INFORMATIEBEVEILIGING ALS BEHEERST PROCES

Vergelijkbare documenten
De nieuwe Code voor Informatiebeveiliging

Olde Bijvank Advies Organisatieontwikkeling & Managementcontrol

VOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC

INFORMATIEBEVEILIGING: WAT MAG U ERVAN VERWACHTEN?

ISO 27001:2013 INFORMATIE VOOR KLANTEN

Checklist NEN7510, Informatiebeveiliging in de mondzorgpraktijk Vraag Ja / Nee / Gedeeltelijk. 1. Beschikt de praktijk over een beleidsdocument

Seminar Trends in Business & IT bij woningcorporaties. Informatiebeveiliging

Verklaring van Toepasselijkheid

Informatiebeveiligingsbeleid. Stichting Pensioenfonds Chemours

ITIL Security Management: een kritische beschouwing

Werkplekbeveiliging in de praktijk

: Privacy & informatiebeveiliging. Rob Stadt IT coördinator, DPO (FG) Koninklijk Nederlands Genootschap voor Fysiotherapie

4Problemen met zakendoen op Internet

Gemeente Alphen aan den Rijn

Information Security Management System. Informatiebeveiligingsbeleid Lannet IT B.V. 1 van 8

Hoe operationaliseer ik de BIC?

Privacy Policy v Stone Internet Services bvba

Beleid Informatiebeveiliging InfinitCare

Verklaring van Toepasselijkheid - Tactus Verslavingszorg Datum invoegen NEN Aspect NEN 7510 Beheersdoelstelling. Beveiligingsbeleid

Databeveiliging en Hosting Asperion

ISMS BELEIDSVERKLARING. +31(0) Versie 1.0: 3/7/18

Informatiebeveiliging

Informatiebeveiligingsbeleid

IT Beleid Bijlage R bij ABTN

GOVERNANCE, RISK & COMPLIANCE WHITEPAPER

De maatregelen in de komende NEN Beer Franken

Doel van de rol Iedere Compliance Officer heeft als doel het beheersen van de risico s die BKR loopt in haar strategische en operationele processen.

Informatiebeveiligingsbeleid

Privacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers

BEVEILIGINGSARCHITECTUUR

ISO Informatiebeveiliging

Beveiliging en bescherming privacy

Beveiligingsbeleid Stichting Kennisnet

Partnering Trust in online services AVG. Vertrouwen in de keten

DIT DOCUMENT BEVAT: - ALLE VAN TOEPASSING ZIJNDE SERVICE LEVEL AGREEMENT (SLA) PER DIENST OF PRODUCT

Informatiebeveiliging en privacy. Remco de Boer Ludo Cuijpers

Doel van de opleiding informatieveiligheid

Aanbeveling analysemethode voor het Informatiebeveiligingsbeleid van de HVA. Arjan Dekker

m.b.v. digitale certificaten en PKI Versie: mei 2002 Beknopte Dienstbeschrijving beveiligen van

m.b.v. digitale certificaten en PKI Versie: mei 2002 Beknopte Dienstbeschrijving beveiligen van VPN s

Cloud dienstverlening en Informatiebeveiliging. ISACA Round Table Assen - Maart 2017

Informatiebeveiliging En terugblik op informatiebeveiliging 2016

Managementsysteem voor Informatiebeveiliging Publiceerbaar Informatiebeveiligingsbeleid KW1C

INHOUDSOPGAVE INLEIDING... 3 TOEGANG TOT HET NETWERK KSZ VIA INTERNET...

Veilig samenwerken met de supply-chain

Beheersmaatregelen volgens Bijlage A van de ISO/IEC norm

IBM; dataopslag; storage; infrastructuur; analytics; architectuur; big data

ISM: BPM voor IT Service Management

Risico management 2.0

Cloud Computing, een inleiding. ICT Accountancy & Financials congres 2013: Cloud computing en efactureren. Jan Pasmooij RA RE RO: jan@pasmooijce.

Beleid Informatieveiligheid Gemeente 's-hertogenbosch. Definitief. s-hertogenbosch, A. Kieboom

DMZ Policy. Eindverantwoordelijkheid Goedgekeurd. 16 Februari Geaccepteerd Manager SPITS. Security Manager SPITS E.A. van Buuren.

Beknopte dienstbeschrijving beveiligen van Webapplicaties m.b.v. digitale certificaten en PKI

ISO 9000:2000 en ISO 9001:2000. Een introductie. Algemene informatie voor medewerkers van: SYSQA B.V.

Practitioner s Certificate in IT Service Management: Release & Control (based on ITIL )

Business Continuity Management

Toelichting NEN7510 Informatiebeveiliging in de zorg. Drs. J.W.R. Schoemaker CISSP Security Officer/ Business Continuity Manager Erasmus MC

Checklist Beveiliging Persoonsgegevens

Zet de stap naar certificering!

Op 14 maart 2017 publiceerde het DNB Expertisecentrum Operationele en IT Risico's een memo 'Toelichting Toetsingskader Informatiebeveiliging 2017'.

Voorwaarden Digilevering

Wet beveiliging netwerken informatiesystemen. Algemene informatie. Meer weten?

Brochure ISO Advanced

Readiness Assessment ISMS

Informatiebeveiliging voor overheidsorganisaties

Voorschrift Informatiebeveilging Rijksdienst (VIR) Presentatie CIOP seminar - 12 juni 2007 Frank Heijligers (BZK)

Strategisch Informatiebeveiligingsbeleid Hefpunt

De IT en infrastructuur direct weer up-and-running na een incident

Snel naar NEN7510 met de ISM-methode

VVT - Broad Horizon. CLASSIFICATIE: PUBLIEKELIJK Versie 1.3, Voorwoord

Seriously Seeking Security

Digital Independence. Plan Today to be ready for Tomorrow. Grip op uw continuïteit! Information Security and Continuity Services

Even Voorstellen GEGEVENSBESCHERMING IN DE PRAKTIJK. SHK Najaar symposium Folkert van Hasselt RI. Folkert van Hasselt 29 november 2017

Informatiebeveiligingsbeleid Drukkerij van der Eems

Advies informatiebeveiligings analyse HvA

Verantwoordingsrichtlijn

[functie] De functie die verantwoordelijk is voor het beheren van applicaties. [zaak] Een methode of maatregel om een risico te managen.

Hoe implementeer je de NEN7510?

weer wat nieuws KEMA KEMA Reden van verandering KLANT- & PRESTATIEGERICHT! Oude norm was onvoldoende KEMA Quality B.V.

Grip op Contractmanagement IIR Congres 27 en 28 november 2013 Thematafel: privacy & security issues voor de contractmanager.

Informatiebeveiligings- en privacy beleid. Haagsche Schoolvereeniging

Proactief en voorspellend beheer Beheer kan effi ciënter en met hogere kwaliteit

Technische en organisatorische beveiligingsmaatregelen

Informatiebeveiligingsbeleid

ISMS (Information Security Management System)

NS in beweging, Security als business enabler september 2008

Algemene Voorwaarden Elektronische Diensten Delta Lloyd XY

HP ITSM Assessment Services HP Services

Een checklist voor informatiebeveiliging

I T S X. Informatiebeveiliging, IT Audit & Compliance, Security as a Service, Risicomanagement, Educatie

Mobiel Internet Dienstbeschrijving


Informatiebeveiligingsbeleid extern

CERTIFICERING NEN 7510

Proefexamen ITIL Foundation

Persoonsgegevens Persoonsgegevens zijn alle gegevens die informatie geven over u en waarmee u rechtstreeks of indirect identificeerbaar bent.

Implementatiemodellen online werken

Whitepaper. Veilig de cloud in. Whitepaper over het gebruik van Cloud-diensten deel 1.

Beveiliging is meer dan een slot op je computerruimte. Ben Stoltenborg PinkRoccade Healthcare EDP Auditor

Transcriptie:

Paul Overbeek, Edo Roos Lindgreen, Marcel Spruit Het vakgebied informatiebeveiliging is danig in beroering. In dit artikel geven de auteurs een overzicht van de stand van zaken. Zij bespreken onder meer de nieuwe Code voor Informatiebeveiliging, de rol van certificering, het INFORMATIEBEVEILIGING ALS BEHEERST PROCES gebruik van ITIL als basis voor het inrichten van beheersprocessen en trends en ontwikkelingen in de relatie tussen e-business en informatiebeveiliging. Het vakgebied informatiebeveiliging heeft de afgelopen jaren een snelle ontwikkeling doorgemaakt. Nieuwe standaarden zagen het licht, er kwamen specialistische opleidingen en nieuwe beroepsverenigingen en het aantal beroepsbeoefenaars steeg explosief. Deze ontwikkelingen kunnen niet los worden gezien van de achterliggende trends op macro-economisch niveau. Trends als de verschuiving van productie naar dienstverlening, de dominantie van informatie als productiefactor, het ontstaan van nieuwe economische netwerkstructuren en de opmars van zakendoen via moderne communicatienetwerken (e-business). Het zijn trends met verstrekkende microeconomische gevolgen. Eén van die gevolgen is dat bedrijven en instellingen op een andere manier met risico s om moeten gaan. Door de stijgende automatiseringsgraad gaan technologiegerelateerde risico s immers een steeds grotere rol spelen en krijgen leidinggevenden steeds meer behoefte aan instrumenten om die risico s te kunnen beheersen, zowel binnen de eigen organisatie als in de relatie met derden afnemers, toeleveranciers en andere belanghebbenden. Zo bezien is de ontwikkeling van het vakgebied informatiebeveiliging niets anders dan de ontwikkeling van een instrumentarium voor risicomanagement, waarbij de markt als drijvende kracht fungeert. Het belang van de technologie zou kunnen suggereren dat bij de ontwikkeling van dit in- 4 MANAGEMENT & INFORMATIE 2000/6

INFORMATIEBEVEILIGING strumentarium steeds de nadruk ligt op technische maatregelen. Denk hierbij aan het gebruik van encryptie voor de bescherming van vertrouwelijke gegevens, het installeren van een firewall voor het blokkeren van ongewenst internetverkeer of het gebruik van veilige protocollen voor elektronisch betalen. Het tegendeel is echter waar. Het zijn juist maatregelen op organisatorisch niveau die momenteel een sterke ontwikkeling doormaken en die lijken uit te groeien tot het zwaartepunt van het vakgebied. Deze organisatorische maatregelen zijn erop gericht informatiebeveiliging in te richten als een duurzaam, beheerst proces, waarbij gebruik wordt gemaakt van algemeen geaccepteerde standaarden en beproefde managementtechnieken. Het is een ontwikkeling die recht doet aan de grote invloed van de menselijke factor op het beveiligingsvraagstuk, en die wordt gezien als de enige manier om in dit turbulente tijdperk nieuwe kwetsbaarheden op tijd het hoofd te kunnen bieden. CODE VOOR INFORMATIEBEVEILIGING Informatie is één van de belangrijkste productiefactoren en de bescherming daarvan kan van essentieel belang zijn voor het behoud van de concurrentiepositie, de winst en het imago van een organisatie. De Code voor Informatiebeveiliging is ontwikkeld in antwoord op de vraag naar praktische hulpmiddelen voor beveiliging van informatie in computers en netwerken. De Code is sinds 1994 in gebruik in Nederland, als vertaling van de Engelse Code of Practice for Information Security Management (British Standard BS 7799) en recent weer vernieuwd. De Code wordt in Nederland veel gebruikt, vooral bij grotere bedrijven. En de populariteit is nog steeds groeiende. De Code voor Informatiebeveiliging is een leidraad voor praktische informatiebeveiliging. Hij biedt een gemeenschappelijke basis voor bedrijven om beveiligingsbeleid te ontwikkelen, maatregelen te selecteren, de nodige plannen op te stellen, en zo tot beveiliging op maat te komen. ACHTERGROND Informatiebeveiliging mag zich verheugen in een ruime belangstelling van de media. Dat is goed, want het stimuleert dat over het onderwerp wordt gesproken. De incidenten die ons via de pers bereiken zijn echter niet illustratief voor de huidige stand van zaken. Het grootste deel van de incidenten wordt niet door hackers veroorzaakt, maar door de eigen medewerkers in omgang met gebrekkige techniek. Ook vindt het merendeel van de beveiligingsincidenten niet bij het Pentagon plaats, maar bij u, en waarschijnlijk zonder dat u dat weet. Informatiebeveiliging is zich aan het ontwikkelen van een specialisme, dat het domein was van hoogopgeleide staffunctionarissen met grijze haren, naar een normaal gemanaged proces. In dit proces wordt steeds het evenwicht gezocht tussen de beveiligingsmaatregelen: fysieke afscherming, technische hulpmiddelen, ondersteunende procedures en dat geheel ingebed in een passende organisatie. Juist met het oog op het evenwicht tussen de maatregelen is de Code voor Informatiebeveiliging ontwikkeld: als een goed toegankelijk hulpmiddel, ook voor de niet-beveiligingsspecialisten. De Code richt zich op managers en werknemers die verantwoordelijk zijn voor het opzetten, implementeren en onderhouden van de informatiebeveiliging in hun bedrijf. De Code biedt basisprincipes voor het management voor de bescherming van informatie. In de eerste plaats is het doel van de Code om in eigen huis orde op zaken te kunnen stellen. Bovendien is de Code bedoeld als referentiekader, als gemeenschappelijke basis, voor (elektronische) zakenpartners. In het zakelijk verkeer moet men op elkaar kunnen vertrouwen. Dat geldt zeker wanneer organisaties afhankelijk worden van de beveiliging bij partners waarmee elektronisch zaken wordt gedaan, bijvoorbeeld bij gebruik van elektronische handel of elektronische post. De Code beoogt hiermee tevens het vertrouwen in het handelsverkeer tussen bedrijven te bevorderen. De Code voor Informatiebeveiliging is ont- MANAGEMENT & INFORMATIE 2000/6 5

staan in Engeland als een samenbundeling van best practices voor informatiebeveiliging. Aan de Code wordt meegewerkt door grote en kleine bedrijven, om het draagvlak zo groot mogelijk te houden. Deelnemende bedrijven zijn bijvoorbeeld British Telecom, Marks & Spencer, Midland Bank, Shell en Unilever. In het schrijversteam wordt samengewerkt door mensen uit Engeland, Duitsland, Noorwegen en Nederland. Er is ook een Nederlandse vertaling, die tot stand is gekomen onder supervisie van het Nederlands Normalisatie Instituut. Gebruik van de Code wordt onder andere gestimuleerd door organisaties als het ministerie van Economische Zaken, het ministerie van Verkeer en Waterstaat, de Nederlandse Vereniging van Banken, Electronic Commerce Platform Nederland, FENIT en VNO/NCW, die hiermee het belang van informatiebeveiliging voor moderne organisaties onderschrijven. De Code wordt veel gebruikt als referentiekader door professionals in de informatiebeveiliging. UITGANGSPUNTEN Het doel van beveiliging is enerzijds het waarborgen van de continuïteit van de bedrijfsprocessen en anderzijds het minimaliseren van eventuele schade, direct of indirect, die ontstaat uit beveiligingsincidenten. Dit doel wordt bereikt door het treffen van een evenwichtig pakket preventieve maatregelen (het voorkomen van beveiligingsincidenten), alsmede repressieve en correctieve maatregelen (gericht op het beperken en herstellen van de negatieve gevolgen van incidenten). Overigens richt de Code zich niet alleen op de beveiliging van informatie in computers en netwerken, maar op alle vormen van informatie, dus bijvoorbeeld ook de informatie die opgeslagen is in papieren documenten, op videobanden, in antwoordapparaten, dicteerapparaten en organizers. Met name die laatste categorie staat in de warme belangstelling omdat uit recent onderzoek blijkt dat organizers, die doorgaans niet zijn beveiligd, een populaire bewaarplaats zijn van pincodes en passwords. De Code baseert zicht op de bekende drie-eenheid: vertrouwelijkheid, integriteit en beschikbaarheid. DE 10 HOOFDCATEGORIEËN In de Code zijn 10 hoofdcategorieën vastgesteld als belangrijkste aandachtsgebieden voor beveiliging (zie tabel 1). Iedere categorie is op dezelfde wijze opgebouwd: er zijn doelstellingen geformuleerd en er is een basisset aan beveiligingsmaatregelen en activiteiten gedefinieerd waarmee die doelstellingen kunnen worden bereikt. WAAR TE BEGINNEN... Hoewel het aantal maatregelen in de Code op zich beperkt is, is toch aan een aantal maatregelen een hogere prioriteit gegeven. Een klein aantal maatregelen in de Code is onmisbaar omdat ze essentieel zijn (bijvoorbeeld vanwege wettelijke eisen) of fundamenteel voor informatiebeveiliging (bijvoorbeeld omdat deze maatregelen het managementraamwerk bieden voor beveiliging). Deze maatregelen zijn van toepassing op elke organisatie en omgeving (zie tabel 2). Ze vormen als het ware de sleutelmaatregelen voor succesvolle informatiebeveiliging. Tevens vormen deze maatregelen het startpunt voor bedrijven die nog niet zo ver zijn met informatiebeveiliging omdat deze maatregelen de basis vormen voor het management van informatiebeveiliging volgens de bekende managementcyclus: plan, do, check, act. WERKEN MET DE CODE De Code vat de essentie van informatiebeveiliging samen in 8 essentiële maatregelen, 10 hoofdcategorieën, 36 doelstellingen en zo n 125 maatregelen. De Code is daarmee een inzichtelijk hulpmiddel en vertrekpunt voor tal van activiteiten. Hieronder worden de belangrijkste genoemd. 6 MANAGEMENT & INFORMATIE 2000/6

INFORMATIEBEVEILIGING Beveiligings categorieën Beveiligingsbeleid Trefwoorden uit de categorie Doelstellingen voor informatiebeveiliging vastleggen in het beleidsdocument: beschrijving van de te bereiken of na te streven situatie in termen van de bedrijfsbelangen. Het beleid wordt goedgekeurd en uitgedragen door het management. Het halen van de doelstellingen wordt aangestuurd en gecontroleerd. Inrichten van de organisatie met beveiligingsfuncties, taken en verantwoordelijkheden, coör- dinatie, samenhang en rapportagelijnen, autorisatieprocessen. Afspraken over samenwerking met derden worden expliciet gemaakt. Organisatie van de beveiliging Classificatie en beheer van de bedrijfsmiddelen Weten wat je in huis hebt door inzicht in de aanwezige bedrijfsmiddelen en hun verantwoorde lijke eigenaar. Gebruik van classificatieschema s voor informatie en systemen koppelt het belang van informatie en andere middelen aan specifieke beveiligingsmaatregelen. Personeel Succesvolle informatiebeveiliging begint bij betrouwbaar, zorgvuldig en goed opgeleid personeel. Daarvoor is nodig: training, security awareness, veilig gedrag op de werkvloer, aannamebeleid en functioneringsbeoordeling. Personeel moet weten hoe te reageren op beveiligingsincidenten. Fysieke beveiliging en omgeving Beveiliging van en in de infrastructuur vereist onder andere toegangscontrole bij de poort, fysieke beveiliging van computerruimten, decentrale computers en mobiele apparatuur. Toegang tot rondslingerende papieren wordt voorkomen met een clear desk policy. De continuïteit van de stroomvoorziening en datacommunicatie vraagt aandacht. Tevens zijn richtlijnen nodig voor middelen als organizers, mobiele telefoons, diskettes, tapes en documentatie. Computer- en netwerkbeheer Een goede organisatie van het IT-beheer kan de kans op fouten sterk verminderen. Dit vereist vastgelegde beheersprocedures, beheer van de technische beveiliging en verantwoordelijkheden voor dit beheer. Andere maatregelen zijn: antivirusmaatregelen, incidentafhandeling en - rapportage, beveiliging bij uitwisseling van gegevens met derden zoals E-mail, EDI. Een standaard, zoals bijvoorbeeld ITIL Security Management, geeft steun. Toegangsbeveiliging De toegang tot informatie en IT-middelen wordt op bedrijfsmatige overwegingen gebaseerd. Dit vraagt een autorisatieproces voor toegang tot informatie en IT-middelen. De uitgegeven autorisaties worden procesmatig onderhouden, bewaakt en eventueel weer ingetrokken. Aandacht voor de nodige beveiligingsfunctionaliteit en veilige ontwikkel- en onderhouds- methoden leiden tot veilige systemen, die ook veilig blijven (change management). Ontwikkeling en onderhoud van systemen Continuïteitsmanagement Een calamiteit hoeft nog geen ramp te worden indien vooraf is nagedacht over de eisen aan continuïteit en er een proces is voor continuïteitsborging inclusief calamiteitenopvang, rampenplannen en (geoefende) uitwijk. Toezicht Door middel van auditing en andere vormen van toezicht wordt inzicht gekregen in het halen van de doelstellingen uit het beleid en de realisatie van de afspraken. Ook aandacht voor de naleving van wettelijke en contractuele voorschriften, beveiligingscontrole op IT-systemen, ITaudit en interne controle. Tabel 1: De 10 hoofdcategorieën voor beveiliging MANAGEMENT & INFORMATIE 2000/6 7

Essentiële beveiligingsmaatregelen vanuit wettelijk oogpunt Voorkomen van onrechtmatig kopiëren van programmatuur of informatie Veiligstellen van bedrijfskritische documenten/bestanden in verband met wettelijke eisen rond bijvoorbeeld bewaar- en bewijsplicht (grootboek) Bescherming van persoonsgegevens (privacy) Essentiële maatregelen die de basis vormen voor beveiliging Doelstellingen voor beveiliging (beleidsdocument) Toewijzing van verantwoordelijkheden Training en opleiding Rapportage en afhandeling van beveiligingsincidenten Continuïteitsplanning Tabel 2: Essentiële maatregelen INRICHTING VAN DE INFORMATIEBEVEILIGING Als verzameling van best practices is de Code een uitstekend vertrekpunt voor het inrichten van de informatiebeveiliging binnen en tussen organisaties. De Code wordt hiervoor op maat gemaakt voor de organisatie. Veelal worden in een Handboek Informatiebeveiliging de algemeen geformuleerde doelstellingen en maatregelen uit de Code gespecificeerd voor de organisatie en worden de interne procedures en verantwoordelijkheden beschreven. Eventueel worden onderwerpen die voor een organisatie niet van belang zijn weggelaten. De zo op maat gemaakte Code biedt het basisniveau aan beveiliging (baseline) voor de organisatie. Door aanvullend een eenvoudig schema voor risicoanalyse toe te passen, kan worden afgesproken voor wat voor soort informatie en -systemen het basisniveau voldoende is, en in welke gevallen aanvullende, gespecialiseerde maatregelen nodig zijn. Het proces zelf om tot inrichting van de informatiebeveiliging te komen is niet complex of moeilijk. Op ieder moment is inzicht in de vooruitgang van de organisatie te geven. De snelheid van implementatie hangt samen met de prioriteitstelling en het veranderingsvermogen van een organisatie. Afhankelijk van het vertrekpunt is een implementatietermijn van een half jaar tot twee jaar niet ongebruikelijk. INRICHTING IT-BEHEER Aangezien vele organisaties het IT-beheer conform ITIL inrichten, is op Nederlands initiatief een ITIL-module ontwikkeld die de inrichting van security management binnen ITIL beschrijft. ITIL Security Management beschrijft het proces zelf, en de relaties met andere processen waarbinnen de activiteiten plaatsvinden. Zo worden (beveiligings-)incidenten afgehandeld door het proces Incident Management. Het proces Configuration en Asset management geeft een goede kapstok voor een classificatiesysteem. Het proces Change Management geeft handvatten voor beheerste en gecontroleerde wijzigingen in de IT-infrastructuur. Hierbij kunnen eisen ten aanzien van het uitvoeren van risicoanalyses en het onderhouden van de baseline worden bewaakt. Dit zijn slechts enkele voorbeelden. In de module ITIL Security Management worden de doelstellingen en maatregelen uit de Code toegewezen aan de verschillende processen, onder regie van het proces Security Management. Tevens wordt aangegeven welke doelstellingen en maatregelen buiten de scope van ITIL vallen, maar natuurlijk wel moeten worden geregeld. Denk hierbij bijvoorbeeld aan fysieke beveiliging en omgang met het personeel. AUDITS EN BENCHMARKING Omdat de Code een weerslag is van wat grote en ervaren bedrijven op het gebied van informatiebeveiliging doen, kan de Code ook goed worden gebruikt als meetlat. Door middel van een audit met de Code als norm, wordt de organisatie de maat genomen. Uit de audit blijkt dan welke doelstellingen niet worden gehaald, of welke maatregelen ontbreken. Aangezien deze doelstellingen en maatregelen voor de meeste organisaties van toepassing zijn, heeft de organisatie hiermee een goed vertrekpunt voor het formuleren van verbeteringsactiviteiten, bijvoorbeeld in het jaarplan voor informatiebeveiliging. 8 MANAGEMENT & INFORMATIE 2000/6

INFORMATIEBEVEILIGING AFSPRAKEN TUSSEN PARTNERS De Code wordt ook veel gebruikt als gemeenschappelijk referentiedocument tussen (handels-)partners. Bij uitbesteding wordt voor de beveiligingsparagraaf van de Service Level Agreement veelal gerefereerd aan de eis (aantoonbaar) te voldoen aan de Code. Ook in andere contracten met derden, zoals bij beheer door derden op afstand, softwareontwikkeling of inhuurcontracten, wordt de Code steeds vaker genoemd. En de Code wordt ook steeds vaker gebruikt voor het definiëren van algemene normen en richtlijnen voor specifieke situaties, zoals het omgaan met persoongegevens, websites, electronic commerce en, heel specifiek, het bieden van Trust Services op het internet zoals Trusted Third Parties dat beogen. aangelegenheid: de certificaten zijn internationaal erkend en certificatieorganisaties die zijn geaccrediteerd door bijvoorbeeld de Raad voor Accreditatie certificeren ook internationaal. CONSISTENTE AANPAK Uitgaande van de Code kan een uniforme aanpak worden bereikt van beveiligingsbeleid, inrichting van de organisatie inclusief het IT-beheer, het uitvoeren van audits tot en met certificatie. De bekende Demingcyclus, plan, do, check, act, is hiermee ingevuld. Ofwel: een volledig instrumentarium voor het managen van informatiebeveiliging. CERTIFICATIE Veel organisaties willen de kwaliteit en aandacht voor informatiebeveiliging zichtbaar maken. Dat is mogelijk door middel van een certificaat op basis van de Code voor Informatiebeveiliging. Zo n certificaat kan aan klanten, afnemers, partners of andere derde partijen worden getoond om te laten zien dat de organisatie de informatiebeveiliging structureel beheerst en er tenminste een minimumpakket aan maatregelen is geïmplementeerd. Ook tussen bedrijfsonderdelen, die bijvoorbeeld een gemeenschappelijke IT-infrastructuur delen, is certificatie een eenvoudig maar krachtig managementinstrument. Voor veel organisaties zal een certificaat slechts de externe bekrachtiging zijn van wat ze zelf al weten: het huis is op orde. Voor organisaties die nog bezig zijn met de inrichting van hun informatiebeveiliging kan het certificaat een duidelijk en zichtbaar einddoel geven voor een verbeteringstraject. In Nederland zijn twee certificatieorganisaties erkend door de Raad voor Accreditatie. In Engeland zijn dat er inmiddels een stuk of tien. In veel landen is men al actief of bezig met het opzetten van certificatie, bijvoorbeeld in de Scandinavische landen, Australië, Zuid Afrika en Zwitserland. Recent is certificatie ook weer op de Brusselse agenda gekomen in de discussie over accreditatie van Trusted Third Parties. Overigens is certificatie geen nationale INFORMATIEBEVEILIGING EN E-BUSINESS Wat in brede kring e-business wordt genoemd is in feite niet meer dan het aanbieden en afnemen van diensten en producten met behulp van een reeds lang bestaande netwerktechnologie. Ook bij de beveiliging van e-business omgevingen lijkt de nadruk voortdurend te liggen op technische maatregelen. Zulke omgevingen bestaat uit een groot aantal verschillende componenten, die vereenvoudigd zijn weergegeven in figuur 1. De uiteindelijke afnemers van e-business diensten zijn niet alleen finale consumenten, maar ook andere bedrijven of instellingen. Beide partijen maken in de regel gebruik van een standaard browser. De finale consument heeft toegang tot e-business diensten via Internet; bedrijven gebruiken e-business diensten hetzij via internet, hetzij via een besloten netwerkomgeving (extranet). E-business diensten worden aangeboden via een website, die direct toegankelijk is voor de browser van de communicatiepartner. Deze front office (FO) is blootgesteld aan de buitenwereld en is daardoor over het algemeen kwetsbaar voor aanvallen van buitenaf; vriend en vijand maken immers gebruik van dezelfde openbare infrastructuur. De front office is verbonden met een rekencentrum, de back office MANAGEMENT & INFORMATIE 2000/6 9

Customers Internet FO MO BO Extranet Databases stanties die gespecialiseerd zijn in het aanmaken, beheren en uitgeven van digitale certificaten; Intrusion detection het gebruik van speciale software voor het opsporen van hackers door het detecteren van afwijkende patronen in het gebruik van een infrastructuur. Business partners Figuur 1. Een e-business omgeving bestaat uit een groot aantal componenten. (BO). In dit rekencentrum bevinden zich de primaire gegevensbestanden en draaien de primaire systemen voor het afhandelen van e-business transacties. Tussen de front office en de back office bevindt zich vaak nog een extra beveiligde zone, die vaak middle office wordt genoemd (MO). Binnen deze omgeving worden steeds nieuwe beveiligingstechnieken ontwikkeld en toegepast. Actuele onderwerpen zijn onder meer: Encryptie het toepassen van speciale technieken voor het vercijferen van gegevens, om zo de vertrouwelijkheid ervan te waarborgen; Firewalls het installeren van speciale hardware en software, die ervoor zorgt dat ongewenst internet-verkeer wordt geblokkeerd en gewenst internet-verkeer wordt geregistreerd; Betalingsprotocollen het ontwikkelen en invoeren van specifieke cryptografische protocollen, zoals Secure Sockets Layer (SSL) en Secure Electronic Transactions (SET), die een veilige financiële afwikkeling van e-business transacties mogelijk moeten maken; Virtual Private Networks het toepassen van protocollen als IPSEC voor het realiseren van versleutelde veilige verbindingen via Internet, dat daarmee als besloten netwerk kan worden gebruikt; Digitale certificaten het gebruik van publickey encryptie door aanbieder en afnemer als instrument voor het verifiëren van berichten en het uitwisselen van cryptografische sleutels; Public-Key Infrastructures het inrichten van omgevingen die het gebruik van digitale certificaten mogelijk maken; Certificate Authorities het ontstaan van in- NIEUWE WERKWIJZE Achter deze afkortingen en termen gaan uiterst boeiende technische concepten en protocollen schuil. Maar ook in de Nieuwe Economie wat dat ook moge zijn draait het bij beveiliging niet zozeer om techniek, als wel om beheersing. De opmars van e-business zal het gebruik van managementstandaarden als de Code voor Informatiebeveiliging dan ook een krachtige impuls geven. De reden hiervoor is gelegen in het feit dat spelers in de nieuwe economie die wordt gekenmerkt door het vormen van dynamische economische netwerken waarbij nietkernactiviteiten zoveel mogelijk worden uitbesteed steeds sterker afhankelijk worden van de betrouwbaarheid en beschikbaarheid van hun zakenpartners. In deze netwerkeconomie zal een nieuwe werkwijze ontstaan, waarbij abstracte begrippen als betrouwbaarheid en beschikbaarheid tastbaar zullen worden gemaakt door ze uit te drukken in de operationele termen van een stelsel algemeen aanvaarde maatregelen of processen. Deze processen zijn noodzakelijk om het vertrouwen van consumenten en zakenpartners in de betrouwbaarheid van de aanbieder van de e-business diensten te rechtvaardigen. Het formeel bekrachtigen van de inrichting van zo n stelsel van processen door een onafhankelijke derde partij komt overeen met de eerder in dit artikel beschreven certificering. Tekenen van deze trend zijn sinds enkele jaren zichtbaar. Onder de bedrijven die zich opmaken voor certificering bevinden zich niet alleen vertegenwoordigers van de oude economie, maar ook belangrijke spelers in de Nieuwe Economie, waaronder netwerkleveranciers, application service providers (ASP s) en andere in- 10 MANAGEMENT & INFORMATIE 2000/6

INFORMATIEBEVEILIGING ternet-startups. Het ziet er naar uit dat de Code voor Informatiebeveiliging, in alle opzichten een product van de oude economie, in zijn huidige vorm een belangrijke rol zal spelen bij het tot stand komen van de nieuwe economie. Referenties Code of Practice for Information Security Management (BS7799:1999)/Code voor Informatiebeveiliging (2000) uitgave Nederlands Normalisatie Instituut te Delft of Bestel@nni.nl Overbeek, P.L., Roos Lindgreen, E. & Spruit, M.E.M. (2000). Informatiebeveiliging onder controle. Amsterdam: Financial Times/Prentice Hall, ISBN 90-4300-2895. CONCLUSIES De toenemende afhankelijkheid van informatietechnologie in de Nieuwe Economie leidt tot een stijgende behoefte bij het management aan instrumenten om de daarmee samenhangende risico s te beheersen. Niet de techniek, maar het inrichten van informatiebeveiliging als duurzaam beheerst proces staat daarbij centraal. De nieuwe Code voor Informatiebeveiliging biedt bedrijven en instellingen een zeer praktisch handvat voor het inrichten van het beveiligingsproces. Het ITIL-deelproces Security Management is daarbij geschikt voor het optuigen van dit proces binnen de IT-beheerorganisatie. Certificering maakt beveiliging meetbaar en biedt partijen de mogelijkheid zichzelf en anderen te overtuigen van de kwaliteit van het beveiligingsproces. Dit is een krachtig voordeel in de nieuwe netwerkeconomie, waar partijen meer dan ooit afhankelijk zijn van de betrouwbaarheid en beschikbaarheid van de diensten van derden. Over de auteurs Paul Overbeek, gepromoveerd bij professor Herschberg aan de TU Delft, werkt bij KPMG Information Security Management en is een van auteurs bam ITIL Security Management. Edo Roos Lindgreen, ook gepromoveerd bij Herschberg, werkt bij KPMG Information Risk Management. Hij is als hoofddocent betrokken bij postdoctoraal onderwijs en onderzoek IT & auditing aan zowel de VU als de Universiteit van Amsterdam. Marcel Spruit is universiteir hoofddocent voor de disciplines informatiebeveiliging en beheer van informatiesystemen bij de faculteit Informatietechnologie en Systemen van de TU Delft. MANAGEMENT & INFORMATIE 2000/6 11

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback