de toegangspas bijvoorbeeld geen pasfoto bevindt,
kan deze aan derden worden uitgeleend. Ook al is het elektronische
pasjessysteem een erkende beveiligingsmethode, het kan in bepaalde
situaties toch kwetsbaarheden hebben.
Het is dus belangrijk om, net als bij de plattegrond, ook de
kwetsbaarheden regelmatig te analyseren en na te gaan op
welk soort en aantal ruimten die kwetsbaarheden betrekking
hebben.
Het netwerk
Computersystemen zitten vol met kwetsbaarheden, waardoor zij
niet altijd voldoen aan het vastgestelde beleid. Als het beleid bepaalt
dat onbevoegden geen gebruik mogen maken van de systemen, dan
is een kwetsbaarheid bijvoorbeeld dat een medewerker zijn of haar
wachtwoord verliest. Of dat de medewerker eenzelfde, zeer eenvoudig
te achterhalen wachtwoord gebruikt – mensen kiezen immers vaak voor
14
gebruikersgemak, hetzelfde wachtwoord voor allerlei verschillende
diensten, zowel zakelijk als privé.
Er kan dan wel een goed beleid zijn voor zakelijk gebruik, maar als
de werknemer op een andere website, of bij een webshop, hetzelfde
password gebruikt, dan levert dat ook een gevaar op voor de
beveiliging van uw organisatie.
Ook kan een medewerker thuis werken aan een document dat is
meegenomen op een USB-stick. Door het thuisgebruik kan er een virus
op de sitck komen te staan die vervolgens op het interne systeem voor
schade zorgt.
15
Informatiebeveiliging begint bij u…
Stap 5: Bedreigingen
Het pand
Een kwetsbaarheid is pas gevaarlijk als er ook een actieve bedreiging
bestaat die het kwetsbare onderdeel kan bereiken. U moet daarom op
de hoogte zijn van de actuele bedreigingen, zodat u daar waar nodig
adequaat kunt ingrijpen. Als een pasjessysteem wordt gebruikt voor
toegang tot het pand en het blijkt dat de gekozen pasjes nagemaakt
kunnen worden, dan is dat zeker een kwetsbaarheid. De vraag in
hoeverre inbrekers op de loer liggen om met dit soort nagemaakte
pasjes uw pand te betreden, bepaalt echter in hoge mate de bedreiging
voor de organisatie.
Het is logisch om elke kwetsbaarheid te willen afdichten en te zoeken
naar het juiste systeem om dit zo goed mogelijk aan te pakken.
De snelheid waarmee dit moet gebeuren, en de kosten die hiermee
gemoeid zijn, worden echter mede bepaald door de inschatting van
het dreiginggevaar.
Het netwerk
Bedreigingen voor computernetwerken zijn legio en nemen elk
jaar toe, de kranten staan er vol mee. In de analyse moet staan
welke bedreigingen er specifiek voor uw netwerk bestaan, en dat
gekoppeld aan de kwetsbaarheid van data en systemen. De bekendste
bedreigingen voor het netwerk zijn hackers en virussen. Hackers kunnen
proberen bij wijze van uitdaging – of gewoon uit baldadigheid – op uw
netwerk te komen. Maar tegenwoordig gaat het dikwijls om specifieke
aanvallen op specifieke onderdelen van organisaties. Daarbij wordt
uiteraard gezocht naar de kwetsbaarheden, waarbij de menselijke
factor en verouderde software in de praktijk het vaakst misbruikt
worden.
16
Virussen komen veelal op een netwerk door een toevalligheid of
onzorgvuldigheid. Een USB-stick kan een virus van een thuiscomputer
overdragen naar het netwerk op kantoor. Bedreigingen kunnen
ook ontstaan omdat er aanpassingen zijn verricht aan het
besturingssysteem. Als bijvoorbeeld Microsoft een update uitbrengt,
betekent dit heel vaak dat er sprake is van een kwetsbaarheid in de
software van de fabrikant. Het feit dat er een kwetsbaarheid is ontstaan,
en dat dit bekend wordt, levert een nieuwe potentiële bedreiging op.
Het lek moet nu zo snel mogelijk worden gedicht. Het is echter ook
goed mogelijk dat de leverancier dit lek nog niet ontdekt heeft, maar
een cybercrimineel wel en die heeft dan bij gebrek aan een update dus
vrij spel.
17
Informatiebeveiliging begint bij u…
Stap 6: Risico
Het pand
Het risiconiveau wordt bepaald door zowel de kennis van de
relevante kwetsbaarheden en de daarvoor geldende bedreigingen.
Stel dat tijdens een inbraak een briefje met de combinatie van uw
kluis is gestolen. De kluis bevat zeer vertrouwelijke informatie, dus
de kwetsbaarheid is kritisch. Het feit dat de code mogelijk bewust
is ontvreemd, betekent een hoogst actuele bedreiging. Zonder te
aarzelen zet u een andere combinatie op de kluis.
In geval van een acuut risico moet er direct gehandeld worden. Door
het risiconiveau goed te bepalen, kan adequaat worden ingegrepen.
Dat wil onder meer zeggen: Niet onnodig in actie komen voor relatief
onschuldige zaken, maar direct handelen wanneer de organisatie
werkelijk gevaar loopt. Met deze kennis van zaken worden onnodige
kosten vermeden en kan zeer gericht gewerkt worden.
Het netwerk
Het kritisch karakter van kwetsbaarheden in computernetwerken
kan zeer verschillend zijn. Wanneer softwareleveranciers of security
specialisten online informatie over een kwetsbaarheid publiceren,
geven ze daar zelf een waardering aan die de ernst (dreiging) ervan
weerspiegelt. Deze waardering of dreigingrisico is niet altijd één op
één te vertalen naar elke specifieke organisatie. Het kan bijvoorbeeld
zijn dat een lek bij Microsoft invloed heeft op een aantal individuele
computers, maar dat wil niet automatisch zeggen dat er een acute
bedreiging en kwetsbaarheid is voor uw server (uw prioriteit).
18
Om een juiste inschatting te maken van het risico dienen stappen 1 tot
en met 5 te zijn doorlopen. Door het wisselende karakter van, vooral, de
kwetsbaarheden en bedreigingen, moet regelmatig een risicoanalyse
worden uitgevoerd om een inschatting van de veiligheidsituatie te
maken. Door regelmatig een risicoanalyse uit te voeren kan voorkomen
worden dat er onnodig, niet of niet adequaat wordt omgegaan met de
bedreigingen.
19
Informatiebeveiliging begint bij u…
Stap 7: Technologie
Het pand
Pas nadat de risicoanalyse is uitgevoerd kan er voor technologische
oplossen worden gekozen om de geïdentificeerde risico’s af te dekken.
Er is een aangepast beleid opgesteld en inzichtelijk gemaakt met een
plattegrond, een overzicht van waarvoor de verschillende ruimtes
worden gebruikt en welk risico er aan het gebruik van de ruimtes
kleeft. Het is nu mogelijk om de verschillende ruimtes technologisch
te beveiligen: de kluis is slechts toegankelijk met een code; de
archiefruimte kan alleen geopend worden door geautoriseerde pasjes
en de verschillende toegangen worden bewaakt door camera’s.
Doordat een actuele plattegrond voorhanden is, kan exact bepaald
worden hoeveel camera’s nodig zijn en een overschot aan technologie
worden voorkomen.
Bij de aanschaf en implementatie van de technologie moeten wel
diverse mogelijkheden overwogen worden: Wordt er geregistreerd
welke werknemer op welk moment zijn of haar toegangspas gebruikt?
Kunnen de beelden van de camera’s worden uitgelezen en hoe
lang worden deze beelden bewaard? Vervolgens moet het beleid
worden aangepast om de toegepaste technologie optimaal te laten
functioneren. Bijvoorbeeld hoe vaak de technologie een “reset” nodig
heeft en hoe snel een defecte camera moet worden vervangen.
Het netwerk
Risico’s voor een computernetwerk kunnen vaak opgelost worden
door updates voor software of hardware toe te passen. Dergelijke
wijzigingen aan de apparatuur hebben echter soms verstrekkende
gevolgen en daarom kan het ook niet altijd meteen. In dat geval
verdient het wellicht de voorkeur om (tijdelijk) technologie in te zetten
die het risico afdicht en zo dus tijd maakt om de benodigde updates
20
gedegen te testen alvorens toe te passen. Dit soort technologie vereist
natuurlijk een investering in tijd en geld. Door een goed beeld van
de ernst van het risico kan een goede afweging gemaakt worden:
investeren of het risico (tijdelijk) accepteren. De mogelijkheden kunnen
naast elkaar worden gezet, waarna de functionaris verantwoordelijk
voor de beveiliging het eindoordeel velt over de te nemen stappen.
21
Informatiebeveiliging begint bij u…
Stap 8: Afdwingen
Het pand
Het aanschaffen van de beveiligingscamera’s is één, maar het inzetten
ervan is natuurlijk minstens zo belangrijk. Een partij camera’s in de
doos gaan het probleem immers niet oplossen. De technologie is in dit
geval afgedwongen indien alle kwetsbare ruimtes voorzien zijn van een
camera, en u moet erop (laten) toezien dat dit ook gebeurt.
Het is heel logisch dat een werknemer die het bedrijf verlaat de sleutel
van zijn werkplek retourneert. In het geval van een elektronische
toegang, met een code, zal dus moeten worden ‘afgedwongen’ dat
deze regelmatig, desnoods automatisch, wordt vernieuwd om het risico
van toegang door onbevoegden te vermijden.
Het netwerk
Wanneer bepaalde technologie gekozen wordt om een risico af te
dekken, dan is het toepassen daarvan de volgende stap. Zonder kennis
van de inhoud van het netwerk of de systemen is dat onbegonnen werk.
Als alle Windows computers een bepaalde vorm van beveiliging nodig
hebben, dan moeten ze allemaal in beeld zijn om die beveiliging ook
te installeren. En pas wanneer dat overal gebeurd is, kan het risico als
afgedekt worden beschouwd.
22
23
Informatiebeveiliging begint bij u…
Stap 9: Evalueren
Het Pand
U heeft geïnvesteerd in oplossingen om bepaalde risico’s af te dichten.
Uiteraard wilt u dan ook regelmatig evalueren of dit het gewenste
resultaat oplevert. Dat betekent bijvoorbeeld dat een medewerker
wordt aangesteld om de beelden van camera’s in de gaten te houden.
Misschien is een camera niet goed gericht, of is voor bepaalde ruimtes
eigenlijk een nachtcamera nodig.
Een verandering van het gebruik van een ruimte of een nieuwe
gebruiker levert een nieuwe situatie op, dus alle facetten van
beveiliging binnen het bedrijf moeten regelmatig worden geëvalueerd.
De kennis van hoe een inbraak in een bepaalde ruimte heeft kunnen
plaatsvinden, geeft meteen aanwijzingen voor een aanpassing van
het beleid. Kortom, alle aanpassingen van het pand, de gebruiker
en het beleid moeten regelmatig de revue passeren.
Omdat de evaluatie verschillende onderdelen van het bedrijfsproces
beslaan (camerabeveiliging, receptie, personeelsbeleid) is het dan ook
logisch dat deze evaluatie op directieniveau plaatsvindt.
Het netwerk
Ook beveiligingssystemen voor computernetwerken moeten
worden gecontroleerd. Zo kan worden vastgesteld of deze in staat
zijn om de gesignaleerde kwetsbaarheden en risico’s op te lossen,
of dat door de inzet ervan heel andere problemen ontstaan. Een
beveiligingsmaatregel kan in theorie ook zaken blokkeren die gewoon
doorgang moeten vinden. Zoiets als het schoonmaakbedrijf dat per
ongeluk was overgeslagen toen de toegangspasjes werden uitgedeeld
en daarom haar werk niet kan doen.
24
Regelmatig evalueren betekent dat fouten in de systemen kunnen
worden gesignaleerd en opgelost. Maar ook dat het gewenste resultaat
is bereikt.
25
Informatiebeveiliging begint bij u…
Stap 10: Compliancy
Het pand
Met compliancy wordt bedoeld dat bewezen kan worden dat voldaan
wordt aan het vastgestelde beleid. Dit is de laatste stap van de cyclus
en vormt het bewijs dat u net zo veilig bent als u denkt te zijn. Als
het doel is dat onbevoegden buiten de deur worden gehouden, dan
moet alles wat daaraan gedaan kan worden ook functioneren. Het
alternatief is om af te wachten totdat het fout gaat om vervolgens
te concluderen dat de beveiliging dus NIET functioneert. Met alle
schade van dien. U bent als eindverantwoordelijke waarschijnlijk niet
de enige die bewijs wilt zien van een werkend beveiligingssysteem.
Ook de verzekeringsmaatschappij zal bewijs van gedegen beveiliging
willen zien voordat zij in geval van calamiteiten overgaat tot uitkering.
En niet alleen de verzekering, maar soms ook financiers, zoals de
aandeelhouders in beursgenoteerde ondernemingen, willen in het
jaarverslag een uitvoerige rapportage vinden over Risk Management
and Control.
Het netwerk
Ook op het gebied van ICT-beveiliging is soms sprake van ‘audits’ om
de risico’s en het beheren daarvan te testen. Deze audits worden voor
sommige sectoren verplicht gesteld, bijvoorbeeld om “PCI-compliancy”
aan te tonen. PCI-DSS is een richtlijn die wordt opgelegd aan partijen
die te maken hebben met credit-card betalingen.
In de zorgsector in Nederland is de NEN7510 norm een bekende richtlijn
met betrekking tot ICT beveiliging. Juist in deze sector wordt gewerkt
met zeer privacy gevoelige informatie en het is daarom een kwestie
van tijd voordat een dergelijke richtlijn ook wetgeving zal worden. Op
deze norm worden tegenwoordig actief audits uitgevoerd, met als
doel ‘compliancy’ via marktwerking af te dwingen. Op Europees en
26
Nederlands niveau wordt gewerkt aan een zogenaamde “data breach
notification” wetgeving. Iets dergelijks is al van toepassing in landen
als de Verenigde Staten, het Verenigd Koninkrijk en Duitsland. Deze
wetgeving dwingt een organisatie waarvan data kwijt is, daarvan
publiekelijk melding te maken. Een soort schandpaal-effect. In veel
van die wetgeving is geregeld dat wanneer de organisatie in kwestie
kan aantonen dat de verloren data “versleuteld” is geweest, en dus
onbruikbaar is, de meldingsplicht vervalt of milder is.
De mogelijkheid om te kunnen bewijzen dat voldaan wordt aan het
beleid, is dus belangrijk voor interne maar ook voor externe controles.
27
Informatiebeveiliging begint bij u…
Nawoord
Informatiebeveiliging begint bij beleid. Met behulp van een aantal
eenvoudige voorbeelden, van gisteren en van vandaag, heb ik
geprobeerd te illustreren dat de keuzes die gemaakt moeten worden
eigenlijk vrij basaal en eenvoudig zijn. In de dagelijkse praktijk
constateren wij echter dat in veel organisaties dat fundamentele beleid,
dat eenvoudige basiswerk, juist ontbreekt.
Als bestuurder heeft u een sleutelrol in informatiebeveiliging.
Om het goed te laten verlopen, is vereist dat u bij stap 1 en 10 actief
betrokken bent. Dus enerzijds bij het bepalen van het beleid, anderzijds
bij de controle op naleving daarvan. Alle tussenliggende stappen
zijn goed over te laten aan uw beheerders, maar door de benodigde
handelingen te kennen, kunt u erop toezien dat ze ook worden
uitgevoerd.
Roep nu uw ICT-specialisten bijeen met de vraag: Jullie beheren de kluis
van deze organisatie. Is die kluis wel op slot?
Waar te beginnen? Wilt u informatiebeveiliging laten werken, roep
dan binnenkort eens op de ICT-afdeling dat u het voorkomen van
dataverlies als één van uw prioriteiten ziet en daar vanaf nu de
eindverantwoordelijkheid voor neemt. Roep dan een team van
specialisten bijeen en neem twee uur de tijd om hun verhalen en ideeën
aan te horen. Leg ze dan die vraag voor of die kluis ook daadwerkelijk op
slot is.
Ik voorspel u: gejuich alom.
28
29
Informatietechnologie valt niet meer
weg te denken uit het zakelijke en
sociale verkeer. Met de toegenomen
kracht, complexiteit en openheid van
datastromen en middelen gaat echter ook
kwetsbaarheid gepaard. Openheid houdt
risico’s en bedreigingen in. Daarom luidt
de centrale vraag in informatiebeveiliging:
hoe kunnen wij zorgen voor werkbare
veiligheid, met een perfecte balans tussen
functionaliteit en veiligheid?
Dit boek wordt u aangeboden door DearBytes, adviseur in beveiliging
van IT-systemen en kostbare informatie. Al 12 jaar helpen wij als
All-Round Security Specialist onze relaties met informatiebeveiliging.
Niet alleen met uitgebreide theoretische kennis maar juist met
praktische oplossingen voor bedrijven en organisaties.
De tekst is geschreven door Erik Remmelzwaal, algemeen directeur van
DearBytes. De tekeningen zijn van Nicoline Heemskerk.
Hoe past informatiebeveiliging binnen uw doelstellingen en hoe krijgt
u IT-security onder controle? Wij geven u met dit boek een helder beeld
van hoe informatiebeveiliging volgens alle bekende normeringen
zoals ISO procesmatig moet worden ingericht. Om het begrijpelijk te
houden, wordt daarbij de parallel getrokken met de beveiliging van een
bedrijfspand. Zo biedt dit boek u momenten van herkenning en hopelijk
veel leesplezier.