Informatiebeveiliging van A tot Passende Maatregel

Transcriptie

1 Informatiebeveiliging van A tot Passende Maatregel WHITEPAPER KEMBIT AUTEUR: MICHEL GULPEN +31 (0) contactus@kembit.nl Kantoor Wijnandsrade Opfergeltstraat 2, 6363 BW Wijnandsrade Kantoor Eindhoven High Tech Campus 41, 5656 AE Eindhoven

2 Inhoudsopgave 1 Inleiding Een passende maatregel Soorten maatregelen Technisch Operationeel Menselijk Eigenschappen van maatregelen Informatieveiligheid als Uitgangspunt Dataclassificatie Privacywetgeving Risico gedreven aanpak Basis Risicoanalyse Kwantificeren of Kwalificeren Mitigatie mogelijkheden Onderhouden van Maatregelen Onderhouden van maatregelen GRC Stapsgewijs Naar Passende Maatregelen KEMBIT innovation & intelligence 2 13

3 1 Inleiding Wie al eens met informatiebeveiliging of privacywetgeving in aanraking is gekomen, zal de kreet passende maatregelen erg bekend voorkomen. Voor diegene voor wie het een eerste aanraking is met deze term, is het de zoveelste wollige kreet in een bos aan terminologie zoals Governance, Risk Management en Compliance. Iedereen herkent de termen of weet zich bij passende maatregelen wel een gedachte te vormen, maar wat betekent het nu precies? En wat zijn dan deze maatregelen of hoe kan ik passende maatregelen realiseren? Stelt u zich een kledingswinkel voor waarin u een broek wilt kopen. Eerst maakt u een selectie op het model als u vervolgens het juiste model heeft gekozen wordt de stof belangrijk, kiest u dan een spijkerstof of toch liever een broek van katoen? Zodra een beslissing is genomen over het soort broek en de stof wordt de maat ineens belangrijk. In dit stramien moet de term passende maatregelen worden benaderd, hoe maakt u nu de juiste keuze? In dit whitepaper informatiebeveiliging van A tot Passende Maatregel worden de ingrediënten voor een passende maatregel uitgelegd. Daarnaast wordt beschreven welke verschillende maatregelen mogelijk zijn en wordt de bijbehorende stapsgewijze aanpak omschreven om tot een passende maatregel te komen. KEMBIT innovation & intelligence 3 13

4 2 Een passende maatregel Zoals beschreven in de inleiding, is een maatregel te vergelijken met het passen van een kledingstuk. Hoe zorg ik ervoor dat ik de juiste keuze maak? Het maken van een juiste keuze begint bij het opstellen van wensen en eisen die normaliter wordt aangeduid als vereisten oftewel requirements. Op basis van deze requirements kan een gedegen analyse plaatsvinden zodat de juiste beslissing, of te wel de maatregel, kan worden geïmplementeerd. Maatregelen zijn onderverdeeld in een drietal soorten, waarin een onderscheid bestaat in de eigenschap van de maatregel. 2.1 Soorten maatregelen Maatregelen zijn onder te verdelen in een drietal categorieën die worden aangeduid als Technisch, Operationeel en Menselijk (TOM). Een veel gebruikte term is de Engelstalige equivalent; People, Processes, Technology (PPT) Technisch Technische maatregelen zijn veelal te implementeren door een IT-afdeling. Denk hierbij aan het implementeren van technieken zoals een firewall, antivirus, spam filter of Application white listing om maar enkele voorbeelden te benoemen Operationeel Operationele maatregelen hebben van oorsprong een administratieve aard zoals het inrichten van processen of procedures. Het inrichten van principle of least privilege (minimale set aan gebruikersrechten toebedelen) of segregation of duties (functiescheiding) zijn voorbeelden van operationele maatregelen Menselijk In een keten van informatieveiligheid is de mens vaak de zwakste schakel gebleken. Mensen zijn gewend om naar gewoontes te handelen. Hierdoor verdient het menselijk gedrag zeker de aandacht. Normaliter wordt aandacht gespendeerd aan het menselijke gedrag middels een user awareness training in de vorm van videotraining of het uitsturen van phishing e- mails. KEMBIT innovation & intelligence 4 13

5 2.2 Eigenschappen van maatregelen Naast de drie soorten maatregelen die gekozen kunnen worden zijn daarnaast een aantal eigenschappen betreffende een maatregel te definiëren. Op hoofdlijnen zijn dit de volgende eigenschappen: EIGENSCHAPPEN Richtlijnen: Afschrikkend: Preventief: Compenseren: Detectief: Correctief: Herstellend: MAATREGELEN Maatregelen die zijn ontworpen om aanvaardbare gedragsregels binnen een organisatie te specificeren. Maatregelen die zijn ontworpen om mensen te ontmoedigen beveiligingsrichtlijnen te overtreden. Maatregelen die worden geïmplementeerd om een beveiligingsincident te voorkomen. Maatregelen om het verlies van primaire controles te vervangen en het risico tot een aanvaardbaar niveau te beperken. Maatregelen die zijn ontworpen om een waarschuwing te geven wanneer een beveiligingscontrole is geschonden. Maatregelen die zijn geïmplementeerd om een incident te verhelpen, schade te beperken of te herstellen. Maatregelen om de normale omstandigheden te herstellen na een beveiligingsincident. KEMBIT innovation & intelligence 5 13

6 3 Informatieveiligheid als Uitgangspunt Het doel van passende maatregelen is belangrijke informatie beschermen op een kosteneffectieve en een voor de organisatie juiste manier. U raadt het al, een passende maatregel dus. Om de juiste vorm van beveiligen inzichtelijk te krijgen moet bepaald worden welke data van belang is voor de organisatie, dit is waar de stelling Informatieveiligheid is een ITaangelegenheid als sneeuw voor de zon verdwijnt. Informatieveiligheid is namelijk de aangelegenheid voor de gehele organisatie. Het is immers de organisatie, de business, die bepaald welke data van belang is en welke waarde hieraan moet worden gehecht. Om deze waardebepaling vast te stellen heeft de organisatie een dataclassificatiemodel benodigd. 3.1 Dataclassificatie De waarde van de data welke een organisatie benodigd heeft wordt vastgesteld op de security pijlers Vertrouwelijkheid, Integriteit en Beschikbaarheid; VERTROUWELIJKHEID De vertrouwelijkheid van data geeft aan wie of wat (in een proces) bepaalde data mag en kan inzien. Bij het falen van de tegenmaatregelen op basis van datavertrouwelijkheid kan openbare publicatie van gevoelige data een mogelijk gevolg zijn. Een van de meest gebruikte tegenmaatregelen in de praktijk is het gebruik van versleuteling (encryptie) die kan worden toegepast op bedrijfskritische data of datastromen in een organisatie. INTEGRITEIT Data-integriteit is van belang om de juistheid van de gepresenteerde data te waarborgen. Als tegenmaatregel wordt vaak gebruik gemaakt van hashing, een techniek waarin de data samen met een logisch algoritme een bepaalde waarde vormen. Deze waarde wordt door zowel de versturende als de ontvangende partij gegenereerd. Bij eenzelfde uitkomst is de data niet aangepast. Deze controlefactor is vooral van belang bij proces- of financieel gerelateerde data. BESCHIKBAARHEID Beschikbaarheid geeft antwoord op de vraag wanneer en in welke mate informatie beschikbaar moet zijn voor de organisatie. Essentieel in deze fase is het in kaart brengen van bedrijfskritische processen en het aanbrengen van een gradatie in de mate van de beschikbaarheid van data. Niet geheel nodeloos om te vermelden is dat een hogere mate van beschikbaarheid in hogere kosten van de tegenmaatregelen resulteert. KEMBIT innovation & intelligence 6 13

7 3.2 Privacywetgeving Vanuit de Algemene Verordening Gegevensbescherming (AVG) dienen organisaties invulling te geven aan security/privacy-by-design" en privacy-by-default. De AVG-wetgeving schrijft voor om passende maatregelen te implementeren het is op dit specifieke punt waar informatieveiligheid en de privacywetgeving elkaar raken. De privacywetgeving is in het kader van de bescherming van privacygevoelige gegevens onderdeel van het informatiebeveiliginsraamwerk. Het is namelijk de AVG-wetgeving die hier meelift op de implementatie van informatiebeveiligingsraamwerken, zoals de ISO27001 en/of de NEN7510, wat bewezen standaarden zijn in dit kader. KEMBIT innovation & intelligence 7 13

8 4 Risico gedreven aanpak Door het uitvoeren van een risicoanalyse in combinatie met een dataclassificatiemodel kan de impact op de Vertrouwelijkheid, Integriteit en Beschikbaarheid (VIB) pijlers worden bepaald. Een risicoanalyse op de bedrijfskritische processen is in deze essentieel voor het bepalen van een correct risiconiveau. 4.1 Basis Risicoanalyse Om het risico te bepalen wordt standaard de onderstaande formule gehanteerd: RISICO = KANS * IMPACT KANS: De inschatting waarin het mogelijk is dat een bepaald incident optreedt in de organisatie. IMPACT: Indien het incident optreedt wat is dan de impact voor de organisatie. RISICO: Indien de waarde van de kans en de impact worden vermenigvuldigd wordt een risico aanduiding gegeven. De manier waarop deze risicowaarde bepaald wordt, kwantificeren of kwalificeren, kan een rol spelen om het risicoprofiel van de organisatie vast te stellen. 4.2 Kwantificeren of Kwalificeren Risico vaststelling kan worden gedaan middels: Kwalificeren: Risico vaststelling in categorieën bijvoorbeeld laag, middel, hoog. Kwantificeren: Risico vaststelling in exacte aantallen bijvoorbeeld valuta. Indien een risicoanalyse relatief snel of op grote schaal moet worden uitgevoerd vindt normaliter kwalificatie van de risico s plaats. In de volgende stap worden de risico s gefilterd op basis van de verkregen waarden. De grootste risico s en de bedrijfskritische processen kunnen vervolgend gekwantificeerd worden. De besluitvorming op de te nemen maatregelen kan hierdoor duidelijker worden gemaakt omdat aan deze risico s een directe financiële waarde is gekoppeld en mogelijke mitigerende maatregelen. KEMBIT innovation & intelligence 8 13

9 4.3 Mitigatie mogelijkheden Op basis van de risicovaststelling kan de organisatie beslissen welke mitigatie mogelijkheid wordt gekozen: MITIGATIE Vermijden: Voorkomen: Reduceren: Overdragen: Accepteren: OMSCHRIJVING Het risico wordt vermeden; dit betekent dat, indien nodig, wordt afgeweken van de huidige werkwijze om het risico te kunnen omzeilen. Het risico wordt zoveel mogelijk afgedicht door het implementeren van maatregelen in de organisatie. Het risico kan worden verminderd door het afsluiten van een verzekering. Indien het risico voor de organisatie dermate hoog is voor de organisatie kan worden geopperd om een andere organisatie de werkzaamheden te laten uitvoeren. Deze organisatie neemt dan daardoor ook de financiële gevolgen over. Indien het risico voor een organisatie dermate klein is kan worden geopperd om het risico te accepteren. KEMBIT innovation & intelligence 9 13

10 5 Onderhouden van Maatregelen Zodra de keuze is gevallen op een maatregel moet deze worden onderhouden. Het onderhouden van een plan, do, check, act cyclus voor de te implementeren maartregel wordt gezien als een best-practice. Door invoering van meetmomenten gedurende de plan, do, check, act cyclus wordt vastgesteld of de geïmplementeerde maatregel juist is. Het wijzigen van een maatregelen hangt vaak samen met een wijziging in het risicoprofiel van de organisatie. Een organisatie kan kiezen voor risico-acceptatie in plaats van risico-mitigatie aangezien een risico over een bepaalde tijdsspanne kan afnemen of toenemen. Daarnaast is de stand der techniek van grote invloed op de getroffen maatregelen voor een organisatie. Maatregelen dienen namelijk aangepast te worden zodra blijkt dat de geïmplementeerde maatregel door het gebruik van nieuwe technieken niet meer afdoende blijkt te zijn. 5.1 Onderhouden van maatregelen Om een correcte werking van maatregelen aan te kunnen tonen is controleerbaarheid en auditeerbaarheid essentieel tijdens de levenscyclus van een maatregel. CONTROLEERBAARHEID Als een maatregel is geïmplementeerd moeten de waarden waarop gemeten wordt vastgesteld worden. Als best-practice wordt aangeraden om Key Performance Indicatoren (KPI s) op te stellen om een correcte werking van de maatregel aan te kunnen tonen. KEMBIT innovation & intelligence 10 13

11 AUDITEERBAARHEID Als organisatie is het van belang goed huisvaderschap te tonen middels: Due Care (gij zult naar eer en geweten handelen) Due Diligence (gij zult een gepaste vorm van zorgvuldigheid toepassen) Een best-practice in deze is om naast een intern audit proces ook op regelmatige basis een externe audit te laten uitvoeren. Hierbij kan worden gedacht aan pen-testen waarbij een ethisch hacker wordt ingehuurd om de beveiliging van uw systemen te testen. Middels een audit kan de werking van systemen op een procesmatige manier worden geverifieerd. 5.2 GRC Als over passende maatregelen wordt gesproken worden in het kader informatieveiligheid de termen Governance, Risk Management en Compliance genoemd. GRC Risk Management: Governance: Compliance: OMSCHRIJVING Hieraan wordt middels het vaststellen van het risicoprofiel vormgegeven. Door een jaarlijkse review van deze risico s kan het risicoprofiel van de organisatie worden bijgesteld. Om vast te stellen dat maatregelen in de organisatie correct werken moeten richtlijnen die binnen de organisatie gelden worden nageleefd. Organisaties confirmeren zich aan wet en regelgeving, best-practices en raamwerken zoals de ISO27001 en/of NEN7510. De mate van compliance geeft aan in hoeverre organisatie voldoen aan de vereisten omtrent wet- en regelgeving, best-practices en raamwerken. KEMBIT innovation & intelligence 11 13

12 6 Stapsgewijs Naar Passende Maatregelen De omschreven onderdelen in deze whitepaper geven invulling aan een passende maatregel, mits deze in de correcte volgorde wordt toegepast. DATACLASSIFICATIE Een organisatie dient in eerste instantie inzichtelijk te hebben, welke data zij in huis heeft en wat deze data voor de organisatie betekenen. Middels de security-pijlers Vertrouwelijkheid, Integriteit en Beschikbaarheid moet deze waarde worden bepaald. RISICO ANALYSE Door risico s voor de organisatie vast te stellen en te waarderen wordt een risicoprofiel gevormd. Dit risicoprofiel kan als basis gebruikt worden bij het definiëren van een aanpak betreffende risico minimalisatie. TOEPASSEN VAN INFORMATIEVEILIGHEID Regelgeving omtrent informatieveiligheid dient in de organisatie te worden gewaarborgd. De waarborging vindt plaats middels een informatiebeveiligingsbeleid die afgestemd wordt op standaarden zoals de ISO27001 of de NEN7510. IMPLEMENTEREN VAN MAATREGELEN Wanneer de regelgeving voor informatieveiligheid is vastgesteld in het informatiebeveiligingsbeleid en de maatregel vanuit de risicoanalyse is bepaald kan een voor de organisatie best passende maatregel worden gekozen. ONDERHOUDEN VAN MAATREGELEN Als een maatregel is geïmplementeerd dient deze te worden onderhouden. Middels een jaarlijkse review van de risicoanalyse kan worden bepaald of de geïmplementeerde maatregel nog de juiste is, de mogelijkheid bestaat dat het risiconiveau is gewijzigd. Daarnaast is het mogelijk dat de huidige stand der techniek niet langer voorziet in een correcte afdekking van het risico. Als bovenstaand stappenplan wordt uitgevoerd in de organisatie, wordt op een onderbouwde en gefundeerde manier invulling gegeven aan de terminologie passende maatregelen. KEMBIT innovation & intelligence 12 13

13 KEMBIT B.V. Kasteel Wijnandsrade Opfergeltstraat BW Wijnandsrade High Tech Campus Eindhoven High Tech Campus AE Eindhoven +31 (0) contactus@kembit.nl kembit.nl