Beste bestuurder Informatiebeveiliging begint bij u… DearBytes B.V. Postbus 42 1940 AA Beverwijk T +31 (0)251 750 250 F +31 (0)251 750 249 [email protected] www.dearbytes.nl K.V.K. Amsterdam nr. 370.960.52 BTW nr. NL 81.55.32.520.B01 Rabobank 33.64.68.296 Informatiebeveiliging begint bij u… Erik Remmelzwaal Beste bestuurder, informatiebeveiliging begint bij u... ICT-afdelingen hebben behoefte aan leiding in informatiebeveiliging binnen hun organisatie. Bestuurders zijn aan zet. Tweede druk 2013 © 2013 DearBytes BV, Beverwijk www.DearBytes.nl Illustraties: Nicoline Heemskerk www.nicoline-heemskerk.nl Alle rechten voorbehouden / All rights reserved Niets uit deze uitgave mag worden verveelvoudigd en/of openbaar gemaakt door middel van druk, fotokopie, microfi lm of op welke andere wijze en/of ander medium ook, zonder voorafgaande schriftelijke toestemming van DearBytes BV. Deze uitgave is met de grootst mogelijke zorgvuldigheid samengesteld. De maker stelt zich echter niet aansprakelijk voor eventuele schade als gevolg van eventuele onjuistheden en/of onvolledigheden in deze uitgave. 2 Inhoud Voorwoord 4 Stap 1 - Beleid 7 Stap 2 - Inventaris 10 Stap 3 - Prioriteiten 12 Stap 4 - Kwetsbaarheden 14 Stap 5 - Bedreigingen 16 Stap 6 - Risico 18 Stap 7 - Technologie 20 Stap 8 - Afdwingen 22 Stap 9 - Evalueren 24 Stap 10 - Compliancy 26 Nawoord 28 3 Informatiebeveiliging begint bij u… Voorwoord Informatiebeveiliging is vandaag de dag een veel besproken thema. Niet in de minste plaats als gevolg van een grote hoeveelheid datalekken en incidenten dat zich de afgelopen tijd heeft voorgedaan. Het gevolg is dat men naarstig op zoek is naar antwoorden op de vraag hoe informatiebeveiliging verbeterd kan worden. Het antwoord is niet te vinden in techniek alleen. Wat nu bij bijna alle organisaties die ik de afgelopen tijd heb bezocht nodig is, heet “beleid” én een goede, werkbare toepassing van dat beleid. Als bestuurder speelt u daarom binnen uw organisatie een sleutelrol in de verbetering van informatiebeveiliging. Om die rol te kunnen vervullen, is het nodig dat u begrijpt hoe dit proces optimaal functioneert. Daarom heb ik besloten dit boekje te schrijven, speciaal voor bestuurders. Hierin behandel ik in 10 stappen hoe risicomanagement kan worden toegepast op informatiebeveiliging. Het resultaat van deze aanpak is optimale preventie, overeenkomstig met veel gebruikte normeringen zoals ISO 27001. Bestuurders zien IT Security vaak als een puur technische taak en laten het in de praktijk daarom over aan de ICT-afdeling. Dit terwijl de gevolgen van een datalek de (soms hoofdelijke) verantwoordelijkheid van de directie zijn. In de honderden Nederlandse bedrijven die ik bezocht heb de afgelopen twaalf jaar, heb ik de afstand van directie tot de beveiliging van hun eigen digitale goud regelmatig tot incidenten zien leiden. Incidenten met soms grote financiele gevolgen die met meer betrokkenheid eenvoudig voorkomen hadden kunnen worden. Alleen op directie-niveau kunnen de fundamentele en soms moeilijke beslissingen genomen worden die nodig zijn om beveiliging echt te laten functioneren. En die beslissingen zijn in de basis helemaal niet technisch van aard. Informatiebeveiliging gaat om het herkennen en afwegen van risico’s, dus de keuze te maken om een risico te accepteren, dan wel het op te lossen. 4 Risico’s die geaccepteerd worden, kunnen leiden tot incidenten. Een plan voor hoe te handelen bij incidenten is daarom ook onomtbeerlijk. Uiteindelijk bestaat informatiebeveiliging dus vooral uit preventieve en reactieve maatregelen met als doel om continuiteit te waarborgen en de gevolgen van incidenten tot een acceptabel niveau te beperken. Daarbij kunnen we als wetmatigheid aannemen dat hoe meer aan de preventieve kant wordt gedaan, des te minder kosten zullen in reactieve zin gemaakt worden en andersom. Waar de balans ligt, wat ‘acceptabel’ is, is typisch zo’n fundamentele beleidsbepaling die iedere individu en elke organisatie voor zich moet maken. Voor het digitale tijdperk, pakweg een halve eeuw geleden, konden bestuurders ook heel goed begrijpen dat hun intellectuele eigendommen achter slot en grendel moesten worden opgeslagen. 5 Informatiebeveiliging begint bij u… Ook toen werd gevoelige informatie in een afgesloten kast gelegd, of in een kluis bewaard. Ook toen werd al besloten welk gereedschap, welke informatie, voor wie en wanneer beschikbaar is. En wie de sleutel beheert. En over wat te doen bij calamiteiten. Diezelfde betrokkenheid van bestuurders is nodig om informatiebeveiliging te laten slagen. Ik heb in de praktijk geleerd dat het goed werkt om een metafoor te gebruiken vanuit een andere vorm van beveiliging om de benodigde keuzes te verduidelijken. In dit boekje trek ik dan ook de parallel tussen informatiebeveiliging en de beveiliging van een bedrijfspand. Zo wordt het proces van informatiebeveiliging begrijpbaar voor bestuurders en kan de nodige betrokkenheid door hen worden ingevuld. 6 Stap 1: Beleid Het Pand Stelt u zich voor dat u een nieuw bedrijfspand betrekt dat al helemaal ingericht is en waar uw bedrijfsdocumenten ook zullen worden opgeslagen. Tot uw niet geringe verbazing staan alle deuren en ramen permanent open. Iedereen kan in- en uit lopen en alles meenemen, zonder dat iemand ook maar iets in de gaten heeft. Klinkt belachelijk? Toch is dit de situatie die zich voordoet als het computernetwerk niet beveiligd is. Terug naar het bedrijfspand. Voordat we deze bizarre situatie gaan oplossen, moet eerst duidelijk zijn wat we precies willen bereiken met beveiliging. Het doel is om alle documenten op een veilige manier op te bergen. Dit wordt schriftelijk vastgelegd, zodat iedereen weet wat er wordt verwacht in termen van beveiliging. Begin altijd de essentie te formuleren, waar in geval van onduidelijkheid op teruggevallen kan worden. Zoals op het water de eerste regel “Goed Zeemanschap” is. De eerste beleidsregels: Alleen bevoegden mogen het pand betreden en de belangrijkste documenten worden opgeborgen in een kluis die in de archiefruimte staat. Op zich voor de hand liggende regels, maar wat betekenen ze in de praktijk? Een voorbeeld: Alle medewerkers zijn bevoegd om het pand in te gaan en zij worden van onbevoegden gescheiden door een elektronische toegangspas. Slechts een paar medewerkers krijgt toegang tot de archiefruimte. De kluis is alleen toegankelijk voor de directie. Bezoekers, klanten of leveranciers krijgen een tijdelijke toegangspas tot de gebouwen of bepaalde ruimtes. Alle gebruikers worden in groepen ingedeeld, zodat 7 Informatiebeveiliging begint bij u… toegangsmogelijkheden op functieprofiel kunnen worden gesorteerd. Kortom, niemand kan het pand in of uit zonder dat dit geregistreerd wordt. De eerste stappen zijn op papier gezet. Persoonsgebonden toegang tot ruimtes in het gebouw waar de documenten worden opgeslagen. Helder, gaan we regelen! Het Netwerk In de vergelijking met het bedrijfspand stellen de verschillende computers in het netwerk de verschillende ruimtes in het bedrijfspand voor. Veel computers kunnen door alle medewerkers gebruikt worden en een aantal alleen door een beperkte groep. En wat er op die computers gedaan kan worden of welke programma’s er gebruikt kunnen worden, is afhankelijk van het functieprofiel. 8 In het geval van het bedrijfspand lijkt het grootste deel van de beleidsbepalingen volstrekt logisch en dat komt omdat de voorbeelden zeer tastbaar zijn. Bij het netwerk- en de informatiebeveiliging zijn de verschillende regels misschien minder tastbaar – maar vaak net zo goed volstrekt logisch. Zo logisch zelfs, dat u bepaalde basiswaarden als vanzelfsprekend beschouwt, terwijl ze in de praktijk helemaal niet geregeld zijn. De beveiliging van het netwerk valt of staat bij dit inzicht van urgentie en basale logica. Het bepalen van het beleid moet daarom worden geformuleerd en uitgedragen door het management van dat bedrijf zodat de ICT-afdeling een handleiding heeft. Want als de ICT-afdeling zelf moet bepalen dat een deur die altijd open heeft gestaan ineens op slot moet, botst de afdeling met collega’s die dit beleid ongedaan willen maken omdat zij het lastig vinden om altijd de sleutel bij zich te hebben. Het maken van ICT-beleid is de eerste stap naar een beveiligde omgeving – dit is een dynamische exercitie en zal worden aangescherpt naarmate de volgende stappen worden ondernomen. 9 Informatiebeveiliging begint bij u… Stap 2: Inventaris Het pand De volgende stap: Wanneer het beleid bepaalt dat alleen bevoegden toegang hebben tot de bedrijfsruimten, dan moet in kaart worden gebracht welke ruimten beschikbaar zijn en hoe ze gebruikt worden. We hadden al besloten om een archiefruimte in te richten met daarin een kluis. Maar hoeveel deuren verschaffen toegang tot die ruimte? Meerdere deuren naar één ruimte levert gebruikersgemak op, maar ook meer risico dat er een deur blijft openstaan. Welke ruimten zijn er en wat is de functie daarvan? Eigenlijk is er dus een plattegrond nodig om te zien waar de risico’s zich bevinden om daar gericht iets aan te kunnen doen. Vervolgens moet er geregeld worden dat die plattegrond ook wordt bijgewerkt als er uitbreidingen aan of verbouwingen in het pand plaatsvinden. Als er een nieuwe archiefruimte komt op een andere plaats moet dit worden meegenomen. De plattegrond blijft dus actueel! Het netwerk Ook bij het beveiligen van het computernetwerk is een actuele plattegrond vereist. In dit geval spreken we van de inventaris, of in het Engels “inventory”. In de inventaris staan alle systemen opgesomd die onderdeel uitmaken van het netwerk. En net als bij de bedrijfsruimten is dit niet alleen een lijst met systemen, maar is ook in kaart gebracht wat de functie is van al die systemen. Is het een gewone computer of een laptop? Is het een server en zo ja, wat is de functie ervan? Of is het misschien zelfs een mobiele telefoon of een printer? Tegenwoordig wordt steeds meer apparatuur aangesloten op een netwerk en dit moet in beeld worden gebracht om een compleet beveiligingsbeleid te kunnen maken en uitvoeren. In de praktijk is zoiets fundamenteels als een up-to-date inventaris vaak helemaal niet beschikbaar. Er is 10 geen actueel beeld van de systemen die onderdeel uitmaken van het netwerk, waardoor de beveiliging ervan dus al direct op losse schroeven komt te staan. Immers: als je niet weet wat je bezit, hoe kun je het dan beveiligen? Vraag gerust eens aan uw ICT-afdeling of zij over een continu actuele inventaris beschikken. De kans is groot dat u schrikt. 11 Informatiebeveiliging begint bij u… Stap 3: Prioriteiten Het pand Het beleid schrijft voor dat er alleen persoonsgebonden toegang tot ruimtes (of kasten in die ruimtes) is. Er is dus verschil in het soort ruimte en de ene ruimte is belangrijker dan de andere. In het voorbeeld heeft de veiligheid van de documenten in de kluis prioriteit boven documenten in de archiefruimte, en deze hebben weer prioriteit boven de documenten die elders in het pand aanwezig zijn. Stel dat de receptionist na een korte afwezigheid constateert dat een onbevoegd persoon is gepasseerd en zich ergens in het pand moet bevinden. Waarheen moeten de bewakers als eerste worden gestuurd? Of een ander voorbeeld: Als de stroom in alle ruimten is uitgevallen en het noodaggregaat slaat aan, welke ruimten moeten dan in ieder geval van stroom worden voorzien? Het netwerk Ook de ICT-systemen hebben prioriteiten ten opzichte van elkaar. Ze zijn ondersteunend voor bepaalde werkzaamheden en die werkzaamheden zijn in min of meerdere mate belangrijk voor de business. Het kan een zuiver financiële afweging zijn welke systemen voorrang krijgen als alles uitvalt. Als het om een industrieel bedrijf gaat, zal de fabriek in elk geval moeten kunnen functioneren. In een ziekenhuis zijn de medische systemen natuurlijk letterlijk vitaal. Gaat het om een dienstverlener? Dan is de bereikbaarheid voor de cliënten wellicht het belangrijkste. 12 Als niet wordt gekozen welke systemen het belangrijkst zijn voor de business, is de kans groot dat bij calamiteiten de ICT-afdeling het eerst in actie komt bij de manager die het hardst roept. Dan kan het zomaar zijn dat de laptop van die manager eerder werkt dan die belangrijke robot in de fabriek. Het indelen van systemen in prioriteiten kan onderdeel uitmaken van een organisatiebrede Business Impact Analyse (BIA). Belangijk is wel dat dit niet een eenmalige actie is: ICT-systemen komen en gaan vaak elke dag, en moeten dus bijna continu op prioriteit kunnen worden ingedeeld. 13 Informatiebeveiliging begint bij u… Stap 4: Kwetsbaarheden Het pand Nu wij de prioriteiten op een rijtje hebben, kan er aan het risicoprofiel van de onderneming worden gewerkt. De eerste stap in dit proces is het in kaart brengen van de kwetsbaarheden. Het pand in het voorbeeld heeft verschillende ruimtes en de documenten worden op verschillende manieren en op verschillende plaatsen opgeborgen. Die plaatsen zijn voor verschillende mensen toegankelijk. Uit de voorgaande inventarisatie worden de mogelijke kwetsbaarheden gehaald. Neem bijvoorbeeld het aantal deuren dat toegang geeft tot het archief. Welk systeem hebben we aangebracht om de deur te beveiligen? Kunnen medewerkers dezelfde toegangspas voor verschillende ruimtes gebruiken? Omdat er zich op de toegangspas bijvoorbeeld geen pasfoto bevindt, kan deze aan derden worden uitgeleend. Ook al is het elektronische pasjessysteem een erkende beveiligingsmethode, het kan in bepaalde situaties toch kwetsbaarheden hebben. Het is dus belangrijk om, net als bij de plattegrond, ook de kwetsbaarheden regelmatig te analyseren en na te gaan op welk soort en aantal ruimten die kwetsbaarheden betrekking hebben. Het netwerk Computersystemen zitten vol met kwetsbaarheden, waardoor zij niet altijd voldoen aan het vastgestelde beleid. Als het beleid bepaalt dat onbevoegden geen gebruik mogen maken van de systemen, dan is een kwetsbaarheid bijvoorbeeld dat een medewerker zijn of haar wachtwoord verliest. Of dat de medewerker eenzelfde, zeer eenvoudig te achterhalen wachtwoord gebruikt – mensen kiezen immers vaak voor 14 gebruikersgemak, hetzelfde wachtwoord voor allerlei verschillende diensten, zowel zakelijk als privé. Er kan dan wel een goed beleid zijn voor zakelijk gebruik, maar als de werknemer op een andere website, of bij een webshop, hetzelfde password gebruikt, dan levert dat ook een gevaar op voor de beveiliging van uw organisatie. Ook kan een medewerker thuis werken aan een document dat is meegenomen op een USB-stick. Door het thuisgebruik kan er een virus op de sitck komen te staan die vervolgens op het interne systeem voor schade zorgt. 15 Informatiebeveiliging begint bij u… Stap 5: Bedreigingen Het pand Een kwetsbaarheid is pas gevaarlijk als er ook een actieve bedreiging bestaat die het kwetsbare onderdeel kan bereiken. U moet daarom op de hoogte zijn van de actuele bedreigingen, zodat u daar waar nodig adequaat kunt ingrijpen. Als een pasjessysteem wordt gebruikt voor toegang tot het pand en het blijkt dat de gekozen pasjes nagemaakt kunnen worden, dan is dat zeker een kwetsbaarheid. De vraag in hoeverre inbrekers op de loer liggen om met dit soort nagemaakte pasjes uw pand te betreden, bepaalt echter in hoge mate de bedreiging voor de organisatie. Het is logisch om elke kwetsbaarheid te willen afdichten en te zoeken naar het juiste systeem om dit zo goed mogelijk aan te pakken. De snelheid waarmee dit moet gebeuren, en de kosten die hiermee gemoeid zijn, worden echter mede bepaald door de inschatting van het dreiginggevaar. Het netwerk Bedreigingen voor computernetwerken zijn legio en nemen elk jaar toe, de kranten staan er vol mee. In de analyse moet staan welke bedreigingen er specifiek voor uw netwerk bestaan, en dat gekoppeld aan de kwetsbaarheid van data en systemen. De bekendste bedreigingen voor het netwerk zijn hackers en virussen. Hackers kunnen proberen bij wijze van uitdaging – of gewoon uit baldadigheid – op uw netwerk te komen. Maar tegenwoordig gaat het dikwijls om specifieke aanvallen op specifieke onderdelen van organisaties. Daarbij wordt uiteraard gezocht naar de kwetsbaarheden, waarbij de menselijke factor en verouderde software in de praktijk het vaakst misbruikt worden. 16 Virussen komen veelal op een netwerk door een toevalligheid of onzorgvuldigheid. Een USB-stick kan een virus van een thuiscomputer overdragen naar het netwerk op kantoor. Bedreigingen kunnen ook ontstaan omdat er aanpassingen zijn verricht aan het besturingssysteem. Als bijvoorbeeld Microsoft een update uitbrengt, betekent dit heel vaak dat er sprake is van een kwetsbaarheid in de software van de fabrikant. Het feit dat er een kwetsbaarheid is ontstaan, en dat dit bekend wordt, levert een nieuwe potentiële bedreiging op. Het lek moet nu zo snel mogelijk worden gedicht. Het is echter ook goed mogelijk dat de leverancier dit lek nog niet ontdekt heeft, maar een cybercrimineel wel en die heeft dan bij gebrek aan een update dus vrij spel. 17 Informatiebeveiliging begint bij u… Stap 6: Risico Het pand Het risiconiveau wordt bepaald door zowel de kennis van de relevante kwetsbaarheden en de daarvoor geldende bedreigingen. Stel dat tijdens een inbraak een briefje met de combinatie van uw kluis is gestolen. De kluis bevat zeer vertrouwelijke informatie, dus de kwetsbaarheid is kritisch. Het feit dat de code mogelijk bewust is ontvreemd, betekent een hoogst actuele bedreiging. Zonder te aarzelen zet u een andere combinatie op de kluis. In geval van een acuut risico moet er direct gehandeld worden. Door het risiconiveau goed te bepalen, kan adequaat worden ingegrepen. Dat wil onder meer zeggen: Niet onnodig in actie komen voor relatief onschuldige zaken, maar direct handelen wanneer de organisatie werkelijk gevaar loopt. Met deze kennis van zaken worden onnodige kosten vermeden en kan zeer gericht gewerkt worden. Het netwerk Het kritisch karakter van kwetsbaarheden in computernetwerken kan zeer verschillend zijn. Wanneer softwareleveranciers of security specialisten online informatie over een kwetsbaarheid publiceren, geven ze daar zelf een waardering aan die de ernst (dreiging) ervan weerspiegelt. Deze waardering of dreigingrisico is niet altijd één op één te vertalen naar elke specifieke organisatie. Het kan bijvoorbeeld zijn dat een lek bij Microsoft invloed heeft op een aantal individuele computers, maar dat wil niet automatisch zeggen dat er een acute bedreiging en kwetsbaarheid is voor uw server (uw prioriteit). 18 Om een juiste inschatting te maken van het risico dienen stappen 1 tot en met 5 te zijn doorlopen. Door het wisselende karakter van, vooral, de kwetsbaarheden en bedreigingen, moet regelmatig een risicoanalyse worden uitgevoerd om een inschatting van de veiligheidsituatie te maken. Door regelmatig een risicoanalyse uit te voeren kan voorkomen worden dat er onnodig, niet of niet adequaat wordt omgegaan met de bedreigingen. 19 Informatiebeveiliging begint bij u… Stap 7: Technologie Het pand Pas nadat de risicoanalyse is uitgevoerd kan er voor technologische oplossen worden gekozen om de geïdentificeerde risico’s af te dekken. Er is een aangepast beleid opgesteld en inzichtelijk gemaakt met een plattegrond, een overzicht van waarvoor de verschillende ruimtes worden gebruikt en welk risico er aan het gebruik van de ruimtes kleeft. Het is nu mogelijk om de verschillende ruimtes technologisch te beveiligen: de kluis is slechts toegankelijk met een code; de archiefruimte kan alleen geopend worden door geautoriseerde pasjes en de verschillende toegangen worden bewaakt door camera’s. Doordat een actuele plattegrond voorhanden is, kan exact bepaald worden hoeveel camera’s nodig zijn en een overschot aan technologie worden voorkomen. Bij de aanschaf en implementatie van de technologie moeten wel diverse mogelijkheden overwogen worden: Wordt er geregistreerd welke werknemer op welk moment zijn of haar toegangspas gebruikt? Kunnen de beelden van de camera’s worden uitgelezen en hoe lang worden deze beelden bewaard? Vervolgens moet het beleid worden aangepast om de toegepaste technologie optimaal te laten functioneren. Bijvoorbeeld hoe vaak de technologie een “reset” nodig heeft en hoe snel een defecte camera moet worden vervangen. Het netwerk Risico’s voor een computernetwerk kunnen vaak opgelost worden door updates voor software of hardware toe te passen. Dergelijke wijzigingen aan de apparatuur hebben echter soms verstrekkende gevolgen en daarom kan het ook niet altijd meteen. In dat geval verdient het wellicht de voorkeur om (tijdelijk) technologie in te zetten die het risico afdicht en zo dus tijd maakt om de benodigde updates 20 gedegen te testen alvorens toe te passen. Dit soort technologie vereist natuurlijk een investering in tijd en geld. Door een goed beeld van de ernst van het risico kan een goede afweging gemaakt worden: investeren of het risico (tijdelijk) accepteren. De mogelijkheden kunnen naast elkaar worden gezet, waarna de functionaris verantwoordelijk voor de beveiliging het eindoordeel velt over de te nemen stappen. 21 Informatiebeveiliging begint bij u… Stap 8: Afdwingen Het pand Het aanschaffen van de beveiligingscamera’s is één, maar het inzetten ervan is natuurlijk minstens zo belangrijk. Een partij camera’s in de doos gaan het probleem immers niet oplossen. De technologie is in dit geval afgedwongen indien alle kwetsbare ruimtes voorzien zijn van een camera, en u moet erop (laten) toezien dat dit ook gebeurt. Het is heel logisch dat een werknemer die het bedrijf verlaat de sleutel van zijn werkplek retourneert. In het geval van een elektronische toegang, met een code, zal dus moeten worden ‘afgedwongen’ dat deze regelmatig, desnoods automatisch, wordt vernieuwd om het risico van toegang door onbevoegden te vermijden. Het netwerk Wanneer bepaalde technologie gekozen wordt om een risico af te dekken, dan is het toepassen daarvan de volgende stap. Zonder kennis van de inhoud van het netwerk of de systemen is dat onbegonnen werk. Als alle Windows computers een bepaalde vorm van beveiliging nodig hebben, dan moeten ze allemaal in beeld zijn om die beveiliging ook te installeren. En pas wanneer dat overal gebeurd is, kan het risico als afgedekt worden beschouwd. 22 23 Informatiebeveiliging begint bij u… Stap 9: Evalueren Het Pand U heeft geïnvesteerd in oplossingen om bepaalde risico’s af te dichten. Uiteraard wilt u dan ook regelmatig evalueren of dit het gewenste resultaat oplevert. Dat betekent bijvoorbeeld dat een medewerker wordt aangesteld om de beelden van camera’s in de gaten te houden. Misschien is een camera niet goed gericht, of is voor bepaalde ruimtes eigenlijk een nachtcamera nodig. Een verandering van het gebruik van een ruimte of een nieuwe gebruiker levert een nieuwe situatie op, dus alle facetten van beveiliging binnen het bedrijf moeten regelmatig worden geëvalueerd. De kennis van hoe een inbraak in een bepaalde ruimte heeft kunnen plaatsvinden, geeft meteen aanwijzingen voor een aanpassing van het beleid. Kortom, alle aanpassingen van het pand, de gebruiker en het beleid moeten regelmatig de revue passeren. Omdat de evaluatie verschillende onderdelen van het bedrijfsproces beslaan (camerabeveiliging, receptie, personeelsbeleid) is het dan ook logisch dat deze evaluatie op directieniveau plaatsvindt. Het netwerk Ook beveiligingssystemen voor computernetwerken moeten worden gecontroleerd. Zo kan worden vastgesteld of deze in staat zijn om de gesignaleerde kwetsbaarheden en risico’s op te lossen, of dat door de inzet ervan heel andere problemen ontstaan. Een beveiligingsmaatregel kan in theorie ook zaken blokkeren die gewoon doorgang moeten vinden. Zoiets als het schoonmaakbedrijf dat per ongeluk was overgeslagen toen de toegangspasjes werden uitgedeeld en daarom haar werk niet kan doen. 24 Regelmatig evalueren betekent dat fouten in de systemen kunnen worden gesignaleerd en opgelost. Maar ook dat het gewenste resultaat is bereikt. 25 Informatiebeveiliging begint bij u… Stap 10: Compliancy Het pand Met compliancy wordt bedoeld dat bewezen kan worden dat voldaan wordt aan het vastgestelde beleid. Dit is de laatste stap van de cyclus en vormt het bewijs dat u net zo veilig bent als u denkt te zijn. Als het doel is dat onbevoegden buiten de deur worden gehouden, dan moet alles wat daaraan gedaan kan worden ook functioneren. Het alternatief is om af te wachten totdat het fout gaat om vervolgens te concluderen dat de beveiliging dus NIET functioneert. Met alle schade van dien. U bent als eindverantwoordelijke waarschijnlijk niet de enige die bewijs wilt zien van een werkend beveiligingssysteem. Ook de verzekeringsmaatschappij zal bewijs van gedegen beveiliging willen zien voordat zij in geval van calamiteiten overgaat tot uitkering. En niet alleen de verzekering, maar soms ook financiers, zoals de aandeelhouders in beursgenoteerde ondernemingen, willen in het jaarverslag een uitvoerige rapportage vinden over Risk Management and Control. Het netwerk Ook op het gebied van ICT-beveiliging is soms sprake van ‘audits’ om de risico’s en het beheren daarvan te testen. Deze audits worden voor sommige sectoren verplicht gesteld, bijvoorbeeld om “PCI-compliancy” aan te tonen. PCI-DSS is een richtlijn die wordt opgelegd aan partijen die te maken hebben met credit-card betalingen. In de zorgsector in Nederland is de NEN7510 norm een bekende richtlijn met betrekking tot ICT beveiliging. Juist in deze sector wordt gewerkt met zeer privacy gevoelige informatie en het is daarom een kwestie van tijd voordat een dergelijke richtlijn ook wetgeving zal worden. Op deze norm worden tegenwoordig actief audits uitgevoerd, met als doel ‘compliancy’ via marktwerking af te dwingen. Op Europees en 26 Nederlands niveau wordt gewerkt aan een zogenaamde “data breach notification” wetgeving. Iets dergelijks is al van toepassing in landen als de Verenigde Staten, het Verenigd Koninkrijk en Duitsland. Deze wetgeving dwingt een organisatie waarvan data kwijt is, daarvan publiekelijk melding te maken. Een soort schandpaal-effect. In veel van die wetgeving is geregeld dat wanneer de organisatie in kwestie kan aantonen dat de verloren data “versleuteld” is geweest, en dus onbruikbaar is, de meldingsplicht vervalt of milder is. De mogelijkheid om te kunnen bewijzen dat voldaan wordt aan het beleid, is dus belangrijk voor interne maar ook voor externe controles. 27 Informatiebeveiliging begint bij u… Nawoord Informatiebeveiliging begint bij beleid. Met behulp van een aantal eenvoudige voorbeelden, van gisteren en van vandaag, heb ik geprobeerd te illustreren dat de keuzes die gemaakt moeten worden eigenlijk vrij basaal en eenvoudig zijn. In de dagelijkse praktijk constateren wij echter dat in veel organisaties dat fundamentele beleid, dat eenvoudige basiswerk, juist ontbreekt. Als bestuurder heeft u een sleutelrol in informatiebeveiliging. Om het goed te laten verlopen, is vereist dat u bij stap 1 en 10 actief betrokken bent. Dus enerzijds bij het bepalen van het beleid, anderzijds bij de controle op naleving daarvan. Alle tussenliggende stappen zijn goed over te laten aan uw beheerders, maar door de benodigde handelingen te kennen, kunt u erop toezien dat ze ook worden uitgevoerd. Roep nu uw ICT-specialisten bijeen met de vraag: Jullie beheren de kluis van deze organisatie. Is die kluis wel op slot? Waar te beginnen? Wilt u informatiebeveiliging laten werken, roep dan binnenkort eens op de ICT-afdeling dat u het voorkomen van dataverlies als één van uw prioriteiten ziet en daar vanaf nu de eindverantwoordelijkheid voor neemt. Roep dan een team van specialisten bijeen en neem twee uur de tijd om hun verhalen en ideeën aan te horen. Leg ze dan die vraag voor of die kluis ook daadwerkelijk op slot is. Ik voorspel u: gejuich alom. 28 29 Informatietechnologie valt niet meer weg te denken uit het zakelijke en sociale verkeer. Met de toegenomen kracht, complexiteit en openheid van datastromen en middelen gaat echter ook kwetsbaarheid gepaard. Openheid houdt risico’s en bedreigingen in. Daarom luidt de centrale vraag in informatiebeveiliging: hoe kunnen wij zorgen voor werkbare veiligheid, met een perfecte balans tussen functionaliteit en veiligheid? Dit boek wordt u aangeboden door DearBytes, adviseur in beveiliging van IT-systemen en kostbare informatie. Al 12 jaar helpen wij als All-Round Security Specialist onze relaties met informatiebeveiliging. Niet alleen met uitgebreide theoretische kennis maar juist met praktische oplossingen voor bedrijven en organisaties. De tekst is geschreven door Erik Remmelzwaal, algemeen directeur van DearBytes. De tekeningen zijn van Nicoline Heemskerk. Hoe past informatiebeveiliging binnen uw doelstellingen en hoe krijgt u IT-security onder controle? Wij geven u met dit boek een helder beeld van hoe informatiebeveiliging volgens alle bekende normeringen zoals ISO procesmatig moet worden ingericht. Om het begrijpelijk te houden, wordt daarbij de parallel getrokken met de beveiliging van een bedrijfspand. Zo biedt dit boek u momenten van herkenning en hopelijk veel leesplezier.
© Copyright 2024 ExpyDoc