Op het gebied van informatiebeveiliging is eenzelfde

Transcriptie

1 Artikel Informatiebeveiliging gezien vanuit een Service Management perspectief Vincent Jentjens Service Management is het beheersen van alle aspecten die van invloed zijn op de ICT-dienstverlening op zodanige wijze dat de met de klant afgesproken kwaliteit en kosten worden gewaarborgd [Sch04]. Het bekendste voorbeeld hiervan is ITIL. ITIL is ontstaan doordat organisaties steeds meer afhankelijk werden van de IT om de bedrijfsdoelstellingen te realiseren. Deze toenemende afhankelijkheid leidde tot een groeiende behoefte om de IT-dienstverlening beter af te stemmen op de bedrijfsdoelstellingen en de eisen en verwachtingen van de klanten. De IT moest van intern gericht naar extern gericht groeien. Drs. Vincent Jentjes is consultant informatiebeveiliging bij Hintech Security Informatiebeveiliging Bij informatiebeveiliging draait het om het verantwoord en bewust stellen van betrouwbaarheidseisen aan processen en systemen. Procesverantwoordelijken moeten in staat worden gesteld om deze verantwoordelijkheid te kunnen nemen. Dit artikel schetst een Security Service Management Framework dat een organisatie de mogelijkheid biedt om informatiebeveiliging vanuit een Service Management gedachte in te richten, te exploiteren en te beheren. Met behulp van dit security framework kunnen procesverantwoordelijken gefundeerd keuzes maken in het te treffen beveiligingsniveau en de daaraan gerelateerde beveiligingsdiensten en producten. Op het gebied van informatiebeveiliging is eenzelfde trend waar te nemen. Informatiebeveiliging wordt, onder andere gevoed door wet- en regelgeving (SOX, Voorschrift Informatiebeveiliging Rijksdienst, Wet bescherming persoonsgegevens), een steeds belangrijker onderwerp in organisaties. In de praktijk blijkt het lastig om de informatiebeveiliging goed en werkend te implementeren. Eén van de redenen hiervoor is dat informatiebeveiliging zich begeeft in verschillende werelden. Informatiebeveiliging is van oudsher een ICT aangelegenheid. Het heeft zich vanuit hier ontwikkeld tot een specialistisch vakgebied met eigen functionarissen (security officers en managers), een eigen jargon, verenigingen en vakbladen. De aansluiting met de business is hierdoor wel eens lastig te maken. De business, veelal vertegenwoordigd door de proceseigenaar of procesverantwoordelijke, heeft de verantwoordelijkheid over het te treffen beveiligingsniveau. Door het specialistische karakter van het vakgebied, de verschillende zienswijzen (risicomanagement versus businessmanagement) sluiten deze werelden niet naadloos op elkaar aan. Het gedegen opzetten en inrichten van de informatiebeveiliging vereist dan ook een goede afstemming met betrekking tot de eisen en verwachtingen van de klant. Met Service Management, afgestemd op het vakgebied van de informatiebeveiliging, kan een organisatie informatiebeveiligingsdiensten aanbieden die zijn toegesneden op de behoefte van de klant. Hierdoor worden de twee verschillende werelden dichter bijeen gebracht. Dit artikel schetst een Service Management framework, afgestemd op informatiebeveiliging, vanuit de volgende vraagstelling: Op welke manier kan Service Management worden ingericht zodat het een bijdrage levert aan de inrichting, exploitatie en het beheer van informatiebeveiliging en de hierop afgestemde beveiligingsdienstverlening? Om deze vraag te kunnen beantwoorden, worden eerst de uitgangspunten van het Service Management framework, genaamd het Information Security Management Framework (ISMF) beschreven. Aan de hand van deze uitgangspunten wordt het ISMF verder uitgewerkt. Het artikel wordt afgesloten met een beschrijving van de toepassingsmogelijkheden van het ISMF. Uitgangspunten ISMF Het ISMF vindt haar oorsprong in het afstudeerreferaat Uitbesteden van informatiebeveiliging van de opleiding 12 de EDP-Auditor nummer

2 Bewaken EDP-auditing aan de Erasmus Universiteit te Rotterdam [Jen06]. In het referaat zijn de uitkomsten beschreven van een onderzoek naar de mogelijke manieren om niet alleen de technische kant / hard controls van informatiebeveiliging (de managed security services) uit te besteden, maar ook de procedurele en soft controls (bewustwording, naleving gedragsregels). Het ISMF wordt in dit referaat gehanteerd als een framework dat organisaties voorbereidt op eventuele uitbesteding van informatiebeveiliging. Het ISMF heeft een voorbeeld genomen aan ITIL (Information Technology Infrastructure Library) en ASL (Application Services Library). Beide modellen zijn gebaseerd op best practices en voorbeelden van Service Management modellen die veel organisaties gebruiken om (onderdelen van) de IT-organisatie in te richten en te beheren. ITIL is een algemeen aanvaarde standaard om technisch beheer in te richten. In dezelfde lijn der gedachte is ASL (Application Services Library) ontwikkeld. ASL richt zich op het beheer van de applicaties. ITIL en ASL hebben als kenmerk dat ze bestaan uit verschillende, op elkaar afgestemde processen, waarbij taken, verantwoordelijkheden, bevoegdheden en resultaatsverplichtingen duidelijk zijn vastgelegd. Echter, daar waar ITIL zich richt op het beheren en exploiteren van de IT-infrastructuur en ASL op de applicatie gerelateerde aspecten hiervan, daar richt het ISMF zich op het inrichten, exploiteren en beheren van de informatiebeveiliging van toepassing op de gehele organisatie. Het ISMF verschilt bijvoorbeeld van ITIL Security Management (ITIL SM) doordat het proces ITIL SM alleen kan functioneren bij het bestaan en de (goede) werking van de andere ITIL processen [Ko04]. ITIL SM geeft aanwijzingen aan de ITIL processen met betrekking tot de inrichting van de beveiligingsgerichte activiteiten. De ISMF processen daarentegen zijn opzichzelfstaande, onafhankelijke processen die de klant ondersteunen bij de verschillende aspecten van beveiliging. Het ISMF is gebaseerd op de volgende uitgangspunten: De procesbenadering De activiteiten voor de ontwikkeling, exploitatie en beheersing van informatiebeveiliging zijn gegroepeerd in processen. Het voordeel van een procesbenadering is dat het ISMF organisatieonafhankelijk is. Door de groepering van de activiteiten in tien beveiligingsprocessen is het mogelijk om de processen los van de feitelijke organisatievorm te beschrijven. Zo kunnen de activiteiten die deel uitmaken van het risicoanalyseproces, bijvoorbeeld uitgevoerd worden bij afdelingen als ICT, management, P&O, et cetera. Verschillende afdelingen van de organisatie nemen dus onderdelen van het proces op zich. Hiernaast biedt de procesbenadering grote voordelen voor het sturen op de kwaliteit (effectiviteit en efficiëntie) van het proces. Omdat een proces een afgebakend geheel is, kunnen de activiteiten en taken, verantwoordelijkheden en bevoegdheden van procesmanagers duidelijk vastgelegd worden. Hierdoor is het mogelijk met behulp van prestatie-indicatoren vaste meetpunten in het proces in te bouwen. Een model dat veelal wordt gebruikt bij het sturen op de kwaliteit is de PDCA-cirkel van Deming. Door herhaaldelijk de stappen Plan, Do, Check en Act - te doorlopen kan de kwaliteit van het proces worden verbeterd. Het ISMF past de PDCAcirkel op twee manieren toe. Per ISMF proces wordt de PDCA-cirkel toegepast om het proces te optimaliseren. Door de afspraken met de klant regelmatig te evalueren, kan het proces beter afgestemd worden op de behoefte van de klant. Hiernaast wordt de PDCA-cirkel toegepast om de kwaliteit van de informatiebeveiliging te borgen en te vergroten. Doordat het ISMF voor iedere stap uit de Plan, Do, Check, Act-cirkel één of meerdere processen definieert wordt de cirkel voor het totaal tevens doorlopen (zie figuur 1). Zo worden in de strategische processen het beleid en de informatiebeveiligings-strategie opgesteld. Hiermee wordt de Plan-fase uit de Deming cirkel afgedekt. De implementatieen beheerprocessen zorgen voor de implementatie en het onderhoud van de informatiebeveiliging. Deze processen zorgen door de invullen van de Do-fase uit de Deming cirkel. De ISMF managementprocessen dragen zorg voor de coördinatie en controle op de informatiebeveiliging. Onderdeel hiervan is het controleren of de security doelstellingen wel volgens de planning en normen zijn gehaald. Hiermee wordt de Check opgepakt. Als laatste dragen de verbeterprocessen bij tot het bijstellen van de informatiebeveiligingsdoelstellingen; de Act-fase. De servicegedachte Figuur 1: Deming cirkel ACT PLAN DO CHECK Het proces van het effectief en efficiënt beheren en beheersen van de kwaliteit van de dienstverlening aan de klant speelt een belangrijke rol. De klant bepaalt het gewenste niveau van beveiliging en de af te nemen beveiligingsdiensten. Als insteek geldt het leveren van continue dienstverle- 13 de EDP-Auditor nummer

3 ning door het maken van goede afspraken over het service level en een zo spoedig mogelijk herstel van het afgesproken service level bij de constatering van een afwijking. De focus is dus dienstverlening en de service die geleverd wordt. Een toekomstgerichte visie Tijdig anticiperen op ontwikkelingen draagt zorg voor continuïteit van de ondersteuning en voorkomt desinvesteringen. Toekomstgericht denken is essentieel voor informatiebeveiliging. Informatiebeveiliging is niet zomaar van de ene op de andere dag ingevoerd in een organisatie. Veelal is het een proces dat jaren in beslag neemt. Bedreigingen aangaande de afhankelijkheid en kwetsbaarheid veranderen iedere dag. Het is daarom ook zaak om bij de inrichting en het onderhoud van de informatiebeveiliging voorbereid te zijn op de veranderende omgeving. Het hebben van een toekomstvisie en een beveiligingsstrategie is daarom essentieel. Scheiding tussen beheer en onderhoud / vernieuwing Veelal wordt het onderscheid tussen beheer en vernieuwing niet zo expliciet gemaakt. Hierdoor wordt aan het beheer van informatiebeveiliging te weinig aandacht besteed. Immers, wanneer informatiebeveiliging eenmaal is geïmplementeerd, dient het beheerd te worden. Niet alleen het beheer op ICT-vlak (updates van firewalls, virusscanners, en dergelijke) is van essentieel belang, maar ook het beheer op het menselijk aspect van informatiebeveiliging is belangrijk. Het informatiebeveiligingsbewustzijn bijvoorbeeld verdient constante aandacht. Naast beheer verdient het vernieuwen en aanpassen van de informatiebeveiliging aan de veranderende (organisatie)omgeving aandacht. Het Information Security Management Framework Bovenstaande uitgangspunten zijn samengebracht in het Information Security Management Framework. Het framework bestaat uit tien processen. De processen komen niet allemaal voort uit de informatiebeveiliging. Veel ervan zijn afkomstig van terreinen als management en dienstverlening. De tien processen zijn ingedeeld vijf clusters, verdeeld over strategisch, tactisch en operationeel niveau (zie figuur 2). Strategische processen Het beveiligingsbeleid is veelal het vertrekpunt voor de inbedding van de informatiebeveiliging in de organisatie. Het is het essentiële instrument voor de aansturing en coördinatie van de verschillende beveiligingsprocessen in de organisatie. Het beleid wordt opgesteld op basis van onder andere de missie, strategie en doelstellingen van de onderneming onder verantwoordelijkheid van het businessmanagement. Naast het beleid zal de beveiligingsstrategie bepaald moeten worden. In deze strategie wordt uiteengezet hoe informatiebeveiliging wordt ingezet in de organisatie. De strategische processen richten zich op de ontwikkeling van een toekomstvisie op de informatiebeveiliging, de vertaling van die visie naar beleid en de inrichting van de beveiligingsorganisatie. Afhankelijk van de organisatie, het ambitieniveau, et cetera worden processen uit het ISMF gekozen en ingericht. Figuur 2: Information Security Management Framework 14 de EDP-Auditor nummer

4 In dit cluster wordt het volgende proces onderscheiden: - Security Policy & Strategic Management (SPSM) Het doel van het proces Security Policy & Strategic Management is om informatiebeveiliging beleidsmatig en strategisch vorm te geven. In dit proces wordt het beveiligingsbeleid gedefinieerd en de informatiebeveiligingsstrategie opgesteld. Met het beveiligingsbeleid wordt bepaald waaraan de informatiebeveiliging dient te voldoen, wat het ambitieniveau is en welke ISMF-processen ingericht worden. De informatiebeveiligingsstrategie schrijft voor hoe de informatiebeveiliging past binnen de organisatiedoelstellingen en strategie. Managementprocessen Groot probleem, ingegeven door de complexiteit van informatiebeveiliging, is vaak het overzicht bewaren in de gedefinieerde risico s, de beveiligingsmaatregelen, de implementatiestatus, et cetera. De managementprocessen hebben een bewakende en planmatige invalshoek. Planning, kwaliteitbewaking, risicomanagement, afspraken met klanten en leveranciers zijn in dit cluster de aandachtspunten. In dit cluster worden de volgende processen onderscheiden: - Security Quality & Audit Management (SQAM) Het doel van het proces Security Quality & Audit Management is het evalueren van en rapporteren over de effectiviteit en kwaliteit van de ISMF processen. Hiernaast biedt dit proces ondersteuning bij de voorbereiding voor een onafhankelijke audit op de informatiebeveiliging zelf. De verantwoordelijkheid over dit proces wordt belegd bij een Security Quality Manager. Deze stelt een Security Audit Programma op aan de hand van het gedefinieerde beleid, strategie en de Security Service Level Dossiers (zie proces SSLM). De per proces gedefinieerde prestatie-indicatoren vormen een belangrijk meetinstrument voor het meten van de effectiviteit en kwaliteit van het proces. Hiernaast wordt gebruik gemaakt van het Security Programma en werkplannen (zie proces SPM), die gedefinieerd worden in het Security Planning proces. De Security Quality Manager rapporteert zijn bevindingen aan de security procesmanagers, aan klanten en aan het management. - Security Service Level Management (SSLM) Informatiebeveiliging is geen opzichzelfstaand proces. Informatiebeveiliging is van toepassing op alle processen in de organisatie. Dit betekent dat voor ieder proces in de organisatie bepaalde beveiligingsactiviteiten uitgevoerd moeten worden. Het doel van het proces Security Service Level Management is het (maken en) beheren van de afspraken tussen de (security)dienstverleners en de klantenorganisatie - proces- en systeemeigenaren (intern/extern) - met betrekking tot de te leveren beveiligingsdiensten en betrouwbaarheidseisen. Binnen de Service Level wordt onderscheid gemaakt tussen twee soorten dienstverleners. Ten eerste zijn er dienstverleners in de organisatie die diensten verlenen waaraan de klant betrouwbaarheidseisen kan stellen. Hierbij kan gedacht worden aan de afdeling P&O die met de klant afspraken maakt over de exclusiviteiteisen die aan personeelsdossiers worden gesteld. Of de IT-afdeling die afspraken maakt over de beschikbaarheid van een bepaald systeem. Echter, als de IT-organisatie gebruik maakt van ITIL Service Level Management, dan dient de beveiligingsparagraaf als input voor de ICT-gerelateerde diensten. Ten tweede zijn er de dienstverleners, vaak vormgegeven in de vorm van een beveiligingsorganisatie, die de klant ondersteunen bij het onderwerp informatiebeveiliging. In de producten en dienstencatalogus (welke is afgeleid van de output van de ISMF processen) staat beschreven welke producten en diensten worden geleverd. Hierbij kan gedacht worden aan ondersteuning bij bijvoorbeeld het opstellen van het beveiligingsbeleid, het uitvoeren van risicoanalyses en bewustwordingsprogramma s. De Security Service Level Manager stemt de eisen en wensen van de klant af op het gedefinieerde beveiligingsbeleid. De afspraken komen in het Security Service Level Dossier (SSLD) te staan. In dit dossier staan naast de afspraken verwijzingen naar de werkplannen (zie proces SPM) waarin op detailniveau staat beschreven hoe en wanneer de afspraken gerealiseerd worden. - Security Program Management (SPM) Informatiebeveiliging kan uitgroeien tot een zeer complex geheel. Zeker in grote organisaties, met verschillende locaties, voorzien van verschillende IT-infrastructuren en -systemen, kan informatiebeveiliging het nodige beslag gaan leggen op de financiële en personele capaciteit. Immers, hoe meer locaties, infrastructuren en systemen, hoe meer risicoanalyses uitgevoerd worden en hoe meer beveiligingsmaatregelen geïmplementeerd moeten worden. SPM zorgt voor het implementatiemanagement van de informatiebeveiliging. Het proces heeft als doel het plannen, afstemmen en begeleiden van de verschillende implementaties. In dit proces vindt het management over de implementatie van de informatiebeveiliging plaats. Er worden door de Security Planner implementatiewerkplannen opgesteld, rapportages over de totale implementatiestatus afgegeven, et cetera. De Security Planner draagt zorg voor het Security Programma bestaande uit een samenhangend portfolio aan werkplannen. Een werkplan is een plan waarin op een projectmatige wijze staat aangegeven wie, wat in een bepaalde tijd voor activiteiten moet ondernemen. In het Security Programma staat de prioritering, en de samenhang van en afstemming tussen de werkplannen. Input voor het Security Programma en werkplannen zijn het beveiligingsbeleid, de strategie en het SSLD. 15 de EDP-Auditor nummer

5 - Security Risk Management (SRM) Het doel van dit proces is om voor objecten, processen en diensten het risicoprofiel (norm) en de beveiligingsmaatregelen te definiëren, te managen en wijzigingen hierop efficiënt en effectief af te handelen. Security Risk Management ondersteunt de klant en het management bij het bepalen van de te aanvaarden risico s en de te treffen beveiligingsmaatregelen. Hierbij kan gedacht worden aan het uitvoeren van Afhankelijk en Kwetsbaarheidsanalyses (A&K). Beheerprocessen Informatiebeveiliging houdt zich helaas niet vanzelf in stand. Er doen zich altijd incidenten voor die niet voorzien zijn. Hiernaast verslapt de aandacht voor informatiebeveiliging op den duur. Dagelijks beheer is dan ook noodzakelijk wil men op het gedefinieerde betrouwbaarheidsniveau blijven. De beheerprocessen dragen zorg voor het dagelijkse beheer van de informatiebeveiliging door een optimale inzet van de in gebruik zijnde informatiebeveiligingproducten en -diensten te realiseren. In dit cluster worden de volgende processen onderscheiden: - Security Incident Management (SIM) Het process Security Incident Management is meer dan alleen het registreren van incidenten. Het doel van dit proces is om het vooraf gedefinieerde kwaliteitsniveau van de informatiebeveiliging te handhaven door afwijkingen van de normsituatie zo snel mogelijk te detecteren en te verhelpen. Security Incident Management zorgt voor het aannemen, registreren, afhandelen en afsluiten van beveiligingsincidenten. Een onderdeel van Security Incident Management is, wat in ITIL termen wordt aangeduid als Problem Management, het analyseren en oplossen van repeterende (veel voorkomende) incidenten. De Security Incident Manager probeert bij veel voorkomende incidenten te achterhalen wat de achterliggende oorzaak is en doet hiervoor verbetervoorstellen aan het management en de klant. Wanneer een organisatie het ITIL proces Incident Management heeft ingericht, vervangt dit het aannemen, registreren, afhandelen en afsluiten van incidenten van het proces Security Incident Management. Er moet wel een koppeling gelegd worden met het proces Security Incident Management om repeterende incidenten te op te lossen en de aansluiting op de overig ISMF processen te maken. - Security Configuration Management (SCM) Om informatiebeveiliging te kunnen beheren en managen, is het van vitaal belang dat er betrouwbare en accurate informatie beschikbaar is over alle aspecten van de informatiebeveiliging. Het doel van het proces Security Configuration Management is te zorgen voor deze accurate en betrouwbare informatie. Ter ondersteuning van dit proces wordt gebruik gemaakt van de Security Configuration Database. In de Security Configuration Database worden onder andere de volgende zaken bijgehouden: - Beleid en strategie documenten. - Lijst van objecten, processen en diensten (assets). - Risicoprofielen per object, proces en dienst. - De beveiligingsmaatregelen gedefinieerd per object, proces, dienst. - Het Security Service Level Dossier. - De status van implementatie, programma s en werkplannen. - Beveiligingsincidenten. - Het Auditprogramma. De database wordt beheerd en ingericht door de Security Configuration Manager. De Security Configuration Manager vult de database, verleent toegang tot de database en verzorgt op aanvraag statusrapportages. Security Configuration Management is de spil in het management van de informatiebeveiliging. Ieder ISMF-proces levert informatie aan en krijgt informatie uit de database. De Security Configuration Database is een andere dan de CMDB die binnen ITIL wordt gebruikt. In de CMDB die in het ITIL proces Configuration Management wordt gebruikt, worden onder andere alle CI s met classificatie geregistreerd. De Security Configuration Database richt zich enkel op het beheer van de (informatie)beveiliging. - Security Awareness Management (SAM) In veel informatiebeveiligingsimplementatietrajecten wordt gebruik gemaakt van een bewustwordingscampagne om het bewustzijn inzake informatiebeveiliging te verhogen. Helaas is een bewustwordingscampagne veelal een eenmalige actie. Wanneer het bewustwordingsprogramma is afgesloten, daalt het bewustzijn al weer heel snel. Het doel van het proces Security Awareness Management is het opleiden, bewustmaken en bewust houden van alle medewerkers in de organisatie aangaande de informatiebeveiliging. De Security Awareness Manager stelt een lange termijn bewustwordingsprogramma op. Belangrijke input voor het bewustwordingsprogramma komt uit het proces Security Incident Management en Security Opportunities & Threats Management. Tevens voert de Security Awareness Manager eigen onderzoeken uit naar de status van het bewustzijn. Het Awareness programma wordt afgestemd met de overige communicatie-uitingen in de organisatie en met het proces Security Program Management. De Security Awareness Manager adviseert de Security Planner bij het opstellen van het Security Programma en de werkplannen. Het doel hiervan is dat bewustwording van informatiebeveiliging een integraal onderdeel van de implementatie wordt. Hiernaast adviseert de Security Awareness Manager de Security Implementation Manager bij de praktische uitvoering van de werkplannen met betrekking tot de bewustwording. Hierbij moet gedacht worden aan het adviseren over communicatiemiddelen, communicatiekanalen, et cetera. Implementatieprocessen De daadwerkelijke implementatie van de beveiligingsnorm 16 de EDP-Auditor nummer

6 vergt, gezien de complexiteit en hoeveelheid aan beveiligingsmaatregelen, een projectmatige aanpak. De implementatieprocessen richten zich op de implementatie van beveiligingsmaatregelen, volgens tijd, geld en budget. In dit cluster wordt het volgende proces onderscheiden: - Security Implementation Management (SIM) In het proces Security Planning worden werkplannen opgesteld, die in het proces Security Implementation Management uitgevoerd worden. Het doel van dit proces is het implementeren van de beveiligingsmaatregelen op lokaal / asset niveau op een projectmatige wijze. Afhankelijk van de grootte van het werkplan wordt dit projectmatig opgepakt. Per werkplan bestaat er een proces Security Implementation Management, met als verantwoordelijke de Security Implementation Manager. De Security Implementation Manager is de projectleider die zorgt voor de uitvoering van het werkplan. Hij rapporteert aan de Security Planner. Verbeterprocessen Informatiebeveiliging is een continu proces. Bedreigingen in de omgeving veranderen constant. Het aanpassen en verbeteren van de informatiebeveiliging is hierdoor uitermate belangrijk. De verbeterprocessen richten zich op het proactief zoeken naar mogelijke bedreigingen en het doen van verbetervoorstellen. In dit cluster wordt het volgende proces onderscheiden: - Security Opportunities and Threats (SOT) Het doel van dit proces is om nieuwe bedreigingen en kansen te herkennen en voorstellen te doen tot verbetering van de informatiebeveiliging. Dit proces kijkt voornamelijk naar de toekomst en probeert trends en nieuwe bedreigingen in de buitenwereld waar te nemen, te voorspellen en verbetervoorstellen te doen. Praktisch voorbeeld is het lid zijn van een CERT. Hiernaast communiceert het proces bijvoorbeeld over de impact van nieuwe wet en regelgeving naar het management. Toepassingsmogelijkheden van het ISMF Het ISMF kan, zoals gezegd, worden toegepast om informatiebeveiliging op een gestructureerde manier in te richten, te exploiteren en te beheren. Hiernaast kan het ISMF nog voor een aantal andere doeleinden worden toegepast: - Het vormgeven van een Security Service Organisation. - Als voorbereiding op of als inrichting van uitbesteding van informatiebeveiliging. - Audit normenkader. Security Service Organisation Het ISMF is uitermate geschikt om een informatiebeveiligingsbeheerorganisatie / Security Service Organisation (SSO) in te richten. Het grote voordeel van een SSO, ingericht volgens de ISMF processen, is dat de informatiebeveiliging op een servicegerichte manier aangeboden kan worden. De klant wordt in staat gesteld om zelf betrouwbaarheidseisen aan processen en systemen te stellen en hier verantwoording voor te nemen. De SSO ondersteunt de klant hierbij op strategisch, tactisch en operationeel niveau in de organisatie. Afhankelijk van de wensen van de organisatie kan een SSO beveiligingsproducten en -diensten via de bijbehorende processen leveren. In tabel 1 zijn de ISMF processen weergegeven met een aantal mogelijke te leveren producten en diensten. De te leveren producten en diensten worden in het Security Service Level Dossier vastgelegd. De gemaakte afspraken worden meetbaar door prestatie-indicatoren per product of dienst te definiëren. Neem als voorbeeld de ondersteuning bij het uitvoeren van risicoanalyses in het proces Security Risk Management. Tussen de klant en de SSO worden afspraken gemaakt over het aantal uit te voeren risicoanalyses per tijdseenheid, de manier van rapporteren, het aantal reviews over door de klant zelf uitgevoerde risicoanalyses, et cetera. Afhankelijk van de wensen van de klant worden bepaalde producten en diensten ingekocht. Uitbesteden van informatiebeveiliging Uitbesteden is het, op basis van een contract, voor lange duur overdragen naar een externe partij van de management- of beheerverantwoordelijkheid van één of meer dienstverleningstaken [KV04]. Hierbij kan al dan niet sprake zijn van de overdracht van medewerkers en middelen naar de uitbestedingsleverancier. Een logische stap na het inrichten van een SSO is deze over te dragen naar een externe partij. De gedachte hierachter is dat informatiebeveiliging een steeds prominentere rol in de organisatie inneemt en hierdoor steeds meer op de budgetten van de primaire processen drukt. Uitbesteding van informatiebeveiliging zou kunnen leiden tot kostenreductie en verhoging van de kwaliteit. Het uitbesteden van informatiebeveiliging gebeurt voornamelijk op het ICT-beveiligingsvlak in de vorm van managed security services (diensten die zich onder andere richten op het inrichten, onderhouden en monitoren van firewalls, virusscanners en overige netwerkbeveiliging). Omdat deze diensten relatief goed meetbaar zijn, zijn goede afspraken te maken over de resultaatverplichtingen. Informatiebeveiliging is echter breder. Naast technische aspecten zijn de procedurele en menselijke aspecten minstens zo belangrijk. Ook hiervoor geldt dat de uitbestedingsleverancier moet kunnen waarborgen dat de aangegane verplichtingen nagekomen kunnen worden. Vanwege onder andere de borging in het proces Security Awareness Management (SAM), is het ISMF een instrument om ook de procedurele en menselijke aspecten gestructureerd (kwantificeerbaar en kwalificeerbaar) uit te voeren. In het afstudeerreferaat Uitbesteden van informatiebeveiliging [Jen06] wordt het onderwerp uitbesteden van informatiebeveiliging verder uitgewerkt. 17 de EDP-Auditor nummer

7 Proces Product / dienst Uitleg product / dienst SPSM SQAM - Beleidsdocument Informatiebeveiliging - Advisering over het beleid - Security Audit Programma - Resultaten uitgevoerde audits Beleid en strategie t.a.v. informatiebeveiliging Advisering over het opstellen en uitvoeren van het beleid inzake informatiebeveiliging. Het lange en korte termijn auditprogramma t.b.v. de kwaliteit van de informatiebeveiliging. Rapporten per uitgevoerde audit SSLM SPM SIM - Security Service Level Dossiers - Klantrapportages - Advisering - Security Programma - Implementatie werkplannen - Rapportages implementaties - Incident registraties en verwerkingen - Incident rapportages - Escalatie procedures - Workarounds Dossier met gemaakte afspraken tussen klant en dienstverlener (SLA voor de security ondersteuning) Rapportages per proces over de geleverde dienstverlening. Deze staan los van de audit rapporten. Advisering van klanten over de af te nemen security diensten Het lange termijn projectprogramma ter ondersteuning en afstemming van de verschillende informatiebeveiligingsprojecten. De implementatieplannen (IB-plannen) per business unit. De voortgangsrapportages inzake de implementatie van de informatiebeveiliging. Servicepunt voor het registreren en verwerken van beveiligingsincidenten. Rapportages over de beveiligingsincidenten (aantal, repeterende, etc.) Advisering over de escalatieprocedures bij grote incidenten. SCM - Rapportages - Producten uit alle Security processen - Vragen beantwoorden Adviseren over en zoeken naar workarounds bij incidenten die primaire en secundaire processen verstoren. Op verzoek het uitdraaien van allerlei rapportages (statussen, voortgangen, etc.) Verzamelen van alle producten afkomstig uit alle security processen. Op verzoek het beantwoorden van vragen over de security processen. SAM SIM SRM SOT - Awareness programma s - Workshops risicomanagement - Managementgames Onderzoeksrapportages bewustzijn Statusrapportages Advisering bij opstellen implementatieplan - A&K Risicoanalyses - Beveiligingsplan Calamiteitenplan Beveiligingsmaatregelen Rapportages CERT Het geven van advies over, en opstellen van, bewustwordingsprogramma s. Op verzoek geven van risicomanagement workshops. Op verzoek geven van managementgames. Uitvoeren van audits naar het beveiligingsbewustzijn en hierover rapporteren aan de klant / opdrachtgever Voortgangsrapportages, Issue log, etc. Advisering bij opstellen implementatieplan / IB-plan (Ondersteunen bij) uitvoeren van A&K-analyses Adviseren over / opstellen van beveiligingplan Adviseren over / opstellen van calamiteitenplan Adviseren over / opstellen van beveiligingsmaatregelen / baselines (ISO 17799, NEN7510, Wbp) Rapporteren over potentiële nieuw bedreigingen. Tabel 1: ISMF processen en diensten 18 de EDP-Auditor nummer