Het probleem met veel dingen die je leest is dat je niet meer weet wat je wel en wat je niet moet geloven. Een paar weken geleden kocht ik online een apparaatje waarmee het mogelijk werd om met behulp van de aansteker in de auto muziek op je mp3-speler kon beluisteren via de autoradio. Klonk geweldig en zou al mijn problemen oplossen. Uiteraard valt de praktijk anders uit dan ik had gehoopt!
U vraagt zich wellicht af wat een mp3-speler te maken heeft met it-beveiliging. Nou, eigenlijk best veel. Het product waar ik mijn geld aan verspilde, beloofde de implementatieproblemen van mijn luisterplezier op te lossen. Voor veel van de dingen die we tegenwoordig zien in de it-beveiliging wordt op dezelfde manier reclame gemaakt. Het lijkt erop dat elke leverancier de oplossing in handen heeft voor al uw it-beveiligingsproblemen.
En doordat het afgelopen jaar ‘it governance’ een steeds belangrijker item is geworden, is dat uitgeroepen tot het probleem dat alle leveranciers beloven op te lossen. Of het nu gaat om Sarbanes Oxley, Basel II, SAS 70, Tabaksblat, of hoe de regeling ook mag heten, er zijn voldoende wettelijke eisen om beveiligingspersoneel de rest van hun leven zoet te houden. Het probleem voor de meesten van ons is: begrijpen wat een en ander in de praktijk inhoudt en welke technologieën kunnen worden toegepast om ons te ondersteunen.
Het belangrijkste advies is niet in paniek te raken. Eigenlijk is er helemaal niet zoveel om je druk over te maken, zolang tenminste een beetje gezond verstand wordt gebruikt bij de it-beveiliging. Zonder op de details in te gaan, kan een it-afdeling een heel eind aan Sarbanes Oxley voldoen door daadwerkelijk zowel intern als extern de toegang tot bronnen te beveiligen tegen ongeautoriseerd gebruik.
Uiteindelijk lijkt het er op dat de meeste beveiligingsvereisten afhankelijk zijn van daadwerkelijke toegangscontrole, de mogelijkheid aan te tonen dat de juiste voorzorgsmaatregelen zijn getroffen. Een voorbeeld van een onjuiste voorzorgsmaatregel is een serverbeheerder toegang geven tot vertrouwelijke gegevens als hij gewoon op een server aanlogt met een wachtwoord. Eenvoudig alle bestanden op servers in een netwerk coderen is ook niet voldoende. Veel organisaties gebruiken een ‘calamiteitenenvelopprocedure’. Deze bestaat uit het noteren van wachtwoorden met beheerrechten en die in een fysieke kluis opbergen. Als iemand ze nodig heeft, moet die persoon toegang krijgen tot de safe. Dit kan een stuk gemakkelijker door dit proces te automatiseren.
Onder de belangrijkste boosdoeners als het gaat om het creëren van beveiligingsgaten, bevinden zich precies de bedrijven die u oplossingen aanbieden om de gaten te dichten. Vanwege het gemak van het uitleveren van producten aan klanten, gebruiken vrijwel alle it-producten voorgedefinieerde accounts voor beheerders of supergebruikers. Regelmatig vallen deze accounts in een zwart gat als het gaat om verandermanagement. Het probleem is vaak dat de rechten van deze accounts niet aan gebruikers kunnen worden toegewezen, zodat ze wel als account actief gebruikt moeten worden. Verder kan verandermanagement een enorme belasting vormen binnen een organisatie, waardoor er te weinig mankracht is om de honderden, zo niet duizenden apparaten en toepassingen te beheren die gebruikt kunnen worden om toegang te verkrijgen tot bedrijfsactiva.
En dat is dan niet gewoon het apparaat waarop de informatie wordt opgeslagen, hoewel dit wel vaak de zwakste schakel is. Elke component in de keten naar informatie is een potentieel lek. Dus vanaf de firewall aan de buitenrand van het netwerk, de router die toegang verschaft tot de verschillende segmenten, tot aan het werkstation dat door de medewerkers wordt gebruikt, kan elk apparaat gebruikt worden voor misbruik.
Vanuit een praktisch oogpunt gesteld is een organisatie die in staat is toegang tot de activa te beveiligen, een eind op de goede weg. Mijn advies is echter om, net als bij mijn mp3-speler, uw wensen te begrijpen en oplossingen te zoeken die helpen bij het bereiken van het gewenste resultaat.
Calum M. McLeod
