SECURITY RAPPORTAGE 2016 Versie: 2017-08-29 Auteur: Matthijs Dessing Aantal pagina s: 7
Inhoud Inleiding... 3 Incidenten... 4 Incidentmanagementresponseproces... 5 Oplossing & Maatregelen... 6 Trends 2016-2017... 7 Korton SECURITY RAPPORTAGE 2016 2
Inleiding ISO27001 kent honderdveertien maatregelen (safeguards), geplaatst in veertien secties (annex). Deze honderdveertien maatregelen zijn bedacht om bedreigingen voor de beschikbaarheid, vertrouwelijkheid en de integriteit van informatie tegen te gaan. Maatregelen zijn onder te verdelen in vijf categorieën. Preventief Voorkomen dat security incidenten überhaupt kunnen ontstaan door de dreiging uit te sluiten. Detectief Het nemen van maatregelen waardoor security incidenten gedetecteerd/vastgesteld kunnen worden. Bij voorkeur in een zo vroeg mogelijk stadium, zodat (tijdig) ingegrepen kan worden. Als bekend is dat er detectieve maatregelen genomen zijn, kan er een afschrikkende werking vanuit gaan (bv. diefstal winkel). Repressief Maatregelen nemen om de gevolgen/schade van een security incident te beperken. Correctief Het herstellen van de schade/incident. Verzekeren De (vaak financiële) schade/gevolgen van een incident bij een andere partij beleggen (waarvoor je een premie betaalt). Korton is een managed services leverancier die te maken krijgt met incidenten bij zijn klanten. Als deze incidenten onderkend worden, stelt de Information Security Officer een onderzoek in naar de oorzaak van dit incident. Hij wordt hierin ondersteund door de verschillende afdelingen binnen Korton. Het komt ook voor dat Korton met haar leveranciers in overleg moet om de oorzaak te achterhalen. Omdat wij graag transparant zijn, hebben we de keuze gemaakt om een jaarlijkse rapportage te delen met onze klanten. Korton SECURITY RAPPORTAGE 2016 3
Incidenten De security incidenten die in 2016 hebben plaatsgevonden, vallen in twee secties: A7 (veilig personeel) A9 (toegangsbeveiliging) Binnen A7 zijn er zes maatregelen gedefinieerd. Deze maatregelen zijn erop gericht het personeel binnen de organisatie veilig te laten werken. Deze maatregelen strekken van screening tot maatregelen bij beëindiging of wijziging van de verantwoordelijkheid van het dienstverband. Binnen A9 zijn er veertien maatregelen gedefinieerd. Deze maatregelen zijn erop gericht dat de toegangsbeveiliging op orde is en blijft. Deze maatregelen strekken van beleid voor toegangsbeveiliging tot beheer van toegangsrechten en gebruikersverantwoordelijkheden. Binnen A7 heeft zich één incident voorgedaan in 2016 en binnen A9 hebben zich vijf incidenten voorgedaan. Security incidenten 1 A7 A9 5 * Deze gegevens zijn gebaseerd op cijfers vanaf 01-06-2016 Korton SECURITY RAPPORTAGE 2016 4
Incidentmanagementresponseproces Security incidenten doorlopen een cyclus, de incidentmanagementresponseproces. Het proces is hieronder weergegeven: Identificatie Schade indamming & Beoordeling Herstel Kennisgeving Rapportage & Evaluatie Identificatie Het identificeren van de dreiging of incident. Schade-indamming en beoordeling van de blootstelling Ervoor zorgen dat er zo weinig mogelijk schade ontstaat. Herstel Alle informatie of instellingen zo veel als mogelijk herstellen. Kennisgeving Informeren van belanghebbende(n). Rapportage en evaluatie Er wordt een rapport opgemaakt door de Information Security Officer al dan niet op verzoek. In dit rapport worden de volgende punten besproken: introductie en omschrijving melder herstelactie root cause analyse (onderzoek oorzaak) corrigerende maatregel vermoedelijke gevolgen aanbeveling Korton SECURITY RAPPORTAGE 2016 5
Oplossing & Maatregelen Bij 83,33% van de incidenten hebben we het binnen één werkdag opgelost. In 16,66% was dit vijf werkdagen. Oplossing incidenten 16,66 1 Dag 2 Dagen 83,33 Zoals hierboven omschreven is evaluatie onderdeel van het Incidentmanagementresponseproces. Om ervoor te zorgen dat we leren van fouten worden er maatregelen getroffen om herhaling te voorkomen. In de rapportage doet de Information Security Manager daarom een aanbeveling. Binnen Korton worden processen zo nodig aangepast. Een voorbeeld hiervan is dat op de Supportdesk sinds kort het vier ogen principe wordt toegepast bij een aanpassingen waaraan een (groot) risico hangt. Korton SECURITY RAPPORTAGE 2016 6
Trends 2016-2017 Het cybersecuritylandschap in 2016 2017 verandert. Volgens meerdere betrouwbare bronnen kunnen we nieuwe bedreigingen tegemoet zien. Hiernaast stijgt het aantal inbraken flink in 2017. Het Internet of Things (IoT) zorgt ervoor dat er meer apparaten en systemen verbonden worden met het internet. Dit zorgt er in het dagelijks leven voor dat het leven vergemakkelijkt wordt. Alles is immers informatiegestuurd. De keerzijde is dat het bijna onmogelijk is om al deze apparaten en systemen goed te beveiligen. Er is dus altijd een zwakste schakel. Volgens een gerenommeerde security partij in Nederland ligt het grootste risico niet bij de aanvallen zelf maar bij de gevolgen hiervan. Uitval van kritische infrastructuur is een realistische verwachting. Cybercriminaliteit is een miljardenindustrie die zich richt op particulieren, bedrijven en overheden. Ransomeware zoals WannaCry is een voorbeeld hiervan. Met dit soort aanvallen kunnen persoonlijke gegevens, bedrijfsgegevens of zelfs overheidsgegevens op straat komen te liggen. Omdat er zoveel te halen valt professionaliseert de cybercrime sector enorm. Dit resulteert in betere aanvallen en vereist dus ook een tegenbeweging; betere beveiliging en bewustwording. Ook de behoefte aan goed geschoold en ervaren securitypersoneel blijft groeien. Er dreigt wereldwijd een groot tekort te komen aan deze professionals. Ook sluiten steeds meer bedrijven een cybersecurityverzekering af. Deze verzekeringen zijn niet zaligmakend. Deze polissen vereisen namelijk wel dat je als bedrijf gedegen maatregelen treft. Korton SECURITY RAPPORTAGE 2016 7