Ongestructureerde data eist ook beveiliging

SOx, Cobit, PCI-DSS... welke access control standard volgt uit WikiLeaks?

In gesprekken met security managers van grote organisaties over toegangsrechten wordt steeds de nadruk gelegd op de bedrijfssystemen als SAP en Oracle. WikiLeaks laat haarfijn zien dat ongestructureerde informatie heel kritisch kan zijn voor een organisatie. In Windows omgevingen staan verslagen van management meetings, investeringsvoorstellen, beoordelingen van medewerkers enzovoorts. De eerste singalen voor nieuwe security richtlijnen zien we al.

Tijdens een recente presentatie voor ISACA - het wereldwijde IT-Audit plaform - vergeleek ik de bekende informatiebeveiligingsstandaarden CobIT (voor IT), HIPAA (voor de zorg), PCI-DSS (voor Credit card gegevens), SOx (for disclosure van financiele informatie) op het gebied van access control. Het was natuurlijk geen verassing dat die min of meer dezelfde eisen stellen. Sommige zijn gedetailleerd (PCI-DSS schrijft Role Based Access Control voor in article 7.1.2), andere zijn high level (SOx geeft aan dat management verantwoordelijk is voor een effectief intern controle systeem in artikel 302 and 404).

De meeste standaarden hebben hun roots in incidenten met een dusdanige imact dat die het wereldnieuws hebben gehaald. Denk eens aan Enron en Societe Generale. De huidige standaarden zijn hieruit voorgekomen, en hebben dus een nadruk op transactie georienteerde en gestructureerde systemen. WikiLeaks is anders. Deze informatie is ongestructureerd. Het is niet eens een lek, het is een vloedstroom van rapporten, informele - gevoelige - documenten, video’s…. Een SP-raadslid uit Breda vond al dat iedere organisatie recht heeft op zijn eigen WikiLeaks!

In de vele gesprekken die ik heb met security managers, zijn er slechts een paar die het belang inzien van ongestructureerde informatie. Steeds weer hoor ik dat de belangrijke informatie vastligt in SAP en Oracle en dat deze systemen prima onder controle zijn. WikiLeaks zal echter de aandacht nadrukkelijk vestigen op ongestructureerde informatie: bedrijfsplannen, management verslagen, investeringsplannen, personeelsfiles en aanbiedingen van levernaciers. Een sterkte roep om betere controle over het filesysteem is voorspelbaar.

Een onderzoek van Merill Lynch toont aan dat managers het overgrote deel van hun tijd bezig zijn met ongestructureerde documenten en dat 85 procent van alle kritische bedrijfsinformatie ongestructureerd is. Verder wordt in dit onderzoek vastgesteld dat deze ongestructureerde informatie ieder 12-18 maanden verdubbeld!

Wat betekent dit voor de rapportage en controle over toegang tot ongestructureerde informatie? De traditionele methode richt zich op de analyse van gebruikers en hun groeplidmaatschapen in Active Directory (AD). Dit is in het algemeen voldoende om aan te tonen dat organisaties niet ‘in-control’ zijn. Auditors vinden eenvoudig voldoende issues om een opmerking in de management letter te rechtvaardigen: ghost-accounts, te veel privileged users, groepslidmaatschaen van medewerkers die lang geleden vertrokken zijn naar andere afdelingen, externen die nog aktief zijn, et cetera.

De daadwerkelijke toegangsrechten staan echter niet in AD. Die zijn te vinden op de Access-Control-Lists van het filesysteem. We kunnen dus al mijlenver aanzien komen dat er nieuwe richtlijnen zullen volgen voor het rapporteren en controleren van toegang tot filesystemen. Deze zal bestaan uit twee aspecten: gebruikers en hun groepslidmaatschappen aan de ene kant en access-control-lists van het filesysteem aan de keerzijde.

Welke ‘nieuwe’ standaard voor access control zal er ontstaan uit WikiLeaks?... De President van Amerika neemt vast een voorschot!