Hoe vertaal je security beleid naar operatie?

Transcriptie

1 Whitepaper Hoe vertaal je security beleid naar operatie? ICT BEGINT ALTIJD BIJ DE GEBRUIKER

2 Hoe vertaal je security beleid naar operatie? VVandaag de dag is IT-security in steeds meer organisaties een onderwerp dat veel aandacht vraagt. Het ICT-landschap wordt steeds complexer en sinds de introductie van mobiele apparatuur zoals smartphones en tablets kunnen IT-beheerders niet langer overzien welke data op welk apparaat en op welke locatie staat. Tegelijkertijd zijn de eisen rondom gegevensbeveiliging hoger dan ooit. Regelgeving vanuit de overheid groeit, denk aan de Wet meldplicht datalekken. Kortom, de gebruikersorganisatie krijgt steeds meer vrijheid op IT-gebied en op hetzelfde moment moeten beheerders voldoen aan steeds strengere beveiligingseisen. Om dit speelveld te overzien heeft Ictivity een model ontwikkeld dat alle aspecten die te maken hebben met IT-security omvat en dat een leidraad vormt bij het opzetten, uitvoeren, controleren en optimaliseren van securitybeleid. Wat is IT-security? IT-security is een breed begrip dat veel aspecten en aandachtspunten omvat. Bezien door een technische bril bestaat IT-security uit maatregelen die voorkomen dat computers besmet raken met virussen en malware en dat hackers of onbevoegden toegang krijgen tot gegevens die niet voor hen bestemd zijn. IT-security behelst echter veel meer dan dat. Naast technische aspecten zijn er ook organisatorische aspecten, denk bijvoorbeeld aan de awareness van medewerkers en de manier waarop securitymaatregelen zijn belegd in een organisatie. En dan moet beleid ook nog passen bij de organisatie en de werkwijzen en processen. Ictivity heeft een model ontwikkeld dat alle aspecten omvat die te maken hebben met ITsecurity. Dit model vormt een leidraad bij het opzetten, uitvoeren, controleren en optimaliseren van IT-security beleid. Het model bestaat uit drie blokken die ieder een gedeelte van de IT-securitymaatregelen vertegenwoordigen. Whitepaper - Hoe vertaal je security beleid naar operatie? 2

3 IT-security beleid Het eerste blok bevat het IT-security beleid. In dit beleid is in algemene functionele termen gespecificeerd hoe een bedrijf of instelling met IT-security omgaat. De input voor dit strategische beleid zijn onder meer de van toepassing zijnde ISO/NEN normeringen en vigerende wet- en regelgeving. Voorbeelden hiervan zijn de normeringen voor zorginstellingen (NEN 7510 en 7513). In andere sectoren gelden weer andere normeringen. Het beleid moet uiteraard passen bij de bedrijfsprocessen, bedrijfsinformatie, ICT-componenten et cetera. Om daarbij de vinger aan de pols te houden voeren we een periodieke risk assessment uit. Deze assessment geeft tevens inzicht welke processen, informatie en ICT-componenten het belangrijkst zijn en waar dus de grootste risico s zitten (bijvoorbeeld een database met klantgegevens). De risk assessment resulteert in een risicobehandelplan dat bestaat uit een geprioriteerde lijst met IT-security controls. IT-security controls zijn maatregelen die een bedrijf of instelling neemt om IT-securityrisico s te minimaliseren. De maatregelen op de lijst zijn in algemene termen beschreven en bevatten geen details over de gebruikte technologie zoals firewalls, viruscanners et cetera. IT-operatie en audit In het middelste blok, IT-operatie en audit, bevinden zich audits om te bekijken in welke mate de bestaande technische en organisatorische securitymaatregelen voldoen om de controls in het beleid te implementeren. We onderscheiden daarbij de volgende scans en assessments: Scan / assessment Management en response audit Externe security audit (netwerk) Interne security audit (netwerk) Interne security audit (server en workspace) Organisatie security awareness audit Cloud security scan Toelichting Dit is het management van de IT-securitymaatregelen (organisatorisch) en de procedures die er zijn om snel te reageren op een besmetting of een aanval. Dit is een zogenaamde technische penetratietest waarbij van buiten het netwerk wordt gekeken waar zich kwetsbaarheden bevinden op het gebied van connectivity. Dit is een technische test waarbij van binnen in het netwerk wordt gekeken waar zich kwetsbaarheden bevinden op het gebied van connectivity. Dit betreft een test op de interne beveiliging van de server- en werkstation-omgeving. Deze scan betreft het menselijke aspect van IT-beveiliging en gaat over het gedrag van medewerkers in een organisatie. De cloud security scan betreft een scan van alle onderdelen van een ICT-omgeving die werken in de cloud. Whitepaper - Hoe vertaal je security beleid naar operatie? 3

4 IT-security optimalisatie Het laatste blok, IT-security optimalisatie, bevat een aantal technische en organisatorische projecten (implementaties) om eventuele tekortkomingen die in de security audits zijn vastgesteld te corrigeren of leemtes in beveiliging aan te vullen. Scan / assessment Procesoptimalisatie Externe security optimalisatie Interne security optimalisatie Server- en workspace security optimalisatie Training en workshops Cloud security optimalisatie Toelichting Het aanpassen van (ITIL) beheerprocessen om ervoor te zorgen dat IT-security organisatorisch goed is belegd. Dit betekent het aanwijzen van verantwoordelijken (bijvoorbeeld een security officer), het implementeren van procedures en het organiseren van een response team voor aanvallen en/of besmettingen. Het installeren en configureren van technische voorzieningen om de kwetsbaarheid van de organisatie voor aanvallen van buiten het netwerk te verkleinen (firewalls, security appliances etc.). Het installeren en configureren van technische voorzieningen en het (her)configureren van interne netwerkcomponenten om de kwetsbaarheid van de interne IT te verkleinen. Het aanpassen van toegangsrechten en policies op de serveromgeving en de werkplekomgeving om de kwetsbaarheid van de interne IT te verkleinen. Het organiseren van interne trainingen en workshops om te zorgen voor awareness en gedragsverandering bij interne IT-gebruikers op het gebied van IT-security. Het optimaliseren van de security van clouddiensten.

5 Onze werkwijze: van globaal naar specifiek IT-security is een keten die bestaat uit vele schakels. De gehele keten is zo sterk als de zwakste schakel. Het is daarom van belang om de security van een ICT-omgeving te bekijken op basis van álle aspecten. Als er één schakel wordt overgeslagen dan wordt de gehele keten zwak. IT-beheer kan bijvoorbeeld alle technische voorzieningen perfect in orde maken, maar als een gebruiker besluit om zijn wachtwoord op het toetsenbord te schrijven of data te bewaren op een onveilig apparaat, dan gaat de beveiliging van die data op de helling zonder dat IT daar op dat moment wat aan kan doen. Het security model werkt altijd van globaal naar specifiek, van breed naar smal, zoals onderstaande funnel aangeeft. Gevaar van focus op techniek In de praktijk wordt nogal eens de vergissing gemaakt om IT-securitymaatregelen te implementeren met een technische insteek. Daarbij is er weinig of geen aandacht voor het definiëren van IT-security beleid of organisatorische aspecten, de focus ligt volledig op de techniek. Soms volgt een aantal audits, maar dan gaat het vaak om technische audits op het gebied van netwerk, servers en werkstations. Dat levert de volgende problemen op: Technische maatregelen zijn niet gebaseerd op vigerend beleid en hebben weinig of geen raakvlak met de organisatie. Er is dan geen aandacht voor de specifieke kwetsbaarheden van een organisatie. Het resultaat is dat de verkeerde onderdelen van een IT-omgeving worden beveiligd en/of dat er kwetsbaarheden overblijven. Het organisatorische gedeelte van IT-security wordt niet meegenomen. De technische maatregelen zijn wel geïmplementeerd, maar het onderhoud van die maatregelen niet. Daarnaast kan het zo zijn dat er geen procedures zijn als een besmetting of aanval plaatsvindt. Dat maakt de securitymaatregelen veel minder effectief. Doordat er geen goed onderhoud is groeit het aantal securitylekken bovendien in de tijd. Er is geen aandacht voor het gedrag van medewerkers. Onderzoek wijst uit dat minstens de helft van security gerelateerde problemen ontstaan door de manier waarop gebruikers met IT omgaan. Door alleen op techniek te focussen mis je dus een belangrijk aspect van IT-security. Waarom vinden we het normaal dat je eerst je rijbewijs moet halen voordat je zelfstandig mag autorijden, maar werkt vrijwel geen enkele organisatie met een periodieke awareness-toets die medewerkers moeten afleggen om te bewijzen dat zij zich goed bewust zijn van de risico s? Om de hier beschreven problemen met IT-security te voorkomen is het van belang om van globaal naar specifiek te werken bij het implementeren van maatregelen. Zo ontstaan IT-securitymaatregelen die zijn ingebed in organisatiebeleid. Bovendien worden bij deze werkwijze álle IT-security aspecten meegenomen. Whitepaper - Hoe vertaal je security beleid naar operatie? 5

6 In vier stappen naar passende maatregelen De funnel bestaat uit de volgende stappen: 1. Risico assessment en normeringen Eerst voeren we een risico-assessment uit en kijken naar geldende normeringen (globaal). 2.Beleid definiëren Met behulp van het risico-assessment en de geldende normeringen bepalen we het IT-security beleid. 3. Meten Op basis van het beleid meten we in de bestaande omgeving of de genomen maatregelen (technisch en organisatorisch) het beschreven beleid ondersteunen. 4. Maatregelen Als maatregelen ontbreken of niet passen in het beleid dan voeren we aanpassingen door. Deze aanpassingen implementeren we als laatste (details). Deze werkwijze zorgt ervoor dat we maatregelen nemen die passen bij de specifieke situatie van een bedrijf of instelling. Daarnaast zorgt het model ervoor dat we geen aspecten omtrent IT-security missen. We voorkomen verder dat er techniek om de techniek wordt geïnstalleerd die uiteindelijk niet goed bij een omgeving past. Het beschreven model is niet statisch maar cyclisch. De uitgangspunten in een bedrijf of organisatie kunnen immers veranderen, bijvoorbeeld door een fusie, een overname of het ontwikkelen van nieuwe dienstverlening. Het model moet dus met enige regelmaat worden doorlopen om te zien of uitgangspunten zijn veranderd en of de beveiligingsmaatregelen nog wel aansluiten op datgene wat een bedrijf of organisatie vraagt. Meldplicht datalekken vraagt om betere controle Op 1 januari 2016 is de Wet meldplicht datalekken van kracht geworden. Deze loopt vooruit op de Europese privacy verordening, die over enkele jaren van kracht wordt en gaat gelden voor alle lidstaten van de EU. De Wet meldplicht datalekken verplicht bedrijven om het te melden als er inbreuk is gedaan op de beveiligingsmaatregelen voor persoonsgegevens. In dat geval moet de organisatie melding hiervan maken aan de toezichthouder, het College bescherming persoonsgegevens (Cbp), alsmede aan de personen om wiens data het gaat. Deze meldplicht geldt voor alle organisaties, zowel in de publieke als de private sector. Deze wet heeft flinke impact op de manier waarop bedrijven en instellingen omgaan met IT-security. Dat komt mede doordat op het niet naleven van de meldplicht aanzienlijke boetes staan (maximaal ,- of 10 procent van de (wereldwijde) jaaromzet van de rechtspersoon). In de nieuwe wet geldt een meldingsplicht voor inbreuk op de beveiliging die leidt tot een aanzienlijke kans op ernstige gevolgen dan wel ernstige nadelige gevolgen voor de bescherming van persoonsgegevens. De data zelf hoeft dus nog niet eens gelekt te zijn, ook als de bescherming (tijdelijk) niet op orde is, moet de organisatie daar melding van maken. De Wet meldplicht datalekken geldt voor alle persoonsgebonden data, ongeacht hoe die data zich door de organisatie bewegen. De wet verplicht dus ook melding te maken van een kwijtgeraakte USB-stick als daar klantgegevens op staan. En je bent ook verplicht het te melden als je bij een ing per ongeluk de adressen van de ontvangers niet in de bcc hebt gezet. Dit vraagt ontzettend veel maatregelen die in de praktijk vrijwel niet uitvoerbaar zijn. En juist daarom is awareness zo n belangrijke pijler in ons IT-security model. Ook de verantwoordelijkheden van ICT-partijen veranderen onder de nieuwe wet. Ook de zogenaamde bewerker, oftwel de partij die data voor de eigenaar (de verantwoordelijke) bewerkt of verwerkt, heeft verantwoordelijkheden. Onder bewerkers vallen ook SaaS-providers die de data van klanten op hun systemen hebben staan. Het is van belang dat je goed vastlegt wie waar verantwoordelijk voor is en wie de meldingen gaat coördineren. Zonder bewerkersovereenkomst waarin dit soort zaken zijn vastgelegd, is het risico groot dat meldingen tussen wal en schip vallen, met alle risico op een boete van dien. De Wet meldplicht datalekken vraagt dus om meer administratie en vooral om een veel betere controle op het gebruik van ICT-middelen in een organisatie. Het Cbp kan naar aanleiding van een melding een audit doen of er passende technische en organisatorische beveiligingsmaatregelen zijn genomen. Wat precies passend is wordt door het Cbp bepaald. Het is daardoor lastig om hierop goed voorbereid te zijn. Whitepaper - Hoe vertaal je security beleid naar operatie? 6

7 Security-aspecten van meldplicht datalekken Het zal duidelijk zijn dat er een link is tussen de Wet meldplicht datalekken en IT-security. De maatregelen die we nemen om te voldoen aan de wet hebben immers alles te maken met de technische en organisatorische maatregelen die we in het kader van IT-security nemen. Voor de meldplicht zijn met name de volgende IT-securityaspecten van belang: Is er IT-security beleid gedefinieerd? Een IT-security beleid dient gebaseerd te zijn op de specifieke kwetsbaarheden van een omgeving en een organisatie en moet rekening houden met de geldende normeringen voor de branche. Algemeen gedefinieerd beleid biedt te weinig raakvlakken met de praktijk. Is het beleid vertaald naar de juiste maatregelen? Zijn de technische en organisatorische maatregelen gebaseerd op het beleid? De maatregelen die worden genomen moeten specifieke kwetsbaarheden adresseren die voor deze organisatie gelden. Implementeer geen techniek om de techniek. hebben een geoliede organisatie nodig die zorgt voor adequaat beheer. Als organisatorische maatregelen achterwege blijven verliezen de technische maatregelen geleidelijk hun effectiviteit. Is voldoende aandacht besteed aan de menskant van IT-security? Naast een goede organisatie is ook awareness bij medewerkers van cruciaal belang. Menselijke fouten zorgen vaak voor de grootste risico s, daarvan zijn voorbeelden te over. Besteed daarom regelmatig aandacht aan bewustwording en digivaardigheden van medewerkers. Ictivity is ervan overtuigd dat het alleen mogelijk is om te voldoen aan de Wet meldplicht datalekken en de eisen op het gebied van beveiliging van persoonsgegevens als de gehele breedte van IT-security wordt meegenomen. Een keten is immers zo sterk als de zwakste schakel. Vergeet één schakel en de gehele keten is zwak, met alle gevolgen van dien. Is, naast technische maatregelen, voldoende aandacht besteed aan organisatorische maatregelen? Technische maatregelen zijn heel belangrijk, maar lossen tegelijkertijd hooguit 50% van de problematiek op. Technische maatregelen Security quickscan Toepassing van het IT-security model is veelomvattend. Om snel inzichtelijk te krijgen op welke vlakken een organisatie compliant is en op welke vlakken werk aan de winkel is, hebben wij een IT-security quickscan ontwikkeld, met als doel de volgende vragen te beantwoorden: In hoeverre is aandacht besteed aan álle aspecten van IT-security? Waar zijn quick wins te behalen, functioneel, technisch en organisatorisch? Wat zijn de volgende stappen voor het verder optimaliseren van IT-security? Wat is nodig om te kunnen voldoen aan de Wet meldplicht datelekken? De quickscan bestaat uit vier vragenlijsten die betrekking hebben op alle aspecten van IT-security. U vult deze vragenlijst zelf in. Op basis van de antwoorden vindt een workshop op maat plaats en volgt een pragmatisch advies. De IT-security quickscan heeft een aantal voordelen: Het is laagdrempelig en kost maximaal anderhalve dag tijd, inclusief de workshop. Een organisatie heeft direct inzicht in de huidige stand van IT-security. De scan biedt concreet inzicht in de te nemen maatregelen met betrekking tot de Wet meldplicht datalekken. Het meegeleverde overzicht van quick wins zorgt dat een organisatie snel winst kan boeken op securitygebied. Whitepaper - Hoe vertaal je security beleid naar operatie? 7

8 Samenvatting Steeds meer organisaties hebben problemen met het waarborgen dat informatie bij hen veilig is en niet weglekt. En dat is niet vreemd. Het ICT-landschap is in de loop der jaren steeds complexer geworden. Tegelijkertijd geven organisaties hun medewerkers steeds meer vrijheid om te werken met het device van hun keuze en op een plek naar keuze. Om organisaties te dwingen voldoende aandacht te besteden aan informatiebeveiliging komt de overheid met steeds strengere wet- en regelgeving, zoals de Wet meldplicht datalekken. Aan IT-afdelingen de taak om in deze sterk veranderende wereld er voortdurend voor te zorgen te dat informatie veilig is. Garanties kan een ICT-afdeling nooit geven, maar zij kunnen wel werken volgens een gestructureerde en integrale methode die de kans minimaliseert dat vertrouwelijke data weglekt of dat de bedrijfsvoering stilvalt door een virusuitbraak. Het is zo n methode die álle aspecten van IT-security, zowel de technische als organisatorische en menselijke, meeneemt. Een keten is immers zo sterk als de zwakste schakel. De werkwijze binnen dit model gaat van globaal naar specifiek en is bovendien cyclisch. Dat wil zeggen dat alle stappen periodiek worden doorlopen om te bekijken of het securitybeleid en de bijbehorende maatregelen nog passen bij de processen en systemen in een organisatie. Een goed startpunt bij het aanpakken van IT-security is de IT-security quickscan. Deze geeft snel inzicht in welke securitygebieden extra aandacht nodig hebben om de totale keten sterk te maken. Waarom Ictivity? Ictivity heeft al 18 jaar ervaring met IT-security. We hebben de uitdagingen zien veranderen en hebben onze eigen aanpak steeds mee-veranderd. IT-security is een veelomvattend onderwerp, waardoor het lastig is overzicht te houden. Dat maakt de verleiding groot om ofwel te kiezen voor heel complexe werkwijzen, ofwel om de focus eenzijdig te hebben op de techniek. Wij hebben daarom een model ontwikkeld dat in de kern eenvoudig is maar dat toch alle aspecten meeneemt. Het zorgt voor overzicht bij alle betrokkenen. Juist dat is belangrijk omdat de IT-securityketen zo sterk is als de zwakste schakel. Whitepaper - Hoe vertaal je security beleid naar operatie? 8

9 Ictivity Eindhoven Vianen postadres Postbus JB Eindhoven bezoekadres Mahatma Gandhilaan ML Eindhoven t +31 (0) e info@ictivity.nl w