7 Informatiebeveiliging, u een zorg? Douwe de Jong

Transcriptie

1 7 Informatiebeveiliging, u een zorg? Douwe de Jong Iedere ondernemer doet aan beveiligen. Bedrijfsgebouwen zijn beveiligd tegen inbraak. Anti-virussoftware en firewalls behoren tot de standaard-automatiseringsuitrusting. Toch is dat niet altijd afdoende. Hoe weet je wanneer je beveiliging voldoende is? Als je kijkt naar de fysieke beveiliging zijn er praktische richtlijnen. De mate waarin een gebouw tegen inbraak beveiligd behoort te zijn, wordt bepaald op basis van een risicoklasse-indeling. Zo'n indeling is onder andere afhankelijk van de inbraakgevoeligheid van het gebouw; voor de verschillende risicoklassen worden beveiligingsniveaus voorgeschreven. De verzekeraar vereist in veel gevallen een risicoklasse-indeling en koppelt zijn premie daaraan. Bij informatiebeveiliging ligt dat anders; er is geen gangbare risicoafweging waaruit rechttoe rechtaan beveiligingsmaatregelen zijn te koppelen en ICTbeveiligingsbedrijven werken niet met genormeerde producten; laat staan dat er een koppeling is met de verzekeringspremie. Informatiebeveiliging is ongrijpbaar: waarom zou je eigenlijk beveiligen? Omdat het zo hoort vanuit een goed ondernemerschap? Omdat je verplicht bent te voldoen aan vigerende wet- en regelgeving? Of gewoon uit eigen belang omdat alle betrokkenen baat hebben bij de continuïteit van de bedrijfsvoering en, soms nog belangrijker, bij een goed imago? In dit artikel vertel ik eerst meer over het belang van een risicoafweging voor het opstellen van een informatiebeveiligingsplan. Daarna ga ik in op een integrale benadering van informatiebeveiliging en komen er enkele geautomatiseerde hulpmiddelen aan bod. Ten slotte geef ik verwijzingen naar enkele via internet beschikbare beveiligingsinitiatieven. Wat is informatiebeveiliging? Ruim tien jaar geleden is het Voorschrift Informatiebeveiliging Rijksdienst (VIR) verschenen, een bijzonder initiatief waarbij de overheid het voortouw heeft genomen om in een beknopt en leesbaar voorschrift het vakgebied informatiebeveiliging onder de aandacht te brengen. Het VIR schetst methodische en organisatorische kaders waaraan niet alleen de overheid maar ook in toenemende mate private instellingen zich conformeren. Informatiebeveiliging wordt in het VIR gedefinieerd als: het treffen en onderhouden van een samenhangend pakket van maatregelen ter waarborging van de beschikbaarheid, exclusiviteit en integriteit van de informatievoorziening. Een korte typering van deze drie kwaliteitscriteria: - beschikbaarheid is gericht op de applicatie; is die op de juiste tijd en plaats beschikbaar? - exclusiviteit is gericht op communicatie; is informatie alleen toegankelijk voor wie bedoeld? - integriteit is gericht op informatie; is die volledig en juist? In welke mate beveiligen? Als goed ondernemer bescherm je je belangen. Het gaat daarbij niet zozeer om het waarom dan wel om de mate waarin moet worden afgeschermd. Het sleutelwoord hierbij is de risicoafweging. 66

2 Een risicoafweging is nodig omdat: - een risicoafweging inzicht geeft in wat en in hoeverre beveiligd moet worden; - een accountant alleen dan kan beoordelen of een beveiligingsplan in verhouding staat tot de te beschermen belangen als er een risicoafweging aan is voorafgegaan; - aantoonbaar voldoen aan een afgesproken beveiligingsniveau steeds meer een wettelijke verplichting wordt, niet alleen voor overheidsinstanties en financiële instellingen, maar bijvoorbeeld ook voor zorgaanbieders als die gebruik willen maken van elektronische zorgdossiers. De risicoafweging Een weloverwogen risicoafweging is de belangrijkste voorwaarde voor het opstellen van een evenwichtig beveiligingsplan. De volgende vragen staan daarbij centraal: - in hoeverre is een organisatie afhankelijk van de informatievoorziening? Ga uit van de bedrijfsprocessen en van de relevante wet- en regelgeving; druk die afhankelijkheid uit in de drie betrouwbaarheidseisen beschikbaarheid, exclusiviteit en integriteit. - in hoeverre is de organisatie, in het bijzonder de informatievoorziening, kwetsbaar? Bepaal dreigingen die als significant worden beschouwd en beschrijf dreigingscenario's om inzicht te krijgen in de kans dat de dreiging zich voordoet en de impact die de dreiging heeft voor de organisatie. Deze zogenaamde afhankelijkheids- en kwetsbaarheidsanalyse (A&K-analyse) wordt voor het eerst genoemd in het VIR en is op dit moment, weliswaar in verschillende en meer op de praktijk gerichte varianten, vrij algemeen in gebruik. Bij het uitvoeren van een risicoafweging ga je vooral op zoek naar vaste ankerpunten. Het is dan niet nodig zelf opnieuw de afweging te maken, maar is het een kwestie van 'gewoon doen'; voor de security-manager, die voortdurend betrokkenen moet overtuigen van nut en noodzaak van soms dure en hinderlijke beveiligingsmaatregelen, een welkome handreiking. Wet en regelgeving Ankerpunten worden afgeleid uit relevante wet- en regelgeving. Soms gaat het daarbij om concrete eisen, soms om aanbevelingen waaraan een organisatie zich kan conformeren. Het zijn aanknopingspunten om beveiligingseisen te stellen en in sommige gevallen is er zelfs een rechtstreekse relatie met beveiligingsmaatregelen beschreven. Voorbeelden van wet- en regelgeving in relatie met informatiebeveiliging: - de belangrijkste regelgeving op het gebied van informatiebeveiliging is de Wet Computercriminaliteit; daarin wordt voornamelijk het treffen van een afdoend beveiligingsniveau verplicht gesteld; - het College Bescherming Persoonsgegevens heeft om te voldoen aan de Wet Bescherming Persoonsgegevens een handreiking opgesteld; daarin wordt aanbevolen persoonsgegevens in te 67

3 Wet Computercriminaliteit bron Wikipedia Onder computercriminaliteit verstaat men die vormen van criminaliteit die betrekking hebben op computersystemen. Voorbeelden: - het ongeoorloofd toegang verschaffen tot een computersysteem; - het kopiëren van vertrouwelijke gegevens; - ongeoorloofd computerdata verwijderen of aanpassen; - ongeoorloofd computersystemen uitschakelen of onbruikbaar maken; - het versturen van virussen en spam; - fraude met behulp van computers en valsheid in geschrifte met betrekking tot computerdata. Inbreuk op auteursrechten van digitale media worden meestal niet tot het gebied der computercriminaliteit gerekend. Er staan wel strafbepalingen in de Nederlandse Auteurswet. Het versturen van spam wordt door sommigen als computercriminaliteit beschouwd (het is in Nederland sinds 2004 strafbaar om spam aan privépersonen te sturen). De Wet Computercriminaliteit is van Een wetsvoorstel Computercriminaliteit II werd in 1999 bij de Tweede Kamer ingediend, maar lag jarenlang stil. In maart 2005 werd een wijzigingsvoorstel ingediend bij de Tweede Kamer, tegelijk met een wetsvoorstel ter ratificatie van het Cybercrime-verdrag, dat Nederland in november 2001 ondertekende. De huidige wet is op 31 mei 2006 goedgekeurd door de Eerste Kamer, en per 1 september 2006 in werking getreden. delen in risicoklassen; per risicoklasse zijn passende beveiligingsmaatregelen beschreven; - het VIR is verplicht gesteld voor de nationale overheid; daarin wordt de afhankelijkheidsanalyse voorgeschreven voor het bepalen van de te stellen betrouwbaarheidseisen aan de informatievoorziening en een kwetsbaarheidsanalyse voor het bepalen van relevante dreigingen. Voor lokale overheden is in de GBA-wetgeving tevens de calamiteitenplanning voorgeschreven; - bij de overheid is sinds enkele jaren de regeling VIR-bijzondere-informatie (VIRbi) van toepassing; daarin worden aan de risicoklasse departementaal vertrouwelijk specifieke beveiligingsmaatregelen gekoppeld. Ook in het bedrijfsleven kan hiervan gebruikmaken bij het uitwisselen van vertrouwelijke informatie tussen handelspartners; - de Nederlandse Bank heeft in 1988 vanuit haar rol als toezichthouder voor het bankwezen eisen gesteld met betrekking tot de betrouwbaarheid van de gegevensverwerking. Het niet voldoen aan die eisen kan leiden tot het intrekken van de vergunning; - voor internationale ondernemingen met een Amerikaanse beursnotering is de Sarbanes-Oxleywet van toepassing; SOx gaat over de continuïteit van een onderneming in het algemeen en is dus ook van belang voor informatiebeveiliging; - voor specifieke beroepsgroepen kunnen regelgeving en (gedrags)codes van toepassing worden verklaard. Het beveiligingsplan De belangrijkste bouwstenen voor het opstellen van een beveiligingsplan zijn betrouwbaarheidseisen en relevante dreiging. Daarbij nemen zowel de overheid 68

4 als het bedrijfsleven in toenemende mate de Code voor Informatiebeveiliging (Code) als leidraad. De Code is een algemeen geaccepteerde standaard voor het hele werkgebied informatiebeveiliging. De Code bevat een groot aantal beveiligingsmaatregelen. Het eerste deel kan worden gezien als leidraad voor implementatie van een beveiligingsplan, het tweede deel is normstellend voor audits en certificering. De eerder genoemde handreikingen met betrekking tot het beschermen van persoonsgegevens (Wbp) en de uitwisseling van vertrouwelijke informatie (VIRbi) verwijzen voor de aanbevelingen expliciet naar maatregelen uit de Code. Voorschrift Informatiebeveiliging Rijksdienst-bijzondereinformatie (VIRbi) Het VIRbi stelt eisen aan de beveiliging van bijzondere informatie inclusief de informatiedragers. Het voorschrift vervangt de uit 1989 daterende Aanwijzingen voor de beveiliging van staatsgeheimen en vitale onderdelen bij de rijksdienst; de AAR-9. De AAR-9 richt zich met name op de fysieke en organisatorische beveiliging van gerubriceerde, niet-elektronische documenten. Er is aan het VIRbi een beveiligingsniveau toegevoegd dat niet gekoppeld is aan de classificatie staatsgeheim, maar van toepassing kan zijn indien kennisnemen door niet-gerechtigden nadeel kan toebrengen aan het belang van een of meer ministeries. Ook voor het bedrijfsleven is dit een welkome handreiking bij het uitwisselen van vertrouwelijke gegevens tussen verschillende partijen. best practices de eerste klap is een daalder waard minimaal beveiligingsniveau risicoafweging voor de organisatie beleidsmatig vastleggen basis beveiligingsniveau risicoafweging per informatiesysteem meer/minder tov basisniveau beveiligingsniveau per informatiesysteem plan-do-check-act cyclus kwaliteitsmodel managementsysteem informatiebeveiliging Figuur 7.1 Vierstappenplan 69

5 Code voor Informatiebeveiliging (Code) Begin jaren negentig is Code via Shell Engeland in Nederland geïntroduceerd. In 1995 verscheen de eerste Nederlandse vertaling, ook bekend als BS7799 en ISO Code opgenomen in de ISO27000-serie als ISO27001 & ISO NEN7510 is de variant voor de Zorgsector. Doelstelling: - het verschaffen van een gemeenschappelijke basis voor bedrijven van waaruit deze effectieve codes voor informatiebeveiliging kunnen ontwikkelen, implementeren en meten; - het bevorderen van het vertrouwen in IB binnen een organisatie en in het handelsverkeer tussen bedrijven. Een min of meer uitputtende opsomming van beveiligingsmaatregelen als best practices is handig, maar zou ook wel eens te veel van het goede kunnen zijn. Ook nu weer is het de vraag welke maatregelen van toepassing zijn. In deze paragraaf wordt een vierstappenplan geschetst voor het opstellen én onderhouden van een beveiligingsplan. Begin met een minimaal beveiligingsniveau (stap 1) Het uitvoeren van een risicoanalyse en het opstellen van een beveiligingsplan is arbeidsintensief en vergt ervaring. Het verdient aanbeveling om eenvoudig te beginnen, maar wel zodanig dat het resultaat de basis kan zijn voor een verbeterslag. De Code beschrijft zogenaamde key-maatregelen die gelden voor elke organisatie. Drie maatregelen die vanuit wettelijk oogpunt belangrijk zijn: - het naleven van het auteursrecht op software; - de beveiliging van bedrijfsdocumenten; - de bescherming van persoonlijke informatie. Daarnaast vijf maatregelen die als 'best practice' kunnen worden aangemerkt: - het opstellen van een beleidsdocument voor informatiebeveiliging; - het toewijzen van verantwoordelijkheden voor informatiebeveiliging; - opleiding en training voor informatiebeveiliging; - het rapporteren van beveiligingsincidenten; - het treffen van continuïteitsmaatregelen. Voeg daaraan maatregelen toe die voor de hand liggen bij specifieke wetgeving, vereisten of dreigingen en zorg dat dit basale beveiligingsniveau binnen een overzichtelijke termijn operationeel is. Zo is met geringe inspanning al veel resultaat bereikt en in veel gevallen is dit minimale beveiligingsniveau al voldoende voor kleinschalige organisaties. Bepaal een basisbeveiligingsniveau (stap 2) Formeer een vaste kern van proceseigenaren en beveiligingsdeskundigen om vanuit processen en wet- en regelgeving de beveiligingsvereisten vast te stellen die van toepassing zijn voor de gehele organisatie en bepaal passende beveiligingsmaatregelen. Neem als leidraad de beveiligingseisen uit deel II van de Code en ga na welke beveiligingsmaatregelen al aanwezig zijn (IST-situatie). Bepaal daarna vanuit de beleidsuitgangspunten en de interviewresultaten (inzicht in generieke afhankelijkheden en kwetsbaarheden) welke beveiligingseisen verder van toepas- 70

6 sing zijn (SOLL-situatie). Bepaal beveiligingsmaatregelen, eventueel gefaseerd, om de gewenste situatie te bereiken. Zo ontstaat een basisbeveiligingsniveau; leg beleidsmatig vast dat dit niveau van toepassing is voor de totale informatievoorziening van de gehele organisatie. Integreer informatiebeveiliging in de bedrijfsvoering; maak het als vanzelfsprekend onderdeel van de organisatie. Voor een beveiligingsbeleid gelden dezelfde regels als voor andere beleidsterreinen; maak bijvoorbeeld een kosten-batenafweging bij budgetaanvragen. Neem informatiebeveiliging op in bestaande overlegorganen en procedures; zorg dat informatiebeveiliging vanzelfsprekend wordt in plaats van een speeltje van specialisten. De vier activiteiten van de Deming- Bepaal het beveiligingsniveau per informatiesysteem (stap 3) Voor elk afzonderlijk systeem moet daarna expliciet worden Kwaliteitscyclus: onderzocht in welke mate de plan-do-check-act beveiliging valt binnen het basisbeveiligingsniveau. Zo ja, dan zijn cirkel: alle daarbij behorende maatregelen van toepassing. Zo niet dan moet worden beargumenteerd moeten worden; waarom met een lager beveiligingsniveau kan worden volstaan uitgevoerd; of waarom nader onderzoek nodig is voor eventuele aanvullende beveiligingsmaatregelen. gecheckt; Deze baselinebenadering is erg acties ondernomen. 1. plan; na de besluitvorming van act (4) zal er opnieuw gepland 2. do; daarna wordt de planning 3. check; de haalbaarheid wordt 4. act; op de haalbaarheid worden praktisch voor grotere organisaties; het maakt beveiliging transparant en legt de verantwoordelijkheid voor beveiliging daar waar hij hoort: bij de eigenaar. Richt een managementsysteem informatiebeveiliging in (stap 4) Uitgangspunten en randvoorwaarden waarop de informatiebeveiliging is gebaseerd zullen regelmatig wijzigen; denk aan uitbreiding van de ICT-infrastructuur, verhuizingen, nieuwe dreigingprofielen en gewijzigd beleid. Evalueer het beveiligingsplan regelmatig en doorloop periodiek de beveiligingsactiviteiten om het plan actueel te houden. Sluit aan bij aanwezige kwaliteitsmodellen en maak gebruik van de zogenaamde plan-do-check-act cyclus. De geschetste aanpak hoeft weinig geld en tijd te kosten. Dit geldt in het bijzonder voor stap 1 waarbij beveiligingslekken snel zichtbaar worden. Stap 2 vergt meer aandacht en stap 3 is afhankelijk van het aantal informatiesystemen waarvoor extra onderzoek nodig is. Stap 4 gaat min of meer vanzelf als de verantwoordelijkheid voor beveiliging goed is geregeld en alle medewerkers zich bewust zijn van het belang van beveiliging. Integrale beveiliging Informatiebeveiliging staat niet op zichzelf. Informatie is 71

7 te beschermen belangen; bedrijfsprocessen informatiebeveiliging betrouwbaarheidseisen informatiesystemen fysieke beveiliging veiligheidseisen gebouw/ruimten personele veiligheid arbo-eisen personeel evenwichtig maatregelenpakket Figuur 7.2 Evenwichtig maatregelenpakket beschikbaar op elke werkplek; informatie is er voor de medewerkers, dus elke werkplek moet worden afgeschermd tegen onbevoegde indringing. Ook is er een relatie met de fysieke beveiliging, zoals die van het gebouw. Bij het bepalen van beleidsuitgangspunten voor beveiliging wordt vooral bij de overheid steeds meer gesproken over het beschermen van informatie, object en mens. Waarom een integrale benadering? Integreren is volgens de Van Dale het maken, groeien, samenbrengen tot of opnemen in een groter geheel: het maken tot een eenheid. Om te kunnen integreren is wederzijds aanpassing nodig van het te integreren deel in het grotere geheel; integreren is niet simpelweg een optelsom van disciplines. Beveiliging van informatie, object en mens heeft eenzelfde doel: de bescherming van de bedrijfsprocessen. Bedrijfsprocessen zijn afhankelijk van het goed functioneren van informatiesystemen, van de beschermende werking van objecten zoals terrein, gebouw en afgesloten ruimte. Maar bedrijfsprocessen zijn eveneens afhankelijk van het welbevinden van de medewerkers. Al deze aspecten komen de kwaliteit van het bedrijfsproces ten goede. De drie beveiligingsdisciplines resulteren in een stelsel van maatregelen dat is afgestemd op de te beschermen belangen. Er worden risicoafwegingen gemaakt door het onderkennen van afhankelijkheden en dreigingen, rekening houdend met wet- en regelgeving. Bij de informatiebeveiliging spreekt men over de betrouwbaarheidseisen, fysieke beveiliging kent veiligheidscriteria en bij de personele veiligheid gaat het vooral om de wettelijke arbo-eisen. Door in een vroeg stadium eisen voor informatie, gebouw en personeel op elkaar af te stemmen ontstaat een 72

8 evenwichtiger maatregelenpakket. Ter illustratie het volgende. Het stellen van veiligheidseisen aan ruimten kan tot gevolg hebben dat een gebouw wordt ingedeeld in zones, waarbij de verschillende zones worden afgeschermd met behulp van een elektronisch toegangsbewakingssysteem. Betrouwbaarheidseisen voor informatiesystemen kunnen leiden tot zowel fysieke als logische toegangsbeveiligingsmaatregelen. Voor IT-werkplekken die zich in een zone bevinden waar alleen medewerkers met een persoonlijke en op basis van hun functie geautoriseerde pas toegang hebben, kunnen de werkplekbeveilingsmaatregelen wat minder zwaar zijn; afgezien van de mogelijkheid om de fysieke toegang tot ruimte én werkstation te integreren. Extra beveiligde zones mogen dan voorzien zijn van geavanceerde, elektronische toegangsdeuren, er moet wel worden voldaan aan de arbo-eis van een onbelemmerde vluchtweg in geval van een calamiteit. Geautomatiseerde ondersteuning Beveiliging is mensenwerk! Het kan erg arbeidsintensief zijn en wat ligt dan meer voor de hand dan bij informatiebeveiliging gebruik te maken van beschikbare ICT-hulpmiddelen. Code Monitoring Nagenoeg elke beveiligingsadviseur heeft een software-tool beschikbaar op basis van de maatregelen uit de Code voor Informatiebeveiliging. Een zogenaamd Code Monitoringtool kan aanzienlijk de doorlooptijd bekorten van de verschillende stappen om te komen tot een beveiligingsplan. Voor het leereffect én voor de bewustwording is het aan te bevelen in de beginfase de exercitie handmatig uit te voeren; voor grote bedrijven en instellingen is geautomatiseerde ondersteuning voor de onderhoudsfase een must. State Monitoring Veel organisaties moeten voldoen aan een bepaald beveiligingsniveau. Overheidsinstanties moeten aantonen dat ze voldoen aan het VIR. Als zorginstellingen en commerciële bedrijven gebruik willen maken van de elektronische zorgdossiers, moeten ze voldoen aan de vereisten van het GBZ (Goed beheer Zorgsysteem). Daarin zijn ook de nodige beveiligingseisen beschreven. Financiële instellingen hebben te maken met externe toezichthouders die periodiek ook inzicht willen hebben in beveiligingszaken Voor grote bedrijven worden de periodieke compliance-rapportages steeds belangrijker. Als informatietechnologie omvangrijker en complexer wordt, ga je over op steekproefsgewijze controles, maar naarmate het maatschappelijke belang groter wordt denk aan banken, verzekeraars enzovoort ontkom je niet aan geautomatiseerde ondersteuning van volledige controles. Hiervoor kunnen compliance-tools worden ingezet. Deze zogenaamde State Monitoring-tools kunnen voor zowel hardware als software, vooral databases, controleren of nog wordt voldaan aan beleidsmatig afgesproken programmeerbare beveiligingsvereisten. 73

9 Event Monitoring Een derde categorie security-tools is de Event Monitoring en die wordt ingezet voor logging en auditing van 'gebeurtenissen' waarvan een kans bestaat dat er een relatie ligt met een onrechtmatige handeling dan wel ongewenste situatie. Tevens kan de opgeslagen informatie de basis zijn van forensisch onderzoek. Het effect van vooral de State en Event Monitoringtools staat of valt met het gericht inregelen (niet te veel meldingen waarna je door de bomen het bos niet meer ziet) en juist opvolgen (alleen een publieke site uit de lucht halen als dat écht nodig is) van meldingen. Beschikbare beveiligingsinitiatieven Informatiebeveiliging is een uitdijend vakgebied met veel specialisaties. Maak daarom indien mogelijk gebruik van algemeen beschikbare beveiligingsinitiatieven; hieronder enkele voorbeelden. Waarschuwingsdienst.nl Dit is een gratis dienst van de Nederlandse overheid. Waarschuwingsdienst.nl biedt een bron van informatie over veilig internetten en geeft voorlichting en adviezen over computerbeveiliging. Daarnaast waarschuwt deze dienst tegen computervirussen, wormen en beveiligingslekken in software. Zie Govcert.nl Govcert.nl coördineert: We zijn voor de overheid het centrale meld- en informatiepunt voor veiligheidsincidenten met betrekking tot ICT, zoals computervirussen, hacking en fouten in applicaties en hardware. Govcert.nl informeert en adviseert: We zorgen ervoor dat de juiste informatie tijdig op de juiste plaats terechtkomt. Govcert.nl ondersteunt: We helpen de verantwoordelijken binnen overheidsorganisaties bij preventie van en reactie op veiligheidsincidenten. Zie PET; Privacy Enhancing Technologies (PET) zijn een samenhangend geheel van ICT-maatregelen die de persoonlijke levenssfeer beschermen door het elimineren of verminderen van persoonsgegevens, zonder verlies van de functionaliteit van het informatiesysteem. Privacy Protecting System (PPS) is een andere benaming voor PET. In artikel 13 van de WBP wordt voorgeschreven dat de verantwoordelijke voor de gegevensverwerking passende technische en organisatorische maatregelen ten uitvoer legt om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. De minister van Justitie heeft bij de behandeling van het voorstel gezegd dat daarbij onder meer gedacht moet worden aan het gebruik van PET. Zie: PKIoverheid.nl Public Key Infrastructure voor de overheid, kortweg PKIoverheid, maakt betrouwbare communicatie mogelijk. Met behulp van PKI-certificaten is de informatie die personen en organisaties over het internet sturen, beveiligd op een hoog niveau van betrouw- 74

10 baarheid. Certificaten worden bijvoorbeeld gebruikt bij: - het zetten van een rechtsgeldige handtekening; - het beveiligen van websites; - het authenticeren op afstand; - het versleutelen van berichten. Zie ECP.NL; platform voor Nederland Op de site staat dat ECP.NL het platform in Nederland is waar publiekprivaat wordt samengewerkt aan belangrijke randvoorwaarden en doorbraken rond de digitale economie en samenleving. Dit doet het platform vanuit zijn unieke, neutrale positie tussen markt en beleid. In de vorm van projecten en werkgroepen worden actuele thema's opgepakt. Door deze sectoroverschrijdende samenwerking helpt ECP.NL de nationale en internationale concurrentiepositie van Nederland te behouden en te verbeteren. Zie Een ECP.NL-project is bijvoorbeeld Digibewust. Digibewust zijn betekent dat je optimaal gebruikmaakt van de mogelijkheden van digitale middelen zoals internet, , chatten, online betalen, terwijl je je tegelijkertijd bewust bent van de mogelijke gevaren en risico's ervan en vooral wat je daartegen kunt doen. Zie Een recent initiatief is de Digibarometer; op deze site kunnen 24 vragen worden beantwoord over ICTafhankelijkheden en kwetsbaarheden. De antwoorden resulteren in een persoonlijk advies. Zie Steunpunt NEN7510.nl Dit door het NEN gefaciliteerd Steunpunt voor Informatiebeveiliging in de zorgsector geeft uitgebreid informatie over het waarom en hoe van beveiligen. Er is onder andere een Implementatiehandboek NEN7510 te downloaden met een keur aan templates en voorbeelden voor het uitvoeren van risicoanalyses en het opstellen van een informatiebeveiligingsplan. NEN7510 komt grotendeels overeen met de Code voor Informatiebeveiliging en is toegespitst op de zorgsector. Zie Informatiebeveiliging is ieders zorg! Beveiligen is en blijft mensenwerk. Het is belangrijk zowel voor het management als op de werkvloer om bewust om te gaan met het waarom van beveiligen. Maar vooral belangrijk is de afweging om beveiligingsmaatregelen wellicht níet van toepassing te laten zijn. Een weloverwogen afweging van risico's compenseert enigszins de afwezigheid van genormeerde beveiligingsproducten en van gecertificeerde beveiligingsspecialisten. Informatiebeveiliging is ieders zorg! Om die beveiliging uitvoerbaar te maken ligt er een extra zorg bij de verantwoordelijke manager. Dit wordt onderstreept door paper note 12 Informatiebeveiliging voor de overheid, uitgegeven door Het Expertise Centrum. Dit document beschrijft een praktische aanpak die van toepassing is voor elke onderneming. Daarin worden doelen voor de verantwoordelijke manager (dus niet alleen de securityspecialist!) geformuleerd. Het voldoen aan deze doelen is een 75

11 Ken je doelen Doelen als basis voor een efficiënte aanpak van de informatiebeveiliging: ik ken mijn verantwoordelijkheid en invloedssfeer voor informatiebeveiliging; ik weet wat mijn informatievoorziening bedreigt en wat de consequenties zijn wanneer deze bedreigingen zich manifesteren; ik weet welk minimumbasisniveau van beveiliging ik nodig heb; ik heb systematisch prioriteiten gesteld bij het bereiken van mijn doelstellingen voor een efficiënte informatiebeveiliging; ik houd mijn informatiebeveiliging op peil; ik heb informatiebeveiliging ingepast in mijn bestaande beleidscyclus. (Bron: Informatiebeveiliging voor de overheid, uitgegeven door Het Expertise Centrum.) voorwaarde voor het beheersen van het informatiebeveiligingsproces. Referenties en links Code voor informatiebeveiliging; een leidraad voor beleid en implementatie; te bestellen via Bert-Jaap Knoops: De Code voor Informatiebeveiliging en het Nederlandse Recht; Ernst J. Oud: Praktijkgids Code voor Informatiebeveiliging; isbn x Douwe P. de Jong: Dikke muren en firewalls; Controllers Magazine oktober 2003 *) Download Raamwerk Wet Bescherming Persoonsgegevens via Download Handreiking VIRbi voorschriftinformatiebeveiliging.pdf Informatiebeveiliging voor de overheid; een praktische aanpak, Startpagina's beveiliging: en *) De artikelen zijn op te vragen door te mailen naar douwe@dejong-itadvies.nl Douwe P. de Jong: Informatiebeveiliging én fysieke beveiliging Een serie van drie artikelen, Informatiebeveiliging 2002 nrs 4, 5 en 6. Academic Service *) 76