Aanbeveling analysemethode voor het Informatiebeveiligingsbeleid van de HVA Arjan Dekker 25 mei 2005
Inhoudsopgave 1 Inleiding 2 Analysemethoden 2.1 Kwalitatieve risicoanalyse . 2.2 Kwantitatieve risicoanalyse 2.3 Quick Scan . . . . . . . . . 2.4 Baseline Checklist . . . . .
2
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
2 2 4 4 4
3 Toepassingsgebieden per analysemethoden 3.1 Kwalitatieve risicoanalyse . . . . . . . . . . 3.2 Kwantitatieve risicoanalyse . . . . . . . . . 3.3 Quick Scan . . . . . . . . . . . . . . . . . . 3.4 Baseline Checklist . . . . . . . . . . . . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
5 5 5 5 6
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
4 Toepasbaarheid op de HVA
6
5 Conclusie
7
6 Bronnen
8
1
1
Inleiding
Informatie is belangrijk. Tegenwoordig is informatie van onschatbare waarden voor een organisatie. Deze informatie moet goed beveiligd worden tegen personen of gebeurtenissen die schade toebrengen. Om informatie optimaal te beveiligen is er een informatiebeveiligingsbeleid nodig. Dit beleid beschrijft hoe de informatie wordt beveiligd en wordt gewaarborgd. In een informatiebeveiligingsbeleid staat de analyse van dreigingen en gevolgen centraal. Dit document beschrijft welke analysemethode gebruikt kan worden bij de HVA (Hogeschool Van Amsterdam) om een zo optimaal mogelijk beveiligingsbeleid te realiseren. Er wordt onderzoek gedaan naar de volgende vier analysemethoden: Kwalitatieve risicoanalyse, kwantitatieve risicoanalyse, Quick Scan en de Baseline Checklist. In dit document worden de analysemethoden beschreven. Daarna volgt per analysemethode de toepassingsgebieden. Vervolgens wordt per analysemethode beschreven of en op welke wijze deze binnen de HVA toepasbaar zijn. Het document sluit af met een conclusie, waarin de aanbevolen analysemethode of combinatie hiervan wordt beschreven en toegelicht. Om de inhoud van het document te begrijpen is het van belang dat er algemene kennis over de HVA aanwezig is. Bij het schrijven van dit document is er vanuit gegaan dat de lezer deze kennis bezit.
2
Analysemethoden
Om informatiesystemen optimaal te beveiligen moet bekend zijn waar de risico’s zitten en hoe groot deze risico’s zijn. Risico’s zijn niet in cijfers uit te drukken, maar voor het kwantificeren is een formule bedacht. Deze formule maakt het mogelijk om een risico te zien als een schadeverwachting over een gegeven tijdsperiode. Deze formule luidt [1,blz 41]: R(isico) = K(ans) x S(chadebedrag) De bovenstaande formule wordt gebruikt door een aantal analysemethoden. In dit hoofdstuk worden de analysemethoden toegelicht. Per analysemethode is onderzocht hoe deze gebruikt kan worden en wat de voor- en nadelen zijn.
2.1
Kwalitatieve risicoanalyse
Bij de kwalitatieve risicoanalyse worden de risico’s in klassen onderverdeeld. Per klasse worden de onderlinge verhoudingen en gevolgen bepaald. Vervolgens kan per klasse worden beslist of deze bedreigingen eventueel voorkomen moeten worden, door meer geld uit te geven aan preventie, of dat het risico wordt aanvaard. Bij de kwalitatieve risicoanalyse worden voor de informatiesystemen schattingen gemaakt van de mogelijke risico’s. Deze schattingen worden gebaseerd op de schatting van de schade die zal optreden als het informatiesysteem wordt getroffen. Uitgangspunt bij een kwalitatieve risicoanalyse is het beveiligingsbeleid. In het beveiligingsbeleid staat omschreven hoe een organisatie omgaat met risico’s.
2
Er zijn een drietal manieren om met risico’s om te gaan, namelijk [2]: • risiconeutraal; • risicomijdend; • risicodragend. Bij een risiconeutraal beveiligingsbeleid zijn de kosten van beveiliging in evenwicht met de potenti¨ele schade waartegen men zich beveiligd. Als er veel preventieve maatregelen worden genomen om zo min mogelijk risico te lopen, dan heet dat risicomijdend. Wanneer risico’s voor een groot deel worden geaccepteerd, dan heet dat risicodragend. Een kwalitatieve risicoanalyse bestaat uit een aantal activiteiten. Deze activiteiten zijn [3]: • Afhankelijkheidsanalyse Bepalen wat het belang is van het informatiesysteem voor de bedrijfsprocessen die hiermee ondersteunt worden. Na deze analyse wordt er een lijst met betrouwbaarheidseisen voor de informatiesystemen opgesteld. • Configuratieanalyse Bepalen van de informatiesystemen en de relaties ertussen. Per informatiesysteem worden de afhankelijkheden aangegeven. Niet alleen tussen de informatiesystemen, maar ook de overige apparatuur. Voorbeelden hiervan zijn routers en datacommunicatielijnen. Na de analyse worden de betrouwbaarheidseisen van de systemen en overige apparatuur aangegeven. • Kwetsbaarheidsanalyse Bij deze analyse wordt per informatiesysteem aangegeven welke risico’s er aanwezig zijn. Verder wordt bepaald welke maatregelen er nodig zijn om een goed functioneren mogelijk te maken. Uit deze analyse volgt een lijst van informatiesystemen en de daarbij horende risico’s en maatregelen om die risico’s te minimaliseren. • Maatregelenanalyse Tijdens deze analyse wordt bepaald welke maatregelen er worden genomen om het informatiesysteem zodanig te beschermen tegen bedreigingen, dat de risico’s die overblijven acceptabel zijn. Uit deze analyse komt een lijst met aanbevelingen van maatregelen die ge¨ımplementeerd kunnen worden. Voordat de aanbevolen maatregelen ge¨ımplementeerd gaan worden, is het verstandig om nogmaals te kijken naar de uitvoerbaarheid. Nieuwe maatregelen zouden wellicht niet goed beheersbaar zijn. Het is daarom van belang om de aanbevelingen te controleren op de volgende punten: kosten, uitvoerbaarheid, onderhoudbaarheid en de werkbaarheid van het informatiesysteem. De kwalitatieve analysemethode geeft een goed beeld van de risico’s. Hieruit kan geconcludeerd worden welke risico’s bestreden moeten worden. De kwalitatieve analysemethode gaat heel specifiek in op de organisatie, waardoor de laatste ontwikkelingen meegenomen kunnen worden in de analyses. Hierdoor is de kwalitatieve analysemethode een tijdrovende methode, vooral door de gedetailleerde aanpak. Vaak is het nodig om een extern expertise bureau in te schakelen, omdat niet alle expertise in het eigen bedrijf aanwezig is. 3
2.2
Kwantitatieve risicoanalyse
De kwantitatieve risicoanalyse is de meest uitgebreide risicoanalyse. Als basis van de deze risicoanalyse staat de risico-formule (R = K * S). Bij deze risicoanalyse is het van belang dat alle bedreigingen die op een informatiesysteem van toepassing zijn bekend zijn. Tevens moet de kans dat het gebeurt ook bekend zijn. Tijdens deze risicoanalyse worden schattingen gemaakt van de desbetreffende schade. Omdat het niet altijd mogelijk is schattingen te maken van alle bedreigingen wordt deze methode alleen in specifieke situaties toegepast. Daarom wordt de kwantitatieve risicoanalyse vaak als aanvulling gegeven op een kwalitatieve risicoanalyse. De kwantitatieve risicoanalyse geeft het beste inzicht in gevolgen van dreigingen, maar is moeilijk op te zetten.
2.3
Quick Scan
De Quick Scan is een vragenlijst. Deze vragenlijst is ontwikkeld door gespecialiseerde bedrijven. De vragenlijst is gebaseerd op een norm, waaraan een goede beveiliging van een informatiesysteem moet voldoen. Deze norm is een algemene norm, waardoor deze niet altijd goed past op de bedrijfssituatie. De Quick Scan kan het beste worden gezien als een snelle manier om inzichtelijk te maken waar bepaalde delen van de organisatie staan wat betreft beveiliging van informatiesystemen. Dankzij deze analysemethode kan worden bepaald of de beveiliging verbeterd. De Quick Scan kan door externe deskundigen snel worden uitgevoerd, waardoor de kosten laag zijn. Hierbij moet door de organisatie zelf verder onderzoek doen naast de uitslag van de Quick Scan, omdat deze niet alle specifieke punten van de organisatie behandeld.
2.4
Baseline Checklist
De Baseline Checklist is een eenvoudige methode die snel uitgevoerd kan worden. De Quick Scan heeft als basis een norm die gezet is door gespecialiseerde bedrijven. De Baseline Checklist is een soortgelijke lijst, waarbij de norm door de Code voor Informatiebeveiliging van het Nederlandse Normalisatie Instituut is gebruikt. Er zijn verschillende checklists in omloop waarbij er vanuit gegaan wordt dat er al een aantal maatregelen zijn genomen om de veiligheid van de informatie te waarborgen. De minimale maatregelen die aanwezig moeten zijn heet de security baseline. Op basis van de norm van de Code voor Informatiebeveiliging is ook een eigen checklist op te stellen. Bij deze lijsten is het van belang om te kijken naar een redelijk abstratieniveau en zo min mogelijk ingaan op de techniek. Het gaat om het effect van de maatregelen en niet zozeer om de implementatiedetails. De baseline is net als de Quick Scan een goedkopere manier van analyseren, waarbij niet de gehele organisatie belicht wordt. Bij deze analysemethode is het daarom ook van belang om verder onderzoek te doen dan alleen de Baseline Checklist.
4
3
Toepassingsgebieden per analysemethoden
Elke analysemethode heeft zijn eigen toepassingsgebied. In dit hoofdstuk wordt per analysemethode vergeleken wanneer deze bruikbaar zijn. Hierbij komt aan bod waar deze methode het beste kan worden ingezet.
3.1
Kwalitatieve risicoanalyse
De kwalitatieve risicoanalyse is voor grote organisaties. Het kost veel tijd om een zeer uitgebreide risicoanalyse te doen. Om de kwalitatieve risicoanalyse uit te voeren is veel expertise nodig. Deze expertise moet in de organisatie aanwezig zijn of extern worden aangetrokken. Dit zijn over het algemeen grote investeringen. De organisatie moet hier een toereikend budget voor hebben, wat bij veel kleinere organisaties niet haalbaar is. Het uitvoeren van een kwalitatieve risicoanalyse levert een grote hoeveelheid aan informatie op. Het management moet bereidt zijn om deze omvangrijke hoeveelheid aan informatie te doorgronden. Het is daarom belangrijk om van te voren goed te kijken wat de kans van slagen is voor deze methode.
3.2
Kwantitatieve risicoanalyse
De meest uitgebreide vorm voor risicoanalyse is de kwantitatieve risicoanalyse. Daarom gelden voor deze analysemethode bijna dezelfde regels als voor de bovenstaande methode. Het grote voordeel van deze methode is dat er een beter inzicht wordt gegeven in de schades die de gevolgen zijn van de risico’s. Wanneer binnen een organisatie wordt gekozen voor de kwalitatieve risicoanalyse dan kan de kwantitatieve analysemethode een goede toevoeging zijn. Voor specifieke informatiesystemen kan de kwantitatieve analysemethode gebruikt worden. Het is onmogelijk om voor alle systemen een dergelijke analyse uit te voeren, maar voor de bedrijfscritische systemen kan het een beter inzicht geven in de gevaren.
3.3
Quick Scan
De Quick Scan is een goede manier om inzicht te krijgen in het huidge beveiligingniveau. Door het gebruik van de Quick Scan wordt er een grote bewustwording betreffende veiligheid tot stand gebracht. Het herhaaldelijk uitvoeren van de Quick Scan, maakt het mogelijkheid om vooruitgang of achteruitgang met betrekking tot het informatiebeveiligingsbeleid te ontdekken. Deze analysemethode kan geheel door een externe deskundige worden uitgevoerd, waardoor er geen interne expertise nodig is. De Quick Scan, de naam zegt het al, kan binnen enkele dagen worden uitgevoerd. Hierdoor zijn de kosten ook voor kleinere organisaties goed te dragen. Wanneer organisaties veel bedrijfsspecifieke informatiesystemen hebben, dan is de Quick Scan geen goede keuze.
5
3.4
Baseline Checklist
De Baseline Checklist is, net als de Quick Scan, een snelle manier om te bepalen hoe het informatiebeveiligingsbeleid ervoor staat. Doordat de Baseline Checklist niet een vaststaande lijst is, kan deze aangepast worden naar de maatstaven van de eigen organisatie. Hierdoor is het mogelijk om de checklist aan te passen aan de organisatie, in tegenstelling tot de Quick Scan. Een ander groot voordeel is dat deze analysemethode getoetst kan worden aan de Code van Informatiebeveiliging. Voor sommige organisaties kan dit de doorslag geven om met de Baseline Checklist analysemethode te gaan werken.
4
Toepasbaarheid op de HVA
De HVA is een grote organisatie waarbij veel vertrouwelijke gegevens zijn ondergebracht. Een voorbeeld hiervan zijn de uitslagen van tentamens en de inloggegevens van de studenten. Deze gegevens moeten degelijk beschermd worden. Open organisaties, zoals de HVA, bieden veel mogelijkheden voor kwaadwillige om aanvallen uit te voeren op informatiesystemen. Veel systemen zijn direct gekoppeld met het Internet, waardoor deze kwetsbaar zijn. Het is daarom ook van belang dat de HVA een goede informatiebeveiligingsbeleid opzet. Uit documenten afkomstig van de HVA blijkt dat de organisatie bezig is met het opzetten van een dergelijk beleid. Uit deze documenten blijkt ook dat er op dit moment weinig aan beveiligingsbeleid wordt gedaan. Er is een medewerker aangesteld die zich hiermee bezig houdt[4]. Doordat de vertrouwelijkheid en beschikbaarheid van bepaalde systemen hoog moet zijn, is de kwalitatieve analysemethode een goede keuze. Met deze analyse kan bepaald worden welke systemen goed beveiligd moeten worden en welke systemen minder belangrijk zijn. Dankzij de kwalitatieve analysemethode is goed zichtbaar voor het management hoe het beleid tot stand is gekomen. Hierdoor zullen ze eerder geneigd zijn om het benodigde budget vrij te maken. De kwalitatieve analysemethode kan later worden uitgebreid met de kwantitatieve analysemethoden voor een aantal belangrijke informatiesystemen. Om gebruik te maken van de kwalitatieve analysemethode is er een goede bewustwording over beveiliging nodig. Het is daarom aan te raden om te beginnen met een Baseline Check die wordt uitgevoerd door externe deskundigen. De Baseline Check is beter toepasbaar op de HVA, omdat deze is aan te passen naar de omstandigheden binnen de organisatie. Dankzij de Baseline Check wordt de bewustwording van informatiebeveiliging versterkt. De medewerker die is aangesteld om zich met dit onderwerp bezig te houden, is de aangewezen persoon om de baseline te bepalen en eventueel na ieder onderzoek bij te stellen. Deze Baseline Check kan jaarlijks worden uitgevoerd, waardoor de informatiebeveiliging wordt gewaarborgd. Op den duur kan worden nagedacht om over te stappen op de kwalitatieve analyse methode. Hierbij moet worden gedacht over een termijn van twee jaar, wanneer er al veel procedures zijn ontwikkelt. Wanneer het termijn afloopt is het een goed moment om de Baseline Check te laten toetsen aan de Code van Informatiebeveiliging.
6
5
Conclusie
De noodzaak voor een goed informatiebeveiligingsbeleid is aanwezig bij de HVA, omdat er veel en belangrijke gegevens zijn binnen deze organisatie. Op het gebied van informatiebeveiliging is het verstandig om niet gelijk de meest ingewikkelde en tijdrovende analysemethode te gebruiken. Daarom wordt aangeraden om eerst de Baseline Check in te voeren. De Baseline dient aangepast te worden aan de laatste ontwikkelingen binnen de HVA wat betreft beveiliging. Na een termijn van 2 jaar kan gedacht worden om de kwalitatieve analysemethode in te voeren, omdat deze meer inzicht geeft in de informatiesystemen en de beveiliging ervan. De Baseline Check kan elk jaar worden uitgevoerd om de voortgang van het informatiebeveiligingsbeleid te waarborgen. Ook kan er gedacht worden aan het toetsen van het beleid aan de Code van Informatiebeveiliging.
7
6
Bronnen • [1] Informatiebeveiliging Paul Overbeek en Wim Sipman ISBN: 90-72194-57-8 • [2] Toegangsbeveiliging en publieke netwerken A.D. Swieb, 2005 http://www.few.eur.nl/few/people/jvandenberg/phds • [3] Presentatie “Risicoanalyse” M.Spruit van TU Delft http://is.twi.tudelft.nl/ISBIS/education/infosec/college4.ppt • [4] Het informatiebeveiligingsbeleid Kees Feuerstein, 14-04-2004 Concept versie van Het informatiebeveiligingsbeleid • [5] Risico en risicoanalyse Dirksen
8
