Informatiebeveiliging

Transcriptie

1 Whitepaper Informatiebeveiliging Oftewel: hoe beperk ik de risico s zonder de maatregelenbrij...? Maart 2012

2 Herkent U dit? Een organisatie besluit dat er na jaren uitstel eindelijk iets moet gebeuren rond informatiebeveiliging. Deze mooie taak wordt bij voorkeur neergelegd bij de IT-afdeling, want die zijn toch verantwoordelijk voor de informatievoorziening? Vervolgens wordt er een spreadsheet opgemaakt met honderden maatregelen en wordt achter iedere maatregel een status én eigenaar opgesomd. Meestal worden er dan nog een aantal gesprekken gevoerd met verantwoordelijken en verdwijnt de spreadsheet met rapportage in een archief. Tot zover het project Informatiebeveiliging Uiteraard is bovenstaand voorbeeld gechargeerd, maar wel tekenend voor de gang van zaken rond informatiebeveiliging bij veel organisaties. Er kleven een groot aantal bezwaren aan deze werkwijze, waarvan het feit dat deze bij de meeste organisaties minimaal resultaat heeft, wel de belangrijkste is. Het is gelukkig mogelijk op een veel efficiëntere wijze te komen tot een goed informatiebeveiligingsbeleid, dat voldoet aan de noodzakelijke minimale eisen zonder al die honderden maatregelen, want dat is het onder de streep wel. Staat informatiebeveiliging op de agenda?

3 Maatschappelijke ontwikkelingen Het bewustzijn van overheid en bedrijfsleven voor informatiebeveiliging is de laatste jaren toegenomen. Debet hieraan zijn publieke affaires zoals bijvoorbeeld de DigiNotar certificaten voor online overheidsdiensten in 2011, de hack van KPN-systemen waardoor in korte tijd zelfs de 112-dienst in gevaar is gekomen en de frequente storingen aan de online betalingsdienst van ING begin Maar ook het groeiende besef dat we in een maatschappij leven die in toenemende mate risicomijdend wordt. Dit gaat hand in hand met een steeds complexer wordende samenleving waarvan de afhankelijkheid van elektronische middelen steeds groter wordt,of we dat willen of niet. Niet alleen uitval van elektriciteit kan al snel catastrofale gevolgen hebben, maar ook uitval van informatie- en communicatiemiddelen. Reden waarom de Nederlandse overheid eind 2010 aan o.a. gemeenten en waterschappen heeft opgedragen plannen te maken voor uitval van elektriciteit én ICT. Zorginstellingen dienen vanaf 2005 te voldoen aan de NEN7510-norm omdat ook zorgverlening zeer sterk afhankelijk is van de continuïteit van hun informatievoorziening. Wat voor overheid geldt, geldt natuurlijk in meer of mindere mate ook voor het bedrijfsleven. In deze tijden van crisis neigen bedrijven alles rondom informatiebeveiliging voor zich uit te schuiven. Maar juist in deze moeilijke tijden kan een calamiteit of groter incident van welke aard ook snel leiden tot de definitieve teloorgang van een organisatie omdat de middelen om een nieuwe start te maken ontbreken. Denk alleen al aan de imagoschade die kan worden opgelopen en waar enorme bedragen mee gemoeid kunnen zijn. Hiervoor is het niet altijd noodzakelijk honderden maatregelen af te vinken en te implementeren. Door terug te gaan naar de basis kan in relatief korte tijd een aanvaardbaar risiconiveau bereikt worden.

4 Hoe kijken we tegen Informatiebeveiliging aan? Eerst en vooral is het natuurlijk belangrijk vast te stellen wat we verstaan onder informatiebeveiliging. Binnen administratieve organisaties (en onder die classificatie valt het overgrote deel van overheid en bedrijfsleven) is het beschikbaar zijn van de juiste informatie op het juiste moment erg belangrijk. Bedrijfsprocessen zijn hier direct van afhankelijk en kunnen vaak geen doorgang vinden zodra deze voorziening stopt of onbetrouwbaar wordt. Het gebied informatiebeveiliging omvat alle aspecten van de informatievoorziening binnen bedrijven en instellingen met als focus de zekerstelling van deze informatievoorziening. Onderwerpen die binnen dat kader vallen zijn bijvoorbeeld integriteit van informatie, maar ook beschikbaarheid van informatiesystemen en continuïteitsplanning. Informatie kan allerlei vormen aannemen, maar wordt in toenemende mate geleverd in digitale vorm via een groeiend aantal gebruikersapparaten (Bring Your Own Device). Geen wonder dat veel informatiebeveiligingsprojecten zich daarom concentreren op IT-middelen. Het resultaat is vaak veel technische maatregelen die uiteindelijk meer beperkend werken dan bijdragen aan een veilige omgeving. Waar het echter tenslotte, ook bij Informatiebeveiliging, om gaat is de beschikbaarheid van de bedrijfsprocessen. Die zijn echter lang niet allemaal even belangrijk. Verder is niet ieder proces even afhankelijk van IT en ook de lijst van niet-it afhankelijkheden is voor ieder proces anders. Het heeft daarom weinig zin een lange lijst niet-specifieke maatregelen te implementeren omdat daardoor de plank weleens volledig misgeslagen zou kunnen worden. Daarom dient een goed Informatiebeveiligingsproject ook bij de bedrijfsprocessen te starten: aan de basis. Informatiebeveiliging betreft niet alleen de IT-Afdeling. Je moet een bewustwordingsproces binnen de organisatie op gang brengen, bijvoorbeeld ook papier en ruimtes in gebouwen tellen mee *aldus een klant van Innervate tijdens een kennissessie

5 Onze aanpak De belangrijkste standaard op het gebied van informatiebeveiliging van dit moment is de ISO27001/2. Voor de gezondheidszorg is een specifieke standaard opgesteld die echter qua opzet goed te vergelijken is met de ISO27001/2, namelijk de NEN Een solide aanpak op het gebied van informatiebeveiliging dient gebaseerd te zijn op deze standaarden. In de praktijk blijkt echter dat deze standaarden op nogal verschillende wijze (kunnen) worden geïnterpreteerd. De kern van de Innervate aanpak bestaat uit een risicoanalyse uitgevoerd op de specifieke kenmerken van de bedrijfsprocessen. Met deze holistische benadering wordt bereikt dat organisaties bewuste keuzes kunnen maken tussen aanvaardbare en niet-aanvaardbare risico s, m.a.w. een beperking van risico s zonder de maatregelenbrij. De aanpak is onderverdeeld in twee fasen, waarbij fase één gezien kan worden als de Denk-fase. D.w.z. dat de noodzakelijke analyses en rapportages in deze fase worden opgesteld. Fase twee betreft de Doen-fase waarin de maatregelen uit het ontwerp worden geïmplementeerd. Infobeveiligingsbeleianalysanalyse Afhankelijkheid- Kwetsbaarheids- Informatiebeveiligingsplan ISO27001/2 FASE 1 1. BELEID 2. INVENTARSATIE 3. EISEN 4. ONTWERP Door te bepalen welke componenten nodig zijn voor de uitvoering van de processen en aan welke risico s deze componenten blootstaan, is het mogelijk een efficiënt ontwerp te maken voor de te treffen maatregelen.

6 Fase 1 Het Denken (4 stappen) 1. Informatiebeveiligingsbeleid: Het uiteindelijke doel van deze fase is een geaccordeerd informatiebeveiligingsplan waarin een ontwerp staat beschreven van de te implementeren maatregelen. Daartoe dient een risico-analyse te worden uitgevoerd, die onderverdeeld kan worden in afhankelijkheidsanalyse en een kwetsbaarheidsanalyse. De eerste stap is echter het opstellen van een informatiebeveiligingsbeleid. Deze is noodzakelijk om als leidraad te dienen voor het gehele proces van risico-analyse. In het beleid wordt feitelijk het ambitieniveau bepaald van de organisatie m.b.t. informatiebeveiliging. Keuzes die gedurende het traject gemaakt dienen te worden aangaande processen, maatregelen en risico s dienen getoetst te kunnen worden aan het beleid. Ook dient hierin vastgelegd te worden welke scope het gehele traject dient te bezitten, m.a.w. wat dient de omvang te zijn van de analyses en met welk detailniveau. Het beleid dient een afgeleide te zijn van het informatiebeleid, organisatiebeleid en wet- en regelgeving. Vaak beschikken organisaties reeds over documenten die gebruikt kunnen worden als input voor deze stap. 2. Afhankelijkheidsanalyse: Na accordering van het informatiebeveiligingsbeleid kan gestart worden met de afhankelijkheidsanalyse. In de afhankelijkheidsanalyse wordt bepaald welke componenten noodzakelijk zijn voor de uitvoering van het bedrijfsproces en hoe belangrijk deze zijn voor het proces, m.a.w. welke eisen hieraan gesteld dienen te worden. Het begrip componenten dient hier breed te worden opgevat. Voor de bepaling van deze componenten wordt wel het MAPGOOD schema gehanteerd. MAPGOOD staat voor Mensen, Apparatuur, Producten, Gegevens, Organisatie, Omgeving en Diensten. De hoeveelheid werk in deze stap wordt in hoge mate bepaald door de mate van detail. Deze dient tevoren te worden afgesproken en vastgelegd in het beleidsdocument.

7 Computers moeten werken, mensen moeten denken!

8 3. Kwetsbaarheidsanalyse: In de kwetsbaarheidsanalyse wordt bepaald welke eisen gesteld dienen te worden aan processen en de in de vorige stap geïnventariseerde componenten. Deze eisen worden uitgedrukt in termen van beschikbaarheid, integriteit en vertrouwelijkheid. Een belangrijke input voor de formulering van deze eisen is het beleidsdocument. Vervolgens wordt geïnventariseerd welke bedreigingen manifest kunnen worden en met welke kans. Gecombineerd met de te stellen eisen kan bepaald worden welke schade deze bedreigingen kunnen aanbrengen aan de bedrijfsprocessen en of dit wel of niet acceptabel is. De lijst met bedreigingen is voor iedere situatie en iedere organisatie verschillend. Bij het opstellen van deze lijst wordt zoveel mogelijk gebruik gemaakt van de eerder genoemde standaarden, maar ook van lokale bronnen zoals Provinciale Risicokaarten. Op basis van de gegevens uit de afhankelijkheids- en kwetsbaarheidsanalyse kan vervolgens een ontwerp van maatregelen worden gemaakt. Dit gebeurt alleen voor die bedreigingen die een onacceptabel risico vormen voor de bedrijfsprocessen. Ook hier wordt zoveel mogelijk gebruik gemaakt van de genoemde standaarden. Pas in dit late stadium maatregelen Informatiebeveiligingsplan wordt gekeken naar de reeds bestaande maatregelen, die bepaald worden middels een zogenaamde nulmeting. Door het spiegelen van deze nulmeting aan het ontwerp kan bepaald worden welke nieuwe maatregelen getroffen dienen te worden, maar ook welke bestaande maatregelen afdoende zijn, of wellicht zelfs overbodig! Vervolgens kan een Plan van Aanpak worden opgesteld voor implementatie van nieuwe maatregelen. Hierbij wordt uitgegaan van een no-nonsense beleid. Maatregelen worden onderverdeeld in een drietal categorieën waarbij alleen de meest dringende meteen worden ingevoerd. Voor de resterende wordt een langere termijn planning gemaakt. Zo wordt de organisatie niet overladen met acties en kan er voldoende aandacht besteed worden aan het veiligheid-bewustzijn. Dat brengt ons bij Fase twee van de aanpak. FASE 2 5. maatregelen Nulmeting (AS-IS) Ontwerpmaatregelen (TO-BE) PvA implementatie ISO27001/2 FASE 1 6. procedures 7. organisatie 8. audits

9 Fase 2 Het Doen Afhankelijk van het in de vorige fase bepaalde ontwerp vergt de implementatie het één en ander van de organisatie in kwestie. Dit wordt (heel) vaak onderschat. Niet alleen dienen technische maatregelen uitgevoerd te worden, maar ook organisatorische en procedurele. Informatiebeveiliging stopt niet bij het plan en de uitvoering van maatregelen! Om ook op langere termijn effect te hebben dient daarom een nieuw bedrijfsproces Informatiebeveiliging te worden geïmplementeerd. Compleet met verantwoordelijken, procedures en ijkmomenten. Binnen de ISO27001 wordt dit Information Security Management System genoemd, het ISMS. Het introduceren van een vorm van ISMS garandeert dat Informatiebeveiliging een blijvend aandachtsgebied wordt waarbij maatregelen en procedures up-to-date worden gehouden. In het geval een organisatie ervoor kiest een audit te ondergaan (voor gezondheidsinstellingen verplicht) is een ISMS in elk geval noodzakelijk. Leemten of onvolkomenheden die uit audits naar voren komen dienen aangepakt te worden in een nieuwe cyclus van de hier beschreven aanpak, zoals uitgebeeld in figuur op voorgaande pagina. Informatiebeveiliging stopt niet bij het plan en de uitvoering van maatregelen!

10 De Innervate manier De hiervoor beschreven aanpak vergt het één en ander aan resources en tijd, maar garandeert dat Informatiebeveiliging binnen uw organisatie op de kaart gezet wordt en ook blijvend effect zal sorteren. Daartoe is het ook noodzakelijk gebruik te maken van de Deming kwaliteitscyclus van Plan-Do-Check-Act. Binnen het in deze Whitepaper beschreven stappenplan is deze geborgd. Enterprise Architectuur Een ander belangrijk neveneffect is, dat gedurende het proces veel informatie over uw organisatie beschikbaar komt. Het koppelen van componenten aan processen levert feitelijk een goed beeld van uw Enterprise Architectuur op. Gezien de effort die hiervoor nodig is, is het verstandig deze informatie vast te leggen. Hiertoe maken wij gebruik van de taal Archimate. Archimate is een Opensource EA modelleringstaal waarmee Enterprise Architecturen kunnen worden beschreven op een gestructureerde en gestandaardiseerde wijze. Sinds 2008 maakt Archimate deel uit van The Opengroup en is gekoppeld aan het architectuur framework TOGAF. Door gebruik van geavanceerde tooling kunnen deze modellen dusdanig worden vastgelegd, dat achteraf geautomatiseerde analyses mogelijk zijn. Maatwerk in maatregelen Bij de daadwerkelijke invoering van maatregelen is vaak nog een extra detailontwerp noodzakelijk afhankelijk van de specifieke omstandigheden. Zoals eerder vermeld zijn de maatregelen uit de vigerende standaarden non-specifiek en behoeven dus een extra maatwerkslag om geschikt te worden gemaakt voor uw organisatie. Vaak hebben organisaties niet de kennis of ervaring om deze stap te maken. Door de brede expertise kan Innervate ook hier behulpzaam zijn. Kiezen voor wel of niet zelf doen De noodzakelijke inspanningen voor de uitvoering van de in deze whitepaper beschreven aanpak zijn sterk afhankelijk van reeds voorhanden zijnde documenten en de gewenste scope. Sommige organisaties kiezen ervoor het werk zelf uit te voeren. Innervate kan in die gevallen als coachende partij optreden waarbij wij u met adviezen en hulpmiddelen terzijde staan. Wij kunnen echter ook het grootste deel van het werk voor u uitvoeren. In beide gevallen is het noodzakelijk dat u als organisatie zeer nauw betrokken bent en blijft. Alleen dan is succes verzekerd!

11 Waarom Innervate? Innervate is een eredivisiespeler in het vakgebied van informatietechnologie en ICT-infrastructuur. Onze diensten zijn gericht op advies, software-ontwikkeling en trainingen. De professionals van Innervate zijn allemaal spelers met hun eigen specifieke expertise en praktijkervaring. Innervate kan de werk-processen in uw organisatie geheel overzien en exact de puntjes op de i zetten. Dit levert voor de klant een slimme oplossing op en 100% kans op een succesvol project. Innervate Innervate Midden Nederland Aziëlaan 14 De Corridor 21 A 6199 AG Maastricht-Airport 3621 ZA Breukelen T +31 (0) E [email protected] W

12 Volg ons op Linkedin: Volg ons op Twitter: #InnervateNL Volg ons op Facebook: Innervate NL

13 Deze Whitepaper is opgesteld door Rob Braam, Principal Consultant bij Innervate op basis van project- en onderzoekservaring op het gebied van informatiebeveiliging. Maastricht, maart 2012