INFORMATIEBEVEILIGING

Transcriptie

1 april 2008 nummer 2 Risicomanagement krijgt vaste plaats in ITIL Introductie: discussiemodel voor integrale beveiliging Virtualisatie, de ins en outs Sociale netwerksites onschuldig? De menselijke kant van informatiebeveiliging INFORMATIEBEVEILIGING IB indd :07:19

2 Integrale beveiliging: een koppeling van de begrippen Auteur: Drs. T. Keizer RSE >Thimo Keizer werkt bij Northwave en is bereikbaar via Als beveiligingsdeskundigen weten we inmiddels allemaal dat informatiebeveiliging meer is dan een firewall of antivirustoepassingen. Voor mensen buiten het vakgebied is vaak nog niet duidelijk wat we nu precies bedoelen. Ook zien we dat de fysieke- en informatiebeveiliging steeds meer naar elkaar toegroeien, steeds meer op elkaar gaan vertrouwen en meer en meer gebruikmaken van elkaar. In dit artikel geven we een discussiemodel voor integrale beveiliging. Met dit model zijn we in staat om de beveiliging binnen organisaties integraal op te pakken waardoor de maatregelen optimaal kunnen worden afgestemd op de situationele aspecten van die organisatie. Ook kunnen we de beveiligingsmaatregelen op deze manier beter managen waardoor het risico op te weinig, te veel of de verkeerde maatregelen kan worden beheerst. Omdat we uiteindelijk maatregelen moeten nemen, wordt dit model tevens gekoppeld aan de technische, procedurele, organisatorische, bouwkundige en elektronische maatregelen. Continuïteit van de organisatie De belangrijkste doelstelling voor iedere organisatie is (of zou moeten zijn) continuïteit. Hoewel dit voor iedere bestuurder, manager of directeur wel duidelijk is, zie je deze doelstelling maar zelden expliciet terug in de jaarverslagen, missies en beleids- en bedrijfsplannen van organisaties. Om deze continuïteit te waarborgen, moet de organisatie waarde toevoegen aan de producten en diensten die ze beschikbaar stelt. Michael Porter introduceerde hiervoor halverwege de jaren tachtig de zogenaamde waardeketen waarbij onderscheid gemaakt werd tussen de primaire en secundaire processen. Met de intrede van mainframes, microcomputers, LAN s/wan s en dergelijke werden deze primaire en secundaire processen steeds vaker ondersteund door ICT-componenten, daarom moesten deze beveiligd worden. Fysieke beveiliging bestond al jaren, maar nu was ook informatiebeveiliging geboren. Sindsdien zijn ICT-componenten meer en meer cruciaal geworden voor het voortbestaan van de organisatie en ze zijn niet meer uit organisaties weg te denken. Naast efficiency en effectiviteit zijn ook de beschikbaarheid, exclusiviteit (vertrouwelijkheid) en integriteit hierbij belangrijke en bekende begrippen geworden. Informatiebeveiliging richt zich dan ook vooral op deze beschikbaarheid, integriteit en exclusiviteit om zo de continuïteit van de organisatie, de bedrijfsprocessen en de informatie te waarborgen. Vaak is de informatiebeveiliging hierbij gebaseerd op de Code voor Informatiebeveiliging. Tot zover niets nieuws onder de zon. In de praktijk zien we echter dat informatiebeveiliging en fysieke beveiliging nog weinig geïntegreerd zijn met elkaar. De informatiemanager draagt zorg voor de informatiebeveiliging en de fysieke beveiliging wordt door de facilitair manager georganiseerd. En hoewel de Code voor Informatiebeveiliging ook ingaat op fysieke beveiliging is de scope hiervan gericht op de fysieke beveiliging van de informatiesystemen en niet op de fysieke beveiliging ten behoeve van de primaire en secundaire processen van de organisatie. Het risico hiervan is dat we de verkeerde scope hanteren, te weinig, te veel of de verkeerde beveiligingsmaatregelen implementeren. Het uitgangspunt moet niet zijn de beveiliging van de ICT-componenten of locaties, maar de continuïteit van de bedrijfsprocessen van de organisatie. Daarbij vormt naast informatiebeveiliging ook fysieke beveiliging een belangrijk onderdeel. De primaire en secundaire bedrijfsprocessen zijn het doel, de ICTcomponenten en de locaties de middelen die dit doel ondersteunen. Ook zien we vaak dat, na een incident, gekozen wordt voor een productgerichte oplossing (firewall van merk X, camerasysteem van leverancier Y) en niet voor een top-downbenadering waarbij we op gestructureerde wijze proberen de risico s voor de organisatie te beperken. Natuurlijk moeten we de brand blussen als het gebouw in brand staat en het virus verwijderen als we geïnfecteerd zijn, maar daarna moeten we niet wachten op het volgende incident, maar moeten we op gestructureerde wijze proberen de risico s voor de organisatie te beheersen. Vanuit informatiebeveiligingsoptiek worden de risicoanalyse methodes A&K/ CRAMM en SPRINT/SPARK gehanteerd terwijl vanuit de fysieke beveiliging gebruik kan worden gemaakt van de zogenaamde Haagse Methode. Hoewel de uitkomsten van de A&K-analyse ook fysieke beveiligingsmaatregelen genereren, is het doel de bescherming van de ICT-componenten en niet direct de bescherming van de primaire en secundaire bedrijfsprocessen. Al deze methodes zijn goed bruikbaar binnen het integraal beveiligingsmodel. De uitkomsten van deze analyses worden samengebracht en geïntegreerd zodat de risico s voor de bedrijfsprocessen optimaal kunnen worden beheerst. Ook als de informatiebeveiliging gebaseerd is op best practices als de Code voor Informatiebeveiliging past dit naadloos in het integraal beveiligingsmodel. Wel moeten we hierbij steeds rekening houden met de scope van de gehanteerde risicoanalyse methode of de best practice. De vraag die we ons hierbij kunnen stellen, is: Is de scope gericht op de informatiesystemen, de locaties of de bedrijfsprocessen? 12 Informatiebeveiliging april 2008 IB indd :31:27

3 Hoe kunnen we integrale beveiliging dan borgen binnen de organisatie? Door een top-downbenadering te hanteren en een risicoanalyse uit te voeren die de risico s voor de bedrijfsprocessen van de organisatie in kaart brengt. Hierbij kunnen we de risico s voor de belangrijkste bedrijfsprocessen eerst aanpakken. Deze kritische processen worden ondersteund door informatiesystemen en ze vinden plaats in gebouwen. Hier komen de best practices en de uitkomsten van de CRAMM, SPRINT en fysieke risicoanalyses goed van pas. De prioriteit voor de implementatie van beveiligingsmaatregelen zal liggen bij de kritische bedrijfsprocessen en de informatiesystemen en gebouwen die deze processen ondersteunen. Figuur 1: Risicoanalyses Informatiebeveiliging en fysieke beveiliging groeien naar elkaar toe Fysieke- en informatiebeveiliging groeien steeds meer naar elkaar toe, ze gaan steeds meer op elkaar vertrouwen en ze gaan meer en meer gebruikmaken van elkaar. Denk bijvoorbeeld aan de beveiligingscamera s die tegenwoordig heel wat geavanceerder zijn dan een aantal jaar geleden. Ze hebben een ingebouwde server in zich, communiceren wireless met elkaar en het basisstation en beschikken over gigabytes aan opslagcapaciteit. Waren toegangspassen vroeger alleen voor toegang tot het gebouw, nu worden ze vaak al gebruikt om via je toetsenbord, een smartcard en een pincode toegang te verkrijgen tot het netwerk. De mogelijkheden zijn bijna onbeperkt en dragen zeker bij aan de verbetering van de beveiliging. We zullen dan ook zien dat ze meer en meer samen zullen smelten. Informatiebeveiliging en fysieke beveiliging kunnen niet meer los van elkaar worden gezien. Integrale beveiliging Omdat we uiteindelijk maatregelen moeten nemen om daadwerkelijk veiliger te worden, worden de begrippen informatiebeveiliging en fysieke beveiliging op operationeel niveau onderverdeeld in de volgende maatregelencategorieën: Bij informatiebeveiliging spreken we over de zogenaamde TOP-maatregelen. De technische, organisatorische en procedurele maatregelen. Bij fysieke beveiliging spreken we over de OBE-mix. De mix van organisatorische, bouwkundige en elektronische maatregelen. Hier komt een begrip om de hoek waarin de beveiligingsmaatregelen aan elkaar en aan informatie- en fysieke beveiliging kunnen worden gekoppeld zodat duidelijk kan worden gemaakt wat er nu echt wordt bedoeld: integrale beveiliging (ook wel comprehensive of enterprise security genoemd). We beginnen met een definitie voor dit begrip: Integrale beveiliging is de beveiliging van informatie (geautomatiseerde en niet- geautomatiseerde data), materieel en personeel om de continuïteit van de organisatie te waarborgen door, op basis van risicomanagement en een kostenbatenanalyse, technische, procedurele, organisatorische, bouwkundige en elektronische maatregelen te selecteren en te implementeren. Door beveiliging op een integrale wijze aan te pakken ontstaat een evenwichtig pakket aan maatregelen, dat afgestemd is op de specifieke situatie en processen van de organisatie. Uiteraard moeten deze maatregelen steeds op basis van risicomanagement worden vastgesteld, steeds kijkend naar de bedrijfsprocessen van de organisatie. De risico s moeten gewaardeerd worden, prioriteiten moeten worden gesteld en beslissingen moeten worden genomen over al dan niet te nemen beheersingsmaatregelen of te accepteren risico s. We willen immers geen maatregelen nemen, maar risico s afdekken en het heeft weinig nut om een briefje van 10 euro te beveiligen met een kluis ter waarde van 1000 euro. Zo heeft het ook weinig nut om technisch hoogstaande (en meestal kostbare) maatregelen te nemen voor een informatiesysteem dat geen kritisch Figuur 2: Integrale beveiliging Informatiebeveiliging april IB indd :31:28

4 Integrale beveiliging: een koppeling van de begrippen bedrijfsproces ondersteunt of waarvoor de procedurele maatregelen niet georganiseerd zijn. We pleiten in dit artikel dan ook voor een top-downbenadering vanuit risicomanagement op het hoogste niveau binnen de organisatie waarbij managers zich steeds af moeten vragen: Wat moeten we beschermen om de continuïteit van de organisatie te borgen? Waarom moeten we juist dat beschermen? Wat gebeurt er als we het niet goed beschermen? Als deze vragen beantwoord zijn, kunnen we met behulp van het integrale beveiligingsmodel de juiste prioriteiten stellen, maatregelen selecteren, implementeren en de status ervan monitoren. Informatiebeveiliging Informatiebeveiliging valt bij dit model uiteen in de geautomatiseerde en de niet- geautomatiseerde data. Met name het eerste begrip (geautomatiseerde data Inlichtingen Bij de heer A.R.K. Bloembergen, Hoofd Bedrijfsvoering, tel. (070) , een volledige vacatureomschrijving is aanwezig. Belangstellenden kunnen hun schriftelijke sollicitaties onder vermelding van bovenstaand vacaturenummer vóór 12 april 2008 mailen naar DVOM_P.sollicitaties. of sturen naar DVOM/P, Postbus 320, 3300 AH Dordrecht. ook wel computer- of ICT-beveiliging) wordt nogal eens gelijkgesteld aan het begrip informatiebeveiliging. Hierdoor bestaat de kans dat niet-geautomatiseerde data onvoldoende worden beveiligd. Een voorbeeld hiervan is het weggooien of mee naar huis nemen van vertrouwelijke, papieren documenten. Ook hier is de koppeling van informatiebeveiliging en fysieke beveiliging aanwezig in de vorm van het begrip dumpsterdiving: het in afvalbakken zoeken naar interessante informatie. Er zullen dus ook risico s afgewogen moeten worden voor niet- geautomatiseerde data. Hoewel het natuurlijk meer om handen heeft, kan een goede papierversnipperaar of een juiste afval-ophaalprocedure al een deel van dit risico afdekken. Informatiebeveiliging moet vooral niet verward worden met computerbeveiliging omdat dan risico s over het hoofd kunnen worden gezien en het begrip tekort wordt gedaan. Ook moeten we het doel (continuïteit van de organisatie door uitkomsten kritische bedrijfsprocessen) en OPENBAAR MINISTERIE FUNCTIONEEL PARKET de middelen (ICT-componenten, gebouwen, medewerkers) niet door elkaar halen. Fysieke beveiliging Fysieke beveiliging valt in dit model vervolgens uiteen in de beveiliging van materieel en de beveiliging van personeel. Hierbij wordt gedoeld op het materieel dat van belang is voor de kritieke bedrijfsprocessen van de organisatie. Dat kan hardware zijn (servers, routers, switches), maar dat kan ook een robot- of fabricagestraat zijn. Vanuit de verzekering worden al eisen gesteld aan brandpreventie en inbraakdetectie, dit vormt soms al een goede basis voor het niveau van materiële beveiliging binnen de organisatie. Personele beveiliging is vervolgens niet het bewaken van het personeel door bodyguards in te huren. Nee, personele beveiliging richt zich bijvoorbeeld op de betrouwbaarheid van het personeel (screeningen), het beveiligingsbewustzijn en de beveiligingscultuur binnen de organisatie. Beveiligingsmaatregelen De verbetering van de integrale beveiliging INFORMATIEBEVEILIGINGFUNCTIONARIS (vac.nr. BV/2008) Het Functioneel Parket (FP) is een, landelijk opererend, onderdeel van het Openbaar Ministerie, belast met de strafrechtelijke handhaving van de milieu-, economie- en fraudewetgeving. Het FP beweegt zich in een complexe omgeving van bestuurders, departementen, bijzondere opsporingsdiensten, politie en belangen- organisaties. Het FP kent 5 locaties: Den Haag, Amsterdam, Den Bosch, Rotterdam en Zwolle. Taken Als informatiebeveiligingsfunctionaris (IBF-er) bent u verantwoordelijk voor het formuleren van informatiebeveiligingsbeleid. U bent ook verantwoordelijk voor de coördinatie van informatiebeveiligingswerkzaamheden en controleert de naleving van het beleid en de voorschriften. U volgt de relevante ontwikkelingen op het gebied van de informatiebeveiliging en evalueert en past daar waarnodig beleid aan. De IBF-er dient een duidelijke visie te hebben op de betekenis van informatiebeveiliging bij externe inhuur van personeel. Functie-eisen: U beschikt over een relevante opleiding op HBO-niveau en de nodige communicatieve- en adviesvaardigheden. Kennis van informatiebeveiliging en -methoden, relevante wet- en regelgeving alsmede communicatiemiddelen, opslagmedia en geautomatiseerde (gegevens) verwerking- en informatiesystemen. U dient vaardigheid te hebben in het verzamelen, analyseren en verwerken van pre-adviezen van informatie over het informatiebeveiligingsbeleid en het (doen)ontwikkelen en aanpassen van de hierop van toepassing zijnde procedures. Bijzonderheden: ADVERTENTIE het salaris bedraagt maximaal 3702,55 (BBRA schaal 10) bij een 36-urige werkweek (5 x 8 uur als gevolg waarvan ADV wordt opgebouwd) exclusief vakantie- en eindejaarsuitkering en secundaire arbeidsvoorwaarden; standplaats is Den Haag; Tijdelijk dienstverband (2 jaar) met uitzicht op vast dienstverband; een veiligheidsonderzoek maakt deel uit van de selectieprocedure. 14 Informatiebeveiliging april 2008 IB indd :31:35

5 strekt zich uit over alle producten, diensten, materialen, medewerkers en vestigingen van de organisatie. Het heeft betrekking op alle aspecten van de bedrijfsprocessen van de organisatie (en de koppelvlakken met betrekking tot de klanten) om de continuïteit van de bedrijfsvoering te kunnen waarborgen. De kritieke processen, die per organisatie verschillen, verdienen hierbij de hoogste prioriteit daarom moeten we allereerst maatregelen implementeren voor die informatiesystemen en die kritische ruimtes die de kritische bedrijfsprocessen ondersteunen. We kunnen natuurlijk allerlei mooie theorieën ontwikkelen en ideeën bedenken, maar uiteindelijk gaat het erom op operationeel niveau maatregelen te implementeren waarmee we daadwerkelijk beter beveiligd zijn. Om de risico s die de continuïteit van de bedrijfsvoering in gevaar kunnen brengen beheersbaar te maken, moet de juiste combinatie van technische, procedurele, organisatorische, bouwkundige en elektronische maatregelen geïmplementeerd worden. Een integraal beveiligingsbeleid dat afgestemd is op het bedrijfsbeleid, de missie en de doelstellingen van de organisatie vormt hierbij het vertrekpunt. Beleggen van verantwoordelijkheden De zogenaamde trias politica kan gebruikt worden om de belegging van taken, bevoegdheden en verantwoordelijkheden toe te lichten. Hierbij worden de zogenaamde wetgevende, uitvoerende en rechterlijke macht onderscheiden. Op voldoende hoog niveau binnen de organisatie kan een Chief Information Security Officer (CISO) worden aangewezen die verantwoordelijk wordt gesteld voor de wetgevende macht binnen de organisatie. Hier wordt het integraal beveiligingsbeleid opgesteld (dat door de directie wordt vastgesteld) en hij/zij vormt het overkoepelende orgaan aan wie de uitvoerende macht functioneel verantwoording aflegt. De uitvoerende macht die hierbij onderscheiden wordt, is de informatiemanager die verantwoordelijk is voor het uitvoering geven aan de informatiebeveiliging en de facilitair manager die verantwoordelijk is voor het uitvoeren van de fysieke beveiliging. Zij kunnen voor hun deelgebied deelbeleid opstellen dat dan in overeenstemming moet zijn met het integraal beveiligingsbeleid. Omdat zij hiërarchisch veelal niet onder de CISO zullen vallen (zij hebben immers meer taken dan beveiliging) moeten zij daar waar het informatie- of fysieke beveiliging betreft functioneel verantwoording afleggen aan de CISO. De CISO, de informatiemanager en de facilitair manager zullen de beveiligingsmaatregelen onderling af moeten stemmen om een optimale set van beveiligingsmaatregelen te garanderen. De rechterlijke macht kan in deze structuur worden ingevuld door interne controleurs, kwaliteitsmedewerkers of interne auditors. Zij toetsen de integrale beveiliging aan de informatiebeveiligingsplannen, de fysieke beveiligingsplannen en/of de eisen die door de directie zijn vastgelegd in het integraal beveiligingsbeleid. De directie ontvangt haar rapportages vanuit drie kanalen, namelijk van de CISO die verantwoording aflegt over zijn uitgevoerde beveiligingswerkzaamheden. Ook ontvangt de directie de rapportages uit de lijn- of staforganisatie (waar de informatiemanager en de facilitair manager onder vallen). Daarnaast ontvangt de directie de rapportages van de rechterlijke macht, die eventuele afwijkingen rapporteert. Op deze wijze is de directie altijd op de hoogte van de status van de integrale beveiliging binnen de organisatie en kan zij verantwoording afleggen aan de Raad van Bestuur of aan externe controle organen. Op deze wijze wordt de bekende Demming circle ingericht en in feite is dit het begin van het Information Security Management System uit ISO Incidenten Honderd procent beveiligen is een onmogelijke of in ieder geval een erg kostbare zaak. Door beveiliging op een integrale wijze, gebaseerd op risicomanagement, aan te pakken kunnen de onderkende risico s met minder kosten worden afgedekt. Er zullen minder incidenten plaatsvinden en als ze plaatsvinden, kunnen ze tijdig worden ontdekt. Dit is belangrijk omdat een incident ernstige gevolgen kan hebben voor het voortbestaan van de organisatie. Het kan direct invloed hebben op de aandelenkoers, maar een incident kan bijvoorbeeld ook het zo zorgvuldig opgebouwde imago in één klap tenietdoen. Door incidenten kunnen bedrijfsprocessen stilvallen, kunnen mensenlevens in gevaar worden gebracht, kan omzet worden misgelopen of kunnen klanten schadeclaims indienen. Beveiliging is niet (langer) een technische uitdaging, maar een bedrijfskundig aspect dat een structurele aanpak verdient en dat afgestemd moet zijn op de kritische processen van de organisatie. Niet alle incidenten kunnen voorkomen worden, maar de kans dat een incident zich voordoet kan wel verkleind worden door, naast allerlei technische maatregelen, ook te zorgen voor een samenhangend pakket procedurele, organisatorische, bouwkundige en elektronische maatregelen. Als een incident zich dan toch voordoet, is het te hopen dat de organisatie een incidentresponse team heeft ingericht en een business continuity en disaster recovery plan heeft opgesteld om de schade te beperken. Conclusie Kortom; de begrippen informatiebeveiliging en fysieke beveiliging kunnen niet meer los benaderd worden. Ze komen samen in het begrip integrale beveiliging dat een bedrijfskundige uitdaging is die gebaseerd is op risicomanagement en waarvoor de coördinatie en eindverantwoordelijkheid op voldoende hoog niveau binnen de organisatie moeten worden opgepakt. Het vereist een top-downbenadering die zichtbare steun geniet van het management, daarbij steeds kijkend naar de kritieke bedrijfsprocessen voor de organisatie. Met dit model zijn niet alle ontwikkelde theorieën en best practices in één klap ongedaan gemaakt, in tegenstelling: deze theorieën en best practices zijn goed bruikbaar, ze worden met dit model juist bijeengebracht. De vraag of iedere organisatie nu aan de integrale beveiliging moet, kan met een volmondig ja worden beantwoord, mits de organisatie de continuïteit van de organisatie zeker wil stellen. Informatiebeveiliging april IB indd :31:36