EDP-AUDIT OPLEIDING - VRIJE UNIVERSITEIT AMSTERDAM Security awareness actor definition Onderzoek naar de wijze waarop actoren gedefinieerd kunnen worden ten behoeve van een security awareness programma Ferry Eshuis & Marcel Dusink 30/09/2011 Security awareness programma s worden doorgaans niet gespecificeerd naar gebruikersgroepen(actoren). In dit onderzoek wordt een voorstel gedaan voor een risico gebaseerde methodiek om deze actoren te benoemen en met behulp van een casestudie bij de Gemeente Groningen onderzocht of deze methodiek een awareness programma van input kan voorzien.
Voorwoord Dit onderzoek is uitgevoerd als afrondende fase aan de EDP-Audit opleiding van de Vrije Universiteit in Amsterdam. We hopen dat dit onderzoek een denkrichting geeft hoe om te gaan met het bewustzijn van informatiebeveiliging in organisaties en hoe het bewustzijn van medewerkers kan worden verhoogd. Graag willen we de volgende betrokkenen bedanken: De heren John van Enst en Michel Wekema van de Gemeente Groningen voor het ter beschikking stellen van de gemeentelijke organisatie voor het onderzoek. Dr. Marcel Spruit voor zijn initiële visie als aanzet voor het onderzoek. Drs. Erik Rutkens RE en drs. Tonne Mulder RE voor hun inzichten in informatiebeveiliging en bewustzijn. De docenten van de EDP-Audit opleiding Vrije Universiteit Amsterdam voor het voor -werk leidend tot deze scriptie. En natuurlijk dr. René Matthijsse voor zijn begeleiding bij de opzet en uitvoering van het onderzoek en de scriptie. 1
Inhoudsopgave Managementsamenvatting... 4 Hoofdstuk 1. Aanleiding... 6 1.1 Probleemstelling...7 1.2 Onderzoek aanpak...7 1.3 Reikwijdte van veldonderzoek...8 1.4 Structuur van de scriptie...8 Hoofdstuk 2. Informatiebeveiliging... 9 2.1 Definitie en het belang van informatiebeveiliging...9 2.2 Proces van informatiebeveiliging...11 2.3 Relatie met IT Audit...12 2.4 Informatiebeveiliging vanuit een veranderkundig perspectief...16 Hoofdstuk 3 Security Awareness...18 3.1 Definitie...18 3.2 Belang van bewustzijn voor informatiebeveiliging...19 3.3 Van bewustzijn naar gedrag...21 3.4 Security awareness programma s...23 3.5 Totstandkoming van een awarenss programma...24 Hoofdstuk 4 Actoren...25 4.1 Definitie...25 4.2 Belang van actoren...25 4.3. Actoren in onderzoek naar informatiebeveiliging...26 Hoofdstuk 5 Risico gebaseerde methodiek...29 5.1 Risicoanalyse...29 5.2 Risico gebaseerde actordefinitie...31 5.2.1 Benoemen van informatieobjecten en betrouwbaarheidsaspecten...31 5.2.2 Benoemen van interne en externe risico s...31 5.2.3 Koppelen van afdelingen en rollen met informatieobjecten en bedreigingen32 5.2.5 De methode als stappenplan...33 5.3 Een vergelijking met andere methodieken...34 Hoofdstuk 6 Empirisch onderzoek...35 6.1 Vooronderzoek...35 6.2 Situatie Gemeente Groningen...35 6.3 Onderzoek bij de Gemeente Groningen...36 6.4 Uitvoering van het onderzoek...37 6.4.1 Toetsing van risico gebaseerde methodiek...37 6.4.2 Resultaten van het onderzoek...38 2
6.4.3 Resultaten samengevat...41 Hoofdstuk 7 Conclusies en aanbevelingen...42 7.1 Conclusies...42 7.2 Aanbevelingen...42 7.3 Aanbevelingen voor vervolgonderzoek...43 Hoofdstuk 8 Onderzoeksvraag en beantwoording...44 Bijlage A Literatuurlijst...46 Bijlage B Vragenlijst bij empirisch onderzoek...48 Bijlage C Gespreksverslagen...50 3
Managementsamenvatting Informatiebeveiligingsbewustzijn speelt een cruciale rol in de beveiligingsproblematiek. De laatste jaren hebben veel organisaties initiatieven ontplooid om dit bewustzijn te verbeteren onder andere door het opzetten van security awareness programma s (ook wel awareness programma s of (informatie-) beveiligingsprogramma s). Dergelijke programma s hebben vaak maar een marginaal effect, doordat deze slechts in beperkte mate worden toegespitst op de specifieke taken en verantwoordelijkheden van de gebruikers. Een security awareness programma is maatwerk en dient gedifferentieerd te worden voor specifieke gebruikers (groepen). Begin 2010 is een artikel verschenen van Dr. Marcel Spruit, genaamd Informatiebeveiliging en bewustzijn: Organisatiefouten vaak oorzaak van menselijk falen. In dit artikel stelt Spruit, om bovengenoemde problematiek het hoofd te bieden een aanpak voor om, op basis van gedrag, medewerkers in te delen om vervolgens tot een groependefinitie te komen. Vervolgens kan deze groependefinitie worden gehanteerd voor een security awareness programma. Voor deze scriptie hebben we getracht deze stelling te beproeven. Echter zijn we tijdens vooronderzoek tot de conclusie gekomen dat het voor een externe lastig is om bekend te raken met het gedrag van een medewerker. Vervolgens is het idee ontstaan om op een andere wijze tot de groependefinitie (deze noemen wij vervolgens actor definitie ) te komen, namelijk door middel van een risicoanalyse. Dit heeft geleid tot de volgende centrale onderzoeksvraag: Kan een risico gebaseerde methodiek worden toegepast om actoren te selecteren voor een security awareness programma? Om deze onderzoeksvraag te beantwoorden hebben wij een risico gebaseerde methodiek ontwikkeld en deze in de praktijk middels een casestudie bij de Gemeente Groningen, dienst ROEZ, getoetst. Uit de resultaten van ons onderzoek blijkt dat de methodiek toegepast kan worden om actoren te definiëren, om relevante informatieobjecten aan deze actoren te koppelen, de dreiging hiervoor te benoemen en om gewenste betrouwbaarheidseisen per informatieobject te benoemen. De methodiek biedt houvast voor het management om tot deze inzichten te komen en het management kan op basis van deze informatie een vervolg stap maken in het opzetten van een security awareness programma. Uit de antwoorden op de onderzoeksvragen kan geconcludeerd worden dat: 1. Security awareness programma s belangrijk zijn omdat de programma s zich richten op het verbeteren van het bewustzijn van medewerkers en daarmee het menselijk handelen. Dit heeft als gevolg dat het niveau van informatiebeveiliging wordt verbeterd. 2. Door actoren te definiëren de communicatie van het programma specifiek kan worden gericht op een specifieke groep. Hierbij wordt de kans vergroot dat het bericht aankomt. 4
3. De risico gebaseerde methodiek een geschikte methodiek is omdat het relevante informatie uit de organisatie neemt, deze omvormt en filtert tot een overzicht van actoren, informatieobjecten, dreigingen en betrouwbaarheidsaspecten. De logische vervolgstap voor organisaties is het daadwerkelijk opzetten van dergelijke programma s. Voor een succesvolle en effectieve uitvoer van security awareness programma s moeten organisaties voldoende commitment creëren bij directie en management. Tevens concluderen wij dat dergelijke security awareness programma s gestructureerd aan dienen te worden gepakt, mede door het opstellen van een verbeterplan, een plan van aanpak en communicatieplan. 5
Hoofdstuk 1. Aanleiding Een organisatie omvat vele informatieobjecten en informatiestromen. Deze bewegen zich voort van medewerker tot medewerker, afdeling tot afdeling,, naar binnen en van buiten de organisatie. Voor veel organisaties is een deel van deze informatie het meest belangrijke eigendom van de organisatie. Zo kunnen contractgegevens of een geheim recept van levensbelang zijn voor een organisatie. Informatie wordt beveiligd door een stelsel van protocollen, procedures, soft- en hardware. Deze organisatorische en technische maatregelen hebben één overeenkomst; op enig moment beïnvloedt een gebruikerer de maatregel. Door dit menselijk handelen is het mogelijk dat de medewerker een gehele set aan maatregelen te niet doet en dat daarmee de beveiliging van dat specifieke informatieobject vervalt. Zo wordt de kans dat een externe belanghebbende toegang krijgt tot de informatie, vele malen groter. Gesteld kan worden dat menselijk handelen in de beveiligingsproblematiek van groot belang is en dat hier voldoende aandacht aan moet worden besteed. Deze aandacht is de afgelopen jaren sterk in opkomst onder de noemer informatiebeveiligingsbewustzijn, ook wel bekend als security awareness of awareness (deze drie termen zullen gehanteerd worden in de scriptie). Vanuit een hoger niveau van bewustzijn van informatiebeveiliging tracht men om het menselijk handelen in IT kwesties te verbeteren en zo het niveau van informatiebeveiliging te verhogen. Om dit betere bewustzijn te creëren, organiseren bedrijven vaak organisatie brede programma s waarin het onderwerp aan de orde komt. Maar in beperkte mate worden deze programma s toegespitst op de specifieke taken en verantwoordelijkheden van de gebruikers. Figuur 1 toont de richting van het onderzoek in relatie tot andere componenten die het niveau van informatiebeveiliging beïnvloeden. Code voor Informatiebeveiliging Organisatorische & Technische maatregelen CobIT Niveau van Informatiebeveiliging ITIL Menselijk gedrag Bewustzijn Bewustzijn programma's Figuur 1 Componenten informatiebeveiliging 6
Begin 2010 is een artikel verschenen van Dr. Marcel Spruit, genaamd Informatiebeveiliging en bewustzijn: Organisatiefouten vaak oorzaak van menselijk falen. In dit artikel stelt Spruit, om bovengenoemde problematiek het hoofd te bieden, een aanpak voor om, op basis van gedrag, medewerkers in te delen om vervolgens tot een groependefinitie te komen. Vervolgens kan deze groependefinitie worden gehanteerd voor een awareness programma. Voor deze scriptie hebben we getracht deze stelling te beproeven en zijn we tijdens vooronderzoek tot de conclusie gekomen dat het voor een externe lastig is om bekend te raken met het gedrag van een medewerker. Vervolgens is het idee ontstaan om op een andere wijze tot de groependefinitie (deze noemen wij vervolgens actor definitie ) te komen, namelijk door middel van een risicoanalyse. Hierbij wordt gebruik gemaakt van toegankelijkere informatie, namelijk: De informatieobjecten van een organisatie en het vereiste niveau van beveiliging; De interne en externe dreigingen; Functioneel en logisch gescheiden onderdelen van de organisatie (afdelingen, functies, rollen, etc.); Eerdere beveiligingsinstructies. 1.1 Probleemstelling Voor de scriptie hanteren we de volgende probleemstelling: Kan een risico gebaseerde methodiek worden toegepast om actoren te selecteren voor een security awareness programma? Om deze vraag te beantwoorden stellen we de volgende deelvragen: 1. Waarom zijn awareness programma s van belang? 2. Waarom dienen actoren geselecteerd te worden voor een awareness programma? 3. Is een risico gebaseerde methodiek hiervoor een geschikte methode? 1.2 Onderzoek aanpak Om bovenstaande vragen te beantwoorden hebben we besloten om de stelling te toetsen aan de hand van literatuur en empirisch onderzoek. Door de voorgestelde risico gebaseerde methodiek in de praktijk toe te passen en de resultaten te onderzoeken hopen we inzicht te krijgen in de werking van de methodiek en de bruikbaarheid van de resultaten. De casestudie vindt plaats bij de Gemeente Groningen, dienst ROEZ. ROEZ bevindt zich te midden in een veranderingstraject van security awareness, waardoor het onderzoek mogelijk waardevolle, direct toepasbare informatie voor de gemeente oplevert. 7
1.3 Reikwijdte van veldonderzoek Het onderzoek beperkt zich tot de dienst ROEZ en de afdelingen die resultaten opleveren. In totaal bevat de dienst 21 afdelingen, hiervan hebben 4 afdelingen bereid kunnen vinden om te participeren in ons onderzoek. Gezien de omvang van de bruikbare respons zijn wij van mening dat dit geen afbraak doet aan de casestudie. 1.4 Structuur van de scriptie Als opbouw voor de scriptie hanteren we in de hoofdstukken 2, 3 en 4 eerst de theorie. Hierin onderzoeken we de basisbegrippen informatiebeveiliging, bewustzijn, actoren en risico gebaseerde aanpak. In hoofdstuk 5 beschrijven we ons voorstel voor een risico gebaseerde actor definitie. Vervolgens gaan we in hoofdstuk 6 over naar het onderzoek, aan de hand van een beschrijving van de onderzoek aanpak, de resultaten, conclusies en aanbevelingen. In hoofdstuk 7 formuleren we de conclusies en aanbevelingen. We eindigen het onderzoek in hoofdstuk 8 waar we de onderzoeksvraag en deelvragen beantwoorden. In de bijlagen is de literatuurlijst (bijlage A), de vragenlijsten voor het empirisch onderzoek (bijlage B) en de voorbereidende gespreksverslagen opgenomen (bijlage C). 8
Hoofdstuk 2. Informatiebeveiliging 2.1 Definitie en het belang van informatiebeveiliging Informatie is van cruciaal belang voor organisaties. Er zijn amper processen te bedenken die kunnen worden uitgevoerd zonder enige uitwisseling van informatie. Besturing van processen gaat immers altijd op basis van (management) informatie (Hintzbergen, Smulders en Baars 2008). In een organisatie is allerlei informatie aanwezig zoals informatie over personeel, cliënten, producten, financiën en onderzoekresultaten (Spruit, 2004). Al deze informatie wordt verwerkt, opgeslagen en getransporteerd in informatiesystemen (Stair & Reynolds, 1999) Informatiesystemen zijn echter vatbaar voor vele verschillende bedreigingen (Spruit, 2003). Deze bedreigingen kunnen onderverdeeld worden naar de aspecten van betrouwbaarheid (Beschikbaarheid, Integriteit en Vertrouwelijkheid) die ze negatief beïnvloeden (Overbeek, Lindgreen en Spruit, 2005). De volgende bedreigingen kunnen onderscheiden worden: Menselijke bedreigingen: - Onopzettelijk foutief handelen, door gebruikers, beheerders, gasten, of extern personeel; - Misbruik en criminaliteit zoals, diefstal, inbraak, hacking, sabotage, of fraude. Niet menselijke bedreigingen: - Invloed van buitenaf, zoals aardbeving, storm, bliksem, wateroverlast of brand; - De indirecte schade, zoals verstoring van bedrijfsprocessen, het overtreden van wetten en imagoschade. De gevolgen van deze bedreigingen kunnen financieel van aard zijn, maar kunnen ook betrekking hebben op klantenverlies, imagoschade of erger (Spruit, 2004). Voor zorginstellingen is het waarborgen van de privacy van patiëntengegevens van cruciaal belang. Verkeerde medische behandelingen (als gevolg van verkeerde patiëntengegevens), die het nieuws halen, kunnen het vertrouwen in de betreffende zorginstelling schaden of zelfs de hele medische sector. Door het treffen van beveiligingsmaatregelen is het mogelijk om de gelopen risico s te verkleinen. Om inzicht te krijgen in de aard en de grootte van risico s, alsmede in de kosten en de effectiviteit van beveiligingsmaatregelen kunnen organisaties gebruik maken van een risico analyse (Overbeek, Lindgreen en Spruit, 2005). Het treffen van beveiligingsmaatregelen wordt ook wel aangeduid als informatiebeveiliging. 9
Er zijn verschillende definities van informatiebeveiliging beschikbaar. Overbeek, Lindgreen en Spruit (2005) geven de volgende definitie. Informatiebeveiliging is het treffen en onderhouden van een samenhangend pakket maatregelen om de betrouwbaarheid (beschikbaarheid, integriteit en vertrouwelijkheid) van de informatievoorziening te waarborgen. Aanvullend stellen ze; Betrouwbaarheid van de informatievoorziening geeft de mate aan waarin een organisatie zich kan verlaten op die informatievoorziening. De informatievoorziening omvat apparatuur, programmatuur, opgeslagen gegevens, procedures en mensen. De ISO 27002 (2007), beter bekent als de code voor informatiebeveiliging, hanteert een gehele paragraaf als definitie. Voor ons doeleinde is de derde alinea is bruikbaar: Informatiebeveiliging is de bescherming van informatie tegen een breed scala bedreigingen om bedrijf continuïteit te waarborgen, bedrijfsrisico s te minimaliseren en investeringsrendementen en bedrijfskansen zo groot mogelijk te maken. Beide definities in ogenschouw genomen, kan worden gesteld dat ze aardig van elkaar verschillen en eigenlijk een aanvulling op elkaar zijn. Hierbij moet informatievoorziening als proces uit de eerste definitie gelijk worden gesteld aan informatie als object in de tweede definitie. Door beide definities te combineren komen we uit op: Informatiebeveiliging is het treffen en onderhouden van maatregelen om de betrouwbaarheid van informatie en de informatievoorziening en daarmee bedrijfscontinuïteit te waarborgen, bedrijfsrisico s te minimaliseren en investeringsrendementen en bedrijfskansen zo groot mogelijk te maken. Deze definitie hanteren we voor deze scriptie. 10
2.2 Proces van informatiebeveiliging Informatiebeveiliging kan beschouwd worden als een iteratief proces (Overbeek, Lindgreen en Spruit, 2005). Binnen dit proces zijn een zestal processen te onderkennen (zie figuur 3). 1. Het proces start met het formuleren van beleid ten aanzien van informatiebeveiliging en het inrichten van de organisatie die verantwoordelijk is voor informatiebeveiliging. 2. Vervolgens worden onacceptabele risico s opgespoord en wordt gezocht naar maatregelen die deze risico s kunnen reduceren. 3. Na het inventariseren van de risico, wordt een set aan beveiligingsmaatregelen geselecteerd; 4. De geselecteerde beveiligingsmaatregelen worden geïmplementeerd. 5. Naleving van de geïmplementeerde beveiligingsmaatregelen wordt bewaakt; 6. Het effect dat bereikt wordt met de getroffen maatregelen wordt vervolgens geëvalueerd. Om te kunnen waarborgen dat een adequaat niveau van informatiebeveiliging gehandhaafd blijft, dient het proces van informatiebeveiliging steeds weer doorlopen te worden. Figuur 2 geeft een grafische weergave van het proces. 1. Beleid & organisatie 6. Evaluatie 2. Informatie 5. Bewaking 3. Selectie 4. Implementatie Figuur 2: Proces van informatiebeveiliging 11
Om tot een goede inrichting van informatiebeveiliging te komen is het de verantwoordelijkheid van het management om een adequaat informatiebeveiligingsbeleid en de daaruit voortvloeiende informatiebeveiligingsplan op te stellen, uit te dragen en te onderhouden (Stap 1). De selectie van beveiligingsmaatregelen, doorgaans gebaseerd op een risico analyse (stap 3) en de implementatie hiervan (stap 4), worden beïnvloed door het informatiebeveiligingsbeleid. Overbeek, Lindgreen en Spruit (2005) voegen hieraan toe dat het beïnvloeden van gedrag (motivatie) van medewerkers noodzakelijk is om ervoor te zorgen dat iedereen die betrokken is bij informatiebeveiliging zich ook voegt naar de geldende afspraken en procedures. Gedrag van medewerkers heeft invloed op de naleving van geïmplementeerde beveiligingsmaatregelen (Stap 5). In hoofdstuk 3 zullen wij nader ingaan op bewustzijn van informatiebeveiliging en de invloed hiervan op menselijk gedrag. 2.3 Relatie met IT Audit Het vakgebied van IT-auditing is begin jaren zeventig voortgekomen uit de Accountancy, doordat de accountant in toenemende mate te maken kreeg met financiële systemen die in hoge mate geautomatiseerd waren (Overbeek, Lindgreen en Spruit, 2005). In 1992 werd de Nederlandse Orde van Register EDP-Auditors (NOREA) opgericht. Het doel van EDP-auditors was om een uitspraak te kunnen doen over de betrouwbaarheid van de geautomatiseerde administratieve omgeving in het kader van de jaarrekeningcontrole. De naam EDP-auditor is later door de NOREA veranderd in ITauditor, omdat de term EDP-auditor op enig moment gedateerd was. Als wij bekijken wat de term Auditing in het algemeen inhoudt hanteert Kocks (2003) de volgende definitie: Auditing is het vakgebied dat zich bezig houdt met het, op grond van onderzoek (audit) door een deskundige (auditor), beoordelen van één of meerdere (audit)objecten in relatie tot (toetsings)normen en het weergeven van de uitkomsten van het onderzoek in de vorm van een oordeel aan de opdrachtgever en/of (via de opdrachtgever) aan derden. Bij IT Auditing is er dus sprake van een onderzoek en een oordeel, die specifiek betrekking hebben op een specifiek onderwerp, het audit object. Het audit object van de IT-auditor zijn de informatiesystemen of onderdelen hiervan (Overbeek, Lindgreen en Spruit, 2005). Vanuit het vakgebied van IT auditing zijn diverse definities van IT auditing. Moonen (1991) definieert IT auditing als: het vakgebied dat zich bezighoudt met het beoordelen van de kwaliteit van informatievoorziening in een omgeving waar sprake is van het gebruik van informatietechnologie en van elektronische gegevensverwerking. Kocks (1991) hanteert de volgende definitie: EDP-auditing is het vakgebied dat zich bezighoudt met het beoordelen alsmede het (richtinggevend) adviseren met betrekking 12
tot kwaliteit aspecten van objecten in een omgeving waar gebruik wordt gemaakt van automatisering/ informatietechnologie. In de definitie van Moonen staat het beoordelen centraal, terwijl Kocks in zijn definitie ook het geven van zinvolle adviezen ter verbetering centraal stelt. In het NOREA-geschrift nr. 1/1998) worden de domeinen beschreven van het werkterrein van de IT-Auditor (zie figuur 3). De verschillende audit domeinen duiden op een werkterrein dat verder voert dan het ondersteunen van de accountant, en juist is gericht op het management van organisaties (Fijneman, 2006). Informatie strategie Operat. IT ondersteuning Jaarrekening controle Informatiesystemen Processystemen IT Management Technische systemen Figuur 3 Werkterrein van de IT Auditor Wij zien dat informatiebeveiliging een vaste positie krijgt in een toenemende aantal organisaties (Neys, 2003). Algemeen aanvaardbare beveiligingstandaarden zoals COBIT en de Code van Informatiebeveiliging (ISO 27000-serie) hebben de afgelopen jaren een bijdrage geleverd aan de structurele wijze waarop organisaties hun informatiebeveiliging inrichten. Ook best-practices zoals ITIL (IT Security Management) hebben hierin een bijdrage geleverd. Echter, veel organisaties worden zich in toenemende mate bewust van het feit dat technische en organisatorische maatregelen niet garant staan voor een voldoende mate van beveiliging. Het niveau van security awareness (en hiermee menselijk gedrag) is van essentieel belang om het noodzakelijk niveau van informatiebeveiliging te bereiken (Neys, 2003; de Vries en Dolfsma, 2007; Spruit, 2010). Wanneer het niveau van bewustzijn onvoldoende is binnen een organisatie, zullen beheersmaatregelen in de 13
uitvoering tekort schieten, waardoor de risico s die de beheersmaatregel beoogd af te dekken, niet worden gemitigeerd. De laatste jaren hebben veel organisaties initiatieven ontplooid om security awareness te verbeteren onder andere door het opzetten van bewustzijnscampagnes (zie ook hoofdstuk 3). Organisaties weten echter vaak niet hoe een awareness programma opgestart dient te worden waardoor dergelijke programma s vaak maar een marginaal effect hebben (de Vries en Dolfsman, 2007; Spruit, 2010). Bewustzijn campagnes worden daarnaast in beperkte mate toegespitst op de specifieke taken en verantwoordelijkheden van de gebruikers. Wij stellen dan ook een risico gebaseerde aanpak voor om tot een actordefinitie te komen, die relevant is voor bewustwording campagnes. Code voor Informatiebeveiliging Organisatorische & Technische maatregelen CobIT Niveau van Informatiebeveiliging ITIL Menselijk gedrag Bewustzijn Bewustzijn programma's Figuur 4 Niveau van informatiebeveiliging, gebaseerd op Neys (2003), de Vries en Dolfsma (2007) en Spruit (2010). Door het toenemende belang en complexiteit van IT, krijgen topmanagement van organisaties meer behoefte krijgen aan instrumenten om het proces van risico management naar behoren te kunnen uitvoeren(overbeek, Lindgreen en Spruit, 2005).. Onderdeel van dit instrumentarium is een onafhankelijk en deskundige oordeelsvorming. Dit betekent dat ook voor beveiligings-vraagstukken beroep wordt gedaan op de IT-auditor. Als we kijken naar de domeinen van het werkterrein van de IT auditor zien wij dat de IT auditor zicht ook bezig houdt met IT strategie / IT management vraagstukken. Risico management en dan specifiek informatiebeveiliging kan hieronder worden geschaard. 14
Rol van de IT-Auditor Risk Based Methodiek Actoren definitie Bewustzijn Bewustzijn programma's Figuur 5 Risk Based methodiek De risico gebaseerde methodiek kan door de IT Auditor gehanteerd worden, in het geval dat een organisatie die initiatieven ontplooid om security awareness te verbeteren, behoefte heeft aan een onafhankelijk en deskundige oordeelvorming. De methodiek kan vervolgens: als een (toetsings) normenkader fungeren, waarmee de IT-Auditor tot een doelmatig audit resultaat kan komen; gebaseerd zijn op richtlijnen uit de Code voor Informatiebeveiliging. Een beveiligings-standaard die veelal door de IT-Auditor gehanteerd wordt; dienen als toets voor de IT-Auditor gangbare kwaliteitsaspecten zoals Betrouwbaarheid, Integriteit en Vertrouwelijkheid. Hiermee kan de IT-Auditor de kwaliteit van het audit object beoordelen; bijdragen aan de vaktechniek van IT Auditing. Voornamelijk op het werkgebied van IT-auditing, waarbij de softe kant van informatiebeveiliging het object van audit is. 15
2.4 Informatiebeveiliging vanuit een veranderkundig perspectief Om een beter beeld te vormen van de probleemstelling is het nuttig om deze vanuit een andere invalshoek te bekijken. Omdat het uiteindelijk doel is om de organisatie te veranderen om zo een hoger niveau van beveiliging te realiseren, gebruiken we de veranderkunde om naar informatiebeveiliging te kijken. Zoals aangegeven stellen we een methodiek voor die het mogelijk maakt om actoren in een organisatie te benoemen. Hierdoor moet het mogelijk zijn om een security awareness programma verbeterd toe te passen in de praktijk. Dit moet een hogere awareness creëren, waardoor de regels, richtlijnen beter worden gevolgd en een beter begrip ontstaat van de problematiek. Dit moet uiteindelijk leiden tot minder beveiligingsincidenten. Risicomanagement is een onderwerp dat veelvuldig in de veranderkunde voorkomt, meestal gevolgd door de aanzet van de verandering. Vele modellen zijn opgesteld ter ondersteuning van deze stappen, waarbij een veel gebruikte die van Kleijn en Rorink (2005) is. In hun boek verandermanagement stellen ze, met behulp van vele modellen van andere schrijvers, een integrale benadering voor door het uitvoeren van de volgende stappen: 1. Ontwikkel een integrale aanpak; 2. Voer een externe analyse uit; 3. Voer een interne analyse uit; 4. Bepaal de veranderstrategie; 5. Beschrijf de SOLL situatie; 6. Beschrijf de veranderaanpak en voer deze uit. Ontwikkel een integrale aanpak Door de omgeving van de organisatie juist in kaart te brengen kunnen alle aspecten worden benoemd die van belang zijn in de verandering. Denk hierbij aan de omgeving (demografisch, economisch, technologisch, etc.), de input en output en de organisatie. Voer een externe analyse uit Een externe analyse start meestal met een onderzoek naar de trendmatige ontwikkelingen in de algemene omgeving. Daarna onderzoekt men de directe omgeving van de onderneming. Achtereenvolgens wordt in kaart gebracht: 1. Ontwikkelingen in de algemene omgeving; 2. Ontwikkelingen in de directe en marktomgeving; 3. Concurrenten en de felheid van concurrentie. De externe analyse resulteert in een beschrijving van de kansen en bedreigingen voor de organisatie op korte en middellange termijn. 16
Voer een interne analyse uit De interne diagnose richt zich op de functies van de organisatie. In dit model van de organisatie hanteert men vier hoofdfuncties: 1. Marketing, afnemers & markten; 2. Organisatiestructuur en cultuur; 3. Interne processen en innovatief vermogen; 4. Financiën. De vier hoofdfuncties van de organisatie worden ieder op zich en in samenhang onderzocht. De interne analyse resulteert in het vaststellen van de zogenaamde ISTsituatie, de huidige stand van zaken, door het beschrijven van de sterktes en zwaktes van de organisatie. Bepaal de verander strategie Uit een confrontatie van kansen en bedreigingen met sterktes en zwaktes kunnen strategische opties geformuleerd worden. Vervolgens wordt de definitieve strategie bepaald en vormt de input voor het construeren van de gewenste (SOLL) situatie van de organisatie. Beschrijf de SOLL-situatie Dezelfde organisatiefuncties als in de interne analyse zijn nu ook weer onderwerp van analyse. De uitkomst van die analyse moet aangeven hoe de organisatie er moet uitzien om de nieuwe strategie te kunnen uitvoeren. Men kan nu gaan ontwerpen; het bepalen van de factoren die van essentieel belang zijn om succesvol te kunnen opereren. Beschrijf de veranderaanpak en voer deze uit Vervolgens bepaalt men de veranderaanpak (bij een ontwikkelingsgerichte verandering) en/of het veranderplan (bij een geplande verandering). In een veranderplan wordt beschreven hoe de veranderstrategie wordt uitgevoerd. Na het verandertraject wil men zekerheid of de gewenste situatie of effecten ook daadwerkelijk gerealiseerd zijn. Dat stelt men vast door een evaluatie van de veranderactiviteiten. Op basis van dit model kan gesteld worden dat het nuttig is om een methodiek toe te passen om actoren, protocollen en risico s goed op elkaar te laten aansluiten. Op deze wijze: worden medewerkers door de methodiek (bestaande o.a. uit een vragenlijst) bekend met de urgentie voor het veranderen; worden medewerkers betrokken in het besluit van het implementeren van beveiligingsbeleid; wordt voorkomen dat medewerkers extra of onnodig werk verrichten; raken medewerkers bekend met de visie op de informatiebeveiliging van de organisatie. 17
Hoofdstuk 3 Security Awareness 3.1 Definitie Een definitie van security awareness die veelvuldig in de literatuur terug komt is opgesteld door het Information Security Forum (2002). Zij stellen (vertaald vanuit het Engels): Security awareness is de mate waarin elke medewerker onderkent: wat het belang is van informatiebeveiliging; in welke mate het van belang is voor de organisatie; wat hun eigen taken en verantwoordelijkheden zijn; en hiernaar handelt. De Vries en Dolfsma (2007) hanteren een andere definitie, namelijk: Security awareness is de mate waarin een persoon (veelal een manager of iemand anders die invloed heeft op het implementeren van beveiligingsmaatregelen) of een organisatie maatregelen heeft getroffen. De eerste definitie geeft meer inzicht in de verschillende aspecten van bewustzijn anders dan ernaar handelen zoals gesteld in de tweede definitie. Daarnaast zijn we van mening dat bewustzijn niet alleen het treffen van maatregelen is, maar ook het tonen van gedrag. Om die reden hanteren we de eerste definitie voor deze scriptie. Neys (2003) geeft in Figuur 6 nog verdere inzicht in de onderlinge relatie tussen de maatregelen en het tonen van gedrag. Figuur 6 Bewustzijn volgens Neys (2003) 18
3.2 Belang van bewustzijn voor informatiebeveiliging Security awareness bestaat in grote lijnen uit de maatregelen van beveiligen en het ernaar handelen, aangevuld met inzicht over het belang. Overbeek, Lindgreen en Spruit (2005) hebben hierover een model opgesteld, zie figuur 7. Figuur 7 Menselijke bijdrage aan niveau van informatiebeveiliging Het model heeft onder andere weer welke gevolgen het niveau van informatiebeveiliging heeft voor het aantal incidenten en mogelijk te lijden schade. Aannemelijk kan worden gemaakt dat incidenten plaats vinden die het bestaan van een organisatie bedreigen en daarmee het belang verduidelijken. Neem hierbij als voorbeeld een geheim recept uit de inleiding: 1 Technische maatregelen bepalen het niveau van informatiebeveiliging (logische en fysieke toegangsbeveiliging); 2 Organisatorische maatregelen bepalen het niveau van informatiebeveiliging (periodiek herzien van toegangsmatrices); 3 Menselijk handelen bepaald het niveau van informatiebeveiliging (gedegen herzien van toegangsmatrices); 4 Dit leidt tot een specifiek niveau van beveiliging; 5 De organisatie heeft een interne verwachting van de risico s (Hoe graag willen externen het recept?); 6 Hieruit volgt een specifiek beveiligingsrisico op basis van de kans op verstoring (van de beveiliging van het recept) samen met de mate van kwetsbaarheid van het recept maal de potentiële schade (wat gebeurd er als het recept bekend wordt bij externen); 7 Waaruit een meetbaar beveiligingsrisico volgt, namelijk het aantal incidenten (geen) maal de daadwerkelijk geleden schade (geen). 19
Het model beperkt zich in het duiden van verhoudingen tussen technische- en organisatorische maatregelen ten aanzien van menselijk handelen. Het model geeft alleen aan dat er enige invloed is op het niveau van informatiebeveiliging. Hoewel niet de doelstelling van het onderzoek zijn we van mening dat er verschillende onderlinge verhoudingen zijn en komen tot figuur 8. Figuur 8 Menselijke bijdrage in ontwerp en uitvoering In het model hebben we nu de menselijke bijdragen uitgesplitst in ontwerp en uitvoering, Op enig moment zullen de technische- en organisatorische maatregelen worden ontworpen. Het is denkbaar dat niet alle of de juiste maatregelen worden geïmplementeerd. Daarnaast worden de technische- en organisatorische maatregelen juist uitgevoerd door medewerkers (denk hierbij aan het vergeten een hekwerk af te sluiten en niet uitvoeren van periodieke surveillance),, waardoor wederom extra risico ontstaat. Er zijn ook technische maatregelen denkbaar die niet naderhand beïnvloed kunnen worden door menselijk handelen en daarmee direct invloed hebben op het niveau van informatiebeveiliging. 20
3.3 Van bewustzijn naar gedrag De definitie zoals beschreven in de paragraaf hiervoor geeft ons wederom een tweedeling zoals weergegeven in Figuur 4. Enerzijds zijn er de technische en organisatorische maatregelen (het belang van informatiebeveiliging voor de organisatie en de inrichting ervan (taken en verantwoordelijkheden)) en anderzijds de wijze waarop de medewerker ernaar handelt. Het handelen van een medewerkers (lees: gedrag) wordt in de literatuur omtrent informatiebeveiliging vaak beschreven aan de hand van het model van Clark (1997). Het model van Clark beschrijft het gedrag van medewerkers op de werkplek en binnen welke grenzen medewerkers opereren. Zoals aangegeven in figuur 9 worden de volgende grenzen benoemd: 1. Grens van economisch falen. Deze grens is het management die medewerkers aansturen om te opereren binnen gestelde tijdslijnen en binnen budget ten behoeve van efficiëntie. Indien de grens overschreden wordt, staat de efficiency ter discussie en daarmee de werkplek van de medewerker. 2. Grens van onacceptabele werkdruk. Medewerkers kiezen doorgaans niet voor een overschot aan werk. Hierdoor blijven ze weg van de grens van onacceptabele werkdruk. 3. Grens bepaald door regels. Door de druk vanuit het economisch falen en onacceptabele werkdruk zal de medewerker het minder nauw nemen met de regels en kan er gekozen worden om de grens te overschrijven bepaald door de regels. De medewerker vindt dit een acceptabele keuze omdat er nog een informele grens bestaat, namelijk: 4. Grens bepaald door cultuur. De grens wordt bepaald omdat medewerkers de psychische en sociale omgeving toetsen met wat nog acceptabel is. Elke medewerker voert deze toetsing individueel uit. Zo ontstaat een gebied tussen de formele- en informele regelgeving waarin het acceptabel is om regels te overtreden. 21
Figuur 9 Model van Clark Het model van Clark geeft een interessant inzicht van een situatie waarin medewerkers bewuste(!) keuzes maken om regels te overtreden (en daarmee specifiek gedrag te vertonen). Als we kijken naar de definitie, dan wordt de grens van het economisch falen en de grens van onacceptabele werkdruk vertegenwoordig door de taken en verantwoordelijkheden van de medewerker. Het belang van informatiebeveiliging en het belang voor de organisatie wordt vertegenwoordigd door de grens bepaald door regels, de grens bepaald door cultuur en het tussenliggende gebied. Immers als het belang groter is, zullen de regels strenger zijn en zal de cultuur van de organisatie minder overtredingen accepteren. Het tussenliggendee gebied zal kleiner zijn en het geheel zal zich meer naar rechts verschuiven. 22
3.4 Security awareness programma s In de voorgaande paragrafen van hoofdstuk 3 is een definitie van informatiebeveiliging-bewustzijn beschreven, het belang ervan en de relatie tussen bewustzijn en gedrag. Voor organisaties is het een logisch gevolg om dit gedrag te beïnvloeden aan de hand van een awareness programma. Een definitie van een programma om het bewustzijn van medewerkers ten aanzien van informatiebeveiliging te verhogen wordt beschreven door Wilson en Hash (NIST, 2003) (vertaald). Een succesvol IT beveiliginsprogramma bestaat uit: 1. Ontwikkelen van een informatiebeveiligingsbeleid dat een weergave geeft van de bedrijfsdoelstellingen, minus de bijbehorende risico s; 2. Informeren van gebruikers van diens verantwoordelijkheden ten aanzien van informatiebeveiliging zoals beschreven staat in de taakomschrijvingen van de organisatie; 3. Ontwikkeling van een proces om de progressie van de medewerkers en het programma te evalueren. In bovengenoemde definitie geeft punt 2 de feitelijke doelstelling van een programma weer, het informeren van gebruikers van hun verantwoordelijkheden ten aanzien van informatiebeveiliging. Wij willen daaraan toevoegen dat gebruikers niet alleen geïnformeerd dienen te worden, maar ook betrokken moeten worden bij het proces van informatiebeveiliging door ze het eigenaarschap voor hun systemen en gegevens te laten ervaren. Deze punten kunnen onder verantwoordelijkheid van de gebruiker worden geplaatst. 23
3.5 Totstandkoming van een awarenss programma Om medewerkers te informeren rondom diens verantwoordelijkheden dient een awareness programma te worden ontwikkeld. De literatuur geeft hiervoor vele voorbeelden die in meer en mindere mate op elkaar lijken. NIST (2003) stelt een viertal stappen voor, namelijk: 1. Awareness and training program design; 2. Awareness and training program development 3. Program implementation; 4. Post-implementation. Aanvullend heeft het ISF(2002) op basis van gelijke stappen een framework opgesteld, zie figuur 10. Figuur 10 ISF-Framework Process for effective security awareness, 2002 In beide gevallen is het duidelijk dat eerst het doel gesteld moet worden, voordat wordt ontwikkeld, geïmplementeerd en geëvalueerd. Opvallend is dat in beide frameworks geen actor definitie als zodanig wordt beschreven. NIST (2003) beschrijft het publiek voor wie een security awarenessprogramma wordt geschreven en ISF(2002) geeft aan dat in de security messages (bijvoorbeeld: bescherm je wachtwoord) aan dient worden te geven, voor wie dit van toepassing is. Voor elk beveiligingsbericht wordt feitelijk een mini actordefinitie toegepast, al hoewel dit niet als zodanig wordt beschreven. 24
Hoofdstuk 4 Actoren 4.1 Definitie Vanuit de literatuur rondom security awareness is er geen eenduidige definitie van actoren. De definitie van een actoren is echter eenvoudig op te stellen. De WissemaGroep (2010) doet dit in haar woordenlijst als volgt: Actoren - individuen, groepen en organisaties, zowel binnen als buiten de organisatie, die bewust of onbewust, met of zonder opzet, invloed uitoefenen op de koers en het functioneren van de organisatie. Omdat deze definitie een relatie legt met het menselijk handelen, hanteren we deze definitie voor de scriptie. 4.2 Belang van actoren Zoals in hoofdstuk 3 beschreven, zetten organisaties awareness programma s op om het bewustzijnsniveau van medewerkers te verbeteren. In de praktijk blijkt dat dergelijke programma s vaak maar een marginaal effect hebben, doordat deze programma s in beperkte mate zijn toegespitst op specifieke taken en verantwoordelijkheden van gebruikers (De Vries en Dolfsman, 2007; Spruit, 2010). Het is daarom van belang dat awareness programma s worden gedifferentieerd voor medewerkers toegespitst naar relevantie voor hun functie, bijbehorende verantwoordelijkheden en vaardigheden (Essers, 2008) We kunnen stellen dat het definiëren van actoren, op basis van specifieke taken en verantwoordelijkheden, van essentieel belang is om awareness programma s te differentiëren en hiermee de effecten van awareness programma s te vergroten voor organisaties. Dit onderzoek geeft dan ook antwoord op de vraag of een risico gebaseerde methodiek toegepast kan worden om tot een actoren definitie te komen relevant voor awareness programma s. De onderzoeksopzet voor deze risico gebaseerde methodiek wordt in hoofdstuk 6 nader toegelicht. 25
4.3. Actoren in onderzoek naar informatiebeveiliging In verschillende artikelen en onderzoeken naar informatiebeveiliging zijn al bewust of onbewust actoren genoemd. Hierbij is niet een risico gebaseerde methodiek toegepast. Een overzicht van de genoemde actoren per artikel of onderzoek: Artikel/ Onderzoek Informatie beveiliging en bewustzijn (Spruit, 2010) Actoren Scope Beschrijving artikel / onderzoek Medewerkers Booswichten Managers Generiek Spruit stelt in dit artikel dat menselijk gedrag aan de basis ligt van beveiligingsincidenten. Vanuit dit menselijk gedrag komt Spruit tot een groep actoren, resp. medewerkers, booswichten en managers. Een serious game voor informatie beveiliging (Spruit, 2009) Security Awareness in de praktijk (Jaber, 2007) Management team Automatiserings groep Security Manager Externe consultancy groep Nieuwe medewerkers (goede start) Functioneel applicatie beheerders (vergaande rechten) Management (voorbeeld functie) Hypothetis che organisatie t.b.v. een serious game voor informatie beveiliging. Grote financiële dienstverle ner Voor elke actor stelt Spruit een aanpak voor om genoemde problematiek het hoofd te bieden. De information security game is ontwikkeld om de menselijkeorganisatorische component van informatiebeveiliging inzichtelijker te maken. De game speelt zich af in een hypothetische organisatie, waarbij verschillende actoren zijn benoemd om de bedrijfssituatie zo realistisch mogelijk te simuleren. Jaber stelt in dit artikel dat gedragsverandering van medewerkers alleen kan worden bereikt door het uitvoeren van bewustwordingscampagnes. Bij het uitvoeren van bewustwordingscampagnes dient rekening gehouden te worden met specifieke doelgroepen, die een groter kennis- en bewustzijnsniveau nodig hebben om hun werkzaamheden juist uit te voeren. Effectiviteit verhoging in Bewust wordings programma s (Van Noord & Debats, 2007) Senior Management ICT Medewerker Lijn management Gewone Generiek Zo zijn het management, functioneel applicatie beheerders en nieuwe medewerkers groepen die op verschillende manieren extra aandacht verdienen. In dit artikel stellen de auteurs een pragmatisch vijfstappenplan voor waarmee beveiligingsbewustzijn effectief kan worden verbeterd. Aanvullend stellen zij voor dat organisaties in staat zijn concrete gedragsverandering bij hun medewerkers 26
gebruiker te realiseren op het gebied van informatiebeveiliging door concrete, naar doelgroep gespecificeerde doelen te stellen, de juiste randvoorwaarden in te vullen en binnen deze randvoorwaarden doelgroep specifieke maatregelen uit te voeren. Beware! Security Awareness voor retailbanking NL (Essers, 2008) Managers Professionals Technicians and associate professionals Clerical support workers Service and sales workers Elementary occupations Retail banking Nederland Enkele voorbeelden van belangrijke doelgroepen die de auteurs onderscheiden zijn Senior management, ICT Medewerker, lijn management en de gewone gebruiker. In dit scriptieonderzoek wordt een programma voorgesteld om security awareness binnen Retailbanking uiteen te zetten. Dit programma dient toegespitst te worden op verschillende doelgroepen. Om tot een eenduidige doelgroepaanduiding te komen, heeft de auteur gebruik gemaakt van de lijst met standaardfuncties zoals deze is uitgebracht door het International Standard Classification of Occupation (ISCO). Door deze doelgroepen te koppelen aan verantwoordelijkheden die gelden voor de specifieke doelgroep ten aanzien van security awareness binnen de organisatie, is een uiteindelijk indeling gemaakt van 3 doelgroepen, waar het programma toegespitst dient te worden. LLC. Principles of Effective Security Awareness (SA) Communicatio n. (Melissa Guenther, 2004) Hoger Management Midden Management Medewerkers Generiek De doelgroep aanduidingen zijn generiek en toepasbaar op organisaties in de Retailbanking. In dit artikel worden randvoorwaarden benoemd voor een effectieve security awareness communicatie. Voor een effectief communicatieproces zijn op verschillende niveaus binnen een organisatie actoren benoemd, die in het communicatieproces een belangrijke rol spelen. Tabel 1 Eerder gedefinieerde actoren in artikelen De auteur maakt hierbij onderscheid tussen het hoger management, midden management en medewerkers. 27
Op basis van de uitgevoerde onderzoeken is het mogelijk om tot een generieke indeling te komen. Duidelijk wordt dat indien de scope van het onderzoek duidelijk wordt, er concrete functies worden benoemd. Gesteld kan worden dan het definiëren van actoren een proces is dat per organisatie uitgevoerd moet worden. 28
Hoofdstuk 5 Risico gebaseerde methodiek 5.1 Risicoanalyse Zoals beschreven in de onderzoeksvraag moeten kwaliteitscriteria gesteld worden aan de methodiek. Omdat de methodiek verschillende stappen bevatten waarbij risico s worden geanalyseerd, kan de methodiek worden geclassificeerd als een risicoanalyse. Hierdoor kunnen de kwaliteitsaspecten van een risicoanalyse worden toegepast. Een definitie van een risicoanalyse volgens Overbeek, Lindgreen en Spruit (2005): Risicoanalyse is een methode die informatie oplevert, waarmee management in staat wordt gesteld te beslissen welke risico s, of welke combinatie van risico s teruggedrongen kunnen worden. In grote lijnen bestaan er vier typen risicoanalyses, namelijk de quickscan, de baselinescan, de kwalitatieve- en kwantitatieve risicoanalyse. Bij de quickscan en de baselinescan wordt gebruik gemaakt van normen gebaseerd op extern opgestelde vragenlijsten of een eigen set normen. Dit beperkt diepgang of is niet eenvoudig toepasbaar voor andere organisaties. De kwalitatieve- en kwantitatieve risicoanalyse hebben een meer procesmatige aanpak, waarbij eerst gekeken wordt naar de systemen, de onderliggende processen, de relevante objecten en diens betrouwbaarheidseisen en de daarbij behorende risico s en maatregelen. Door de procesmatigheid kan de methodiek beter op elke individuele organisatie of afdeling worden afgestemd. We gebruiken de kwalitatieve risicoanalyse als kapstok voor onze methodiek voor actor definitie. Zoals aangegeven is de kwalitatieve risicoanalyse niet gestandaardiseerd, maar toegepast op de organisatie en diens objecten. Voor de te analyseren objecten worden schattingen gemaakt van de gelopen risico s. De schatting wordt gebaseerd op de schade die zal optreden als een bedreiging tot uiting komt. Er komen geen precieze waarden uit de bedreiging, maar het geeft wel een duidelijke richting en impact van de verschillende risico s en de onderlinge verhouding onderling. Een kwalitatieve risicoanalyse doorloopt doorgaans de volgende stappen (Overbeek, Lindgreen en Spruit, 2005): 1 de afhankelijkheidsanalyse Beschrijf informatiesysteem Inventariseer en beschrijf processen Bepaal het belang van ieder proces Relateer informatiesysteem aan processen Definieer betrouwbaarheidseisen (BIV) 29
2 de configuratieanalyse Inventariseer en beschrijf informatieobjecten en relaties Bepaald betrouwbaarheidseisen per informatieobject 3 de kwetsbaarheidsanalyse Bepaal kwetsbaarheid per informatieobject Bepaal benodigde beveiliging per informatieobject 4 de maatregelanalyse Zoek maatregelen per informatieobject Kies maatregelen voor alle informatieobjecten geclusterd naar informatiesysteem Vergelijk gekozen set maatregelen met referentielijst maatregelen Uiteindelijk levert de kwalitatieve risicoanalyse een selectie en implementatie van risico s en maatregelen per informatieobject, per informatiesysteem geclassificeerd in beschikbaarheid, integriteit en vertrouwelijkheid gerelateerd aan de onderliggende bedrijfsprocessen. Op basis van deze werkwijze stellen wij een methodiek voor actordefinitie voor. 30
5.2 Risico gebaseerde actordefinitie Voor een kwalitatieve risicoanalyse is veel informatie benodigd vanuit de organisatie. Als we de term informatiebeveiligingsbewustzijn opsplitsen, komen we uit op informatie, beveiliging en bewustzijn. Als we kijken welke informatie beschikbaar is in een organisatie, opgedeeld naar deze drie elementen, kunnen we het volgende benoemen. 5.2.1 Benoemen van informatieobjecten en betrouwbaarheidsaspecten Elke organisatie heeft een veelvoud van informatieobjecten die te benoemen zijn. Elk object heeft verschillende eisen aan veiligheid. Deze eisen kunnen worden ingedeeld in beschikbaarheid, integriteit en vertrouwelijkheid. Door de primaire processen te doorlopen en te analyseren welke informatieobjecten door gebruikers worden gehanteerd kan een beeld worden gevormd van de essentiële informatieobjecten van een organisatie. Daarnaast moeten de informatieobjecten ook bottom-up worden benoemd, vanuit de gebruiker in het geval ze zelfstandig informatieobjecten creëren. Door elk informatieobject te classificeren volgens de BIV indeling kan het object accuraat worden gedefinieerd. Als voorbeeld kan bij een gemiddeld productiebedrijf als belangrijke informatieobjecten worden gedefinieerd: Informatieobject B I V Productiemethodiek en X X X kostprijsberekening Klantgegevens X X Personeelsgegevens X X Notulen X Tabel 2 Informatieobjecten en betrouwbaarheidsaspecten 5.2.2 Benoemen van interne en externe risico s De term beveiliging wijst ons op de noodzaak van het onderzoek naar bewustzijn. Waar moet tegen worden beveiligd en welke dreigingen bestaan voor de organisatie ten aanzien van de informatieobjecten. De dreiging is een actie c.q. incident. De actie wordt uitgevoerd door een individu of individuen. Door te personifiëren, kan makkelijker een relatie worden gelegd met het informatieobject. Zo worden externe bedreigingen uitgevoerd door concurrenten, speciale belangengroepen of criminelen. Maar dit kunnen ook interne groeperingen of individuen zijn, die baat hebben, of domweg nieuwsgierig zijn naar informatie waar ze niet voor bevoegd zijn kennis van te hebben of wijzigingen aan te brengen. Door per informatieobject de bedreiging te benoemen wordt deze inzichtelijk. In het voorbeeld van het productiebedrijf: 31