SOURCING VAN SECURITY: EEN GOED IDEE

Transcriptie

1 Highlights De eerste stap op weg naar een afdoend beveiligingsbeleid is het onderwerp security hoog op de agenda zetten. Data is het 'goud' waar indringers naar op zoek zijn. Dataclassificatie is een beproefd beveiligingsmiddel. SOURCING VAN SECURITY: EEN GOED IDEE Vanwege de razendsnelle ontwikkelingen in cyberaanvallen en het specialistische werk om ze te pareren stijgt security als topic in rap tempo op de agenda van iedere board. De vraag daarbij is: zelf beveiligen of een expert inschakelen? Ons antwoord luidt: samen gaat het beter. Several #NATO websites have been target of significant DDoS attack. No operational impact. Our experts working to restore normal function, tweette onlangs een woordvoerder van de NAVO. Deze tweet was meer bedoeld om te informeren dan om te waarschuwen; cyberaanvallen op computersystemen van de NAVO zijn dagelijkse kost. In 2013 hebben de Intrusion Detection Services (IDA) van de Noord-Atlantische Verdragsorganisatie ongeveer 147 miljoen verdachte benaderingen afgehandeld en in 2012 ruim serieuze aanvallen gepareerd 1. Cyberaanvallen worden steeds doelgerichter en nemen in frequentie toe. Het antwoord op deze onzichtbare, dagelijkse dreiging is een complex securityvraagstuk, omdat in toenemende mate met minder kennis meer schade is aan te richten. Was vroeger specifieke kennis (een password bijvoorbeeld) nodig om fysiek toegang tot een netwerk te krijgen of via een achterdeurtje in een systeem te kunnen inbreken, vandaag de dag volstaat het codes van het internet te downloaden om een systeem met een virus te infecteren. De urgente vraag is hoe deze dynamische dreiging af te wenden is. Dat stelt een organisatie voor de volgende vragen: Hoe organiseer je de security van hoogwaardige IT-systemen? Wanneer weet je of het afdoende is? Vanwege het specialistische werk en de elkaar snel opvolgende ontwikkelingen: moet je het zelf doen of een specialist erbij betrekken? En als je de (IT-)systemen in handen geeft van een bedrijf dat gespecialiseerd is in security, wat geef je dan daadwerkelijk uit handen? In deze whitepaper delen wij verschillende inzichten die essentieel zijn voor de beantwoording van deze vragen. Onze voornaamste boodschap is dat geen enkele organisatie het security vraagstuk nog alleen - geïsoleerd - zal kunnen oplossen. 1 Bron: Reuters, 16 maart 2014

2 Security is een complexe, vierdimensionale puzzel die een nieuwe aanpak vergt De bankensector als voorbeeld Een groot aantal banken heeft de IT-systemen uitbesteed aan een externe partij en daarmee de beveiliging van die systemen. Anders gezegd: een groot deel van de bankensector maakt gebruik van externe partijen voor beheer en exploitatie van IT-diensten, en in het bijzonder voor de security. De bankensector heeft als een van de eerste ingezien dat een veilig imago cruciaal is, en vervolgens een voortrekkersrol gespeeld in beveiliging. Deze financiële instellingen waren voorlopers in het digitaliseren van hun dienstverlening. Handmatige processen zijn massaal omgezet in digitale processen en ondersteunende technologie is ingezet om informatie te ontsluiten ten behoeve van de klant. Vroege voorbeelden hiervan zijn Girotel voor online betalingen en WAP als voorloper van betalingen via mobiele apparaten (smartphones, tablets). De financiële sector maakte gebruik van horizontale kennis; dat wil zeggen dat gelijkgestemde functies kennis uitwisselden, bijvoorbeeld de security specialist van de ene bank overlegde met de security specialist (de peer) bij een andere bank. Met veiligheid deden ook toezichtregels en toezichthouders hun intrede. De banken hebben dat centrale toezicht direct omarmd en acteren sindsdien volgens hetzelfde adagium als de NAVO: een aanval op één is een aanval op allen. De les die banken direct hebben geleerd is dat ze in een heel vroeg stadium bereid waren, en zijn, om kennis en kunde op het gebied van beveiliging met elkaar te delen, zeker in geval van een serieuze dreiging. De sector maakt nu gebruik van gestandaardiseerde oplossingen op basis van referentiearchitecturen om de veiligheid in het digitale domein zeker te stellen. Blauwdruk voor security Hoe is het bankenvoorbeeld goed op te volgen? De eerste stap op weg naar een afdoende beveiliging is het onderwerp security hoog op de agenda te zetten. De tweede stap is een duidelijk beleid te formuleren dat gebaseerd is op de eigen industrie met bijbehorend risicoprofiel. Aan de hand van dit geformuleerde beleid kunnen security policies worden opgesteld. Daarbij is een belangrijke regel dat, indien de primaire processen afhankelijk zijn van digitale middelen, het potentiële gevaar groter is en security regels stringenter zullen zijn.

3 Figuur 1: Framework voor security blauwdruk Een security policy is gedetailleerd: het bepaalt bijvoorbeeld op het niveau van de medewerker wie waartoe en wanneer toegang heeft, hoe snel een password verloopt en hoe het auto-, fiets- en voetgangersverkeer op het bedrijfsterrein is geregeld. Naast dergelijke details is data een sleutelbegrip. Data is het 'goud' waar indringers (intruders) naar op zoek zijn. Om cruciale data te beveiligen is dataclassificatie een beproefd middel. Die classificatie wordt gebruikt om onderscheid te maken in de mate van beveiliging die voor diverse data nodig is. Denk bijvoorbeeld aan privacy of concurrentiegevoelige informatie. Beveiliging kan door de complexiteit behoorlijk kostbaar zijn; beveiliging kan ook de data 'op slot zetten'. Een belangrijke richtlijn bij de classificatie en uitvoering is dat security alleen daar wordt ingezet waar het nuttig en noodzakelijk is. Een moderne organisatie is tegelijkertijd toegankelijk en beveiligd; zich opsluiten achter een IJzeren Gordijn is het doel voorbij schieten. Op het niveau van applicaties worden de vastgestelde policies geautomatiseerd afgedwongen. Dit houdt in dat lokale installatie en gebruik van applicaties conform de policy - het beleid - centraal kan worden aangestuurd (figuur 1). De vertaling van beleid naar uitvoering geschiedt via implementatie op verschillende domeinen: personen, data, applicaties, infrastructuur en fysiek. Alleen al het gegeven dat IT-systemen veelal organisch zijn gegroeid, maakt de complexiteit tot een van de lastigste kwesties. Wat gisteren nog afdoende was, voldoet vandaag niet meer. Het plan van aanpak moet worden toegepast op een omgeving die niet ontworpen is om aan het nieuwe beleid te voldoen. Dat is een van de voornaamste waarom het een goed idee is om een expert van buitenaf te betrekken. SECURITY TOOLS + PROCESSEN Bij juist security beleid worden tools en processen geïmplementeerd die: policies afdwingen, zodat bepaalde handelingen niet langer mogelijk zijn (policy enforcement); inzicht geven in systemen, infrastructuur en gedrag van mensen via onderzoek en rapportage (fact based finding); op basis van patronen de organisatie, systemen en fysieke beveiliging weerbaar maken (hardening); mogelijke security bedreigingen in kaart brengen en classificeren op mogelijke impact (anomaly detection).

4 Big data analyse Een belangrijk nieuw wapen dat wordt ingezet tegen security bedreigingen is Big Data Analyse. Informatie uit verschillende domeinen, bijvoorbeeld in de vorm van logfiles of streaming data, wordt samengebracht voor de analyse. Zo worden correlaties tussen domeinen zichtbaar en kunnen afwijkende patronen worden ontdekt. Een afwijkend patroon is een signaal voor een mogelijke security bedreiging: een moderne IT-security radar. IBM is een sterke speler op het gebied van security en beheert wereldwijd vele infrastructuren voor bedrijven en overheidsorganisaties. De analyses worden geconsolideerd bij IBM X-Force dat deze security-informatie van klanten verzamelt en verwerkt. Deze informatie wordt verrijkt met oplossingsrichtingen en aangeboden als dienst. IBM heeft in de wereld een aantal Security Operation Centers (SOC) waar de dienstverlening wordt uitgevoerd en die erop zijn ingesteld om samen te werken met derdepartijen-socs. Figuur 2 geeft de security bedreigingen weer over een tijdsspanne van tweeënhalf jaar ( ). De kleuren corresponderen met de soorten bedreiging (attack types) en de grootte van de cirkels met de impact van de bedreigingen. Professionele securityleveranciers hebben up-to-date kennis van mogelijke nieuwe IT- bedreigingen en onderhouden die kennis dankzij hun aansluiting op een groot netwerk van informatie. Dit maakt deze bedrijven effectiever en doeltreffender dan een bedrijf dat de beveiliging volledig in eigen hand wil houden. Security is niet iets dat in isolatie goed te organiseren is. De juiste wijze om de dreiging te parareren is samenwerking, gebruikmakend van expertise die extern voorhanden is. Drie redenen voor inschakeling van een security expert: 1. Vreemde ogen dwingen. Er worden vragen gesteld of ideeën aangedragen, waaraan jezelf niet hebt gedacht. Als er een expert meekijkt en meedenkt, vindt er een continue vernieuwingsslag plaats. 2. Toegang tot kennis en kunde. Zonder die kennis en kunde zal het heel lastig zijn aanvallen en bedreigingen integraal te counteren. 3. Dreiging neemt toe. En de dreigingen zijn inmiddels te groot om geïsoleerd op te lossen. Samen gaat het beter Indien een bedrijf gebruik wil maken van diensten van een extern IT-beveiligingsbedrijf, dan is het belangrijk dat de partner van keuze de betreffende processen en procedures goed op orde heeft. Een vereiste is dat de beveiligingsleverancier een Security Officer heeft, een smetteloze reputatie geniet, als ook de waardering van analisten. De uitbesteder op zijn beurt moet weten welke bedrijfsonderdelen moeten worden beveiligd, en in welke mate. Figuur 2: IBM X-Force security-incidenten

5 Meer informatie Voor meer informatie over dit onderwerp kunt u contact opnemen met: George van Duyneveldt Sector rijksoverheid sourcing GvanDuyneveldt@nl.ibm.com Jan Schravesande IT Architect schravesande@nl.ibm.com Najaar 2014 Johan Huizingalaan VH Amsterdam Avenue du Bourget/Bourgetlaan Bruxelles IBM Luxemburg 1 Ceinture Um Schlass Hesperange L-5880 ibm.com IBM, het IBM-logo en ibm.com zijn handelsmerken van International Business Machines Corporation in de Verenigde Staten en/of andere landen. Als deze en andere merken van IBM bij hun eerste verschijning zijn aangeduid met een handelsmerksymbool ( of ), wordt hiermee aangegeven dat deze merken wettelijk zijn gedeponeerd in de V.S. of in eigendom zijn van IBM op het tijdstip van publicatie van deze informatie. Dergelijke merken kunnen ook geregistreerd of in eigendom zijn in andere landen. Een actuele lijst van IBM-merken is beschikbaar op het internet als Copyright and trademark information op ibm.com/legal/copytrade.shtml Andere benamingen van bedrijven, producten en diensten kunnen merken van derden zijn. Deze publicatie bevat verwijzingen naar IBM producten, -programma s en -diensten. Dergelijke verwijzingen impliceren niet dat IBM de intentie heeft dergelijke producten, programma s of diensten in alle landen waarin IBM opereert, aan te bieden. Verwijzingen naar een IBM-product, -programma of -dienst impliceren niet dat alleen het desbetreffende IBM-product of -programma of de desbetreffende IBM-dienst wordt gebruikt. Alle functioneel gelijkwaardige producten, programma s en diensten kunnen in plaats hiervan worden ingezet. Deze publicatie geldt alleen als richtlijn. Informatie kan zonder voorafgaande kennisgeving worden gewijzigd. Neem voor de meest recente informatie over IBM-producten en -diensten contact op met uw lokale IBM-vertegenwoordiger of IBM Business Partner IBM verschaft geen juridisch, administratief of boekhoudkundig advies, en geeft geen garanties dat de IBM-diensten of -producten naleving van wetgeving door de klant waarborgen. De klant is verantwoordelijk voor de naleving van de toepasselijke weten regelgeving, met inbegrip van de nationale weten regelgeving. Op foto s worden mogelijk ontwerpmodellen afgebeeld. Copyright IBM Corporation 2014