Informatiebeveiliging stijgt steeds hoger op de prioriteitenlijst van bedrijven, maar organisaties lijken te worstelen met het maken van keuzes. ‘Waar te beginnen’ mond nogal eens uit in jarenlang onderzoek naar beleid terwijl er tegelijkertijd via de ict-afdeling allerlei niet geïntegreerde deel-oplossingen worden binnengerold. Afstemming is vaak ver te zoeken. Staat beveiliging dan echt nog zo in de kinderschoenen?
Allereerst moet gekeken worden naar het daadwerkelijke probleem. Inmiddels weet iedereen dat informatiebeveiliging een kwestie is van het afwegen van risico’s. Hierbij is het van belang dat er een goed doordacht beleid geformuleerd is. In de praktijk blijkt echter dat beveiligen steeds meer het dichtplakken van gaten is, om ellende op het netwerk en voor de gebruikers te voorkomen. Wat heeft nu prioriteit en hoe kan dit ooit tot elkaar komen? Waardoor wordt dit eigenlijk allemaal veroorzaakt?
Trends
Als je naar de huidige trend kijkt dan lijkt het erop dat er nog steeds een exponentiële toename is van incidenten en er patches worden ontwikkeld om gaten in software te dichten. Zo verschijnt de ene Bugbear na de andere Sobig. Hackertechnieken die worden toegepast zijn al jaren hetzelfde. Ze worden alleen steeds vaker in toolkits gecombineerd en massaal op internet gedistribueerd. Wormen en virussen daarentegen zijn vaak broertjes en zusjes van elkaar met slechts kleine slimme veranderingen die opsporing bemoeilijken en verspreiding versnellen. Dit maakt het voor ict-afdelingen erg lastig en bezorgt ze handenvol werk. Dat is ook de reden waarom deze afdelingen naar deel-oplossingen moeten grijpen, ze hebben immers als hoofdtaak de beschikbaarheid van de systemen hoog te houden. Nieuwe technologieën, zoals wireless, met ook daar weer nieuwe security risico’s maken het geheel nog complexer.
Ontwikkelingen
Wie dacht dat er slechts een vertalings- en toenaderingskloof ligt tussen ict en de persoon of afdeling verantwoordelijk voor het beveiligingsbeleid komt al gauw bedrogen uit. Steeds vaker mengen interne of externe edp-auditors zich in het krachtenveld en wijzen de directie op de tekortkomingen in de staat van de informatiebeveiliging in hun organisatie. Hieruit komen aanbevelingen die met een hoge urgentie dienen te worden opgevolgd, omdat herhaling van de ‘aantekening’ niet toegestaan zal worden. De daaruit voortkomende ‘management letters’ leggen de vinger nogmaals op de zere plek. Deze ontwikkeling gaat zich doorzetten nu het onderwerp een hogere plaats op de prioriteitenlijst heeft gekregen. Bovendien ligt het zelfs in de lijn der verwachting dat accountants naast het toetsen van de jaarrekening ook de status van de informatiebeveiliging gaan beoordelen, omdat dit gevolgen heeft voor het risico dat de onderneming loopt.
Een aantal grote organisaties en alle banken zijn momenteel bezig risico management, policy management en hun operationele security management systemen en methodieken te integreren. Hierdoor is straks op elk moment van de dag bekend hoe de beveiliging ervoor staat en dus hoe effectief die is. Slaagt dit soort strategische integraties, dan zullen meer organisaties deze stap gaan zetten, maar bent u daar dan wel klaar voor?
Waar rekening mee te houden
Organisaties dienen er rekening mee te houden dat de complexiteit van informatiebeveiliging zal toenemen. Dat wil echter niet zeggen dat informatiebeveiliging lastiger te beheren zal zijn. Als men niets doet en de huidige vertalings- en toenaderingskloof niet kan overbruggen wordt men vroeg of laat met de consequenties geconfronteerd.
Informatiebeveiliging is een mix van beleid, organisatorische procedures, risico’s inschatten en techniek. Men kan het één nooit los van het ander zien wat inherent betekent dat er verantwoordelijkheden uit meerdere afdelingen bij betrokken zijn en moeten samenwerken. Dit dient de organisatie dan wel te faciliteren en moet men de personen daarvoor de passende bevoegdheden geven. De beheerslast is de grootste bedreiging van een effectieve beveiliging. Er ontstaan nu reeds complete security frameworks, vaak in de vorm van suites en conform standaarden zoals ISO 17799, die beter aansluiten bij de praktijk en die de beheerlast fors kunnen beperken.
Hoe hierop in te spelen
Is het dan echt een kloof die gedicht moet worden of kan men met een meer gestructureerd en afgestemd plan van aanpak het een en ander binnen bijvoorbeeld een jaar wel goed op de rails krijgen? Dit is inderdaad voor bijna elke organisatie mogelijk en komt eigenlijk simpelweg neer op het zetten van een aantal stappen (zie kader) die fundamenteel zullen zijn voor toekomstige ontwikkelingen, maar ook nu al verlichting kunnen geven van de dagelijkse problemen.
Hiermee kan elke organisatie een degelijk security framework neerleggen, zowel organisatorisch, zakelijk als technisch. Op zo’n framework kan vertrouwd worden en kan verantwoord op de juiste plekken in de organisatie worden belegd. Keuzes zijn dan te maken op basis van feiten en argumenten i.p.v. angst en veronderstellingen.< BR>
Vijf stappen
1
Maak een up-to-date risico-analyse. Risico’s die acceptabel zijn om te nemen hoeven niet met alle middelen afgedekt te worden. Benoem de prioriteiten en zet ze op papier om ze niet uit het oog te verliezen.
2
Bij de meeste bedrijven zijn er in een kleine 10 jaar allerhande beveiligingsproducten geïntroduceerd. Het is dan ook van belang de huidige architectuur van zowel de perimeter beveiliging als de netwerk- en applicatiebeveiliging door eigen architecten of door gespecialiseerde externen opnieuw tegen het licht te houden. Vaak zijn er discrepanties in geslopen die achteraf een, op het oog prima beveiliging, ineffectief maken. Maak vervolgens het gewenste architectuurmodel en plan de transformatie in stappen en in volgorde van prioriteit.
3
Het introduceren van een methodiek rond het vertalen van het beveiligingsplan naar organisatie, procedures en maatregelen (techniek) en deze methodiek laten onderschrijven of formeel laten goedkeuren door het hogere management. Belangrijke stappen in zo’n methodiek zijn het adresseren van: risico afweging, ROI, impact op de organisatie en procedures (o.a. wat betreft beheer maar ook manier van werken voor de medewerkers) en de te behalen voordelen. Alle beveiligings business cases kunnen dan in de methodiek gegoten worden, zodat er een weloverwogen beslissing genomen kan worden. Bij veel organisaties blijft op dit moment het hele gebied vaak, of in de techniek hangen, of in het beleid. Bijna alle (middel)grote organisaties worstelen met de business case van beveiliging en blijven daardoor met hun voortgang achter bij trends waardoor ze meer risico lopen dan van de al gedane investeringen verwacht zou mogen worden. Leg dat dan maar eens uit aan directie en medewerkers.
4
Richt het vulnerability management en het operationeel risico management wat betreft security in. Onder vulnerability management, het beheren van kwetsbaarheden van software, valt niet uitsluitend het beheren van patches en hotfixes. Een groot aantal van deze kwetsbaarheden heeft namelijk uitsluitend te maken met het juist configureren en kan slechts met een goed gecontroleerde manier van inrichting van systemen en het in stand houden van die inrichting worden ondervangen. Gelukkig zijn er tools die deze zogenaamde ‘systeem en software baselines’ kunnen monitoren, zodat dit niet leidt tot meer beheerslast maar zelfs werk kan besparen. Daarnaast zijn deze tools vaak ook in staat om je systemen vrij van vulnerabilities te houden door het patch management en de zogenaamde ‘security advisories’ centraal te beleggen en aan te sturen. Dit onderwerp alleen al is echter een volledig artikel waardig en zou ik graag eens een andere keer op terugkomen.
Er is veel meer waarde te halen uit al gedane security investeringen als binnen de organisatie de verantwoordelijkheid voor operationeel security management centraal belegd is. Hiervoor kan gebruik gemaakt worden van integratietools voor security componenten. Een chief security officer (cso) hoeft slechts op de hoogte te zijn van incidenten en afwijkingen van de door hem bepaalde en te controleren beleidsregels. Een systeembeheerder met een security in zijn takenpakket dient dieper in de materie te kunnen duiken en op een security aspect of zelfs combinaties van aspecten, real-time te kunnen monitoren en in te grijpen.
Het gaat er dus om, de ‘incidenten’ en gebeurtenissen op het juiste tijdstip in de bepalende context bij de daarvoor verantwoordelijke functionaris te brengen. Puur kennismanagement dus, maar dan specifiek op security management gebied. Dit is geen hogere wiskunde, ook hier zijn al passende oplossingen voor die bedrijfsbreed kunnen worden ingezet, van CSO tot netwerkbeheerder.
5
Introduceer een centraal in de organisatie belegde incident afhandeling. Denk daarbij niet alleen aan het registreren en opvolgen van incidenten, maar ook aan een draaiboek met interne communicatie, forensisch onderzoek en ‘hoe om te gaan met de pers’. Daarnaast dient elke organisatie te overwegen enige vorm van functiescheiding voor de administrators in te voeren. Het is zelden noodzakelijk systeembeheerders toegang te geven tot alle data van het bedrijf, maar het is wel praktijk vandaag de dag.
Naast functiescheiding is er een sterk groeiende behoefte om de, vaak uitsluitend op papier vastgelegde, bevoegdheden van medewerkers op de bedrijfsapplicaties en systemen te automatiseren. Dit is niet alleen vanwege de forse besparing die de beheerlast met zich mee kan brengen, maar ook omdat audit-afdelingen elk jaar vaststellen dat de rol die een medewerker heeft (bevoegdheid en verantwoordelijkheid), niet in lijn is met zijn profiel (mogelijkheden) binnen de diverse systemen. Hierdoor kan er makkelijk een vergissing of zelfs misbruik gemaakt worden, terwijl de medewerker zich kan verschuilen achter het feit dat de organisatie hem wel deze bevoegdheden in het systeem had toegekend. Een situatie die een organisatie in een vervelend aansprakelijkheidsprobleem kan brengen. Een goed voorbeeld is een medewerker die een opdracht van een klant accepteert, welke leidt tot een automatische orderbevestiging, terwijl de klant niet aan de algemene voorwaarden voldoet zoals het beschikken over voldoende kredietwaardigheid. Gebruikersmanagement systemen die rollen en profielen, ook wel role based access control (rbac) genoemd, ondersteunen zijn er al jaren met de bijbehorende geavanceerde workflow afhandeling.
Corn� van Rooij, Business Technologist, Computer Associates