Een gestructureerde methode om informatiebeveiliging van bedrijven te verbeteren

Rustig slapen

De terreuraanslagen in Amerika hebben voor iedereen duidelijk gemaakt hoe kwetsbaar organisaties zijn en de samenleving als geheel. Naast deze fysieke aanvallen voorspellen diverse bronnen een grootscheepse cyber-aanval in de nabije toekomst.Wat is de impact van de verschillende risico's, en welke beveiligingsmaatregelen moeten bedrijven treffen om de continuïteit te garanderen? Consultant H.J.K.W. van der Molen gaat in op deze vragen en geeft een gestructureerde aanpak om informatiebeveiliging naar een hoger plan te tillen.

Er zijn veel definities van informatiebeveiliging, die op details verschillen. In dit artikel wordt de volgende definitie gedefinieerd.
Informatiebeveiliging bestaat uit maatregelen, hardware en software, die garanderen dat:

  • systemen en gegevens beschikbaar zijn conform de verwachtingen;
  • de authenticiteit van een gebruiker en diens berichten kan worden vastgesteld;
  • de integriteit van gegevens is gewaarborgd - dus juist, consistent en volledig;
  • het gebruik van ruimten, systemen en gegevens beperkt blijft tot daarvoor gerechtigde personen (exclusiviteit);
  • als ondertekende gegevens verstuurd zijn, ze onweerlegbaar zijn door de verzender (non-repudiation).
In het Engels worden meestal de begrippen 'confidentiality, availability, integrity' gebruikt (cai). Integrity omvat dan het begrip non-repudiation. Het begrip authenticiteit is ondergebracht bij confidentiality (passieve vorm) en integrity (actieve vorm). In dit artikel wordt vooral ingaan op de technische en organisatorische randvoorwaarden van informatiebeveiliging, en minder op fysieke beveiliging.

Huidige situatie en trends

Doordat ict steeds meer bedrijfsprocessen verbindt, neemt het strategische belang toe. Naast administratieve gegevens zijn bij veel bedrijven ook commerciële informatie, procesgegevens, telefoonlijsten, procedures en andere achtergrondkennis online beschikbaar. Hoewel een organisatie online informatie makkelijker kan onderhouden dan op papier, wordt ze sterk afhankelijk van een optimaal werkende informatievoorziening.
Het wantrouwen van consumenten tegen online betalingen belemmert de omzet van e-handel. Hoewel de meeste organisaties het pad over internet technisch hebben beveiligd, berichten nieuwsdiensten regelmatig over inbraken op servers met opgeslagen kredietkaartgegevens.
Informatiebeveiliging staat momenteel volop in de belangstelling, maar de markt is nog onvolwassen. Beveiligingsorganisaties melden soms dat klanten kiezen voor een beveiliging die niet in verhouding staat tot de risico's die ze lopen.
Informatiebeveiliging heeft van oudsher een sterke ict-component en volgt daarmee de algemene trend van ic-projecten. Dit betekent bijvoorbeeld dat steeds meer organisatorische randvoorwaarden nodig zijn voor een succesvolle implementatie (er bestaan geen silver bullet-oplossingen) en dat planningen vaak te rooskleurig zijn.
Pki ('public key infrastructure') oftewel een infrastructuur waarmee de authenticiteit van berichten vaststaat, ontstijgt langzaam de ontwerpfase. De Nederlandse overheid stimuleert ontwikkelingen op basis van deze infrastructuur. Hierdoor ontstaan nieuwe partijen zoals 'trusted third parties' (ttp), nieuwe services en aangepaste wetgeving.
Het eigen personeel is verantwoordelijk voor meer dan de helft van de beveiligingsincidenten.
Door de toenemende technologische complexiteit is het onmogelijk alle risico's te onderkennen. Bedrijven sturen daarom minder op de preventie van incidenten ('mean time between failures') en meer op het snel herstellen van de schade ('mean time to repair'). Dit stelt echter eisen aan de reactiesnelheid en flexibiliteit.
Veel bedrijven willen hun beveiligingsproblemen niet aan de grote klok hangen. Door de terreuraanslagen weegt beveiliging nu zwaarder dan privacy. Het melden van beveiligingslekken wordt in deze context 'niet op prijs gesteld'. Zo verboden fabrikanten onlangs zelfs wetenschappers fouten in de dvd-beveiliging te publiceren. Volgens sommigen vergroot dit de informatieachterstand van het grote publiek ten opzichte van bedrijven en criminele hackers. Dit zou de pressie op leveranciers verminderen om goede producten te leveren.
Verschillende soorten inbraaksoftware en virus-toolkits zijn gratis via internet verkrijgbaar. Veel hackers maken gebruik van bekende fouten in software en zoeken systemen die de laatste 'patches' missen. Voor een hacker is het interessanter een virus te schrijven voor besturingssystemen waarvan wereldwijd veel exemplaren zijn geïnstalleerd, omdat de impact dan groter is. Dit betekent dat organisaties meer risico lopen met veel gebruikte software van fabrikanten die veel patches uitgeven.
Er komen steeds meer 'hoax' of nep-virusmeldingen voor, meestal in de vorm van e-mail. Als gebruikers zo'n melding vertrouwen, genereren ze veel e-mailverkeer en kunnen ze schade aanrichten als ze verkeerde aanwijzingen opvolgen.
De voornaamste technische beveiligingsmaatregelen zijn samengevat in tabel 1.
 

Maatregel \Scope:

B

A

I

E

N

Opmerkingen

Login (biometrisch, smartcard)

 

·

   

bijna onmogelijk om wachtwoorden te raden

Digitale handtekeningen, pki

 

·

·

 

·

Authenticiteit van berichten

Besturingssoftware met Security Management tools

·

·

·

·

 

Inlogprocedure voor gebruik algemene �resources�; hogere fouttolerantie door spiegeling

Virusscanner, �file integrity� en indringersdetectie-software (ids)

·

 

·

  

snelle detectie van dreigingen en effectieve tegenmaatregelen minimaliseren schade

Audit-tools, logging en forensische traceringssoftware

·

 

·

  

Vastleggen incidenten, bepalen omvang en oorzaken van schade

Penetratiesoftware

·

  

·

 

Vermindering kwetsbaarheid door tijdig signaleren van zwakke plekken in de beveiliging

Firewall en routers

   

·

 

Kanaliseren en filteren van internet verkeer

Encryptiesystemen

   

·

 

Algemeen toegankelijke gegevens

�Virtual private network

  

·

·

 

Bedrijfssystemen gekoppeld via internet

B = Beschikbaarheid, A = Authenticiteit, I = Integriteit, E = Exclusiviteit, N = �Non-repudiation�

Tabel 1. Voornaamste technische beveiligingsmaatregelen


Afhankelijkheid van ict

De meeste bedrijven onderscheiden in risicoanalyses per platform of vestiging de volgende ondersteunende componenten:

  • de ict-infrastructuur bestaande uit hardware, netwerken, besturingssystemen en databases;
  • software en elektronische gegevensverzamelingen voor de ondersteuning van bedrijfsprocessen;
  • kantoorfaciliteiten en fysieke gegevensverzamelingen;
  • personeel voor het uitvoeren van procedures.
Veel organisaties hebben informatiebeveiliging gedelegeerd aan de eigen ict-afdeling. Het management van de organisatie is echter verantwoordelijk voor het stellen van continuïteitseisen voor de bedrijfsvoering. Laat daarom de analisten vanuit de bedrijfsprocessen de kwetsbaarheden in de ondersteuning lokaliseren. De belangrijkste ondersteunende middelen per bedrijfsproces zijn in een tabel op te nemen. Daarbij valt te denken aan: belang van het proces, soort proces, applicatie-software, de hardware, faciliteiten ronde de werkplek en ondersteunend personeel. De methode waarbij vanuit de infrastructuur wordt gekeken welke bedrijfsprocessen worden ondersteund, kan fungeren als toets op de volledigheid.

Oorzaken van veiligheidsincidenten

Elke ondersteunende component heeft zijn kwetsbaarheden. Hieronder volgen enkele veel voorkomende oorzaken van veiligheidsincidenten.
Laag veiligheidsbewustzijn. Een laag veiligheidsbewustzijn kenmerkt zich door vermijdbare fouten, zoals het abusievelijk faxen van vertrouwelijke gegevens. Als gebruikers tijdens stroomuitval hun pc niet snel genoeg uitschakelen, bezwijkt ook de noodstroomvoorziening. Hierdoor kan alsnog data verloren gaan.
Te ruime bevoegdheden voor gebruikers. De informatiebeveiliging van een organisatie moet zo min mogelijk afhankelijk zijn van de alertheid en de goodwill van personeel. Er kunnen veiligheidslekken ontstaan als gebruikers hard- of software-componenten kunnen wijzigen. Veel gebruikers laten zich verleiden tot het draaien van ongeautoriseerde of illegale programmatuur zoals tooltjes, screensavers en routines uit e-mailberichten ('christmas.exe'). Daarnaast zijn er veel internetgebruikers die de veiligheidsopties voor Java en Active-X-code te ruim hebben staan. Zo kunnen virussen actief worden die bestanden wissen of veranderen. Met speciale virussen kunnen hackers gevoelige informatie uitlezen of veranderen en gekraakte computers inzetten voor 'distributed denial of service' (ddos) aanvallen op websites.
Gebruikers kunnen de it-infrastructuur overbelasten door veel verkeer te genereren, bijvoorbeeld door grote bestanden te mailen of downloaden. Daarnaast scheppen verstrengeling van belangen, te ruime bevoegdheden, privé-gebruik en demotivatie de mogelijkheden voor lekken van informatie, sabotage, fraude en diefstal. Er is daarom aandacht nodig voor de veiligheidsaspecten in procedures. Bijvoorbeeld in selectieprocedures, de functiescheiding met bijbehorende toegangsrechten, de supervisie op de werkplek en de procedures voor ontslag.
Slechte risicospreiding. Hoewel sommige ict-diensten op het eerste gezicht onafhankelijk lijken, blijkt de onderliggende infrastructuur vaak gemeenschappelijke componenten te hebben. Een informatievoorziening is kwetsbaarder naarmate die meer 'single points of failure' bevat, zoals het koppelen van alle servers aan het netwerk met één router.
Fysieke gevaren zoals stroomuitval, defecten, diefstal, overstromingen, brand en blusschade hebben ook invloed op de informatiebeveiliging. Veel Europese bedrijven worden bijvoorbeeld slachtoffer van computerdieven. Als er geen back-up van de gegevens op gestolen computers beschikbaar is, leidt dit tot verlies van productiviteit. De kosten gemoeid met dit verlies zijn vaak hoger dan de vervangingswaarde van de computer. Daarnaast kan misbruik van onversleutelde bedrijfsgegevens op deze computers de reputatie van het bedrijf schaden.
Koppelen van slecht beveiligde systemen aan internet. Buitenstaanders kunnen bij gevoelige bedrijfsgegevens indien het systeemontwerp onveilig is, 'security patches' achterlopen, wachtwoorden onbeschermd zijn en als standaard accounts ('guest') meer toegangsrechten hebben dan nodig is. Verkeerde instellingen van beveiligingssoftware, overbodige of onveilige services, tijdelijke lapmiddelen en vergeten bypasses van beveiligingen brengen ook risico's met zich mee.
Een ander risico is de foutgevoeligheid van software. Een fout in een ict-component kan doorwerken in alle componenten die daarvan gebruik maken. Zo bleek een recente gasstoring in Zeeland het gevolg van een verkeerde softwareversie van het besturingssysteem van een mengstraat. Door tijdens de systeemontwikkeling procedures voor veranderings- en kwaliteitsbeheer te volgen, vermindert de kans hierop. Een voordeel van het beschikken over de broncode van informatiesystemen is dat alle functionaliteit bekend is, inclusief de fouten. Houd bij het ontwerp zoveel mogelijk rekening met beveiligingsaspecten, achteraf beveiligen is veel kostbaarder.
Geen goede informatie. Kennis vormt de kern van de informatiebeveiliging. Vaak beschikt een organisatie echter over onvoldoende informatie om zijn veiligheid te waarborgen. Veel bedrijven zijn afhankelijk van hun leverancier voor het constateren en herstellen van beveiligingsproblemen met ict-componenten. Bovendien resulteert ontoereikende communicatie vaak in het overdoen van werk. Voorbeelden zijn: slechte inbraakdetectie, 'logging', incidentrapportage en back-up-faciliteiten. Een goede 'logging' is essentieel bij schadeclaims en bij verbeteringen.
Geen effectieve maatregelen. Bij een dreiging kan er geen effectieve tegenactie volgen als er een gebrek is aan informatie, effectieve maatregelen en personele capaciteit. Voorbeelden zijn procedures voor 'back-up'/'restore' en uitwijk. De onveiligheid neemt toe als de som van detectietijd en reactietijd groter wordt. Als tijdens een crisis het 'wie, wat, waar, wanneer en hoe' reeds bekend is, neemt dit veel druk van de ketel. Belangrijke componenten moeten prioriteit krijgen als ze defect raken.
Met slechte richtlijnen, onvoldoende kennis en een onveilige ict-infrastructuur, loopt een organisatie meer kans dat risico's tot problemen leiden. Mogelijke gevolgen zijn verstoring van primaire processen, capaciteitsverlies vanwege herstelacties, verlies van reputatie en concurrentiepositie, en in het ultieme geval schadeclaims en chantage.

Continuïteit bedrijf

Organisaties hebben wettelijke verplichtingen. Zo moeten ze legale software gebruiken en voldoen aan de wet op de privacybescherming (wbp).
Daarnaast is het van belang om de risico's op de continuïteit van bedrijfsprocessen vaststellen. Meestal is er onvoldoende tijd om alle risico's uitgebreid te analyseren. Focus dus op de belangrijkste risico's.
Per risicoklasse varieert de aanpak en de focus op preventie of snel herstel. Preventieve maatregelen verkleinen de kans dat het risico tot schade leidt, correctieve maatregelen verkleinen de vervolgschade en de hersteltijd als het risico toch werkelijkheid wordt. Er zijn bijvoorbeeld geen speciale maatregelen nodig voor incidenten die sporadisch voorkomen en weinig schade tot gevolg hebben. Een indeling in risicoklassen stemt de analyse en aanpak af op de hoogte van de risico's (tabel 2). Zoek daarbij de 'quick wins', risico's die na een korte analyse met weinig kosten zijn te verminderen. Veiligheid is het resultaat van de synergie die daardoor ontstaat.
 

Risicoklasse

Lage impact:
minimale analyse per risico

Hoge impact:
uitgebreide analyse per risico

Lage kans

Ad hoc reactie

Focus op Correctieve maatregelen

Hoge kans

Focus op Preventieve maatregelen

Zowel Preventieve als Correctieve maatregelen

Tabel 2. Indeling in risicoklassen

Een hoge beschikbaarheid vergt extra middelen. Zo moet cruciaal personeel bereikbaar zijn tijdens een crisis, bijvoorbeeld door voldoende capaciteit in het callcenter op te nemen. Wijs de verantwoordelijkheid voor de beveiliging van de organisatie toe aan mensen met voldoende motivatie, kennis en ervaring. Als bepaalde systemen beschikbaar moeten blijven, kan men 'no-break'-installaties aanschaffen en ict-middelen in reserve houden of uitwijkcapaciteit inhuren.
Naast back-up van ict-componenten als hardware, software en gegevensverzamelingen, zijn ook procedures en personele capaciteit nodig. Het doel van een standaardprocedure als 'business continuity & disaster recovery', is na uitval de belangrijkste middelen zo snel mogelijk weer operationeel te maken. Met 'incident response policies' kan het beveiligingspersoneel een opgetreden dreiging zo snel mogelijk neutraliseren. Verder is het belangrijk dat een bedrijf procedures en technische middelen coördineert met andere vestigingen en lokale overheden. Technische en organisatorische maatregelen moeten op elkaar aansluiten. Tabel 3 bevat een uitgewerkt voorbeeld van maatregelen bij diefstal van bedrijfscomputers.
 

Risico identificatie

#7

Risico omschrijving

Diefstal bedrijfscomputer met gegevens

Bedreigde componenten

Hardware, bedrijfsgegevens

Aard van de dreiging

Beschikbaarheid: J

Authenticiteit: N

Integriteit: N

Exclusiviteit: J

�Non-repudiation�: J

Kans

Laag tot middel

Impact

Middel tot Hoog, afhankelijk van de aard van de gegevens op de computer en
toegang via die computer tot andere gegevens, bijvoorbeeld op het bedrijfsnetwerk

Preventieve maatregelen, technisch

  • Afgesloten bewaarplaats;
  • Toegang tot bedrijfsruimte middels �keycard�

Preventieve maatregelen, organisatorisch

  • Fysieke beveiliging, voorlichting over preventie en vermindering van schade;
  • Richtlijnen voor computergebruik (o.a. gebruik, opbergen en gegevensbeheer) en onafhankelijke controle op de naleving daarvan met sanctiemogelijkheden;
  • Voor laptop-gebruikers: oefenen in zelfverdediging en atletiek

Correctieve maatregelen, technisch

  • Versleutelen informatie vóór opslag;
  • Gegevens inhoudelijk verdelen tussen computer en netwerkschijf (maakt aanloggen nodig);
  • Spiegelen van gegevensverzamelingen;
  • Bij opstarten biometrische log-on-procedure

Correctieve maatregelen, organisatorisch

  • Uitreiken vervangende computer, terugzetten back-up van data en software;
  • Intrekken van certificaten opgeslagen op de computer bij ttp�s;
  • Aanpassen infrastructuur (log in, firewall) om verkeer met de gestolen computer te weren

Restrisico

Hogere beschikbaarheid van computers, geen restrisico op exclusiviteit en �non-repudiation�

Tabel 3. Maatregelen bij diefstal van bedrijfscomputers

Aanpak beveiligingsprogramma

Door beveiligingstaken en -verantwoordelijkheden aan personeelsleden toe te wijzen, is het procesmatige deel in te vullen. Met programma's en projecten kan een organisatie de effectiviteit en efficiëntie van de beveiliging op termijn verbeteren. Voor het projectmatige deel is de volgende fasering mogelijk.
Fase 1: Kwetsbaarheidanalyse en Projectplan (doen we de juiste dingen?).
Met een risicoanalyse kan de kans en de omvang van eventuele vervolgschade worden geschat. Vaak is dit een klus voor een team van experts. Het product van kans en schade bepaalt de hoogte van een risico. Door het verschil tussen benodigde maatregelen met de bestaande voorzieningen te analyseren, kunnen in het beveiligingsbeleid onder ander doelstellingen, scope en prioriteit van beveiligingsmaatregelen worden bepaald.
Fase 2: Ontwerpfase (doen we de dingen op de juiste manier?)
Vanuit de doelstellingen volgen de daarvoor benodigde maatregelen, acties of projecten. Bijvoorbeeld het definiëren en aanpassen van een beveiligingsplan, een ict-architectuur, procedures en standaarden. Het management kan een beveiligingprogramma ontwikkelen en effectief besturen met de Benefits Realization-methode en bijbehorende resultatenketens [1]. In een vereenvoudigde resultatenketen is in één oogopslag te zien aan welke meetbare bedrijfsdoelstellingen elk project moet bijdragen.
Het management legt vervolgens ondubbelzinnig de verantwoordelijkheden in de organisatie vast. Er is dan bijvoorbeeld één verantwoordelijke voor het coördineren en uitvoeren van tegenmaatregelen op het moment dat een probleem zich voordoet. Dit gaat verder dan de plan-ontwikkel-test-cyclus van projecten.
Fase 3: Implementeren maatregelen (kunnen we de doelen realiseren?)
In deze fase wordt de ict-infrastructuur en de organisatie volgens de plannen aangepast. Het invoeren van wijzigingen kan leiden tot weerstanden. Het is belangrijk daarmee vanaf het begin pro-actief om te gaan. Zeker als er bij beveiligingsprojecten beperkingen worden geïntroduceerd, speelt communicatie een essentiële rol.
Als projecten gaandeweg veranderen, moet de stuurgroep elke voorgestelde verandering toetsen aan de gerelateerde doelstellingen in de resultatenketen. Verifieer dat het totale projectbudget lager blijft dan de vermindering van het risico. Maatregelen hebben weinig zin als ze duurder zijn dan de opbrengst.
Fase 4: Evaluatie en beheer (volgt de verwachte meerwaarde?)
De organisatie kan met de resultatenketen controleren of in de praktijk het programma de geplande bijdragen levert. Het management bewaakt de toegevoegde waarde en de risico's van het programma. De bedrijfsdoelstellingen in het schema fungeren als dashboard. Tussen project- en bedrijfsrapportages moet een één-op-één relatie bestaan met deze doelstellingen zodat metingen op het juiste moment en de afgesproken manier worden uitgevoerd. Als een bijdrage lager uitvalt dan verwacht, zijn de resultatenketen van achter naar voor na te lopen om de oorzaak te vinden.
De analyse van gegevens over bedrijfsmiddelen, dreigingen en tegenmaatregelen binnen de bedrijfsvoering is een cyclisch proces (kwetsbaarheidsanalyse en projectplan - ontwerpen en implementeren maatregelen - evaluatie en beheer - kwetsbaarheidsanalyse). Tijdens het onderzoeken van risicofactoren is het namelijk waarschijnlijk dat men nieuwe risico's tegenkomt waarvoor nog geen afdoende maatregelen zijn getroffen. Na beveiligingstesten kan de organisatie ineffectieve maatregelen vervangen of verbeteren. Daarnaast kunnen technische ontwikkelingen en nieuwe bedreigingen grote invloed hebben op de beveiliging. Zo is gebleken dat het 802.11b-protocol voor draadloze netwerken veiligheidslekken bevat. Wist u dat de eerste virussen voor Microsofts .Net services al gesignaleerd zijn?
Het beveiligingsprogramma kent een aantal kritieke succesfactoren.

  • de beschikbaarheid, motivatie, onpartijdigheid en deskundigheid van het betrokken management en personeel;
  • de marketing, aanpak, inhoud, controles en reacties van het beveiligingsprogramma zijn afgestemd op de bedrijfsdoelstellingen en organisatiecultuur;
  • de algemene overtuiging dat beveiliging noodzakelijk is om de organisatie te laten functioneren. Beveiliging blijft niet beperkt tot een tijdelijk project of een 9-tot-5 dagtaak. Het vormt een onderdeel van het dagelijks werk en wordt in toenemende mate een 7 x 24 uur verantwoordelijkheid;
  • de beschikbaarheid van voldoende, tijdige en 'up-to-date' kennis op beveiligingsgebied;
  • meetbare doelstellingen met een daarop afgestemd meetinstrumentarium;
  • heldere plannen, praktische uitgangspunten, duidelijke procedures en verdeling van verantwoordelijkheden.

Verbetering beveiligingsmaatregelen

Voor het beoordelen van de effectiviteit en efficiëntie van beveiligingsmaatregelen geven de volgende vragen een aanzet:
Zijn alle belangrijke bedreigingen onderkend en de risicoschattingen realistisch en volledig?
Is de effectiviteit van de maatregelen in de praktijk aangetoond en zijn overlappende zekerheden gewenst?
Beperken de getroffen maatregelen de uitvoering van het dagelijkse werk ("niets mag tenzij ...")?
Zijn er bevoegdheden onnodig ruim gesteld ("alles mag behalve ...")?
Staan de kosten van de beveiliging in verhouding tot de risico's?
Benut een organisatie alle bewakingsmogelijkheden, zoals het continu monitoren van firewall-logbestanden?
Wie signaleert doorlopend nieuwe risico's of veranderingen in bestaande risico's naar aanleiding van wijzigingen binnen of buiten de organisatie (bijvoorbeeld recent ontdekte veiligheidslekken)?
Bevat elk projectplan een paragraaf over de impact op de beveiliging?
De status van de belangrijkste beveiligingsaspecten zijn in een diagram snel inzichtelijk te maken. Het management kan de beveiliging op een hoger niveau tillen door standaardprocessen in te voeren of organisaties, systemen en personeelsleden te certificeren. Standaarden zoals ITIL, ITSM, CMM of ISO zijn daarvoor bruikbaar. Als de beheerprocessen voor helpdesk, probleemmanagement, capaciteitsmanagement en beschikbaarheids- en rampenmanagement en natuurlijk beveiligingsmanagement worden ingericht conform ITIL, verbetert de beschikbaarheid van de informatievoorziening. Deze processen helpen namelijk problemen voorkomen en bewaken de voortgang van maatregelen die schade moeten minimaliseren. Daarnaast kunnen organisaties andere beveiligingsstandaarden kiezen, zoals het Orangebook (Trusted Computer System Evaluation Criteria), de Itsec en de ISO-norm 17799.

Wannéér in plaats van óf

De hevige concurrentie en het razende tempo van de ontwikkelingen in de informatietechnologie zorgen ervoor dat het belang van informatiebeveiliging toeneemt. In de nabije toekomst is een grootschalige cyber-aanval waarschijnlijk: "It's not a matter of whether America will have an electronic Pearl Harbor . . .it's a matter of when." (congreslid Curt Weldon, Pennsylvania).
Volledige veiligheid is meestal onhaalbaar, omdat alleen de belangrijkste risico's onderzocht kunnen worden. De hoogte van de risico's versus de kosten bepalen de prioriteit en de inhoud van beveiligingsmaatregelen. De preventieve, correctieve, technische en organisatorische aspecten moeten daarbij in balans zijn. Als een bedrijf door een beveiligingsincident niet kan voldoen aan afgesproken serviceniveaus, kunnen schadeclaims volgen. Afgewogen investeringen voor informatiebeveiliging betalen dan zichzelf terug.
Hieronder volgt een aantal suggesties voor de inhoud van beveiligingsbeleid.

  • definities, doelstellingen en scope;
  • communicatie en educatie;
  • verantwoordelijkheden en coördinatie;
  • beveiligingsprocessen, bijvoorbeeld continuïteitsmanagement;
  • onafhankelijke controles en rapportages;
  • beveiligingsnormen zoals: wie heeft toegang tot wat, functiebeschrijvingen, procedures, sancties als het personeel de veiligheidsnormen niet nakomt, dataclassificatie;
  • standaarden voor ontwikkeling, onderhoud en beheer van infrastructuur, informatiesystemen en gegevens.
De invulling van de beveiliging moet regelmatig worden bijgesteld. Dit gaat verder dan het installeren van nieuwe tools of het aanpassen van procedures. Vaak beïnvloeden ict-projecten de beveiliging, zoals de invoering van een ander besturingssysteem. Dan is er extra opleiding nodig voor betrokken personeel en moet de aangepaste beveiliging worden getest.
Het plannen, uitvoeren en monitoren van beveiligingsmaatregelen moet daarom organisatorisch verankerd worden. Wie fungeert als antenne voor het signaleren van veranderde dreigingen? Bij personeelsgebrek kan een organisatie effectief beheersprocessen uitbesteden op basis van een 'service level agreement'.
De overheid kan naast de relevante wetgeving up-to-date te houden, informatiebeveiliging verder faciliteren. Bijvoorbeeld door het stimuleren van bewustwording, educatie en onderzoek, en niet in de laatste plaats door als voorbeeld te dienen voor bedrijven en burgers.
 

H.J.K.W. Van Der Molen Senior Ict-consultant Dmr Consulting Nederland

Literatuur

[1] Zie ook: Molen, H.J.K.W., van der, Resultaatgerichte aanpak maakt projecten effectiever (Computable 09-02-2001).

x

Om te kunnen beoordelen moet u ingelogd zijn:

Dit artikel delen:

Nieuwsbrief

Wil je dagelijks op de hoogte gehouden worden van het laatste ict-nieuws, trends en ontwikkelingen? Abonneer je dan op onze gratis nieuwsbrief.

Vul een geldig e-mailadres in

Stuur dit artikel door

Uw naam ontbreekt
Uw e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×
article 2002-05-03T00:00:00.000Z H.J.K.W. van der Molen
Wilt u dagelijks op de hoogte worden gehouden van het laatste ict-nieuws, achtergronden en opinie?
Abonneer uzelf op onze gratis nieuwsbrief.