Security Hoe krijgt u grip op informatiebeveiliging?

Transcriptie

1 Security Hoe krijgt u grip op informatiebeveiliging?

2 INHOUDSOPGAVE 1 INLEIDING WAT IS IT SECURITY? IT SECURITY BELEID BLOK HET IT OPERATIE EN AUDIT BLOK HET IT SECURITY OPTIMALISATIE BLOK WERKWIJZE IT SECURITY FUNNEL CYCLISCH MODEL MELDPLICHT DATALEKKEN EN IT SECURITY IMPACT SECURITY SECURITY QUICKSCAN SAMENVATTING Ictivity visie op IT Security 11 januari 2016 Pagina 2 van 12

3 1 Inleiding IT Security is tegenwoordig een belangrijk onderwerp. Beveiliging van informatie was uiteraard altijd al belangrijk. Toen IT werkplekken nog bestonden uit een PC of laptop was beveiliging echter nog overzichtelijk. De introductie van mobiele apparatuur zoals smartphones en tablets heeft dat fundamenteel veranderd. IT beheerders hebben definitief de technische grip op data- en informatiebeveiliging verloren. Dat wil zeggen: ze kunnen geen 100% beveiliging meer garanderen omdat ze niet weten en overzien welke data op welk apparaat op welke locatie staat. Dat impliceert dat gebruikers van de IT middelen een gedeelde verantwoordelijkheid voor IT security hebben en dat IT security beleid en de organisatie rondom IT security belangrijker zijn dan ooit. Gegevens beveiliging is voor minimaal 50% mensenwerk geworden. Tegelijkertijd zijn de eisen rondom gegevens beveiliging hoger dan ooit. Regelgeving vanuit de overheid (compliancy) groeit. Een mooi voorbeeld daarvan is meldplicht datalekken die in 2016 actief wordt. De gebruikersorganisatie krijgt steeds meer vrijheid op IT gebied en op hetzelfde moment dienen beheerders dus te voldoen aan steeds strengere beveiligingseisen. Een flinke uitdaging! Dit document bevat de visie van Ictivity op het gebied van gegevensbeveiliging en een antwoord op die uitdaging. Allereerst gaat het in op wat IT security nu precies inhoudt. Daarna is beschreven welke werkwijze Ictivity voorstaat om te zorgen voor technische en niet-technische maatregelen die zijn gebaseerd op organisatorische aspecten (beleid). Als laatste is aangegeven hoe de werkwijze past binnen de uitdagingen van de meldplicht datalekken en sluit het document af met een samenvatting. Ictivity visie op IT Security 11 januari 2016 Pagina 3 van 12

4 2 Wat is IT security? IT security is een breed begrip. Dat wil zeggen dat binnen de term heel veel aspecten en aandachtspunten opgesloten zijn. Met een technische bril op bestaat IT security uit maatregelen die voorkomen dat computers besmet raken met virussen en malware en dat hackers of onbevoegden toegang krijgen tot gegevens die niet voor hen bestemd zijn. IT security behelst echter veel meer dan dat. Naast technische aspecten zijn er ook organisatorische security aspecten. Daarbij gaat het vooral om beleidszaken en de manier waarop security maatregelen zijn belegd in een organisatie. Ictivity heeft een model ontwikkeld waarin alle aspecten, die te maken hebben met IT Security, zijn opgenomen. Het model is, van links naar rechts, opgebouwd uit drie blokken die ieder een gedeelte van de IT security maatregelen vertegenwoordigen. De blokken zijn in de volgende paragrafen verder uitgewerkt. Management en response audit Proces optimalisatie Risk assessment Externe security audit (netwerk) Externe security optimalisatie NEN/ISO Normeringen Strategisch/ tactisch beleid Vertaling van beleid naar operatie Interne security audit (netwerk) Interne security audit (Server en workspace) Interne security optimalisatie Server en workspace security optimalisatie Organisatie security awareness audit Training / Workshop(s) Cloud Security audit Technische projecten Cloud security optimalisatie IT Security beleid IT operatie en audits IT Security optimalisatie Ictivity visie op IT Security 11 januari 2016 Pagina 4 van 12

5 2.1 IT security beleid blok Het IT security beleid blok betreft beleidszaken die de basis leggen voor IT security in een bedrijf. In dat beleid is in algemene functionele termen gespecificeerd hoe een bedrijf of instelling met IT security omgaat. De input voor dit strategische beleid zijn van toepassing zijnde ISO/NEN normeringen en vigerende wet- en regelgeving. Voorbeelden hiervan zijn de normeringen voor overheid- en zorginstellingen (Overheid: BIR:2012 en ISO 27001/27002, Zorg: NEN 7510 en -7513). Voor andere bedrijven en instellingen kunnen andere normeringen van belang zijn (denk aan assurantiekantoren of handelsfirma s). Een periodiek uitgevoerde risk assessment is een logisch vervolg op het vastgestelde security beleid. Dit is een assessment waarin duidelijk wordt welke bedrijfsprocessen, bedrijfsinformatie, ICT componenten ed. van een bedrijf of instelling het belangrijkst zijn en waar dus de grootste risico s zitten (bv. Een core applicatie en/of een belangrijke database met bedrijfs- of klantgegevens). Uit de risk assessment resulteert een risicobehandelplan dat bestaat uit een geprioriteerde lijst met IT security controls. IT security controls zijn maatregelen die een bedrijf of instelling neemt om IT security risico s te minimaliseren. De maatregelen op de lijst zijn in algemene termen beschreven en bevatten geen details over firewalls, viruscanners et cetera. 2.2 Het IT operatie en audit blok In het IT operatie en audit blok bevinden zich audits (assessments) om te bekijken in welke mate de bestaande praktische (operationele) technische- en niet-technische security maatregelen voldoen om de controls in het beleid te implementeren. We onderscheiden daarbij de volgende scans en assessments: Scan / assessment Management en response audit Externe security audit (netwerk) Interne security audit (netwerk) Interne security audit (Server en workspace) Organisatie security awareness audit Cloud security scan Toelichting Dit betreft het management van de IT security maatregelen (organisatorisch) en de procedures die er zijn om snel te reageren op een besmetting of een aanval. Dit is een zogenaamde technische penetratie test waarbij van buiten het netwerk wordt gekeken waar zich kwetsbaarheden bevinden op connectivity gebied. Dit is een technische test waarbij van binnen in het netwerk wordt gekeken waar zich kwetsbaarheden bevinden op connectivity gebied. Dit betreft een test op de interne beveiliging van de serveren werkstationomgeving. Deze scan betreft het menselijke aspect van IT beveiliging en gaat over het gedrag van de medewerkers in een organisatie. De cloud security scan betreft een scan van alle onderdelen van een ICT omgeving die werken in de cloud. Ictivity visie op IT Security 11 januari 2016 Pagina 5 van 12

6 2.3 Het IT security optimalisatie blok Het IT Security optimalisatie blok, als laatste, bevat een aantal technische- en niet technische projecten (implementaties) om eventuele tekortkomingen die uit de security audits komen te corrigeren of leemtes in beveiliging aan te vullen. Scan / assessment Proces optimalisatie Externe security optimalisatie Interne security optimalisatie Server- en workspace security optimalisatie Training en workshops Cloud security optimalisatie Toelichting Het aanpassen van (ITIL) beheerprocessen om er voor te zorgen dat IT security organisatorisch goed belegd is. Dit betekent het aanwijzen van verantwoordelijken (bv. Security officer), het implementeren van procedures en het organiseren van een response team voor aanvallen en/of besmettingen. Het installeren en configureren van technische voorzieningen om de kwetsbaarheid van buiten het netwerk te vergroten (firewalls, security appliances etc.). Het installeren en configureren van technische voorzieningen en het (her)configureren van interne netwerkcomponenten om de kwetsbaarheid van de interne IT te verkleinen. Het aanpassen van toegangsrechten en policies op de serveromgeving en de werkplekomgeving om de kwetsbaarheid van de interne IT te verkleinen. Het organiseren van interne trainingen en workshops om te zorgen voor awareness en gedragsverandering bij interne IT gebruikers op het gebied van IT security. Het optimaliseren van de security van cloud producten. 2.4 Werkwijze IT security als geheel vormt als een ware een keten met schakels. De gehele keten is daarbij zo zwak als de zwakste schakel. Het is daarom van belang om de security van een ICT omgeving te bekijken op basis van álle aspecten of schakels. Als er één schakel wordt overgeslagen dan wordt de gehele keten zwak. IT beheer kan bijvoorbeeld alle technische voorzieningen perfect in orde maken, maar als een gebruiker besluit om zijn wachtwoord op het toetsenbord te schrijven, of data te bewaren op een onveilig apparaat dan gaat de beveiliging van die data op de helling. En er is niets wat IT daar op dat moment aan kan doen. De manier waarop gebruikers met IT middelen omgaan is dus bijvoorbeeld ook een bepalende schakel voor de IT security keten die we niet mogen overslaan. We mogen immers ook niet rondrijden in een auto zonder rijbewijs! In het security model op pagina 4 is met pijlen een werkwijze of werkrichting aangegeven. Deze pijlen duiden de volgorde aan waarin de verschillende blokken uit het model aanbod komen. Het model werkt altijd van globaal naar specifiek. Het volgende hoofdstuk gaat hier verder op in. Ictivity visie op IT Security 11 januari 2016 Pagina 6 van 12

7 3 IT Security Funnel In de praktijk wordt nogal eens de vergissing gemaakt om IT security maatregelen te implementeren met een technische insteek. Daarbij is er weinig of geen aandacht voor het definiëren van IT security beleid of organisatorische aspecten. Men heeft dan met name aandacht voor de technische aspecten in het IT security optimalisatie blok. Soms volgen ook een aantal audits, maar dan gaat het vaak met name om de technische audits op netwerk, server en werkstation gebied. Dat levert de volgende problemen op: Technische maatregelen zijn niet gebaseerd op vigerend beleid en hebben weinig of geen raakvlak met de organisatie. Er is dan ook geen aandacht voor de risico s (specifieke kwetsbaarheden van een organisatie). Het resultaat is dat de verkeerde onderdelen van een IT omgeving worden beveiligd en/of dat er kwetsbaarheden overblijven. Het organisatorische gedeelte van IT security wordt niet meegenomen. De technische maatregelen zijn wel geïmplementeerd, maar het onderhoud van die maatregelen niet. Daarnaast kan het zo zijn dat er geen procedures zijn als een besmetting of aanval plaatsvindt. Dat maakt de security maatregelen veel minder effectief dan zou kunnen. Doordat er geen goed onderhoud is groeit het aantal security lekken bovendien in de tijd. Er is geen aandacht voor het gedrag van medewerkers. Het is door onderzoek bekend dat minstens de helft van security gerelateerde problemen ontstaan door de manier waarop gebruikers met IT omgaan. Door alleen op techniek te focussen mist men dus een belangrijk aspect van IT security. Er blijven zo nog (grote) security risico s over. Om de hier beschreven problemen met IT security te voorkomen is het van belang is om van globaal naar specifiek te werken bij het implementeren van maatregelen. Zo ontstaan IT security maatregelen die zijn ingebed in organisatie beleid en worden álle IT security aspecten meegenomen. Het volgende trechtermodel voor IT security illustreert dit. Input Risk assessment / normeringen IT security beleid Maatregelen (technische) implementatie(s) Ictivity visie op IT Security 11 januari 2016 Pagina 7 van 12

8 De security funnel laat zien dat we van breed (globaal) naar smal (gedetailleerd) gaan. Dat gebeurt in de volgende volgorde: 1. Risico assessment en normeringen Eerst voeren we een risico assessment uit en kijken naar geldende normeringen (globaal). 2. Beleid definiëren Met behulp van het risico assessment en de geldende normeringen bepalen we IT security beleid. 3. Meten Op basis van het beleid meten we in de bestaande omgeving of de genomen maatregelen (technisch en organisatorisch) het beschreven beleid ondersteunen. 4. Maatregelen Als maatregelen ontbreken of niet passen in het beleid dan dienen we aanpassingen door te voeren. Deze aanpassingen implementeren we als laatste (details). Deze IT Security Funnel zorgt er voor dat we maatregelen nemen die passen bij de specifieke situatie van een bedrijf of instelling. Daarnaast zorgt het model er voor dat we geen aspecten omtrent IT security missen. We voorkomen verder dat er techniek om de techniek wordt geïnstalleerd die uiteindelijk niet goed bij een omgeving past. 3.1 Cyclisch model Het beschreven model is niet statisch maar cyclisch. Immers kunnen de uitgangspunten in een bedrijf of organisatie veranderen. Bijvoorbeeld door een fusie, een overname of het ontwikkelen van nieuwe dienstverlening. Het model dient dus met enige regelmaat (bv. Half-jaarlijks of jaarlijks) opnieuw te worden doorlopen om te zien of uitgangspunten zijn veranderd en of de beveiligingsmaatregelen nog wel aansluiten op hetgeen een bedrijf of organisatie vraagt. Ictivity visie op IT Security 11 januari 2016 Pagina 8 van 12

9 4 Meldplicht datalekken en IT security Binnen een paar jaar wordt de zogenaamde Europese privacy verordening van kracht. Dit is een verordening die direct, in alle lidstaten van de EU, geldig en actief wordt. Vooruitlopend op de verordening is door de eerste en tweede kamer een wetsvoorstel aangenomen die een meldplicht voor inbreuken op beveiligingsmaatregelen voor persoonsgegevens toevoegt aan de (bestaande) Wbp. Waarschijnlijk op 1 januari 2016 gaat deze zogenaamde meldplicht datalekken in. Op basis van de meldplicht datalekken moet de verantwoordelijke bij een datalek niet alleen een melding doen bij de toezichthouder, het College bescherming persoonsgegevens (Cbp), maar ook bij de betrokkene (de persoon of personen waarvan gegevens zijn gelekt). Deze meldplicht geldt voor alle verantwoordelijken voor de verwerking van persoonsgegevens, zowel in de private als publieke sector. 4.1 Impact De nieuwe meldplicht datalekken kan een flinke impact hebben op de manier waarop bedrijven en instellingen omgaan met IT security. Dat komt mede doordat op het niet naleven van de meldplicht aanzienlijke boetes staan (maximaal ,- of 10 procent van de (wereldwijde) jaaromzet van de rechtspersoon)! In de nieuwe wet geldt een meldingsplicht voor 'inbreuk op de beveiliging die leidt tot een aanzienlijke kans op ernstige gevolgen dan wel ernstige nadelige gevolgen voor de bescherming van persoonsgegevens'. Dat is voor interpretatie vatbaar. Het is daardoor onduidelijk hoe we de nieuwe wet moeten interpreteren, terwijl deze wél actief wordt. De meldplicht datalekken geldt bijvoorbeeld ook voor een kwijtgeraakte USB stick of de verzending van waarin alle geadresseerden zichtbaar zijn. In een gemiddelde organisatie kunnen zomaar een paar honderd memorysticks in gebruik zijn. Hoe hou je gedetailleerd bij waar die allemaal blijven? En hoe controleer je of er misschien iemand per ongeluk een cc in een heeft gebruikt in plaats van een bcc? Dit is een flinke uitdaging en is praktisch erg lastig uitvoerbaar. Als laatste veranderen de verantwoordelijkheden van ICT partijen onder de nieuwe wet. Ook de zogenaamde bewerker, oftwel de partij die data voor de eigenaar (de verantwoordelijke) bewerkt of verwerkt, heeft verantwoordelijkheden. Denk hierbij ook aan SaaS providers die de data van klanten op hun systemen hebben. Wie van de partijen gaat de meldingen coördineren? En wie is dan waar verantwoordelijk voor? Er dient tussen de opdrachtgever en de bewerker een bewerkersovereenkomst te zijn waarin dit soort zaken zijn vastgelegd. 4.2 Security De nieuwe meldplicht datalekken vraagt dus om meer administratie en vooral om een veel betere controle op het gebruik van ICT middelen in een bedrijf of organisatie. Het Cbp kan naar aanleiding van een melding een audit doen of er passende technische en organisatorische beveiligingsmaatregelen zijn genomen. Wat precies passend is wordt door het Cbp bepaald. Het is daardoor lastig om hierop goed voorbereid te zijn. Ictivity visie op IT Security 11 januari 2016 Pagina 9 van 12

10 Het zal duidelijk zijn dat er een link is tussen de meldplicht en IT security. De maatregelen die we nemen voor de meldplicht hebben immers alles te maken met de technische en organisatorische maatregelen die we in het kader van IT security nemen. Voor de meldplicht datalekken zijn met name de volgende IT security aspecten van belang: Is er IT security beleid gedefinieerd? o Een IT security beleid dient gebaseerd te zijn op de specifieke kwetsbaarheden van een omgeving en geldende normeringen voor de branche. Algemeen gedefinieerd beleid biedt te weinig raakvlakken met de praktijk. Is het beleid vertaald naar de juiste maatregelen? o Zijn technische en organisatorische maatregelen gebaseerd op het beleid? Dit zorgt dat maatregelen worden genomen die specifieke kwetsbaarheden adresseren en voorkomt de implementatie van techniek om de techniek. Is, naast technische maatregelen, voldoende aandacht besteed aan organisatorische maatregelen? o Technische maatregelen zijn heel belangrijk, maar lossen tegelijkertijd maar 50% van de problematiek op. Technische maatregelen behoeven een geoliede organisatie die zorgt voor adequaat beheer. Als dat achterwege blijft verliezen de technische maatregelen geleidelijk hun effectiviteit. Is voldoende aandacht besteed aan de menskant van IT Security? o Minimaal 50% van IT Security bestaat uit menselijke en organisatorische aspecten. Menselijke fouten zorgen veelal voor de grootste rampen op security gebied, daarvan zijn voldoende voorbeelden. Security bewustwording en digivaardigheid zijn enorm belangrijk. Ictivity is ervan overtuigd dat het alleen mogelijk is om te voldoen aan de nieuwe meldplicht datalekken en de eisen op het gebied van beveiliging van persoonsgegevens als de gehele breedte van IT security in de aandacht is. Een keten is immers zo sterk als de zwakste schakel! Vergeet één schakel en de gehele keten is zwak, met alle gevolgen van dien! De werkwijze met betrekking tot IT security, die in dit document is beschreven, is dus uitstekend geschikt om ook de uitdagingen van de meldplicht datalekken onder controle te krijgen. Ictivity visie op IT Security 11 januari 2016 Pagina 10 van 12

11 5 Security quickscan Doordat IT security zo n groot aantal verschillende aspecten kent, vinden bedrijven en organisaties het vaak lastig om IT security als geheel te overzien. Wat hoort er allemaal bij? Slaan we niets over? Hoe compleet is onze aanpak? Om dit snel inzichtelijk te maken heeft Ictivity de IT security quickscan ontwikkeld, met als doel om de volgende vragen te beantwoorden: In hoeverre is aandacht besteed aan álle aspecten van IT Security? Waar zijn quick wins te behalen op IT Security gebied (functioneel, technisch en organisatorisch)? Wat zijn de volgende stappen voor het verder optimaliseren van IT Security? Wat is nodig om te kunnen voldoen aan de meldplicht datelekken? De Quickscan bestaat uit een viertal vragenlijsten die betrekking hebben op alle aspecten van IT Security en die een bedrijf of organisatie zelf zo volledig mogelijk invult. Op basis daarvan vindt een workshop plaats. De workshop en de vragenlijst vormen dan weer de basis voor een pragmatisch advies. De security quickscan heeft een aantal voordelen: De quickscan is zeer laagdrempelig. De quickscan kost maximaal anderhalve dag tijd, inclusief de workshop. Er is direct inzicht in de huidige stand van IT security in een bedrijf of instelling. Er is direct Inzicht in wat te doen met betrekking tot de meldplicht datalekken. Een overzicht van quick wins zorgt dat er snel winst te boeken is op security gebied. De IT Security Quickscan levert dus snel veel informatie op tegen een beperkte inspanning. Het is een zeer goed ijkpunt om te kunnen bepalen op welke security gebieden extra aandacht nodig is om alle schakels in de security keten te adresseren. Ictivity visie op IT Security 11 januari 2016 Pagina 11 van 12

12 6 Samenvatting Ictivity is van mening dat de enige goede aanpak voor IT security een integrale aanpak is. Dat wil zeggen dat álle aspecten van IT security, zowel de technische als niet-technische, meegenomen dienen te worden. De niet-technische maatregelen (organisatie, medewerkers, beleid) zijn daarbij minstens zo belangrijk, zo niet belangrijker, dan de technische maatregelen. Alleen als alle individuele schakels van de security keten sterk zijn, zal ook de gehele keten sterk zijn. Eén zwakke schakel is voldoende om bedrijfsgegevens kwetsbaar te maken voor technische problemen, hackers of gebruikersfouten. Daarnaast staat Ictivity een werkwijze voor die van globaal naar specifiek gaat bij het implementeren van maatregelen en die bovendien cyclisch is (periodiek herhaald wordt). Zo ontstaan IT security maatregelen die zijn ingebed in een organisatie (beleid) en worden álle IT security belangrijke aspecten meegenomen. Het voorkomt bijvoorbeeld dat we techniek om techniek implementeren zonder dat die techniek goed is ingebed in organisatorische eisen. Dat is iets dat te vaak gebeurt. De in dit document beschreven werkwijze past bovendien goed bij de uitdagingen van de nieuwe meldplicht datalekken die in 2016 actief wordt in Nederland. De meldplicht datalekken en IT security aspecten zijn onlosmakelijk verbonden. Een goed startpunt bij het aanpakken van IT security is de IT quickscan die Ictivity aanbiedt. Met behulp van de quickscan is er snel inzicht in welke security gebieden extra aandacht nodig hebben om de totale security keten sterk te maken. Ictivity is van mening dat omgaan met IT security zoals beschreven in deze whitepaper de beste garantie geeft voor een zo goed mogelijke gegevensbeveiliging. Ictivity visie op IT Security 11 januari 2016 Pagina 12 van 12