Een goede beveiliging van it-systemen is essentieel voor organisaties om verschillende redenen. Enerzijds moeten ze zich wapenen tegen mensen die data en diensten willen stelen of vernietigen. Anderzijds dienen bedrijven rekening te houden met wetten als Sarbanes-Oxley. De meeste it-systemen zijn echter niet ontwikkeld om buiten de organisatiemuren te functioneren. Het probleem wordt niet opgelost door een nieuw softwarepakket te installeren. Beleid en procedures zijn veel belangrijkere factoren, stelt Johann Corlemeijer.
Veel organisaties virtualiseren hun business om efficiëntie te verhogen en sneller te kunnen werken. Samenwerking tussen organisaties wordt net zo belangrijk als die tussen collega's. Hiervoor moeten bedrijfsprocessen worden geïntegreerd en identiteiten worden samengevoegd. Bedrijfsprocessen worden dan niet meer afgebakend door de muren van het bedrijfspand, wat grote gevolgen heeft voor de beveiliging van it-systemen.
Zo moeten organisaties medewerkers van partners gaan onderscheiden. Daarnaast moeten ze bepalen hoe interne it-systemen toegankelijk worden gemaakt om geïntegreerde processen goed te kunnen ondersteunen. Vervolgens dienen organisaties een procedure te ontwikkelen om de juiste mensen toegang te geven tot het systeem. Ze moeten inloggegevens verspreiden onder deze mensen, de juiste bevoegdheden per persoon bepalen en het hele systeem beheren.
Echter, de meeste it-systemen zijn niet ontwikkeld om buiten de organisatiemuren te functioneren. Nieuwe technologieën bieden hierbij uitkomst, maar helaas is het probleem niet opgelost door simpelweg een nieuw softwarepakket te installeren. Beleid en procedures zijn veel belangrijkere factoren.
Strategisch plan
Organisaties hebben een consistente beveiligingsstrategie en betrouwbare processen nodig om op de hoogte te blijven van de laatste ontwikkelingen op het gebied van technologie en bedreigingen. Beveiliging moet worden benaderd vanuit een breed en strategisch perspectief.
Zo ontstaat een systeem dat betrouwbaar en integer is, zelfstandig kan werken, data vertrouwelijk houdt en toegankelijk blijft voor de juiste mensen. Het strategisch plan moet doelstellingen, een kostenberekening en een blauwdruk bevatten. Een goed uitgedacht stappenplan is essentieel voor een succesvolle implementatie.
Voor de ontwikkeling van een strategisch plan kan een stappenplan (zie kader) uitkomst bieden.
Stel mensen en processen centraal
Beveiligingsoplossingen zijn afhankelijk van de integratie van technologie, processen en mensen. Bij zowel de ontwikkeling van identiteitsmanagement als het volledig uitbreiden van it-systemen dien je rekening te houden met deze drie aspecten om een goede basis te kunnen leggen voor je beveiligingsstrategie.
Technologie is namelijk maar een deel van de oplossing. Veel belangrijker is een effectieve procedure en een goede afstemming met de mensen die met de oplossing moeten werken. Dit vergemakkelijkt de overgang aanzienlijk voor iedere organisatie.
Kies de juiste partner
Met leveranciers en consultants in overvloed is het belangrijk een partner te vinden die de visie van je organisatie deelt. Na het bepalen van je strategie is het verstandig om partners te kiezen met ervaring en een sterke reputatie.
Zoek naar een partner die je kan helpen een systeem te ontwikkelen en te implementeren dat bestaande systemen optimaliseert. Een juiste partner helpt je de toegang tussen systemen en het netwerk op een veilige manier te realiseren, aansluitend op de wensen van de organisatie en binnen het budget.
Implementeer met een duidelijk doel
Het is niet verstandig om oplossingen ad hoc in te vullen en uit te voeren. Gestructureerde richtlijnen en een strategisch plan zijn noodzakelijk voor een goed eindresultaat. Zo voorkom je problemen en kom je minder snel voor verrassingen te staan.
Een denkfout die veel organisaties maken bij het inrichten van de informatiebeveiliging, is de aanname dat meer technologie automatisch leidt tot betere databeveiliging. In plaats van te focussen op meer beveiliging zouden bedrijven zich moeten richten op ‘effectieve beveiliging'. Dit kan door een analyse te maken van de huidige situatie. Op basis daarvan kan vervolgens een beveiligingsaanpak worden ontwikkeld die past bij de wenselijke koers.
Een brede kijk op databeveiliging van organisaties, biedt een goed fundament om het risico op datadiefstal te verkleinen. Wanneer de analyse is afgerond, kunnen bedrijven beginnen met het ontwerp van de oplossing en nadenken over de invulling en een implementatie die past binnen de behoeften van hun eigen sector.
Vertrouw niet op alleen aanpassingen
Het is vaak duurder om oude systemen aan te passen en te beveiligen dan een volledig nieuw systeem te ontwikkelen. De beveiliging moet vanaf het begin integraal onderdeel zijn van het systeemontwerp en niet iets waar achteraf pas over wordt nagedacht.
Hoewel aanpassingen wel tactische problemen kunnen oplossen, zorgen ze tegelijkertijd regelmatig voor strategische problemen. Om de kosten en baten in balans te houden, kunnen bedrijven zoeken naar een manier om nieuwe oplossingen te integreren met bestaande systemen. Het is echter belangrijk dat ze voorbereid zijn om te investeren in een systeem dat op de lange termijn toereikend is, zonder grote aanpassingen te hoeven doen in de toekomst.
Kortom, databeveiliging is niet iets wat je koopt, het is iets wat je doet. Het is een proces dat nodig is om de kwaliteit van zakelijke it-systemen te waarborgen, onder andere op het gebied van schaalbaarheid en toegankelijkheid. Met een helder strategisch plan in het achterhoofd en de juiste technologie ter ondersteuning, blijft overzichtelijk welke rol databeveiliging speelt binnen de algemene bedrijfsdoelstellingen. Alleen dan kan een succesvol en samenhangend plan van aanpak worden opgesteld.
Johann Corlemeijer, Capability Director Avanade Nederland
Stappenplan
De ontwikkeling van een strategisch plan is gebaat met het volgen van een stappenplan. Dit kan er als volgt uitzien:
– Maak een complete analyse van de organisatie en bepaal de doelstellingen
– Bepaal de belangrijkste benodigdheden, bekijk bijvoorbeeld welke systemen nodig zijn voor de ondersteuning
– Breng de huidige status van de beveiliging in kaart en bepaal wat je wilt bereiken
– Schrijf een business case met onderbouwingen om budget te krijgen voor beveiliging en maak een kostenberekening
– Maak een blauwdruk om je beveiligingsoplossing te ontwikkelen
– Selecteer de benodigde sofware waarmee je je doelstellingen kunt behalen
– Ontwikkel een stappenplan voor de implementatie van de beveiligingsoplossing
Toename datadiefstal
Organisaties blijven zoeken naar een passende aanpak voor de bescherming van hun belangrijkste goed, de bedrijfsdata. Desondanks neemt het aantal datadiefstallen sterk toe. In 2007 registreerde Identity Theft Resource Center 448 inbraken die samen in potentie ruim 127 miljoen documenten aantastten. Dat is bijna drie keer zoveel als in 2006.
Wat een onzin! Alsof informatiebeveiliging iets is dat je een keer als project uitvoert … En alsnog wordt de menselijke factor geheel overgeslagen. Nergens staat dat informatiebeveiliging een kwestie is van ‘herding cats’. Wie dat vergeet, kan geen serieuze ervaring hebben met infosec.
Wie de internationale pers leest kent de volgende uitspraak: “beveiliging is geen product, het is een proces”.
Geen systeem is in staat te voorkomen dat een medewerker uit onachtzaamheid klikt op een link naar een trojaner of rootkit. Opvoeden van gebruikers, verantwoordelijkheden zo leggen dat niemand in de verleiding komt en het management ook op hun verantwoording wijzen (budget, juiste kontraktsvormen, geen vriendjespolitiek ;-)) zijn de drie principes waarmee een betere beveiliging begint.
Met zweverige verhalen kom je nergens.
De belangrijkste factor bij beveiliging is de menselijke factor en de dagelijkse processen. Een vraag die vaak wordt gesteld, maar helaas niet of door de verkeerde mensen wordt beantwoord, is welke data beveiliging nodig heeft en vooral hoe dit zonder de workflow verstoord wordt, bereikt kan worden.
Een mooi voorbeeld uit de praktijk. Door privacy-wetgeving mochten bepaalde gegevens alleen via encryptie worden verstuurd. Prima zou je denken, alleen was er onvoldoende rekening gehouden met personeelswisselingen.
Aangezien het encryptiepakket niet in de standaard-installatie zit, moet dit apart door systeembeheer op de diverse PC’s en laptops geinstalleerd worden. Dat proces duurt echter wel een week.
Erg lastig als je de gegevens snel nodig hebt. Dus werden de bestanden (zonder encryptie) op USB-stick gezet. Tot iemand de USB-stick kwijtraakte en deze per ongeluk werd verstuurd.
Een veilig netwerk, praktische autorisatie, en een goede dialoog met je gebruikers doet al wonderen voor security.