Bewust van informatiebeveiliging De zet aan de IT-manager

Bewust van informatiebeveiliging De zet aan de IT-manager

Afstudeerder: Bedrijfsbegeleider: 1ste begeleider: 2de begeleider: Professor ICT Sectie: Media Plaza / TuDelft

V.L.Hofland drs. J. de Haas dr.ir. M. F. W. H. A. Janssen drs. W. G. van den Berg prof. dr. R.W. Wagenaar

Bewust van informatiebeveiliging, De zet aan de IT- manager

Omschrijving afstudeerproject Studentnummer: 1000292 Afstudeerrichting: TB/ICT Achternaam: Hofland Voorletters: V. L. Roepnaam: Vincent Adres: Paardebloemstraat 17 Postcode: 3286 VG Woonplaats: Klaaswaal Telefoon: 0186-573954 Mobiel: 06-18947223 Naam bedrijf: Media Plaza Afdeling bedrijf: Redactie Bezoekadres bedrijf: Jaarbeurs Utrecht Bezoekadres: Croeselaan 6, Hal 6 Postcode: 3521 CA Plaats: Utrecht Telefoon bedrijf: 030 -2914111 Fax bedrijf: 030-2914144 Achternaam bedrijfsmentor: de Haas Voorletters bedrijfsmentor: J. L. M. Titulatuur bedrijfsmentor: drs. Telefoon bedrijfsmentor: (030) 291 41 12 Doorkiesnummer afstudeerder: (030) 291 41 36 Titel afstudeeropdracht: "Bewust van informatiebeveiliging"

i


Voorwoord In de laatste fase van de opleiding Technische Bestuurskunde aan de Technische Universiteit Delft, dient door middel van een afstudeerproject bewezen te worden dat de student de leerstof van de voorgaande jaren kan toepassen in de praktijk. Door mijn 3de jaars project, heb ik gezien wat de effecten zijn van een duidelijke positionering, in het geval van het 3de jaars project, had dit te maken met CRM. Op deze wijze is ook het idee opgekomen om gebruik te maken van een matrix met verschillende stappen om security awareness te positioneren. Tijdens deze fase heb ik zowel te maken gehad met een grote diversiteit aan personen die invloed hebben gehad op de kwaliteit van dit onderzoek. Geïnterviewde IT-managers, experts, collega’s van Media Plaza en medewerkers van de Technische Universiteit Delft. Hierbij wil ik mijn bedrijfsmentor, Jim de Haas, bedanken voor zijn adviezen en begeleiding. Daarnaast wil ik de begeleiders van school, Marijn Janssen en Wander van den Berg, bedanken voor hun kritische begeleiding. Naar mijn inzicht is dit het afstudeerverslag ten goede gekomen. Als laatste wil ik prof. dr. R. W. Wagenaar bedanken, voor de begeleiding en de beoordeling van mijn afstudeerscriptie. In het bijzonder wil ik tenslotte bedanken mijn verloofde, Philine Klaassen, voor de ondersteuning en de positieve invloed tijdens de lange dagen van mijn afstuderen. Vincent Hofland

Utrecht, januari 2005

ii


Abstract: Dit onderzoek is erop gericht om een bijdrage te leveren om beveiliging van informatiesystemen binnen organisaties te vergroten. Specifiek is gekeken naar het beveiligingsbewustzijn, ook wel awareness genoemd. Op het moment van aanvang van dit onderzoek lijkt de beveiligingsbewustheid in Nederland laag te zijn. Dit kan leiden tot grote beveiligingsproblemen zoals gezien is bij Amsterdamse officier van justitie J. Tonino. Hoe de huidige status van beveiligingsbewustheid bij bedrijven kan worden weergeven en de manier waarop een betere bewustheid verkregen kan worden, zijn vragen die dit onderzoek beantwoord.

iii


Samenvatting Inleiding Voor dit afstudeerproject, is onderzoek gedaan naar security awareness. Security awareness is de mate waarin elke medewerker de volgende punten begrijpt: het belang van informatiebeveiliging en het niveau van informatiebeveiliging dat voor de organisatie noodzakelijk is en waarnaar de medewerker ook handelt. Wat blijkt is dat verschillende bronnen de noodzaak van awareness binnen een organisatie benadrukken, omdat awareness een onderdeel is van de beveiligingsketen. Uit verschillende surveys blijkt dat security awareness een zwakke schakel is, waaraan aandacht moet worden besteed. Uit de laatste nieuwsberichten blijkt dat er regelmatig incidenten zijn die te maken hebben met security awareness, denk hierbij aan gegevens die op straat komen van ziekenhuizen, regeringen en justitie (Tonino). Het doel van het onderzoek is het ontwerpen van een methode om de awareness van bedrijven te positioneren, zodat adviezen kunnen worden gegeven over te nemen stappen. Op lange termijn zou dit moeten bijdragen tot de verbetering van beveiligingsbewustheid bij ondernemingen in Nederland. Om dit doel te verwezenlijken zijn er onderzoeksvragen opgesteld. Wat zijn de typische problemen bij het vergroten van awareness? Welke oplossingen zijn er om de awareness te vergroten, en wat zijn de voor en nadelen van deze oplossingen? Hoe kan de awareness van bedrijven worden gepositioneerd? Om deze vraag te beantwoorden, is gekeken naar een manier waarop de awareness van een onderneming positioneerbaar is. Aan de hand van deze posities kunnen verwachte problemen en oplossingen worden geïnventariseerd. Op deze manier ontstaat een overzichtelijke matrix, waarin duidelijk de verwachte problemen bij de invoering van awareness binnen een organisatie te zien is. Methode Dit onderzoek is op de volgende manier uitgevoerd. Als eerste is met behulp van literatuur en expert opinies gekeken hoe de awareness-matrix moet worden opgebouwd. Daarnaast is met behulp van interviews de matrix ingevuld. Hierna is het model en de conclusies geverifieerd door interviews met experts. In totaal zijn er 21 interviews gehouden, waarbij er 16 interviews zijn afgenomen bij ondernemingen waar meer dan 1000 medewerkers werkzaam zijn en 5 interviews afgenomen zijn met experts. Gekozen is voor deze afbakening in het belang van de opdrachtgever, Media Plaza. Awareness-matrix Tijdens dit onderzoek is een matrix ontwikkeld waar verschillende posities van awareness waarin een bedrijf zich kan bevinden uiteen is gezet. Aan de hand van deze awareness-matrix is het mogelijk om bedrijven op basis van verschillende eigenschappen in te delen op een bepaald awareness niveau. De awareness-matrix bestaat uit verschillende niveau’s, die overeenkomen met posities waarin een onderneming zich kan bevinden. 1. Onbewust, onbekwaam In deze fase is een onderneming niet bewust van de risico’s die het informatiesysteem bedreigen. Een organisatie in deze fase denkt betrekkelijk veilig te zijn de getroffen maatregelen. In deze fase, is er een afdeling of manager in de organisatie die het belang van awareness ziet en dit over wil brengen binnen de organisatie. Dit is in veel gevallen de ITmanager, maar ook andere managers die er direct bij beveiliging betrokken zijn of afhankelijk zijn van beveiliging kunnen de noodzaak zien. 2. Bewust, onbekwaam In deze fase is het topmanagement bewust gemaakt van de risico’s. Door middel van bijvoorbeeld ‘continuity management’, is awareness een punt geworden op de agenda van de iv

Bewust van informatiebeveiliging, De zet aan de IT- manager topmanager. Er is betrokkenheid van het topmanagement, er is budget voor beveiliging en awareness, want het topmanagement ziet de noodzaak van beveiliging. Er is een beveiligingsbeleid opgesteld, of opnieuw bekeken en verbeterd. Daarnaast zijn globaal de verantwoordelijkheden verdeeld. 3. Bewust, bekwaam In deze fase worden managers bewust gemaakt van de risico’s. Managers zijn betrokken, verantwoordelijkheden worden bekend gemaakt. Goede protocollen worden opgesteld om beveiliging van informatie te verbeteren. In deze fase, wordt een begin gemaakt met een awareness-campagne om de medewerkers bewust te maken van de protocollen en de reden waarom deze protocollen dienen te worden gehandhaafd. 4. Onbewust, bekwaam De laatste fase, waarin een onderneming zich kan bevinden in deze matrix, is de fase onbewust bekwaam. Een fase waarin awareness een automatisme is. Medewerkers zijn bewust gemaakt door middel van een awareness-campagne. Protocollen en regels worden nageleefd, omdat het nut per individuele medewerker duidelijk is voor de medewerkers. Nieuwe risico’s worden op efficiënte wijze doorgegeven binnen de gehele organisatie. Daarnaast wordt de awareness gemeten. Op de assen van de awareness-matrix staan risico tegen kosten. Bij de overgang van onbewust naar bewust, zullen de kosten worden vergroot, omdat er in awareness moet worden geïnvesteerd. Het risico neemt af op het moment dat een organisatie van onbekwaam naar bekwaam gaat, omdat duidelijk is hoe er moet worden gehandeld in welke situatie. Problemen Bij het vergroten van awareness en dus het veranderen van fase in de awareness-matrix, zijn er verschillende problemen. Vaak wordt er gebruik gemaakt van ad-hoc maatregelen om awareness te vergroten. Het nadeel van ad-hoc maatregelen is dat er snel een verwatering optreed. De adhoc maatregelen worden weer snel vergeten met het risico dat hetzelfde probleem zich herhaald. Een ander probleem is het feit dat vaak alleen gekeken wordt naar technische maatregelen. Technische maatregelen zijn vaak robuuster en duidelijker. Ook is het makkelijker om resultaten aan te tonen bij technische maatregelen dan bij organisatorische maatregelen. Vaak wordt er daarom pas naar awareness gekeken op het moment dat veel technische maatregels al zijn geïmplementeerd. Een derde probleem is een te lage awareness bij de topmanagers en de managers van een organisatie. Deze te lage awareness zorgt onder andere voor een overschatting van de eigen positie. Een ander gevolg van een te lage awareness is dat topmanagers en managers zich niet betrokken voelen bij informatiebeveiliging. Oplossingen De problemen hierboven hebben te maken met bewustwording, betrokkenheid, belang en beloning ofwel te maken hebben met het veranderen van gedrag. Om deze problemen op te lossen moeten de verschillende lagen in een organisatie eerst zelf aware moeten worden gemaakt, door middel van communicatie. Daarna zal de awareness van een onderneming kunnen worden vergroot. Niet het gedrag van iedere medewerker kan door middel van communicatie worden veranderd. Daarom moet er worden gemeten, gecontroleerd, met daarbij een beloning of straf. Op deze manier zullen ook kwaadwillende medewerkers bewust worden. Daarnaast zal gebruik moeten worden gemaakt van de procesbenadering om de awareness te vergroten. Procesbenadering wordt gebruikt bij problemen die ongestructureerd zijn, in een netwerk moeten worden opgelost en waarbij problemen en oplossingen dynamisch zijn. Dit is van toepassing op awareness. Bij procesbenadering staat het proces tot het oplossen van een probleem meer centraal dan de mogelijke oplossing. Betrokkenheid en het gewicht van het proces zorgen voor een goede uitkomst.

v

Bewust van informatiebeveiliging, De zet aan de IT- manager Conclusie De belangrijkste conclusie die op basis van dit onderzoek kan worden getrokken is driedelig. Ten eerste is duidelijk geworden dat het verkrijgen van een betere awareness bij bedrijven gebruik kan worden gemaakt van een procesbenadering. Dit houdt in dat het verkrijgen van betrokkenheid bij de besluitvorming over awareness van essentieel belang is voor het overkomen van het probleem. Bij deze procesbenadering, die intern in een onderneming plaatsvindt, zijn verschillende lagen in de organisatie betrokken, namelijk topmanagers, managers, medewerkers. De betrokkenheid van al deze lagen is belangrijk voor succes. Ten tweede is beveiliging in het algemeen en awareness in het bijzonder een zaak waarbij men preventief handelt. Het rendement en de noodzaak zijn vaak moeilijk aan te tonen. Op het moment dat er veranderingen moeten plaatsvinden waarbij de organisatie van binnenuit zichzelf niet kan of wil sturen. Aan de hand van dit gegeven, blijkt dat het noodzakelijk is om de betrokkenheid die nodig is om een onderneming beter bewust te krijgen, als eerste vanuit de bovenste lagen van een organisatie moeten komen, zodat draagvlak gecreëerd wordt bij de onderliggende lagen. Ten derde moet er binnen een organisatie gecommuniceerd worden om de awareness te vergroten en om de problemen op te lossen. Aan de hand van de interview en de awareness-matrix is gekeken naar de status van security awareness binnen de 16 verschillende ondernemingen. Hieruit blijkt dat vaak te weinig aandacht wordt besteed aan awareness en dat veel organisaties niet zitten in de door hen gewenste fase. Gewenste en huidige positie van de geïnterviewden uitgezet in de awareness-matrix Bewust, onbekwaam

X X

Bewust, bekwaam

XX X X

X X

X X X

X X X XX

X X

XX X XX XL X

X XX XX

Onbewust, onbekwaam

XX

Onbewust, bekwaam

X = Huidige positie X = Gewenste positie Met behulp van de awareness-matrix en de informatie uit dit onderzoek, is een quickscan gemaakt. Aan de hand van een aantal vragen, geeft de quickscan een beeld van de huidige en gewenste positie van de organisatie met betrekking tot awareness. Daarnaast geeft de quickscan in het kort adviezen over de problemen die moeten worden overwonnen. De quickscan kan gevonden worden op www.mediaplaza.nl.

vi


Inhoudsopgave: 1.0 ONDERZOEKSINLEIDING......................................................................................................................... 8 1.1 DEFINITIES .................................................................................................................................................... 9 1.2 ONDERZOEKSAANLEIDING ............................................................................................................................ 9 1.3 DOELSTELLING ............................................................................................................................................ 11 1.4 ONDERZOEK ................................................................................................................................................ 11 1.4.1 Onderzoeksvragen........................................................................................................................................................11 1.4.2 Verwachte resultaten....................................................................................................................................................11 1.4.3 Onderzoeksopzet .........................................................................................................................................................12 1.4.4 Interviews ....................................................................................................................................................................13 1.4.5 Beschikbare literatuur ..................................................................................................................................................14 1.4.6 Te hanteren methodieken..............................................................................................................................................15 1.5 AFBAKENING ............................................................................................................................................... 15 1.6 PERSOONLIJKE ONTWIKKELING ................................................................................................................... 16 2.0 INLEIDING IN INFORMATIEBEVEILIGING ....................................................................................... 17 2.1 WAT IS INFORMATIEBEVEILIGING ................................................................................................................ 17 2.2 WELKE MOGELIJKE AANVALLEN ZIJN ER ..................................................................................................... 21 2.3 WELKE MOGELIJKE OPLOSSINGEN ZIJN ER ................................................................................................... 21 2.4 IS DIT EEN COMPLETE BEVEILIGING? ........................................................................................................... 22 2.4.1 Social engineering .........................................................................................................................................................23 2.4.2 Human firewall ...........................................................................................................................................................25 3.0 AWARENESS LITERATUUR.................................................................................................................... 26 3.1 WAT IS AWARENESS .................................................................................................................................... 26 3.1.1 Meer dan beveiliging van ICT - systemen ......................................................................................................................26 3.1.2 Plaatsbepaling awareness..............................................................................................................................................27 3.1.3 Belang van awareness (Case Peter R. de Vries 7 oktober 2004) ..................................................................................27 3.1.4 Bepalen doelgroepen......................................................................................................................................................29 3.2 BEWUST MAKEN VAN BEVEILIGINGSRISICO’S .............................................................................................. 33 3.2.1 Uitleg manieren om aware te maken .............................................................................................................................33 3.2.2 Middelen om aware te maken.......................................................................................................................................36 3.3 HOE POSITIONEREN EN MEETBAAR MAKEN?................................................................................................ 39 3.3.1 Matrix........................................................................................................................................................................40 3.4 MATE VAN VOLWASSENHEID VAN INFORMATIEBEVEILIGING ...................................................................... 42 3.5 WAT NIET BEKEND IS BIJ AWARENESS ......................................................................................................... 43 4.0 AWARENESS ONTWERP.......................................................................................................................... 44 4.1. UITWERKING AWARENESS-MATRIX ............................................................................................................ 44 4.2 FASEN ......................................................................................................................................................... 45 4.2.1 Onbewust, onbekwaam ................................................................................................................................................45 4.2.2 Bewust, onbekwaam.....................................................................................................................................................46 4.2.3 Bewust, bekwaam ........................................................................................................................................................47 4.2.4 Onbewust bekwaam.....................................................................................................................................................48 4.3 DE DIMENSIE VAN DE AWARENESS-MATRIX ................................................................................................ 49 4.3.1 Kosten .........................................................................................................................................................................49 4.3.2 Risico ..........................................................................................................................................................................50 4.4 BETROKKEN PERSONEN PER FASE ................................................................................................................ 50 4.4.1 Overgangsfasen.............................................................................................................................................................51 4.5 GEWENSTE POSITIE VAN BEDRIJVEN ............................................................................................................ 53 4.5.1 Voorbeeld van bedrijven per positionering......................................................................................................................54 4.6 TOTALE MODEL ........................................................................................................................................... 56 4.7 PLAATSBEPALING AWARENESSMATRIX ....................................................................................................... 57 4.8 VERIFICATIE - EXPERT OPINIE ..................................................................................................................... 58 5.0 BEVINDINGEN IN DE PRAKTIJK........................................................................................................... 59 5.1 WELKE PROBLEMEN WORDEN BIJ BEDRIJVEN ONDERVONDEN ..................................................................... 59

vii

Bewust van informatiebeveiliging, De zet aan de IT- manager 5.2 METEN VAN AWARENESS ............................................................................................................................ 62 5.3 POSITIE IN DE TABEL ................................................................................................................................... 63 5.4 OPLOSSING DOOR PROCESBENADERING ....................................................................................................... 65 5.4.1 Problemen en valkuilen bij procesbenadering..................................................................................................................66 5.4.2 Oplossingen bij procesbenadering...................................................................................................................................67 5.4.3 Zware bemensing .........................................................................................................................................................67 5.4.4 Communicatie..............................................................................................................................................................68 5.5 OPLOSSINGEN EN TECHNIEK ........................................................................................................................ 69 5.5.1 Gebruiken van biometrie, tokens en smardcards voor toegang.........................................................................................70 5.5.2 Gebruiken van PKI en encryptie...................................................................................................................................70 5.5.3 Overige technieken en voordelen van techniek.................................................................................................................70 5.5.4 Nadelen van techniek...................................................................................................................................................71 5.5.5 Awareness en technische maatregelen.............................................................................................................................72 5.6 COMMUNICATIE ADVIES .............................................................................................................................. 74 6.0 CONCLUSIES EN AANBEVELINGEN .................................................................................................... 76 6.1 CONCLUSIE.................................................................................................................................................. 76 6.2 AANBEVELINGEN VERVOLGONDERZOEK ..................................................................................................... 79 6.3 REFLECTIE................................................................................................................................................... 79 BIJLAGEN .......................................................................................................................................................... 86 I. GEÏNTERVIEWDE BEDRIJVEN .......................................................................................................................... 87 II. INTERVIEWPROTOCOL +1000 MEDEWERKERS............................................................................................... 88 III. INTERVIEW EXPERTS ................................................................................................................................... 95 IV. TIJDSPLANNING AFSTUDEERPROJECT ........................................................................................................ 104 V. ORGANOGRAM, MEDIA PLAZA ................................................................................................................... 105 VI: AWARENESS UITGEZET TEGEN TIJD ........................................................................................................... 106 VII: QUICKSCAN ............................................................................................................................................. 107 VIII: POSITIE IN DE MATRIX ............................................................................................................................ 109 IX: CASES TECHNIEK ...................................................................................................................................... 110

1.0 Onderzoeksinleiding Dit onderzoek is gedaan naar aanleiding van mijn afstudeerverslag aan faculteit Technische Bestuurskunde en Management (TBM) van de Technische Universiteit te Delft (TuD). Onderwerp van mijn afstuderen is bewustzijn van informatiebeveiliging. Als gekeken wordt naar beveiliging, blijkt dat er verschillende zaken zijn waarover nog maar weinig bekend is. Eén van deze zaken zal worden behandeld in mijn afstudeerverslag, namelijk bewustzijn van beveiliging of “security awareness”. Na het bestuderen van literatuur [1],[2],[S1],[S2],[S3] concludeer ik dat er aan dit onderwerp aandacht moet worden besteed. Maar of er op een goede manier aandacht aan wordt besteed is nog onbekend. Daarom zal in dit onderzoek gekeken worden naar hoe het bewustzijn groter kan worden gemaakt. Tijdens deze afstudeeropdracht, is het de bedoeling om zowel technische als bestuurskundige elementen te combineren. De opdracht heeft deze beide elementen in zich. Het technische element is te zien in onder andere het thema en verschillende technische methoden voor beveiliging van informatiesystemen. Het bestuurskundige element blijkt uit het feit dat het probleem een groot aantal actoren bezit, binnen en buiten verschillende organisaties, waarvan de belangen soms tegenstrijdig zijn of lijken. Hierbij kan worden gedacht aan het spanningsveld tussen veiligheid en gebruikersgemak. Ook is het bestuurskundige gedeelte aanwezig bij de beleidskant van beveiligen van informatiesystemen. Gekeken wordt dus naar een probleem dat zowel technisch als bestuurskundig vragen oproept binnen verschillende lagen van een organisatie. De conclusie hiervan is dat het een technisch bestuurskundig probleem is.

viii

Bewust van informatiebeveiliging, De zet aan de IT- manager Om dit technisch, bestuurskundig probleem duidelijk te positioneren, zal een awareness-matrix worden ontworpen. Met behulp van deze matrix, kan worden bepaald welke maatregelen een organisatie kan nemen om tot een goede security awareness te komen. Ook wordt duidelijk wat de problemen zijn die een onderneming kan verwachten op het moment dat de beveiliging zal worden verbeterd door de security awareness te verbeteren.

1.1 Definities In het verslag zullen verschillende termen worden gebruikt. Om duidelijkheid te verschaffen over het gebruik van deze termen is hier een verduidelijking weergegeven van de belangrijkste termen. De term security of beveiliging staat meerdere malen in dit verslag. Daarnaast zal ook de term awareness gebruikt worden. Deze term betekent letterlijk vertaald, bewustheid of (vaag) besef [3]. Als we dit samenvoegen in het woord security awareness, komen we wat vertaling betreft uit op het Nederlandse “beveiligingsbewustheid”. In dit verslag zal de volgende definitie voor security awareness gebruikt worden [4]: Security awareness is de mate waarin elke medewerker de volgende punten begrijpt: - het belang van informatiebeveiliging - het niveau van informatiebeveiliging dat voor de organisatie noodzakelijk is, en er ook naar handelt. Dit betekent dat op het moment dat de awareness wordt vergroot, het voor een medewerker duidelijker is dan voorheen, wat de risico’s zijn en hoe om te gaan met informatie, zodat de risico’s verminderd zullen worden. Hoe groter de awareness, hoe kleiner het risico op een beveiligingsinbreuk. Een vergroting van de awareness leidt dus voor een medewerker tot een beter inzicht in het belang van informatiebeveiliging, het niveau van informatiebeveiliging dat voor de organisatie noodzakelijk is. Door deze kennis, zal de medewerker ook bewuster hiernaar handelen.

1.2 Onderzoeksaanleiding Beveiliging van informatiesystemen hangt niet alleen af van fysieke en logische maatregelen. Organisatorische maatregelen zijn minstens even belangrijk. Het aspect awareness is een deel van de organisatorische maatregelen. Veel van de kwetsbaarheden van de informatievoorziening, worden veroorzaakt door onwetende medewerkers [S1] en liggen dus op organisatorisch vlak, zoals uit het onderstaande artikel blijkt.

Resultaten global survey 2004 Het jaarlijkse security onderzoek van Ernst&Young is afgerond en de resultaten liegen er niet om. Gebrek aan security awareness blijkt de belangrijkste hindernis te zijn voor succesvolle beveiliging. E&Y, 24 september 2004 Bron: http://www.mediaplaza.nl/mp.php/kennisplaza/artikel?kp_id=1&id=229 (06-12-2004)

Daarnaast kan uit verschillende onderzoeken van Ernst&Young, CSI/FBI, PriceWaterhouseCoopers geconcludeerd worden dat security awareness al verschillende jaren een groot obstakel is. De beveiliging van informatie is dus niet volledig zonder aandacht voor organisatorische aspecten. Beveiliging wordt vaak ontdoken. Meestal gebeurt dit onbewust. Maar ook bewust worden beveiligingsmaatregelen omzeild, om bijvoorbeeld een groter gebruikersgemak te verkrijgen. Het

Pagina 9

Bewust van informatiebeveiliging, De zet aan de IT- manager feit dat awareness al verschillende jaren een belangrijk knelpunt is voor een effectieve informatiebeveiliging, wil zeggen dat er maar in beperkte mate aandacht aan wordt besteed. Op dit moment is er bij veel bedrijven geen goed beeld van het niveau van beveiligingsbewustheid van medewerkers, wat er op duidt dat awareness waarschijnlijk geen prioriteit heeft. Ook is weinig bekend over de middelen om beveiligingsbewustheid te verkrijgen en om beveiligingsbewustheid te vergroten. Daarnaast zijn de effecten van de middelen onbekend, waardoor er geen effectief gebruik gemaakt kan worden van de beschikbare middelen [5]. Over het algemeen genomen is er zo weinig bekend over awareness, dat veel bedrijven weinig aandacht besteden aan het onderwerp. De aanleiding voor het onderzoek wordt als volgt geformuleerd, Er is te weinig bekend over de huidige status van security awareness in Nederland. Daarnaast is weinig bekend over de wijze waarop awareness binnen een onderneming gestimuleerd kan worden, wat grote gevolgen kan hebben voor de beveiliging van informatie. Dit onderzoek is vanuit Media Plaza uitgevoerd. Media Plaza, is een stichting, ter bevordering van innoveren met Informatie en Communicatie Technologie (ICT). Eén van de innovaties die bevorderd wordt door Media Plaza is informatiebeveiliging. Media Plaza heeft haar security evenementen ondergebracht in een concept dat Security Plaza heet. Binnen Security Plaza, zijn verschillende sub-onderwerpen. Een van die onderwerpen is security awareness. Vanuit Security Plaza, wordt dus gekeken naar awareness. Om security awareness te bevorderen, doet Security Plaza onderzoek naar dit aspect van beveiliging. Dit was de drijfveer voor de keuze van het onderwerp. In Bijlage V staan gegevens van Media Plaza.

Pagina 10


1.3 Doelstelling Het doel van dit onderzoek is om beter inzicht te krijgen in awareness van bedrijven, om ervoor te zorgen dat zij minder kwetsbaar worden. Het doel is het ontwerpen van een methode om de awareness van bedrijven te positioneren, zodat adviezen kunnen worden gegeven over te nemen stappen. Op lange termijn zou dit moeten bijdragen tot de verbetering van beveiligingsbewustheid bij ondernemingen in Nederland.

1.4 Onderzoek Om de probleemstelling op te kunnen lossen en zodoende de doelstellingen te bereiken, zal in deze paragraaf gekeken worden wat de onderzoeksvragen zijn, wat de verwachte uitkomst van het onderzoek is en hoe het onderzoek aangepakt gaat worden.

1.4.1 Onderzoeksvragen Om de probleemstelling op te kunnen lossen en de doelstelling te bereiken zullen er verschillende onderzoeksvragen moeten worden beantwoord. Deze onderzoeksvragen luiden: 1. Wat zijn de typische problemen bij het vergroten van awareness? Om te weten wat de meeste voorkomende valkuilen bij invoering van awareness zijn, wordt de eerste onderzoeksvraag gesteld. Deze vraag zal door middel van literatuurstudie en interviews worden behandeld. 2. Welke oplossingen zijn er om de awareness te vergroten, en wat zijn de voor en nadelen van deze oplossingen? Wanneer we weten wat de typische problemen en valkuilen zijn, is de volgende stap om te gaan kijken welke oplossingen er zijn om deze problemen op te lossen. Aan de hand van interviews zal worden gekeken naar wat de oplossingen zijn voor de awareness problemen. 3.

Hoe kan de awareness van bedrijven worden gepositioneerd? Gekeken word naar een manier om bedrijven te positioneren, zodat adviezen kunnen worden gegeven om voor een betere informatiebeveiliging te zorgen.

1.4.2 Verwachte resultaten De resultaten die verwacht worden als uitkomst van de verschillende onderzoeksvragen zijn de volgende: Onderzoeksvraag 1: Uit een onderzoek bij de Rabobank onder IT’ers [3], is gebleken dat er verschillende oorzaken waren waarom beveiligingsinbreuken plaats vonden. Uit dit onderzoek bleek dat de meest belangrijke redenen waardoor fouten voor kwamen de volgende waren: -

Gewoonte gedrag in de groep Te weinig kennis over de concrete status of werking van het informatiesysteem Verkeerde management beslissingen Lage beschikbaarheid van handboeken / Weinig informatie voor medewerkers

Pagina 11

Bewust van informatiebeveiliging, De zet aan de IT- manager Deze onderdelen zullen waarschijnlijk terug komen bij de interviews over de problemen en valkuilen. Aan de hand van de problemen en valkuilen kan duidelijk worden geanalyseerd waar de fouten zitten. Onderzoeksvraag 2: De oplossingen zullen gericht zijn op het management en de medewerker. Beleidsoplossingen en gedragregels zullen waarschijnlijk de oplossing zijn om problemen te voorkomen. Misschien ook een structuur om goed gedrag te belonen. Daarnaast zal herhaling en actualiteit van de boodschap belangrijk zijn. Tevens zullen oplossingen worden gevonden om managers te stimuleren om awareness in te voeren binnen het beleid Onderzoeksvraag 3: Naast de problemen die er bij het vergroten van awareness zijn en hoe bedrijven deze problemen kunnen oplossen, zal aan de hand van een innovatie diagram gekeken worden waar bedrijven gepositioneerd zijn. Verwacht wordt dat bedrijven nog weinig bewust zijn van de risico’s van niet bewust personeel.

1.4.3 Onderzoeksopzet Om de probleemstelling te kunnen beantwoorden, en aan de doelstelling te voldoen, zal er een bepaalde opzet worden gehandhaafd. Deze opzet is te vinden in figuur 1.

Hoofdstuk 1 & 2 Inleiding

Hoofdstuk 3 Achtergrond awareness

Hoofdstuk 5 Problemen

Oplossingen

Hoofdstuk 4 Awareness matrix

Hoofdstuk 6 Verificatie

Conclusie

Figuur 1: Onderzoeksopzet

Het onderzoek is in verschillende onderdelen uiteengezet. In hoofdstuk 1 zal een algemene inleiding gegeven worden, met daarin de probleem, doel en vraagstellingen uitgewerkt. Daarna zal in hoofdstuk 2 een algemene inleiding over informatiebeveiliging staan, om de context te creëren. Deze context is door middel van literatuur verkregen. In hoofdstuk 3 zal gekeken worden naar awareness en de wijze waarop dit te positioneren is. In hoofdstuk 4 zal deze positionering worden ingevuld en geconcretiseerd aan de hand van de praktijkbevindingen van de interviews. Zoals blijkt uit de onderzoeksopzet zal in deze studie gekeken worden naar wat de valkuilen en problemen zijn. Daarnaast zal gekeken worden naar welke oplossingen er zijn, dit gebeurt in hoofdstuk 5. In hoofdstuk 6 zal de conclusie van dit onderzoek staan, waarin adviezen worden geven over hoe een onderneming de beveiliging kan verbeteren met behulp van awareness. Onderzoeksmethode Voor het onderzoek is de volgende methode gebruikt. In het begin is gebruik gemaakt van literatuur om algemene informatie over het onderwerp security awareness te vinden. Aan de hand van deze literatuur is begonnen met het maken van een awareness-matrix en algemene problemen en oplossingen zijn gevonden. Met behulp van deze algemene informatie is een interviewprotocol opgezet. Daarna zijn de interviews gehouden met IT-managers of IT-gerelateerde managers bij ondernemingen waar +1000 werknemers in dienst zijn. Met behulp van deze interviews is het interviewprotocol verder uitgewerkt. Aan de hand van de interviews met IT-managers zullen de in literatuur gevonden problemen en oplossingen uitgebreid en verder genuanceerd worden. Tevens is de awareness-matrix verder ontwikkeld en ingevuld met behulp van de problemen en oplossingen uit deze interviews. Daarna zullen interviews worden gehouden met experts om de uitkomsten van de interviews met IT-managers te verifiëren met de uitkomsten van de expert. Pagina 12

Bewust van informatiebeveiliging, De zet aan de IT- manager Ook zal de awareness-matrix gevalideerd en geverifieerd worden met behulp van experts, zodat een quickscan kan worden gemaakt. De verdeling die hierboven is beschreven, is hieronder weergegeven in Figuur 2.

Literatuur

Achtergrond security awareness

Oplossingen

Interview +1000 medewerkers

Interview experts

Maken van de awareness-matrix

Problemen

Invullen van de awareness-matrix

Verificatie van de awareness-matrix

Ontwerp quickscan

Figuur 2: Onderzoeksproces

1.4.4 Interviews Omdat dit onderzoek exploratief is en er weinig literatuur beschikbaar is over awareness, is gekozen om informatie te verkrijgen door middel van interviews. Er is gebruik gemaakt van 2 verschillende interviewprotocollen. Het eerste interviewprotocol is bestemd voor de beveiligingsmanagers en CIO’s van bedrijven waarvan het aantal medewerkers boven de 1000 medewerkers ligt (+1000 interviews). Het doel van deze interviews was om algemene informatie te verkrijgen om de awareness-matrix mee in te vullen, de positie van bedrijven in de awareness-matrix vast te stellen en de problemen die worden ondervonden te vinden. Het tweede interviewprotocol is ontworpen voor experts op het gebied van informatiebeveiliging, om uitkomsten van de interviews met IT-Managers te verifiëren. De experts die zijn geraadpleegd hebben ervaring in het geven van advies met betrekking op informatiebeveiliging of werken bij organisaties die een goede informatiebeveiliging hebben. Daarnaast zijn deze experts al geruime tijd werkzaam binnen het vakgebied. De vragenlijst voor de IT-managers is als volgt opgebouwd: - Huidige situatie (met betrekking op beveiliging en awareness)

Pagina 13

Bewust van informatiebeveiliging, De zet aan de IT- manager -

Fase waarin een onderneming zou moeten zitten Problemen bij deze situatie of bij het verkrijgen/ behouden van de situatie Activiteiten die een bedrijf heeft gedaan Problemen die een onderneming heeft ondervonden in voorgaande fasen Fase waarin een bedrijf denkt te zitten

De vragen die aan de hand van deze volgende aspecten zijn opgesteld zijn in bijlage II te vinden. De vragenlijst voor de experts is als volgt opgebouwd: De aspecten tijdens de interviews waren de volgende: - Het ontwikkelde model te toetsen - De invulling van het model te toetsen - Verschillende oplossingen te vinden voor de problemen in de verschillende fasen. De vragen die aan de hand van deze aspecten zijn opgesteld zijn te vinden in bijlage III.

1.4.5 Beschikbare literatuur In deze paragraaf zal gekeken worden welke bronnen er beschikbaar zijn met betrekking tot awareness. De verschillende literatuur zal worden ingedeeld in verschillende groepen. − Media Ten tijde van dit onderzoek is de noodzaak voor voldoende awareness veelvuldig in de aandacht gekomen in kranten, tijdschriften en op websites. Alleen al gelet op de hoeveelheid meldingen van awareness problemen kan het belang en de interesse worden aangetoond. Zaken die in het nieuws kwamen waren bijvoorbeeld:

De pc van openbaar aanklager Tonino die bij het grofvuil stond Laptop officier Haarlem gestolen Ziekenhuis zet patiëntgegevens bij grofvuil Laptop met klantgevens uit auto gestolen Gestolen broncode te koop PCs met klantgegevens kredietverstrekker gestolen Ilse media verspreidde Trojaans paard Brits veiligheidsplan voor bezoek Musharraf op straat Zafi-worm laat zien dat gebruiker zwakste schakel is Bankpasjes en pincode nog altijd makkelijk afgegeven Medische stukken in Leeuwarden op de straat

− Global Surveys Daarnaast zijn er ook publicaties van PriceWaterhouseCoopers, Ernst&Young, KPMG en FBI/CSI. Deze surveys geven een beeld van hoe het bij bedrijven gesteld is met de informatiebeveiliging in het algemeen. Als conclusie van deze surveys, blijkt dat awareness een aandachtspunt zal moeten worden wil de beveiliging verbeteren. − Whitepapaers Maar alleen aan kennis dat er wat moet gebeuren aan de bewustheid is niet voldoende. Verschillende instanties hebben hiervoor oplossingen bedacht. Deze oplossingen worden vooral in de vorm van een whitepaper gepubliceerd. Aan de hand van deze whitepapers is het mogelijk om een eigen awarenessprogramma of campagne op te zetten en worden er tips gegeven over de onderwerpen die aangehaald kunnen worden tijdens deze campagnes. Partijen die deze whitepapers ter beschikking stellen zijn het Internationaal Management Forum, Information Security Forum, Kwint en Noticebored.

Pagina 14

Bewust van informatiebeveiliging, De zet aan de IT- manager Aan de hand van de bovenstaande informatie is te zien dat awareness een belangrijk aandachtspunt is geworden ten tijden van dit onderzoek. Daarnaast blijkt uit de hoeveelheid oplossingen dat er al redelijk wat manieren aangedragen worden om de awareness te vergroten. − Boeken Het feit dat er op het moment veel literatuur bij komt, betekent dat het een onderwerp is dat redelijk nieuw is, of dat op dit moment voor het eerst aandacht krijgt. Gezien de literatuur en de wetenschappelijke documenten over dit onderwerp (die heel summier zijn), blijkt dat deze documenten vooral terugslaan op de psychologie en niet op andere documenten die betrekking hebben op awareness. Heel het onderwerp “awareness” is dus relatief nieuw. Ten tijde van dit onderzoek is het informatiebeveiliging jaarboek 2004 / 2005 uitgekomen. Door de hoeveelheid aandacht die in dit jaarboek aan awareness of aan awareness gerelateerde onderwerpen besteed werd, kan ook worden aangenomen dat awareness een belangrijk, maar nog onbekend en een beginnende discipline is.

1.4.6 Te hanteren methodieken Na een kort scan van de beschikbare literatuur, bleek dat er nog maar weinig bekend is over awareness [6]. Het meest wordt gesproken over oplossingen om inbreuk op het informatiesysteem te voorkomen. Oplossingen zoals firewalls, virusscanners, Intrusion Detection Systems (IDS) worden overvloedig behandeld. Ook organisatorische aspecten over hoe een beleid moet worden opgesteld en hoe taken verdeeld moeten worden komen naar voren. Maar de manier waarop awareness moet worden gecreëerd is nauwelijks bekend. Ook zijn nergens verschillende fasen beschreven waar awareness van een onderneming in kan worden gepositioneerd. Door het tekort aan aandacht is er nog maar weinig bekend over awareness. Om toch aan de beschikbare kennis te komen voor dit onderzoek, zal gebruik worden gemaakt van interviews. Zoals al aangegeven is in de voorgaande paragrafen zullen er verschillende interviews worden uitgevoerd. Deze interviews worden uitgevoerd om verschillende vragen beantwoord te krijgen. De onderzoeksvragen die zullen worden bekeken bij de interviews zijn: 1. Wat zijn de typische problemen bij het vergroten van awareness? 2. Welke oplossingen zijn er om de awareness te vergroten, en wat zijn de voor en nadelen van deze oplossingen? Deze vragen kunnen het best beantwoord worden door de IT - managers van een onderneming, omdat IT-managers over het algemeen in de B.V. Nederland verantwoordelijk zijn voor awareness. Daarom zullen interviews gehouden worden met IT-managers uit diverse sectoren. De verschillende geïnterviewden zijn onderverdeeld in koplopers en achterblijvers, waarbij in de interviews de koplopers meer gevraagd is naar oplossingen en de achterblijvers meer naar problemen.

1.5 Afbakening Het onderzoek zal gericht worden op bedrijven waarbij het werknemersaantal ligt rond de 1000 werknemers, dit als wens van de opdrachtgever. Daarnaast is de achterliggende gedachte dat kleinere ondernemingen kunnen profiteren van de kennis van grotere bedrijven, omdat deze in het algemeen voorlopen op ontwikkelingen. Dus de geïnterviewde bedrijven kunnen leervolle ervaringen overdragen aan kleinere ondernemingen. Het onderzoek richt zich vooral op IT-managers en security officers. Dit omdat de problemen met awareness en bij de implementatie van awareness, ondervonden worden door deze twee functionarissen en omdat het een wens is van de opdrachtgever.

Pagina 15


1.6 Persoonlijke ontwikkeling Aan het begin van dit verslag, was de kennis over beveiliging, bij mij vooral technisch van aard. Door middel van een goede technische beveiliging, was het in mijn opinie mogelijk om een goede algehele beveiliging te creëren. Vandaar dat in het tweede hoofdstuk vooral naar de technische aspecten van beveiliging is gekeken. Echter later bleek dat deze beveiliging niet voldoende was. Dat er problemen zijn met de beveiliging die alleen technisch van aard is. Ik ontdekte dat de mens een belangrijke rol speelt bij beveiliging, in hoofdstuk 3 is dit uitgewerkt. Een onkunde van mijzelf, was het feit dat ik niet kon begrijpen dat er medewerkers zijn die mail openen met bijvoorbeeld een dubieuze bijlage (met een van de volgende extensies zip/exe/pif enz) openen. Toch blijkt dit te gebeuren, ook bij Media Plaza. Ook kwam ik erachter dat de meest actuele en eigenlijk enige manier om medewerkers bewust te maken, is door middel van een awareness-campagne.Verschillende opzetten voor campagnes waren gegeven en materiaal is er te vinden op internet. Maar vanuit wetenschappelijk oogpunt is er bijna niets bekend over awareness. Daarom besloot ik onderzoek te doen naar awareness. Daarbij is mijn ontwikkeltraject gegaan van een organisatorische maatregel schuwende houding, tot een goedkeurende houding ten opzichte van organisatorische maatregelen. Tijdens het onderzoek naar de positionering, kwam ik achter de manier van aanpak tot het verkrijgen van een awareness vergrotende maatregel binnen de organisatie. Dit was niet het uiteindelijke onderzoeksdoel, maar zeer zeker wel een nuttige bijdrage voor ondernemingen die aandacht willen besteden aan dit onderwerp. Het is dus niet zozeer een product “off-the-shelf” aanschaffen, dat awareness vergroot (deze bedrijven bevinden zich momenteel al op de markt). In het volgende hoofdstuk zal worden beschreven wat informatiebeveiliging inhoud.

Pagina 16


2.0 Inleiding in informatiebeveiliging In dit hoofdstuk zal gekeken worden naar wat informatiebeveiliging inhoud. Verschillende aspecten van informatiebeveiliging zullen bekeken worden. In paragraaf 2.1 zal een algemeen globaal overzicht worden gegeven van welke aspecten van informatie en informatievoorziening bedreigd en beschermd kunnen worden. In paragraaf 2.2 zal een overzicht worden gegeven van de momenteel belangrijkste bedreigingen. Daarna zal in paragraaf 2.3 gekeken worden welke beveiligingsmaatregelen er zijn om de bedreigingen te kunnen weerstaan. Maar of deze beveiligingsmaatregelen voldoende zijn, zal bekeken worden in paragraaf 2.4.

2.1 Wat is informatiebeveiliging Om informatie te beveiligen moet er met verschillende zaken rekening worden gehouden. Allereerst moet gekeken worden naar welke delen van de informatie en informatievoorziening kunnen worden bedreigd. Deze aspecten zijn [1],[7],[8] -

Beschikbaarheid Integriteit (Correctheid, volledigheid, geldigheid, authenticiteit, enz.) Vertrouwelijkheid

Om een goede informatiebeveiliging te verkrijgen zal de beveiliging zich op deze aspecten moeten richten. Om duidelijk te maken waarom deze aspecten beveiligd dienen te worden zal in het kort gekeken worden naar wat er met deze aspecten bedoeld wordt. Het beveiligen van de beschikbaarheid houdt in dat de informatie beschikbaar is, op het moment dat erom gevraagd wordt. Het moet niet zo zijn dat informatie niet of vertraagd beschikbaar is. Een voorbeeld waarbij gebruik is gemaakt om de beschikbaarheid van de informatie aan te vallen en op deze manier voor een beveiligingsinbreuk te zorgen, is te lezen in het onderstaande artikel.

Pagina 17


7 oktober 2004

Websites overheid door ddos-aanval lamgelegd De websites www.overheid.nl en www.regering.nl zijn afgelopen maandagavond onbereikbaar geworden door een aanval van hackers. De aanval van de groep, een 'distributed denial of service attack' (ddos), zou bedoeld zijn als protest tegen het kabinetsbeleid. Er is aangifte gedaan bij de politie Er wordt geprobeerd om overheid.nl en regering.nl zo snel mogelijk weer bereikbaar te maken, maar niet bekend is hoe lang dit gaat duren. Momenteel zijn ze allebei nog 'uit de lucht'. Het Ictu-programma Computer Emergency Response Team van de Nederlandse overheid (Govcert.nl) doet extra onderzoek doen naar het voorkomen van ddos-aanvallen. Daarbij wordt gebruik gemaakt van de 'lessons learned' van de huidige aanval. Het voorval legt de vinger op een gevoelige plek: het opzetten van zo'n aanval is kinderspel. Letterlijk, want het blijken nogal eens jongeren, zogenoemde 'script kiddies', te zijn die verantwoordelijk zijn voor ddos-aanvallen. Aanvalsplannen en handleidingen kunnen door zulke 'script kiddies', die vaak geen clou hebben van wat ze kunnen aanrichten, tamelijk eenvoudig van het internet worden geplukt

Redactie Computable Bron: http://mmbase.vnunet.nl/nieuws_print.jsp?id=382166&rid=350339&site=241 (13 – 12 – 2004)

Het beveiligen van integriteit van informatie heeft betrekking op de correctheid, volledigheid, geldigheid, authenticiteit en onweerlegbaarheid. De informatie moet goed zijn, up-to-date enz. Vertrouwelijkheid houdt in dat de informatie op het informatiesysteem alleen beschikbaar is voor degene die over de informatie of data mag beschikken. En dat de informatie op de juiste wijze gebruikt wordt door deze personen. In het onderstaande artikel is te lezen hoe vertrouwelijke informatie in handen van verkeerde personen is gekomen. Dit doordat de beveiliging ergens bij Cisco heeft gefaald. De gevolgen zijn in dit geval minimaal winstverlies. Maar naast dit voorbeeld staan tal van voorbeelden, denk bijvoorbeeld aan hackers die creditcard gegevens van Mastercard en Visa wisten te bemachtigen in februari 2003 [I3].

Pagina 18


Source Code Club biedt opnieuw gestolen code Cisco aan Door Yoeri Lauwers - woensdag 3 november 2004 - 08:32 - Bron: News.com - Views: 11.169

Ongeveer vier maanden nadat de Source Code Club voor het eerst gestolen broncode te koop aanbood, is de hackerswinkel opnieuw geopend. Voor 24.000 dollar kan men volgens de SCC de broncode van het Cisco-besturingssysteem voor firewalls, Pix, aanschaffen. In de aankondiging wordt niet vermeld hoe men de broncode in zijn bezit kreeg. Cisco heeft ondertussen al aangegeven deze zaak te onderzoeken, maar kon nog geen uitspraak doen over de echtheid van de aangeboden broncode. Het zou echter wel gaan om versie 6.3.1 uit maart 2003, terwijl men ondertussen al bij versie 6.3.4 gekomen is. Om potentiële klanten over te halen biedt de Source Code Club ook extraatjes aan. Zo krijgen klanten die een volledig pakket broncode aanschaffen toegang tot de code van andere software, die niet publiek beschikbaar is. Toen de SCC in juli zijn deuren opende moest de virtuele winkel na tien dagen al opgedoekt worden om nog eens vier dagen later weer op usenet te verschijnen. Bron: http://www.tweakers.net/nieuws/34908 (10 - 11 - 2004)

Om voor een beveiliging op de drie verschillende aspecten te verzorgen, zijn er verschillende soorten beveiligingsmaatregelen. Deze zijn opgedeeld in de volgende 3 groepen [7],[9]: -

Fysieke beveiligingsmaatregelen Logische beveiligingsmaatregelen Organisatorische beveiligingsmaatregelen

Fysieke beveiliging is beveiliging die door middel van fysieke zaken tot stand komt. Hierbij moet worden gedacht aan computers die aan de werkplek zijn vastgeketend en dus niet zomaar mee kunnen worden genomen. Logische beveiligingsmaatregelen zijn maatregelen die op het systeem draaien. Hierbij moet bijvoorbeeld worden gedacht aan inloggen door middel van gebruikersnaam en wachtwoord, of aan virusscanners. De laatste manier van beveiligen is op organisatorisch gebied, hieronder vallen alle organisatorische maatregelen, als beleid, regels en procedures. Naar aanleiding van het onderstaande bericht zullen de verschillende manieren van beveiliging worden toegelicht.

Pagina 19


vrijdag 3 september 2004

Laptops rijksoverheid slecht beveiligd Pas na diefstal van een notebook komen de meeste organisaties achter de waarde van de informatie die erop staat. In veel gevallen is deze eenvoudig leesbaar te maken omdat de data niet versleuteld is. Vooral de rijksoverheid is hier laks in. “Een laptop kost maar een paar honderd euro. Het verlies of het uitlekken van de informatie op deze draagbare computers is veel kostbaarder", zegt Jan van Vliet, algemeen directeur van de specialist in laptopbeveiliging Safeboot. In de VS wordt één op de veertien schootcomputers in het eerste jaar na aanschaf gestolen. Zet je dat af tegen de ruim half miljoen laptops die volgens IDC vorig jaar in Nederland verkocht werden, dan gaat het om ruim veertigduizend apparaten. Noch het CBS, noch Justitie of politie kunnen dat aantal bevestigen, omdat dit cijfer niet bijgehouden wordt. Een beperkt aantal van deze computers is voorzien van encryptiesoftware die de informatie op de harde schijf voor de dief onleesbaar maakt. Safeboot, dat met tweehonderdduizend licenties in de Benelux veruit het populairst is, is vooral in gebruik bij bedrijven in de zakelijke en financiële dienstverlening. Van Vliet stelt dat de rijksoverheid de laptops van ambtenaren over het algemeen slecht beveiligt. Kijk voor een uitgebreid artikel in de Computable van 3 september 2004. Sytse van der Schaaf Bron: http://www.computable.nl/nieuws.htm?id=357917 (10 – 09 – 2004)

In het artikel wordt geschreven dat laptops gestolen worden, dit duidt op een fysieke slechte beveiliging, (iets dat bij laptops ook lastig te beveiligen is). Daarnaast staat een logische maatregel beschreven om de gegevens op deze laptops te beschermen, namelijk de encryptiesoftware. Als de overheid besluit dat alle laptops van deze software voorzien moeten worden, of dat laptops veilig bewaard moeten worden, dan wordt er gesproken over organisatorische beveiliging. Deze beveiligingen kunnen weer verschillend van aard zijn, maatregelen kunnen preventief, detectieve of repressief. Gelet op het artikel is een preventieve beveiligingsmaatregel het gebruik van encryptiesoftware op laptops. Dit is dus een preventieve logische maatregel. Een detectieve maatregel is een maatregel die beveiligingsinbreuken detecteert, hierbij moet bijvoorbeeld gedacht worden aan een maatregel om controleurs batches te laten controleren. Op deze manier worden ongewenste bezoekers uit gebouwen geweerd. Dit is een detectieve organisatorisch maatregel. Een repressieve maatregel verminderd de gevolgen van de verstoring die een inbreuk teweeg heeft gebracht, bijvoorbeeld bij diefstal van een laptop is het ervoor zorgen dat de data ook op een andere computer staan een repressieve fysieke beveiligingsmaatregel. Hieronder is een overzicht gegeven van de mogelijke beveiligingsmaatregelen, van iedere maatregel is een voorbeeld gegeven om de inzichtelijkheid te vergroten. Fysiek Logisch Organisatorisch

Preventief sloten wachtwoord verplichten batches

Detectief alarmsysteem virusscanner verplichten controle batches

Repressief uitwijkmogelijkheid backup afsluiten verzekering

Tabel 1: Indeling van beveiligingsmaatregelen

Pagina 20


2.2 Welke mogelijke aanvallen zijn er Ook zijn er verschillende bedreigingen. De bedreigingen kunnen van toepassing zijn op de verschillende gebieden, welke net besproken zijn, namelijk beschikbaarheid, integriteit en vertrouwelijkheid. De bedreigingen die in de tabel zijn opgenomen zijn gevonden in surveys [S1],[S2] en in literatuur [10]. Mogelijke bedreigingen − Accountants/vendors die toegang hebben tot het netwerk − Bedrijfsspionage − Buitenlandse spionage − Capaciteitsproblemen − Cyber oorlog − Cyber-terorisme − Diefstal van hardware − Distributed Denial of Service (DDoS) aanvallen − Fouten bij derden (IT service provider) − Hacken − Hardware fouten − Misbruik door bedrijfspartners − Misbruik door ex-werknemers − Misbruik van werknemers met betrekking tot informatie systemen − Natuurrampen − Politiek “hactivism” of cyber protest − Script kiddies − Software fouten − Spam − Telecommunicatie fouten − Terroristische aanval − Verlies van klanten / gevoelige data − Verlies van klanten/gevoelige informatie, hardkopie − Virussen,Wormen en Trojaanse paarden Tabel 2: Verschillende mogelijke bedreigingen

Deze bedreigingen hebben allemaal een invloed op het informatiesysteem. De ene bedreiging valt de integriteit van de data aan, de andere de vertrouwelijkheid en een derde de betrouwbaarheid. Veel bedreigingen hebben invloed op meerdere onderdelen van de beveiliging.

2.3 Welke mogelijke oplossingen zijn er Naast bedreigingen zijn er natuurlijk ook standaard maatregelen die ervoor moeten zorgen dat veiligheid van het informatiesysteem gewaarborgd is en blijft. Een opsomming van een aantal verschillende beveiligingsmaatregelen, zal in Tabel 3 gegeven worden [11], deze beveiligingsmaatregelen zijn de bekendste technische maatregelen die er momenteel zijn. Hierbij moet worden opgemerkt dat de technische ontwikkeling doorgaat en dat er constant nieuwe of betere producten worden ontwikkeld. Naast de opsomming van deze middelen zal ook op subjectieve basis gekeken worden voor welke bedreigingen deze middelen effectief zijn tegen aanvallen van buitenaf of tegen aanvallen van binnenuit.

Pagina 21


Middelen

Gericht tegen aanvallen van buitenaf

Gericht tegen aanvallen van binnenuit

X X X X X X X X X X X X

X

Virusprotectie Firewalls Intrusion detection-systemen Intrusion prevention-systemen Client-firewalls Versleuteling Contentinspectie Anti – Spam WLAN-security VPN (SSL beveiliging) Authenticatie PKI

X X X X

Tabel 3: Technische middelen om bedreigingen tegen te gaan

Uit tabel 3 komt naar voren dat er weinig middelen bekend zijn die gericht zijn tegen aanvallen die van binnen in de organisatie komen. Dit ondanks het feit dat de meeste aanvallen op beveiliging van binnen de organisatie komen. [S1],[28]. De lijst die hierboven staat is vooral gebaseerd op logische en fysieke maatregelen. Vooral de ICT gerelateerde oplossingen om informatie te beveiligen zijn hier bekeken. Maar zoals al eerder is aangegeven moet er meer gedaan worden voor een goede beveiliging. Middelen

Gericht tegen aanvallen van buitenaf

Gericht tegen aanvallen van binnenuit

X X X X X X X X

X X X X X X X X

Beleid Protocollen Melding inbreuk Audit Fysieke beveiliging Patch management Third party contract Uitwijk mogelijkheden

Tabel 4: Organisatorische middelen om bedreigingen tegen te gaan

Als er beleid is en dit gehandhaafd wordt, zullen aanvallen van binnenuit minder snel voorkomen, omdat mensen weten wat er met de informatie mag gebeuren. Aan de hand van protocollen kan dit beleid worden geconcretiseerd. Afspraken kunnen worden gemaakt over hoe er concreet omgegaan wordt met vertrouwelijke stukken. Hierdoor wordt de beveiliging sterker. Organisatorische maatregelen zullen dus een grote invloed hebben op het aantal aanvallen op het informatiesysteem en het onjuist omgaan met informatie door de medewerkers van het bedrijf.

2.4 Is dit een complete beveiliging? In de voorgaande paragrafen zijn verschillende bedreigingen genoemd en verschillende manieren waarop deze bedreigingen kunnen worden teniet gedaan. De vraag rijst alleen of een beveiliging door middel van vooral gebruik van technische middelen een goede beveiliging is. In de tabellen is vooral uitgegaan van bedreigingen die betrekking hebben op de computer informatiesystemen. Zoals al besproken is in paragraaf 2.1 zijn er ook organisatorische middelen, zoals het verplichten van het dragen van batches enzovoort. Natuurlijk wordt er door het gebruik van organisatorische,

Pagina 22

Bewust van informatiebeveiliging, De zet aan de IT- manager fysieke en logische beveiligingsmiddelen een adequate beveiliging neergezet, maar er is één factor die cruciaal is voor een goed functionerend beveiligingssysteem namelijk de mens. Ieder systeem heeft in minder of meerdere mate te maken met menselijke interactie. Zo ook een informatiebeveiligingssysteem. De systemen die beveiligd moeten worden, worden gebruikt door mensen om mee te werken. Hoewel de technische beveiligingsmaatregelen steeds geavanceerder worden en dus een betere bescherming bieden, wordt deze ontwikkeling ook opgemerkt door hackers. Hackers zullen hun aandacht daarom verleggen naar de zwakke plek die overblijft: de mens. Juist daarom is het belangrijk dat medewerkers een hoge awareness hebben.

2.4.1 Social engineering Een andere bedreiging voor een onderneming heeft de naam social engineering [12]. Social engineering is in het kort het verkrijgen van (beveiligde)informatie door gebruikt te maken van het menselijke aspect van beveiliging, in plaats van zich te richten op de technische aspecten (bijvoorbeeld door systemen te hacken). Hierbij moet worden gedacht aan het verstrekken van gevoelige informatie door medewerkers aan derden. Verschillende trucs worden gebruikt om aan deze informatie te komen, maar vooral wordt er gebruik gemaakt van het feit dat een mens geleerd wordt om hulp te bieden aan anderen. Dat social engineering een groot gevaar is voor een onderneming blijkt uit een onderzoek van Gartner, in het onderstaande artikel wordt dit onderzoek besproken en de uitkomsten kort weergegeven.

Pagina 23


01 November 2004

What's the greatest security risk? Social engineering, says Gartner... The greatest security risk facing large companies and individual internet users over the next 10 years will be the increasingly sophisticated use of social engineering to bypass IT security defences, according to analyst firm Gartner. Gartner defines social engineering as "the manipulation of people, rather than machines, to successfully breach the security systems of an enterprise or a consumer". This involves criminals persuading a user to click on a link or open an attachment that they probably know they shouldn't. Rich Mogull, research director for information security and risk at Gartner, said social engineering is more of a problem than hacking. "People, by nature, are unpredictable and susceptible to manipulation and persuasion. Studies show that humans have certain behavioural tendencies that can be exploited with careful manipulation. "Many of the most-damaging security penetrations are, and will continue to be, due to social engineering, not electronic hacking or cracking," said Mogull. According to Mogull, identity theft is a major concern because more criminals are "reinventing old scams" using new technology. "Criminals are using social engineering to take the identity of someone either for profit, or to gather further information on an enterprise. This is not only a violation of the business, but of someone's personal privacy," said Mogull. Rob Forsyth, managing director at Sophos in Australia and New Zealand, told ZDNet Australia about a 'malicious and cynical' scam that recently targeted unemployed Australians. According to Forsyth, the potential victim received an email that purported to come from Credit Suisse bank advertising a job opportunity. The email asked the recipient to go to a website that was an almost exact replica of the actual Credit Suisse site - but this version contained an application form for the 'vacancy'. Forsyth said the replicated website was recreated so thoroughly that it took experts 'some time' to confirm that it was actually fake. "It took us some time to determine it was a fake site. It was not necessarily groundbreaking but quite a clever combination of technology. "They are targeting those people in the community that are most in need - those seeking work. It is exactly those people that might be vulnerable to this kind of overture,” said Forsyth. Gartner's Mogull said: "We believe social engineering is the single greatest security risk in the decade ahead."

by Munir Kotadia, Munir Kotadia writes for ZDNet Australia. Bron: http://software.silicon.com/malware/0,3800003100,39125457,00.htm (09 – 12 – 2004)

Bij social engineering is de mens dus de zwakke schakel in de beveiliging die word gebruikt om aan informatie te komen. Uit het boek van Kevin Mitnick [12], blijkt dat iedere onderneming slachtoffer kan worden van deze vorm van beveiligingsinbreuk. Tevens zijn er in zijn boek

Pagina 24

Bewust van informatiebeveiliging, De zet aan de IT- manager verschillende methoden beschreven over de manieren waarop een social engineer informatie los kan krijgen. Het belang om hiertegen te beveiligen wordt in dit boek aangetoond, alsmede het gemak waarmee medewerkers worden misleid om informatie te geven. Social engineering is dus waarschijnlijk één van de grootste bedreiging die er de komende jaren zal zijn. Maar hoe kan een bedrijf zich tegen deze vorm van informatie inbreuken beveiligen?

2.4.2 Human firewall Een manier om een onderneming te beveiligen tegen aanvallen van een social engineer, is om een human firewall te maken. Met de term “Human firewall” wordt bedoeld dat de mens zelf meewerkt om een goede beveiliging te verkrijgen. De mens neemt actief deel aan de beveiliging van de informatie die tot hun beschikking is. Als iemand actief deel neemt aan de beveiliging, zal deze persoon verschillende aanvallen kunnen blokkeren en voorkomen. De mens bepaald dus net zoals een firewall wat wel en wat niet kan, vandaar deze term. Door middel van het opzetten van een human firewall zal de zwakste schakel “de mens” van de informatiebeveiliging worden versterkt en zal de beveiliging beter worden. Maar om een human firewall te verkrijgen moet iedere medewerker op de hoogte zijn van de risico’s die een onderneming loopt en hiermee aangetoond wat het belang van informatiebeveiliging is. Daarnaast moeten de medewerkers de regels en het niveau van de beveiliging weten om te kunnen handelen naar dit niveau. Het nut van een human firewall is aangetoond in deze en de vorige paragraaf, daarnaast kan dit statistisch worden onderbouwd, door verschillende surveys van E&Y [S2]. Uit deze surveys blijkt tevens dat awareness al geruime tijd een belangrijk punt van aandacht zou moeten zijn, maar het feit dat dit punt van aandacht steeds in de lijst staat met zaken die een hoge prioriteit moeten krijgen, is de vraag of er de afgelopen jaren aan gewerkt is om informatiebeveiliging op dit punt te verbeteren. Uit de onderstaande figuren blijkt dat security awareness in 1994 al een belangrijk obstakel was, en in 2003 en 2004 ook. Ook uit de surveys van 2001 en 2002 blijkt awareness een belangrijk obstakel. 1994 Survey resultaten

2003 survey resultaten

2004 survey resultaten

1. Gebrek aan mankracht

1. Budget

2. Budget

2. prioriteiten van beschikbare middelen 3. Beschikbaarheid van bekwaam personeel 4. Management betrokkenheid 5. Management awareness

1. Gebrek van security awareness bij medewerker 2. Budget

3. Management awareness 4. Middelen en oplossingen

3.Beschikbaarheid van bekwaam personeel 4. Moeilijk aantonen waarde informatiebeveiliging 5. Verandering van informatie technologie

Tabel 5: Top obstakels naar een effectieve informatiebeveiliging, E&Y GISS 2004 [S2]

Maar hoe zorgt een onderneming ervoor dat medewerkers zich gedragen als een human firewall. Om dit te bereiken is het nodig dat medewerkers bewust zijn van de risico’s en weten hoe om te gaan met informatie en vooral de beveiliging van deze informatie. Bewust van de risico’s en dus het belang van informatiebeveiliging, oftewel security awareness.

Pagina 25


3.0 Awareness literatuur In dit hoofdstuk zal gekeken worden naar awareness. Als eerste zal in paragraaf 3.1 gekeken worden wat awareness is, welke plaats het inneemt binnen beveiliging, wat het belang is en de invloed op het geheel van informatiebeveiliging. In paragraaf 3.2 wordt gekeken welke recente literatuur, rapporten en methoden er beschikbaar zijn met betrekking tot awareness. Daarna zal in paragraaf 3.3 uiteengezet worden welke methoden en middelen er zijn om awareness toe te passen. Aan de hand van de verkregen informatie, zal duidelijk worden dat er weinig bekend is over awareness en dat er geen positioneringstabel of fasering bestaat voor awareness, het nut van zo’n tabel wordt beschreven in paragraaf 3.4. Als laatst zal in paragraaf 3.5 een methode beschreven worden waarin awareness gepositioneerd kan worden.

3.1 Wat is awareness Een speciaal onderdeel van beveiliging is awareness of bewustheid. De definitie van Security awareness is[4]: de mate waarin elke medewerker de volgende punten begrijpt: - Het belang van informatiebeveiliging - Het niveau van informatiebeveiliging dat voor de organisatie noodzakelijk is, en er ook naar handelt. Uit de definitie kan worden afgeleid dat als aan deze twee punten voldaan wordt, er een human firewall ontstaat zoals in hoofdstuk 2 beschreven is. Dus een human firewall ontstaat als de awareness binnen een bedrijf hoog is.

3.1.1 Meer dan beveiliging van ICT - systemen Waar op gelet moet worden is dat awareness zich niet alleen richt op de beveiliging van de computersystemen. Er wordt vaak gekeken naar de mogelijkheden om het netwerk te beveiligen, medewerkers goede wachtwoorden te laten kiezen, medewerkers hun wachtwoorden niet te laten delen met andere medewerkers. Geen mail met een vage bijlage downloaden en nog meer van deze zaken. Maar awareness heeft een veel diepere insteek. Awareness richt zich op de drie gebieden waarop beveiliging van toepassing is namelijk fysieke, logische en organisatorische beveiliging. Hieronder zullen in het kort de verschillende deelgebieden worden uitgewerkt en de invloed van awareness worden weergegeven aan de hand van daadwerkelijke aandachtspunten. Fysiek moet er awareness zijn, medewerkers moeten zorg dragen voor de informatie die aan hen door fysieke manieren bekend zijn en in bezit zijn. Hierbij moet worden gedacht aan informatie op papier of informatie op een laptop of USB-stick. Als er geen awareness is, kan het voorkomen dat de desbetreffende eindgebruiker van de informatie er niet veilig mee om zal gaan. Ook dit kan een veiligheidsbreuk opleveren. Maatregelen die de medewerker moet nemen om de fysieke beveiliging te vergroten, zijn het sluiten van deuren en het veilig opbergen van gevoelige informatie. Ook organisatorisch moet er awareness zijn, want wat zijn regels waard als medewerkers ze niet kennen of zich er niet aan houden om welke reden dan ook. Om enkele voorbeelden te geven: - Spreekt u personen aan die zonder badge over de gang lopen? - Controleert u de gegevens als iemand u om informatie vraagt? Tijdens het afnemen van de interviews is dit maar 3 keer geverifieerd - Hoe identificeert u iemand die u telefonisch bereikt? - Welke software mag op computers worden geïnstalleerd? - Welke internetsites mogen worden bezocht (en welke niet)? - Clean desk policy, houdt men zich eraan?

Pagina 26


Worden regels gecontroleerd?

3.1.2 Plaatsbepaling awareness In deze paragraaf zal duidelijk de positie van security awareness binnen de informatiebeveiliging worden weergegeven. Om te beginnen moeten worden bepaald onder welk gedeelte van beveiliging de awareness valt. De delen waaruit beveiliging wordt opgebouwd zijn fysieke, logische en organisatorische maatregelen. Bij awareness gaat het niet om een fysieke of logische beveiliging. Hieruit kan geconcludeerd worden dat awareness een organisatorische beveiligingsmaatregel is. In Figuur 3, is een overzicht gegeven van noodzakelijke organisatorische maatregelen [1],[2],[7] om informatie te beveiligen. In dit rijtje van noodzakelijke organisatorische maatregelen, staat de maatregel “ Het beïnvloeden van gedrag”. Deze maatregel is de maatregel waar awareness mee bedoeld wordt. Dus gezien de organisatorische maatregelen is awareness tevens een noodzakelijke maatregel.

Organisatorische maatregelen

Het opstellen, uitdragen en onderhouden van informatiebeveiligingsbeleid en plan

Het beïnvloeden van gedrag

Het ontwikkelen en implementeren van procedures

Het organiseren van informatiebeveiligingsmaatregelen

Figuur 3: Plaatsbepaling van awareness binnen organisatorische maatregelen

Awareness heeft invloed op alle mogelijke type beveiliging, waarvan in hoofdstuk 2 gesproken is. Als personeel bewust is van de beveiligingsrisico’s en begrijpt waarom er bepaalde beveiligingsmaatregelen worden genomen, zal dit invloed hebben op logische beveiliging, fysieke beveiliging en organisatorische beveiliging. Personeel zal ervan bewust zijn dat het nodig is om bijvoorbeeld virusscanners up-to-date te houden, wat van invloed is op logische maatregelen. Daarnaast is er het niet proberen fysieke maatregelen ongedaan te maken om makkelijker te werken. Van organisatorische maatregels zal het personeel zich in kennis stellen, omdat ze bewust zijn waarom regels gesteld zijn. Een betere beveiliging van informatie zal het gevolg zijn.

3.1.3 Belang van awareness (Case Peter R. de Vries 7 oktober 2004) Uit de voorgaande hoofdstukken is gebleken dat er veel gedaan wordt om informatie te beveiligen. Op fysiek, logisch en organisatorisch gebied zijn er verschillende maatregelen die

Pagina 27

Bewust van informatiebeveiliging, De zet aan de IT- manager bedrijven implementeren. Maar uit verschillende surveys [S1],[S2],[S3], blijkt dat awareness een onderdeel is waar weinig aandacht aan wordt besteed, maar waar weldegelijk aandacht aan moet worden besteed. Zoals al in hoofdstuk 1 aangegeven is er weinig literatuur beschikbaar over awareness en in veel van het materiaal waar awareness beschreven is, is awareness maar een klein onderdeel van het totaal. Wil dit zeggen dat awareness een onbelangrijk punt is binnen de informatiebeveiliging? Een algemeen gezegde luidt dat een keten zo sterk is als de zwakste schakel. Dit geldt ook voor beveiliging. Een voorbeeld om dit te illustreren: Als je een computersysteem beveiligd hebt met allerhande beveiliging, maar men is vergeten om een virusscanner te installeren, dan kan het hele systeem platgelegd worden door een virus. De zwakste schakel, in dit geval de virusscanner. Aan de hand van dit voorbeeld kan worden geconcludeerd dat het gezegde ook voor de beveiliging van informatie geldt. Hiermee zal duidelijk moeten zijn dat awareness een belangrijk punt is voor een totale beveiliging van een informatiesysteem. Daarom is het belangrijk om te weten in welke positie bedrijven zich bevinden met betrekking tot awareness, en op welke manier bedrijven de awareness binnen de onderneming kunnen vergroten zodat de informatiebeveiliging vergroot zal worden. Om een actueel voorbeeld aan te halen kan worden gekeken naar de recente gebeurtenissen omtrent de officier van justitie J. Tonino. Donderdag 07 oktober 2004

Officier zet pc vol gevoelige informatie op straat HILVERSUM - De Amsterdamse officier van justitie J. Tonino heeft een computer vol vertrouwelijke informatie bij zijn huis op straat gezet bij het grof vuil. Een passerende taxichauffeur nam de pc mee naar huis en wist het ding moeiteloos aan de praat te krijgen. Dat zei Peter R. de Vries donderdag in het Radio 1 Journaal. De VVD wil dat minister Donner (Justitie) nog donderdag in de Tweede Kamer tekst en uitleg geeft in een zogeheten interpellatiedebat. Kamerlid Luchtenveld vindt dat Tonino in elk geval moet worden geschorst. Verder wil hij van Donner weten of officieren van justitie vertrouwelijke informatie thuis op hun pc mogen hebben, en of zij hun computer met die informatie zomaar langs de weg mogen zetten. "Dit kan echt niet", aldus Luchtenveld. Taxichauffeur Misdaadverslaggever De Vries kreeg de computer van de taxichauffeur en printte twee vuistdikke ordners vol informatie uit. Officier van justitie Tonino is gespecialiseerd in de bestrijding van witteboordencriminaliteit. Onder de vertrouwelijke gegevens zijn volgens De Vries onder meer documenten over de inmiddels vermoorde zakenman Willem Endstra. Zo zou Tonino op het punt hebben gestaan Endstra te laten arresteren en maakte men elkaar binnen justitie over deze zaak onderling verwijten. Onderwereld De computer bevat volgens De Vries gegevens waar de onderwereld een moord voor zou doen. Hij is verbaasd over de vondst. "Het parket is hermetisch beveiligd, maar deze prominente fraudeofficier heeft allerlei belangrijke informatie thuis op een computer staan en zet hem zo bij het grofvuil. De pc was toen de taxichauffeur hem opstartte niet beveiligd. De Vries zal donderdagavond in zijn tv-programma "in vogelvlucht en zonder in details te treden" laten zien wat er allemaal op stond. De journalist beraadt zich nog of hij het apparaat aan justitie teruggeeft. (c) ANP / www.nu.nl/news.jsp?n=422656&c=14

Uit het voorbeeld van J. Tonino, blijkt dat awareness een belangrijke zaak is. Niet alleen voor in dit geval het openbaar ministerie, maar ook voor de officier van justitie zelf. Uiteindelijk heeft dit voorval namelijk geleid tot het ontslag van J. Tonino. Dus naast het algemene belang voor het

Pagina 28

Bewust van informatiebeveiliging, De zet aan de IT- manager bedrijf of de organisatie, is het belang van awareness zeker aanwezig voor ieder individu binnen een organisatie. Naast dit algemene belang, is het ook wettelijk bepaald dat er binnen een organisatie beveiligingsbewustheid moet zijn. De Wet Bescherming Persoonsgegevens is in september 2001 in werking getreden. Artikel 13 van de WBP luidt als volgt [I8]:

H "De verantwoordelijke legt passende technische en organisatorische maatregelen ten i uitvoer om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van e onrechtmatige verwerking." r Maar voor welke bedrijven geldt deze Wet Bescherming Persoonsgegevens? De wet geldt voor alle bedrijven die klantengegevens opslaan en een salarisadministratie hebben. Veel bedrijven zullen daarom moeten voldoen aan deze wet. Dit betekent dus dat op gebied van persoonsgegevens van anderen, bedrijven het personeel bewust moeten maken van de regelgeving omtrent het verstrekken, bewerken en gebruiken van deze gegevens. Awareness is dus een belangrijk onderdeel om een totale informatiebeveiliging te creëren. Daarnaast is awareness voor sommige delen van een onderneming verplicht bij wet.

3.1.4 Bepalen doelgroepen Naast de verschillende beveiligingsmaatregelen die getroffen kunnen worden zijn er ook verschillende groepen die te maken hebben met beveiliging en beveiligingsissues. De verschillende groepen die in een organisatie kunnen worden onderscheiden, zij weergegeven in Figuur 4: Organisatie structuur Mintzberg. In een organisatie bevindt zich een strategische top, een middenkader en een uitvoerende kern. Deze drie groepen krijgen ondersteuning van ondersteunende diensten en de technostructuur van een organisatie. Binnen een organisatie zijn er verschillende stromen van macht en communicatie tussen deze verschillende groepen.

Pagina 29


Strategische top

Midden -kader

Technostructuur

Ondersteunende diensten

Uitvoerende kern

Figuur 4: Organisatie structuur Mintzberg

Volgens Mintzberg [13] wordt het functioneren gekenmerkt door een combinatie van 5 verschillende functioneringsstromen. De conclusie is dat er binnen een bedrijf veel verschillende onderlinge verbanden zijn tussen en binnen de verschillende afdelingen. Deze verbanden liggen bij elke individuele onderneming anders. Daarom zal in dit onderzoek, dat exploratief van aard is, gekeken worden naar de grove niveau’s die binnen iedere organisatie kunnen worden onderscheiden en binnen de verschillende afdelingen zichtbaar zijn. Deze niveau’s [5],[13],[31], zijn de volgende: Strategisch niveau: Hier moet het beveiligingsbeleid worden bepaald. Tactisch niveau: Normen en voorschriften moeten gemaakt om beveiligingsbeleid uit te voeren. Operationeel niveau: Op operationeel niveau moeten de procedures en voorschriften worden gehandhaafd.

Figuur 5: Verschillende lagen binnen een organisatie [I9]

Pagina 30


Op deze verschillende niveau’s kunnen verschillende soorten werknemers worden gevonden. Deze werknemers zijn ook te halen uit het model van Mintzberg. De Strategische laag is de strategische top, waar het topmanagement zich bevind. De tactische laag is de laag waar het midden kader zich bevind. In het middenkader bevinden zich de (lijn)managers. Op operationeel niveau, bevind zich de uitvoerende kern met hierin de werknemers. De technostructuur en de ondersteunende diensten verlenen diensten om deze verschillende lagen te helpen met functioneren of beter te laten functioneren. De technostructuur zal in het verdere van dit verslag buiten beschouwing worden gelaten en als een normale afdeling met een manager en medewerkers worden benaderd. De ondersteunende diensten zullen door de IT-afdeling worden vertegenwoordigd. Elk van deze groepen heeft een andere omgang met informatiebeveiliging, andere beïnvloedingsmogelijkheden en andere beschikbare en benodigde kennis. Er moet dus door de organisatie heen, door de verschillende niveau’s en door de verschillende personen, een informatiebeveiliging worden opgezet. Zoals in Figuur 5 is te zien, zijn er verschillende verantwoordelijkheden bij de verschillende lagen in een onderneming. De topmanagers verantwoordelijk voor het opstellen van het beleid. Topmanagers moeten zorgen voor de basis waarop verder kan worden geborduurd door de managers. Managers zijn verantwoordelijk voor de algemene normen en voorschriften. Ze moeten de protocollen maken waarmee de medewerkers moeten werken. Medewerkers moeten zich houden aan bepaalde protocollen. Tevens dienen ze gecontroleerd te worden door de managers. In een organisatie bevinden zich verschillende soorten medewerkers. Er zijn oude medewerkers (medewerkers die al een tijd binnen de onderneming actief zijn) en nieuwe medewerkers (medewerkers die pas korte tijd werkzaam zijn voor de onderneming). Daarnaast zijn er verschillende eigenschappen van afdelingen waar personen werken en verschillende eigenschappen en kenmerken die medewerkers hebben. De verschillende medewerkers hebben ook een in meer of mindere mate kennis over de informatie en informatiesystemen dat zowel positief als negatief voor de informatiebeveiliging gebruikt kan worden. Al deze verschillende soorten medewerkers, dienen zich te houden aan protocollen en dienen gecontroleerd te worden. Ook dienen al deze medewerkers mee te werken aan een goede beveiliging. Daarom, omdat deze medewerkers wel verschillend zijn, maar allemaal dezelfde taak en doelen hebben, zal in het vervolg van dit onderzoek gesproken worden over medewerkers. Net als er verschillende medewerkers zijn die verschillend omgaan met informatie en informatie beveiliging, is dat ook te zien bij managers en topmanager. IT- Afdeling Naast deze gebruikelijke onderscheiding in groepen binnen een bedrijf, is er een specifieke groep binnen de organisatie, namelijk de IT afdeling [5].

Pagina 31


Top - management

Management

Medewerker

Medewerker

IT-afdeling

Medewerker

Figuur 6: Model van een mogelijke de organisatie (Zonder ondersteunde diensten)

In Figuur 6 is te zien hoe bij awareness de IT-afdeling een speciale rol heeft. Security awareness wordt meestal als een technische probleem benaderd [31], dit betekent dat de verantwoordelijkheid wordt afgeschoven op de IT-afdeling. De IT-afdeling is dan ook de afdeling, van waaruit veel bedrijven informatiebeveiliging op hebben gezet. Maar security awareness is een organisatie breed probleem en alle afdelingen dienen meet te dragen tot een goede awareness. Dit betekent dat de perceptie van het merendeel van een organisatie, conflicteert met de gewenste situatie. Topmanagers, managers en medewerkers vinden het niet hun zaak om voor informatiebeveiliging te zorgen. Met betrekking tot beveiliging, moet de IT-afdeling er dan ook voor zorgen dat informatiebeveiliging wordt gecommuniceerd met het topmanagement en met het management. Er dient overleg te worden gevoerd over welke maatregelen er genomen moeten worden. Daarom is een van de belangrijkste taken het communiceren naar het topmanagement en het management van een organisatie. In sommige gevallen zal ook de communicatie naar de medewerkers verzorgt worden door de IT–afdeling. Naast informatiebeveiliging heeft de IT-afdeling andere ondersteunende functies, die van invloed kunnen zijn op de invoering en medewerking van andere groepen binnen de organisatie aan informatiebeveiliging. Verantwoordelijkheid van de verschillende groepen binnen een organisatie De groepen binnen een organisatie, zijn vanuit zichzelf wel of niet betrokken bij beveiliging en zijn wel of niet kritiek bij de vorming van beveiliging. Als in een organisatie gekeken wordt naar de beveiliging van informatie, dan is iedereen het eens dat er een goede beveiliging moet zijn. De percepties, belangen en doelen zijn dus van de verschillende groepen hetzelfde. Ook zijn al de verschillende groepen binnen een organisatie kritiek voor het hebben van een goede beveiliging, want beveiligen is een activiteit waar iedereen aan mee moet helpen. En een keten is zo sterk als de zwakste schakel. De verschillende groepen zijn elk in meer of mindere mate belangrijk. Een topmanager heeft blokkeringsmacht, een manager is cruciaal voor onder andere controle en opstellen van protocollen en medewerkers moeten zorgen voor de uitvoering van informatiebeveiliging. Naast het feit dat alle partijen kritiek zijn in een onderneming zijn ook bijna alle partijen ervan overtuigt dat beveiligen van informatie een taak is die alleen moet worden uitgevoerd door de IT-afdeling. Topmanagers, managers en medewerkers zijn uit zichzelf vaak niet betrokken bij beveiligingsproblematiek [5],[23],[25]. De verantwoordelijkheid voor informatiebeveiliging en dus ook voor security awareness ligt bij veel organisaties dus bij de ITafdeling, dit bleek onder andere uit de interviews. Op het moment dat de IT-afdeling niet bewust is van de noodzaak van beveiliging, zal dit doorwerken in de gehele organisatie.

Pagina 32


3.2 Bewust maken van beveiligingsrisico’s Nu globaal is weergegeven wat de plaatsing van awareness is binnen informatiebeveiliging en wat het effect van awareness op informatiebeveiliging is, zal gekeken worden naar de verschillende manieren waarop awareness kan worden verkregen. Bij beïnvloeding van gedrag van personen, spelen vier belangrijke aspecten [2] een rol. Deze aspecten zijn de zogenaamde vier B’s. Bewustzijn, betrokkenheid, belang en beloning. Met bewustzijn, wordt de bewustheid van personen bedoeld, dat er verschillende risico’s zijn. Met betrokkenheid wordt bedoeld de mate waarin de persoon zich betrokken voelen met de maatregelen. Met belang wordt bedoeld dat als personen eerder geneigd zijn hun gedrag te veranderen als het in hun eigen belang is dat het gedrag veranderd wordt. Met een beloning of straf wordt het belang van een persoon om het gedrag te veranderen tastbaar gemaakt. De bovenstaande B’s kunnen worden gebruikt om gedrag te veranderen. Vooral de bewustwording, de betrokkenheid en het belang kunnen door een bedrijf worden gebruikt om gedrag te veranderen. Bewustwording, betrokkenheid en belang worden verkregen door middel van communicatie. Beloning en Bestraffing, zijn methoden om naast de communicatie te gebruiken om gewenst gedrag te stimuleren, hierdoor wordt ook het belang voor de persoon onderstreept.

3.2.1 Uitleg manieren om aware te maken Zoals al is aangehaald zijn er verschillende manieren om awareness in een bedrijf te krijgen. In deze paragraaf zullen twee manieren worden bekeken. Deze zijn het ISF framework, als voorbeeld van een continu proces en de ad hoc methode. Ad hoc methode De ad hoc methode, is een methode waarbij op het moment van het zich voordoen van een probleem aandacht wordt gegeven aan dit probleem. De methode richt zich op zichzelf staande gebeurtenissen. De gebeurtenissen worden aangehaald om een verduidelijking te geven over het gebruik, de do’s en dont’s met betrekking tot de informatie die binnen een bedrijf spelen. Deze methode wordt ook wel de eerste generatie methode genoemd. [4] ISF Framework Het ISF framework is opgebouwd uit verschillende stappen. Deze stappen zullen hieronder kort worden toegelicht. Tijdens stap 1: Doel, worden de problemen met betrekking tot informatiebeveiliging in kaart gebracht. Aan de hand van de problemen wordt het high-level programma doel bepaald en specifieke campagnedoelen worden aan de hand van de high-level doelen bepaald. Als laatste wordt de meerwaarde van de campagne gedefinieerd. Tijdens stap 2: Wordt gekeken naar welke personen belangrijk zijn bij de verspreiding van een awareness programma. Duwende en remmende krachten die invloed uitoefenen worden geïdentificeerd. Aan de hand van deze punten zal een actieprogramma worden opgesteld. Tijdens stap 3: Wordt het actieprogramma uitgevoerd. Gedrag wordt ‘ontdooit’ en zal worden omgevormd in goed gedrag. Als laatste zal dit goede gedrag weer worden bevroren. De laatste stap, stap 4 is een evaluatie stap. De effectiviteit van het programma zal worden beoordeeld en gekeken zal worden welke aanpassingen er nodig zijn. Daarna zullen verdere verbeterde campagnes worden uitgevoerd. Het ISF framework is een methode waarbij gebruik gemaakt wordt van een terugkomend programma, waarbij awareness regelmatig herhaald wordt. De kracht zit in de herhaling.

Pagina 33

Bewust van informatiebeveiliging, De zet aan de IT- manager Gebleken is dat de meeste “tweede generatie” methodieken min of meer dezelfde kenmerken in zich hebben. Het is een continu proces, waarbij de manager of andere sleutelfiguren een belangrijke rol spelen en waarbij zowel het doel als het resultaat meetbaar worden gemaakt. Het ISF Framework heeft al deze kenmerken in zich en is hierdoor een goed voorbeeld [4].

Pagina 34


1. Bepaal het doel voor security awareness programma 1.1 Identificeer de security awareness problemen

1..2 Bepaal high-evel programma doel

1.3 Bepaal specifieke campagne doelen

1.4 Definieer de meerwaarden voor de campagnes

2. Scope en ontwerp security awareness programma

2.1 Voer een analyse uit naar de sleutelfiguren

2.2 Identificeer de duwende en remmende krachten

2.3 Identificeer passende actiestappen

3. Ontwikkel en implementeer security awareness-campagnes

3.1 Defineer security awareness boodschappen

3..2 ‘Ontdooi’ het bestaande gedrag

3.3 Breng de boodschap over

3.4 ‘Bevries’ het nieuwe gedrag

4. Evalueer effectiviteit van campagne

4.1 Evalueer de effectiviteit van de campagnes

4.2 Herzie de campagnes en het programma

4.3 Voer verder campagnes uit

Figuur 7: ISF awareness framework

Om tot een 2de generatie awareness-campagne te komen, zullen er verschillende stappen moeten worden ondernomen. Deze stappen wordt door het Information Systems Security Association (ISSA) beschreven aan de hand van de 8 essentiële stappen om een Human firewall te maken [I13]. De stappen die de ISSA beschrijft zijn de volgende. (Deze stappen en de stappen van het ISF framework vullen elkaar aan en overlappen elkaar) 1. 2. 3. 4. 5. 6. 7. 8.

Betrokkenheid van het topmanagement Duidelijk rolverdeling en verdeling van verantwoordelijkheden Maken van een actieplan en genereer budget Ontwikkelen of vernieuwen beveiligingsbeleid Ontwikkelen organisatiebreed awareness programma/campagne Meet de vooruitgang Voeg toe en verbeter het programma aan de hand van vooruitgang en feedback Ontwikkel een beveiligingsincidenten opvolg team en plan

Pagina 35


3.2.2 Middelen om aware te maken Het ISF framework, de IMF standaard en andere 2de generatie security awareness programma’s, hebben het over een awareness programma, waarin communicatie een belangrijke rol speelt. Om te kijken welke manieren er zijn om awareness binnen een organisatie te krijgen is tijdens de interviews gevraagd op welke manier personeel benaderd is. Daarnaast is uit de literatuur [2],[I10],[I11] gekeken welke manieren daar werden aangegeven. Tijdens de interviews is ook gevraagd om de mate van effectiviteit van het middel te schetsen, zodat gezocht kon worden naar het beste middel om kennis met betrekking tot beveiliging over te brengen. Er is een onderverdeling gemaakt in persoonlijke communicatie, drukwerk, nieuwe media en incentives. Persoonlijke communicatie Persoonlijke communicatie, is het persoonlijk overbrengen van awareness op individuen. Hierbij moet gedacht worden aan: -

Gesprekken Gesprekken worden meestal gevoerd op het moment dat er iets is misgegaan, of op het moment dat een medewerker zich niet houdt aan afspraken. Een gesprek heeft als voordeel dat er per individu gewezen kan worden op bijvoorbeeld verantwoordelijkheden en gedrag. Deze wijze van communicatie is erg persoonlijk.

-

Presentaties Bij presentaties wordt een grotere groep bereikt dan bij een gesprek. Door middel van een goed in elkaar gestoken presentatie is het mogelijk om snel bij een grote groep mensen betrokkenheid te krijgen

-

Workshops Tijdens een workshop gezamenlijk oplossingen vinden voor beveiligingsproblemen, kan een sterke achterban creëren. Personen die hebben meegedacht over de oplossing zullen hoogstwaarschijnlijk eerder bereid zijn om de oplossing te steunen, dan op het moment dat ze niet betrokken zijn bij het vinden van oplossingen.

-

Training Trainingen gebeuren vooral bij het invoeren van nieuwe technieken en technologieën. Door middel van een training, kan worden uitgelegd hoe moet worden omgegaan met deze nieuwe techniek, wat de protocollen zijn enzovoort. Op deze manier krijgt een medewerker goed inzicht in hoe het in zijn werk zou moeten gaan en hoe de protocollen uitgevoerd zouden moeten worden.

Drukwerk Drukwerk is het met behulp van papieren publicaties onder de aandacht brengen van zaken om de awareness te vergroten. Vormen van drukwerk zijn de volgende: -

Flyers Doormiddel van flyers is het mogelijk om actiepunten over te brengen op een breed publiek. Kort en krachtig worden de belangrijkste punten bij de lezer onder de aandacht gebracht.

-

Posters Bij verschillende ondernemingen wordt al gebruik gemaakt van posters om de aandacht te vestigen op fysieke beveiliging. Het doel van posters is om mensen duidelijk te maken wat er wel en niet kan met informatie. Door middel van een poster wordt er vooral aandacht voor een onderwerp opgeroepen.

Pagina 36


Figuur 8: Voorbeeld van een Poster (http://security.arizona.edu/poster11.html (10 – 11 – 2004) )

-

Nieuwsbrieven Nieuwsbrieven zullen in bijna ieder bedrijf voorkomen. In de vorm van een soort personeelsblad of een A4tje met recente wijzigingen en wetenswaardigheden over het bedrijf. Door gebruik te maken van de nieuwsbrief, met daarin een column over informatiebeveiliging kan awareness regelmatig onder de aandacht worden gebracht.

Nieuwe Media Nieuwe media worden gebruikt om vooral de informatie op een attractieve manier over te brengen op personen. -

Videobanden en Cd - roms Door middel van video’s en cd-roms, kan informatie visueel en interactief worden gemaakt. Op deze manier, is het overbrengen van informatie makkelijker en blijft het vaker langer hangen.

-

Intranet Het gebruik van intranet, is het publiseren op een alleen voor de onderneming toegankelijk netwerk, waarop zij over verschillende zaken informatie kunnen krijgen. Als intranet vaak gebruikt wordt, zullen de publicaties door een breed publiek worden gelezen.

-

Sms / voicemails Door middel van sms en voicemail, kunnen boodschappen worden doorgegeven aan iedereen, op welke plek zij zich bevinden, mits medewerkers een mobiele telefoon bij zich hebben. In de praktijk wordt dit middel echter nauwelijks gebruikt om te communiceren over informatiebeveiliging.

Pagina 37


E –learning E-learning is een relatief nieuwe manier om kennis over te brengen. De kenmerken van e-learning zijn de volgende [I12]: 1. Internet als distributie kanaal voor leren. Daarmee wordt de toegang tot de leerstof verruimd tot 24 uur, 7 dagen per week. 2. De leerling / cursist staat centraal (learner-centered). Hij / zij bepaalt leerpad, leertempo, leeromgeving en leermethode. 3. De leeromgeving kan worden aangepast aan de specifieke behoefte van de organisatie. 4. Ondersteund door een netwerk waar ervaringen gedeeld kunnen worden. 5. Leren door middel van een mix van leermethoden (blended learning); virtueel klaslokaal, simulaties, samenwerken, communities en "live" leren. 6. Het volledige leertraject beslaan van pre-assessment, leren, examineren (postassessment) en certificeren. 7. Online administratie; verwerken van persoonlijke data, betalingen en het monitoren van de deelnemers (track & trace).

-

E - mail E-mail kan een effectieve methode zijn om mensen bewust te maken. De voordelen van e-mail zijn dat er een breed publiek mee kan worden bereikt, binnen enkele seconden. Een nadeel is het feit dat veel medewerkers overspoeld worden met e-mail berichten en daarom hun mail niet altijd lezen. In veel gevallen wordt mail maar 1 of 2 keer per dag gelezen.

Overige methoden Hieronder volgen nog een paar andere of overige methoden om de awareness binnen een onderneming te bevorderen. -

Incentives Het geven van incentives bij het melden van beveiligingsinbreuken, of zaken die kunnen leiden tot beveiligingsinbreuk, zijn een methode om goed gedrag aan te moedigen. En kan zo informatiebeveiliging onder de aandacht brengen.

-

Rapporten Door middel van rapporten, kunnen verschillende lagen in de organisatie bewust worden gemaakt. Hierbij wordt dan gedacht aan het topmanagement en management. Door de conclusies uit rapporten, zullen de verschillende lagen bewust worden van de risico’s die een onderneming loopt. Op deze wijze worden ze zelf bewuster van risico’s en zal de awareness binnen een organisatie stijgen.

-

In de spotlights plaatsen Mensen in de spotlights plaatsen, is een methode, waarbij personen die goede daden hebben verricht, ten behoeve van de veiligheid, op de een of andere wijze in het licht te plaatsen. Op deze manier zullen andere personen dit voorbeeld volgen. Zowel positieve zaken, als negatieve zaken kunnen worden aangehaald. Wel moet bij negatief in de spotlights zetten rekening worden gehouden met de privacy van de betrokken personen.

Pagina 38


3.3 Hoe positioneren en meetbaar maken? Nu duidelijk is hoe medewerkers bewust kunnen worden gemaakt, moet worden gekeken naar een maat om awareness te meten. Als duidelijk is hoe awareness kan worden verkregen en op welke manier het worden gemeten, kan de IT-manager effectief stappen ondernemen om de awareness te verbeteren. Awareness is een samenspel van kosten of aandacht (in het vervolg kosten) en bewustheid. Als er niet geïnvesteerd wordt in awareness, door middel van kosten of aandacht, dan zal hoogstwaarschijnlijk de bewustheid laag blijven. Daarnaast is awareness een leerproces, waarbij medewerkers en eindgebruikers van computersystemen bewust moeten worden gemaakt van de risico’s. Ook moeten medewerkers bekwaam worden gemaakt om de risico’s te kunnen detecteren, preventief te kunnen handelen. Om awareness meetbaar te maken spelen dus 4 thema’s een rol, kosten/ aandacht, awareness, bewustheid en bekwaamheid. Om een goed overzicht te creëren tussen deze verschillende onderdelen, zal een combinatie gemaakt worden van verschillende methoden. Om een duidelijk overzicht te krijgen en om een positie te bepalen wordt vaak gebruik gemaakt van een matrix. Voorbeelden van matrices zijn te vinden bij de positionering van CRM en de positionering van innovatie met behulp van de prestatie - innovatiematrix voor openbaar bestuur [14]. Voordelen van een matrix zijn dat het ervoor zorgt dat de posities visueel worden voorgesteld, het duidelijkheid verschaft en het meestal overzichtelijk is. Om deze reden zal de positie van awareness worden bekeken door middel van een matrix. Voor de awareness-matrix zal worden uitgegaan van 2 assen, op deze assen zullen awareness en kosten worden geplaatst, zie figuur 9. De assen verdelen het oorspronkelijke vlak in 4 deelgebieden.

Kosten

Risico

Figuur 9: Basis van de awareness-matrix

De verschillende deelgebieden, zullen ingevuld worden door gebruik te maken van de leerstijl van Maslow [16],[17],[29]. De leerstijl van Maslow gaat uit van vier verschillende fasen. Deze zijn: Onbewust, onbekwaam Bewust, onbekwaam Bewust, bekwaam Onbewust, bekwaam Aan de hand van een voorbeeld [15] zal de werking/gedachtegang van de leerstijl van Maslow worden uitgelegd. Als een kind wil fietsen, zal het met zijwieltjes moeten beginnen. Maar natuurlijk is er een overstap van zijwieltjes naar fietsen zonder zijwieltjes. Op het moment dat de overstap gemaakt wordt, blijkt het nog niet zo makkelijk te zijn. Het kind komt er achter dat het moeilijker is dan het dacht en zal denken dat het misschien wel nooit leert fietsen.

Pagina 39

Bewust van informatiebeveiliging, De zet aan de IT- manager Dit voorbeeld geeft aan dat een kind, onbewust van hoe moeilijk fietsen zonder zijwielen is, erachter komt dat het onbewust was van die moeite en onbekwaam om te fietsen. Nu is het kind dus bewust van de moeilijkheid, maar nog steeds onbekwaam. Is het kind iets opgeschoten? Ja, want het is bewust geworden van de eigen onkunde en kan hieraan werken. Nu het kind weet dat het niet kan fietsen zonder zijwielen, zal het gaan oefenen. Het zal proberen zich te gaan bekwamen. Met behulp van een duwtje in de rug leert het kind uiteindelijk zonder veel om te vallen te fietsen zonder zijwielen. Het kind heeft nu geleerd te fietsen zonder zijwielen, het is bewust dat fietsen moeilijk is. Constant vraagt het nog de aandacht om niet om te vallen. Maar het kind is tevens bekwaam, het kan namelijk fietsen. De laatste stap is dat het kind, fietst zonder enig probleem. Naar school kletst het onder het fietsen met klasgenootjes. Eigenlijk denkt het er niet meer bij na hoe je moet fietsen, het gaat gewoon vanzelf. De laatste fase zoals hier beschreven is de fase waarin het kind zich onbewust is van hoe het moet fietsen, het denkt niet meer na bij de handelingen die moeten worden gevolgd om zich op de fiets voort te bewegen. Maar het kan wel fietsen, waarschijnlijk beter dan eerst. Het kind is onbewust maar wel bekwaam. Ieder leerproces zal aan de hand van de volgende stappen kunnen worden beschreven. Awareness is ook een leerproces, zowel voor de topmanager, de manager als voor de medewerker. Bewustheid is namelijk niet iets vanzelfsprekend, maar moet door ervaring of studie worden verkregen. Daarom is gekozen om deze techniek te implementeren om awareness zichtbaar te krijgen. Alle bovengenoemde groepen zijn eindgebruiker van de informatie. Allemaal moeten ze leren hoe met deze informatie om te gaan en welke manier van omgang correct is.

3.3.1 Matrix Nu bekend is welke leermodellen er gebruikt wordt voor awareness en welk model gebruikt gaat worden om awareness te meten, is het enkel een invullen van de leerfasen van Maslow in de matrix. Op deze manier is dus een meetinstrument verkregen, zoals te zien is in Figuur 10. 2. bewust, onbekwaam

1. onbewust, onbekwaam

3. bewust, bekwaam

4. onbewust, bekwaam

Figuur 10 : Security awareness meetinstrument in de vorm van een matrix

Pagina 40

Bewust van informatiebeveiliging, De zet aan de IT- manager Zoals de pijl in Figuur 10 al aan geeft en blijkt uit de leerstijlen van Maslow is deze matrix een fasemodel die in tijd moet worden doorlopen. Om dit overzichtelijk te maken is in Bijlage VI het schema uitgezet tegenover tijd. Ten tijde van dit onderzoek is dit model, nadat dit door mijzelf ontwikkeld was, verschillende malen teruggevonden in verschillende literatuur [16],[17]. Bij deze teksten word gesproken over de beveiligingsbewustwording bij personen binnen een bedrijf en de manier waarop een topmanager, manager en medewerker bewust zullen worden en de fasen die de mensen moeten doorlopen. Ook wordt er gesproken over de manieren waarop gebruikers door middel van hetzelfde leerproces bewust moeten worden gemaakt van de risico’s van nieuwe IT-faciliteiten. In hoofdstuk 4.3 worden de dimensies verder uitgewerkt.

Pagina 41


3.4 Mate van volwassenheid van informatiebeveiliging De mate van volwassenheid [18] van informatiebeveiliging kan ook worden uitgezet in een matrix waarin volwassenheid uitgezet wordt tegen risico.

High

Risk

Informatiebeveiliging SUBoptimaal

Informatiebeveiliging optimaal

☺

☺

Informatiebeveiliging optimaal

Low IBniveau

Informatiebeveiliging SUPERoptimaal

Low

High

Maturity

Figuur 11: Volwassenheid van een organisatie uitgezet tegenover risico

Het doel van deze matrix is om te laten zien dat het niet noodzakelijk is voor ieder bedrijf om een informatiebeveiliging te hebben die 100% waterdicht of volwassen is. Dit kan ook worden afgeleid uit de volgende grafiek, waar de jaarlijkse schade verwachting (JSV) uitgezet wordt tegen de kosten.

Figuur 12: Collegesheets in4067, 2003: M.Spruit, TUDelft, ITS, Informatiesystemen [7]

Pagina 42

Bewust van informatiebeveiliging, De zet aan de IT- manager Aan de hand van deze figuren kan worden opgemerkt dat ieder bedrijf zelf moet bepalen welk risico er gelopen mag worden. En dat het niet voor ieder bedrijf noodzakelijk is om dezelfde hoogstaande beveiligingsmaatregelen te nemen. Dit moet worden uitgezet tegenover de kosten van de beveiligingsmiddelen en de kosten van de schade die een beveiligingsinbreuk veroorzaakt. Op deze manier kan een onderneming ingedeeld worden naar verschillende risico groepen. Uit de volwassenheidsmatrix, kan worden gezien dat bedrijven die weinig risico lopen, waar dus de afhankelijkheid en de gevoeligheid van informatie laag is, het niet noodzakelijk is om allerhande dure beveiligingsmiddelen aan te schaffen. Voor deze bedrijven is het dan ook de vraag of het nuttig is om bijvoorbeeld een awareness-campagne door te voeren in het bedrijf, waarschijnlijk kan met een lager niveau van awareness voor het bedrijf worden volstaan. Bedrijven die veel meer afhankelijk zijn van informatie of waarvan de informatie gevoelig is, dienen meer aandacht te besteden aan informatiebeveiliging en dus ook awareness. Dus bedrijven moeten zelf kijken in hoeverre er risico’s gelopen worden. De volwassenheidsmatrix geeft daarnaast aan dat bedrijven die afhankelijk zijn van informatie en gevoelige informatie bezitten een grotere volwassenheid dienen te hebben. Aan de hand van een risico analyse zal duidelijk worden welke maatregelen genomen moeten worden en welke risico’s een onderneming loopt. Met behulp van een risico analyse is het dus mogelijk om de volwassenheid en het gewenste risico niveau voor een onderneming te bepalen. Wat niet vergeten moet worden is dat een awareness-campagne een hulpmiddel is om een betere beveiliging te krijgen. Er zijn andere middelen die gebruikt kunnen worden om de beveiliging te verbeteren.

3.5 Wat niet bekend is bij awareness Zoals uit de voorgaande paragrafen duidelijk is geworden, is awareness een onderwerp dat op dit moment een enorme media aandacht krijgt. Daarnaast worden de bedrijven op verschillende manieren gepusht om iets te doen met de bewustheid van de medewerker, denk hierbij aan de overheid met de Wet Bescherming Persoonsgegevens en Tabaksblat maar ook vanuit consultancy en algemene beveiligingsrapporten wordt veel nadruk op awareness gelegd. Bedrijven moeten de awareness verbeteren. Bedrijven moeten zich beter beveiligen. Bedrijven moeten awarenesscampagnes en awareness programma’s ontwikkelen. Bedrijven moeten deze campagnes en programma’s uitvoeren. Maar als gekeken wordt naar al deze ontwikkelingen, valt het op dat het niet mogelijk is voor een bedrijf om de positie te bepalen van hun awareness, om te kijken hoe belangrijk awareness is voor hun bedrijf en hoeveel aandacht ze eraan moeten besteden. Wel wordt aangegeven hoe een awareness programma moet worden opgezet en hoe een awareness-campagne moet worden gevoerd, maar waarom deze campagnes moeten worden gevoerd en in welke mate is niet bekend. Kortom een duidelijk beeld kan omtrent deze zaken nog niet worden verkregen. Om dit op te lossen zal eerst moeten worden gekeken naar de positionering van de bedrijven. Positioneren is een belangrijk deel van awareness. Net zoals er in veel verschillende processen en onderwerpen posities kunnen worden bepaald is het ook belangrijk voor awareness. Aan de hand van de positie kan worden uitgemeten waar een bedrijf zich bevind, maar heel belangrijk, waar een bedrijf zichzelf zou willen zien. Op deze manier is het dus mogelijk om een stappenplan op te stellen of om aandachtspunten te geven aan een bedrijf om in de gewenste positie te komen. Zonder positionering is het niet mogelijk om een duidelijk doel te bepalen. Ook is het niet makkelijk om vorderingen te meten. Positionering is dus bij alle aanpassingen belangrijk en ook bij awareness. In het volgende hoofdstuk zal bekeken worden op welke manier het mogelijk is om een onderneming te plaatsen binnen awareness.

Pagina 43


4.0 Awareness ontwerp In hoofdstuk 3 is globaal uitgelegd welke posities er binnen de awareness-matrix zijn. Deze posities zullen in dit hoofdstuk verder worden uitgewerkt en er zal een overzicht worden gegeven van welke activiteiten er bij welke vlakken in de awareness-matrix horen. Op deze manier kan een positie worden bepaald voor en door een bedrijf. In paragraaf 4.3 zal de gewenste situatie beschreven staan voor bedrijven en kan duidelijk worden afgelezen welke fasen nog doorlopen moeten worden om tot een goede awareness te komen.

4.1. Uitwerking awareness-matrix In hoofdstuk 3 is een matrix gegeven, die ontworpen is met behulp van Maslow’s leerstadia. Met behulp van de leerstadia, wordt zichtbaar gemaakt hoe een individu zich ontwikkeld. Maar als we gaan kijken naar de ontwikkeling van een persoon, dan blijkt dat deze ontwikkeling ook van toepassing is op een organisatie. In hoofdstuk 3 is duidelijk geworden dat de matrix kan worden toegepast om ervoor te zorgen dat een individu zich kan ontwikkelen van onbewust onbekwaam naar onbewust bekwaam, waarbij het risico van een onbewuste beveiligingsinbreuk van een individu in de eerste fase erg hoog is en waarbij in de laatste fase dit risico bijna verwaarloosbaar is. Daarnaast is gezien dat een individu moet blijven leren en voor nieuwe technologieën en technieken de fasen moet blijven doorlopen om tot een laag risico niveau te blijven. Herhalen en vernieuwen zijn dus de kernwoorden. Als deze methode wordt gekoppeld aan een onderneming in plaats van aan een individu, is het volgende te zien. Een onderneming bestaat uit meerdere individuen. Deze individuen moeten allemaal op een bepaald niveau van awareness worden gebracht. Toch is het niet mogelijk om de optelsom van de individuen te laten gelden voor het niveau van awareness binnen een organisatie, want in het geheel van de organisatie zitten medewerkers die in meerdere en mindere mate aware zijn. Aangezien de beveiliging van de zwakste schakel afhangt, kan dus niet naar een optelsom of gemiddelde worden gekeken. Daarom wordt er gekeken of het mogelijk is om de verschillende fasen in de matrix in te vullen met behulp van maatregelen die een onderneming heeft getroffen. Op deze manier zal worden uitgegaan van het feit dat de awareness van een onderneming afhangt van de activiteiten die ze heeft gedaan om de awareness te vergroten. De manier om een organisatie aware te krijgen is door het toepassen van een awareness-campagne. Aan de hand van de literatuur en de gehouden interviews zullen de leerfasen voor een onderneming worden ingevuld. Aan de hand het model komt naar voren dat er verschillende personen betrokken zijn bij verschillende fasen. Deze type medewerkers worden in de literatuur veelvuldig genoemd. Daarbij komt dat blijkt dat om een goede awareness-campagne op te stellen, deze verschillende personen eveneens belangrijk zijn, in dezelfde volgorde zoals is te zien in de ontwikkelde awareness-matrix. Hieruit blijkt dat de leerfasen van Maslow ook van toepassing zijn op een organisatie. Het bevriezen van gedrag, zoals dat beschreven wordt in het ISF awareness framework, is het één van de laatste stappen om het goede gedrag te bevriezen binnen een organisatie. Met bevriezen wordt bedoeld, dat het gedrag dat gewenst is, het normale gedrag wordt, zodat als het patroon wordt doorbroken, dit leid tot melding hiervan. Omdat het niet normaal gedrag is wat is geconstateerd. Dit gekoppeld aan de awareness-matrix, blijkt dat de laatste stap, onbewust, bekwaam doelt op een automatisme, over de manier waarop er met informatie wordt omgegaan. Dit automatisme valt samen met de bevriezing van goed gedrag en bewijst dus dat de matrix overeenstemt met de “tweede generatie” awareness tools, zoals het ISF framework.

Pagina 44


4.2 Fasen De verschillende fasen die in de awareness-matrix gedefinieerd zijn, zullen in deze paragraaf verder worden uitgewerkt. Per fase zal gekeken worden naar de betrokken personen en de kenmerken die de fase heeft. -

Onbewust, onbekwaam Bewust, onbekwaam Bewust, bekwaam Onbewust, bekwaam

Daarnaast zijn uit de literatuur en uit de interviews verschillende zaken naar voren gekomen die noodzakelijk zijn wil de awareness worden vergroot. Hieronder zullen verschillende essentiële stappen worden genoemd die moeten worden genomen om tot goede awareness te komen. De 8 essentiële stappen om een Human firewall te maken van de ISSA zijn de volgende. 1. 2. 3. 4. 5. 6. 7. 8.

Betrokkenheid van het topmanagement Duidelijk rolverdeling en verdeling van verantwoordelijkheden Maken van een actieplan en genereer budget Ontwikkelen of vernieuwen beveiligingsbeleid Ontwikkelen organisatiebreed awareness programma/campagne Meet de vooruitgang Voeg toe en verbeter het programma aan de hand van vooruitgang en feedback. Ontwikkel een beveiligingsincidenten opvolg team en plan

Deze stappen kunnen worden uitgezet in de verschillende fasen van de awareness-matrix. Daarnaast kunnen ook aan de hand van de standaard middelen gekeken worden welke middelen zich in welke fasen voordoen. Naar deze middelen is in ieder interview gevraagd. Op deze manier kan dus aan de hand van de interviews gekeken worden bij welke fase welke middelen horen. In de figuren in de onderstaande paragrafen is te zien in welke fase welke technische middelen zijn genomen en welke stappen er genomen zijn om de awareness te verbeteren.

4.2.1 Onbewust, onbekwaam Met onbewust bekwaam wordt de groep van ondernemingen bedoeld die niet weten welke risico’s een gebrek aan awareness met zich mee brengt. Dit komt doordat ze niet weten welke risico’s er zijn, daarom zijn ze ook niet bekwaam om te reageren op risico’s. In deze fase, zal de IT - afdeling vinden dat de technische maatregelen die genomen zijn om het bedrijf te beveiligen van voldoende niveau is om een goede beveiliging van de informatie te waarborgen. Eigenschappen van de groep onbewust, onbekwaam zijn de volgende -

Informatiebeveiliging is al goed Gedrag medewerkers is al voldoende Management heeft belangrijkere issues dan informatiebeveiliging Risico’s zijn voor ons bedrijf niet van toepassing

Pagina 45


Awareness gerichte maatregelen -

Niets

Figuur 13: Awareness gerichte maatregelen in de fase onbewust onbekwaam

Het hierboven gegeven figuur geeft aan welke maatregelen een onderneming heeft getroffen om de awareness te vergroten, op het moment dat een onderneming in de fase onbewust onbekwaam bevindt.

4.2.2 Bewust, onbekwaam De groep ondernemingen die bij de groep bewust, onbekwaam horen, zijn ondernemingen die het belang van informatiebeveiliging en het nut van awareness door hebben. Maar er zijn nog geen maatregelen om de bewustheid te vergroten. In deze fase wordt beleid geformeerd en gedragscodes opgesteld. Informatiebeveiliging wordt een belangrijk punt op de agenda van het topmanagement, maar hoewel de top van de onderneming bewust is geworden, toch is niet heel de organisatie bewust en is de organisatie onbekwaam om veilig met informatie om te gaan. -

Deze bedrijven weten dat beveiliging en awareness een belangrijk probleem is, maar weten nog niet hoe dit uitgedragen moet gaan worden en of dit moet worden uitgedragen.

Pagina 46



Betrokkenheid topmanagement Duidelijke rolverdeling Genereer budget Goed beveiligingsbeleid

Figuur 14: Awareness gerichte maatregelen in de fase bewust onbekwaam

Het hierboven gegeven figuur geeft aan welke maatregelen een onderneming heeft getroffen om de awareness te vergroten, op het moment dat een onderneming zich in de fase bewust onbekwaam bevindt.

4.2.3 Bewust, bekwaam Bewust, bekwaam is de fase waarin een bedrijf zich bevind als managers weten wat de problemen met beveiliging zijn en ook weten hoe ze ermee om moeten gaan. Bekend is welke protocollen er zijn, met betrekking tot informatiebeveiliging. Ook is duidelijk dat een ieder zich aan deze protocollen dient te houden. Dus de bekwaamheid is er, de bewustheid is er, maar er zijn nog onzekerheden over het gedrag van de medewerker, want hoewel de beveiligingsprotocollen er zijn en de manager op de naleving van deze protocollen let, toch moet een medewerker zelf ook het nut van beveiliging snappen om zelf goed mee te werken aan beveiliging. In deze fase wordt daarom ook een begin worden gemaakt met een awareness-campagne.

Pagina 47



Betrokkenheid managers verantwoordelijkheden bekend Goede protocollen Begin awareness-campagne

Figuur 15: Awareness gerichte maatregelen in de fase bewust bekwaam

Het hierboven gegeven figuur geeft aan welke maatregelen een onderneming heeft getroffen om de awareness te vergroten, op het moment dat een onderneming zich in de fase bewust bekwaam bevindt.

4.2.4 Onbewust bekwaam Awareness als automatisme, onbewust en bekwaam. Awareness is een onderdeel geworden van de onderneming. De awareness-campagne is binnen het bedrijf een goedlopend onderdeel geworden. Naast het feit dat er een awareness-campagne is zal er ook worden gemeten wat de effecten zijn van de awareness-campagne op de awareness van de organisatie. Op deze manier kan worden gekeken of met behulp van de awareness-campagne het gewenste doel wordt bereikt en of de campagne naar behoren functioneert. Van medewerkers mag worden aangenomen dat zij aware zijn, dit omdat beveiliging een issue is dat regelmatig aandacht vraagt. Daarnaast is vanzelfsprekend geworden dat er een bepaald beveiligingsniveau is en dat medewerkers zich eraan houden. Doormiddel van de awarenesscampagne worden medewerkers ook op de hoogte gehouden van nieuwe risico’s en wordt het bewustzijn van de medewerker met betrekking tot deze risico’s vergroot. In wezen doorloopt de medewerker het leerschema weer voor de specifieke risico’s: -

Nieuwe bedreigingen worden aandragen Vernieuwingen in beleid/protocol/procedures onder aandacht brengen Controleren op naleving van de protocollen Bewust maken medewerkers en herhalen van informatie

Pagina 48



Medewerkers bewust Awareness-campagne Bekijken nieuwe risico’s Bijwerken campagne Meten en sturen

Figuur 16: Awareness gerichte maatregelen in de fase onbewust bekwaam

Het hierboven gegeven figuur geeft aan welke maatregelen een onderneming heeft getroffen om de awareness te vergroten, op het moment dat een onderneming zich in de fase onbewust bekwaam bevindt. Nu gekeken is naar de invulling die gegeven is aan de tabel, wordt gezien dat de tabel kan worden aangevuld met kosten en awareness. Uit de voorgaande paragrafen kan worden gezien dat de kosten bij het aware maken van een organisatie per stap verschillen.

4.3 De dimensie van de awareness-matrix De matrix heeft verschillende dimensies. In de volgende 2 paragrafen zullen de dimensies van de awareness-matrix worden uitgewerkt.

4.3.1 Kosten Beveiligingsmaatregelen zijn maatregelen waarbij het lastig is om te bepalen wat de beveiliging heeft opgeleverd. Dit betekent dat er een afweging moet worden gemaakt, waarbij moet worden gekeken naar de kosten van de verschillende fasen, aan de hand van de maatregelen die genomen moeten worden en de risico’s die een onderneming loopt, op beveiligingsinbreuken door menselijk handelen. Gezien de verschillende maatregelen die genomen worden, zal duidelijk worden dat de kosten in de eerste fase, met betrekking tot awareness niet aanwezig zijn. Geld en personeel voor beveiliging wordt niet besteed aan zaken die aan awareness gerelateerd zijn. De kosten worden hoger op het moment dat er beleid moet worden opgesteld. Deze kosten zullen blijven als er protocollen worden opgesteld, en duidelijke taken worden gedelegeerd. Ook het opzetten van een awareness programma, kost tijd en geld. Na het uitrollen van een awarenesscampagne, zullen de kosten dalen. Zeker op het moment dat het een goed geïntegreerd onderdeel van de organisatie is geworden. Dit geplaatst in de awareness-matrix, levert de dimensie kosten op.

Pagina 49


4.3.2 Risico De tweede dimensie van de awareness-matrix, is de dimensie ‘risico’. Deze dimensie loopt samen met de verschuiving van onbekwaam naar bekwaam. Als iemand onbekwaam is, is het risico dat er iets gebeurt groter, dan op het moment dat iemand bekwaam is. Het risico neemt dus af, op het moment dat de bekwaamheid om informatie te beveiligen van een organisatie toe neemt. Door de dimensies in te voegen in de matrix wordt de volgende figuur verkregen.

Hoge kosten

3. Bewust, bekwaam

2. Bewust, onbekwaam − − − −


− − − −

Betrokkenheid managers Verantwoordelijken bekend Goede protocollen Begin awareness-campagne

Kosten

1. Onbewust, onbekwaam −

Niets

4. Onbewust bekwaam − − − − −


Lage kosten Groot risico

Risico

Klein risico

Figuur 17: Dimensies van de awareness-matrix

4.4 Betrokken personen per fase Bij de verschillende fasen die zich in de awareness-matrix bevinden, zijn verschillende type werknemers betrokken. De betrokken personen bij het ontwikkelen van een awareness-campagne zijn, de topmanagers, managers, medewerkers en IT-afdeling. Per fase zitten in het model verschillende activiteiten. De belangrijkste activiteiten per fase zijn, het ontwikkelen van beleid in fase 2, het uitvoeren van beleid in fase 3, hierbij zijn bedrijven al meer bewust en zal een campagne worden opgestart. En het goeddraaien van een awareness-campagne in fase 4. Zoals al blijkt uit deze activiteiten, zullen verschillende personen moeten worden benaderd om tot een betere awareness te komen binnen een onderneming. In de fase bewust, onbekwaam (fase 2), zullen de topmanagers moeten worden gestimuleerd om beleid op te stellen. Geld, tijd en personeel moet beschikbaar worden gesteld voor informatiebeveiliging en in dit specifieke geval voor informatiebeveiliging door middel van awareness. In de fase bewust, bekwaam, moet het beleid ten uitvoer worden gebracht en moet het beleid worden door gecommuniceerd. De personen die hierbij erg belangrijk zijn, zijn de managers. Zij moeten letten op het gedrag van medewerkers, moeten medewerkers aanspreken op verantwoordelijkheden en moeten medewerkers sturen. In fase 4 moeten de medewerkers over de gehele breedte van de organisatie worden bereikt en bewust worden gemaakt. De aansturende kracht achter deze verschillende fasen overgangen is de IT–afdeling of een afdeling van soortgelijke strekking (automatisering, risicomanagement) Omdat er nog geen wetgeving is, voelen topmanagers zich niet genoodzaakt om vanuit zichzelf stappen te ondernemen, daarom is

Pagina 50

Bewust van informatiebeveiliging, De zet aan de IT- manager de IT – afdeling de eerste afdeling die moet gaan inzien dat awareness een belangrijk onderdeel is van de organisatie, dit gebeurt als eerste in de fase Onbewust, onbekwaam.

Bewust, onbekwaam

Bewust, bekwaam

Topmanager

Manager

IT-manager

Medewerker

Onbewust, onbekwaam

Onbewust, bekwaam

Figure 18: Indeling van betrokken delen van de organisatie bij de verschillende fase.

4.4.1 Overgangsfasen Vooral op het moment dat een bedrijf besluit meer aan awareness te gaan doen, zullen er zich problemen voordoen. De problemen die hieronder genoemd staan zijn vooral verkregen aan de hand van interviews. Deze fasen bevatten elk hun specifieke kenmerken, als dit in betrekking met awareness wordt bekeken. Deze kenmerken zullen ook verschillende groepen binnen de organisatie beïnvloeden, maar ook andere groepen niet insluiten. Wat de verschillende kenmerken zijn en welke groepen er vooral betrokken zijn bij awareness. Zoals blijkt uit de tabel zijn er drie overgangsfasen. De fase van onbewust, onbekwaam naar bewust, onbekwaam, de fase van bewust, onbekwaam naar bewust, bekwaam en de fase van bewust, bekwaam naar onbewust, bekwaam. Van onbewust, onbekwaam naar bewust onbekwaam. Op het moment dat een bedrijf vanuit het kwadrant onbewust, onbekwaam gaat en naar bewust onbekwaam, betekent dit een verandering naar een bewust worden van risico’s. Uit deze fase blijkt dat er verschillende zaken zullen moeten gebeuren. Als eerste moet een noodzaak worden gevonden om uit te leggen aan het topmanagement waarom beveiliging belangrijk is en waarom specifiek awareness belangrijk is. Tijdens deze stap zal de IT - manager, automatiseringsafdeling, Risk management afdeling, of dergelijke, de noodzaak duidelijk moeten maken aan het topmanagement, waarbij deze afdelingen zelf in de vorige fase bewust zijn geworden. Op deze manier zal er een ondergrond komen en betrokkenheid vanuit het topmanagement. Door deze betrokkenheid zullen geld en tijd vrijkomen. Een van de eerste zaken die moet worden opgesteld is beleid. Aan de hand van het beleid kan hierna verder worden gekeken hoe dit beleid moet worden ingericht. Hierbij moet worden gedacht aan beleid met betrekking op informatie, informatie beveiliging en continuïteit. Tijdens deze fase zal er dus aandacht moeten worden besteed aan een goed beleid. Om tot een goed beleid te komen, zullen de verschillende leerfase van Maslow weer moeten worden doorlopen. Vanuit een situatie waarin het niet duidelijk is wat en waarom beleid nodig is (onbewust, onbekwaam) naar de fase waarin beleid een normaal fenomeen in de organisatie is en regelmatig wordt bijgewerkt (onbewust, bekwaam).

Pagina 51


Van bewust, onbekwaam naar bewust bekwaam De overgang van de fase bewust, onbekwaam naar bewust, bekwaam, is een fase waarbij er duidelijk is gespecificeerd wat er met informatie mag en niet mag, protocollen worden opgesteld, hierbij is het noodzakelijk dat managersFout! Bladwijzer niet gedefinieerd. betrokken zijn. De verschillende verantwoordelijken worden aangewezen. Op dit moment is de organisatie dus van onbekwaam, bekwaam geworden om informatie op een veilige manier te gebruiken. Tijdens deze fase word ook gedacht aan een awareness programma of campagne om informatie over te brengen naar medewerkers. Waarna de implementatie van een campagne begint, om medewerkers bewust te maken. Ook tijdens deze fase, moeten de vier leerfasen van Maslow worden doorlopen, om goede protocollen te maken en om een goed plan te ontwerpen en te implementeren voor een awareness-campagne. Van bewust, bekwaam naar Onbewust, bekwaam Op het moment dat het bedrijf deze fase overgang gaat maken, zal geprobeerd worden de medewerkers bewust te maken. Dit om ervoor te zorgen dat awareness een automatisme wordt. Dit wordt gedaan door een intensief gebruik van de middelen om medewerkers bewust te maken en door middel van de awareness-campagne. Tijdens deze fase is awareness binnen de organisatie een goed lopend, goed gecoördineerd en goed ingebed deel van het bedrijfsproces geworden. Er worden metingen naar awareness uitgevoerd en er wordt ook naar awareness gekeken als wordt gekeken naar functioneren van medewerkers. Tijdens deze fase worden ook de leerstappen van Maslow doorlopen, om te leren waarop en hoe gemeten en gestuurd moet worden. Het volgende figuur wordt verkregen. De vier fasen van de awareness-matrix moeten dus eenmalig worden doorlopen, maar in de verschillende fasen zal het proces zich blijven herhalen. 2. bewust, onbekwaam

3. bewust, bekwaam

2. bewust, onbekwaam

Beleid


3. bewust, bekwaam

Protocol




Awareness 3. bewust, 2. bewust, bekwaam onbekwaam


Campagne

Risico


3. bewust, bekwaam




Figuur 19: Overgangsfasen

Pagina 52


4.5 Gewenste positie van bedrijven Bedrijven zullen voor zichzelf moeten bepalen welke positie binnen de awareness-matrix voor hen de meest gunstige positie is. Dit kan worden gedaan door te kijken naar het belang van informatie voor het bedrijf. Het belang van informatie kan weer worden opgesplitst in afhankelijkheid van informatie en gevoeligheid van informatie. De afhankelijk van de informatie is de mate waarop de bedrijfsprocessen afhankelijk zijn van informatie. Als bedrijfsprocessen zullen stoppen als er geen of onjuiste informatie is, dan is de afhankelijkheid van informatie groot. Als informatie gevoelig is en het voor het bedrijf een inbreuk is als er informatie vrij zou komen die niet mag vrijkomen (Tonino) dan is het ook van belang dat de awareness binnen het bedrijf van een dusdanig niveau is dat het duidelijk is welke informatie mag worden vrijgegeven en welke informatie dient te worden beveiligd. Het belang hangt dus onder andere af van deze twee componenten. Hieronder zal een subjectief beeld gegeven worden van een mogelijke manier om deze twee componenten te gebruiken om een bedrijf te kunnen plaatsen in de matrix. Globaal maakt het niet uit welk component het meest belangrijk is, maar de optelsom van de componenten zorgt ervoor dat een bedrijf duidelijkheid krijgt in het belang van awareness bij de medewerker. Risico’s moeten steeds meer worden uitgesloten op het moment dat de score van 1 onderdeel erg hoog wordt of de score van beide onderdelen samen over een bepaalde waarde stijgt. Om concreet te krijgen welke positie minimaal nodig is, is aan de hand van interviews bepaald wat de gewenste status van awareness voor de verschillende bedrijven was. Hierbij is de volgende formule gehanteerd, waarbij een positie op de schaal van 1 tot 10 kan worden weergegeven: -

Als afhankelijkheid groter of gelijk aan 8 is, moet er minimaal naar gestreefd worden om fase 3 te bereiken.

-

Als gevoeligheid groter of gelijk aan 8 is, moet er minimaal naar gestreefd worden om fase 3 te bereiken.

-

Als de optelsom van afhankelijkheid en gevoeligheid kleiner of gelijk is aan 5 is het niet noodzakelijk om na te denken over awareness, fase 1 is voldoende.

-

Als de optelsom van de afhankelijkheid en gevoeligheid tussen de 5 en de 10 ligt, is het noodzakelijk om minimaal in fase 2, bewust, onbekwaam te zitten.

-

Als de optelsom van afhankelijkheid en gevoeligheid tussen de 10 en 15 ligt, dan is het noodzakelijk minimaal in fase 3 te zitten.

Pagina 53


0

5

10

15 Afhankelijkheid + gevoeligheid

Onbewust Onbekwaam

Bewust Onbekwaam

Bewust Bekwaam

Onbewust Bekwaam Afhankelijkheid

0

8 Gevoeligheid

0

8

Figuur 20: Subjectieve concretisering positie awareness

Aan de hand van Expert opinies, bleek dat de gekozen waarden te laag liggen, veel eerder is in de optiek van expert opinies noodzakelijk om in een ver gevorderd vlak van de matrix te zitten. Maar gezien de uitkomsten van de interviews, waarin 93% van alle ondernemingen zich in de vlakken bewust, bekwaam en onbewust bekwaam plaatsten, zal de huidige normering als voldoende aanvaard worden, omdat deze voldoet aan de eis van de experts, zonder dat er een verlaging van deze waarden nodig is.

4.5.1 Voorbeeld van bedrijven per positionering De verschillende posities horen bij verschillende vormen van bedrijven. Om globaal een beeld te krijgen van deze bedrijven zal in deze paragraaf per fase gekeken worden welke bedrijven er bij welke fase passen. Ook dit gebeurt op subjectieve basis. Fase 1: Onbewust onbekwaam Bij deze fase, zijn bedrijven bijna niet afhankelijk van informatie en is er ook weinig gevoelige informatie. Bedrijven die hier onder vallen zijn kleine ondernemingen, dit niet of nauwelijks werken met moderne informatie en communicatie technologieën. Hieronder vallen kleine bedrijven die hun HRM (Human Resource Management) en administratie uitbesteden. Hierbij moet bijvoorbeeld gedacht worden aan: -

Kleinere winkels Eenmanszaken

Fase 2: Bewust, onbekwaam Bewust onbekwaam is minimaal noodzakelijk voor wat grotere bedrijven met meer informatie die zich binnen het bedrijf bevind. Er zijn al verschillende afdelingen. Ook wordt er bij deze bedrijven minimaal gebruik gemaakt van het internet. Waarom deze fase? Deze fase is minimaal noodzakelijk om medewerkers richtlijnen te geven en duidelijkheid te verschaffen over de gevolgen van misbruik van informatie. De informatie op zichzelf is niet gevoelig en het bedrijfsproces is niet al te zeer afhankelijk van de informatie. Daarom kiest de onderneming ervoor om een bepaald risico te lopen.

Pagina 54


Middel en kleine bedrijven op ieder gebied (MKB) Fase 3: Bewust, bekwaam In deze fase is het bedrijf in bezit van gevoelige informatie en/of is het bedrijfsproces afhankelijk van deze informatie. In ieder geval is er een duidelijk risico, als er informatie vrij komt. -

Specialistische bedrijven Bedrijven die gegevens bezitten over andere bedrijven Consultancy Accountants Overheidinstellingen Bedrijven in concurrerende markten

Fase 4: Onbewust, bekwaam Deze fasen -

Banken Bedrijven die werken met ‘staats’geheimen Bedrijven die sterk afhankelijk zijn van ‘research en development’ gegevens Bedrijven die werkzaam zijn in een sterk concurrerende markt.

Als in de bovenstaande paragraaf over gevoelige en afhankelijke informatie wordt gesproken, wordt maar in beperkte mate meegenomen de informatie die een bedrijf bezit van personeel. Deze informatie valt onder de Wet Bescherming Persoonsgegevens, daarom moet ieder bedrijf dat deze informatie bezit, in ieder geval rekening houden met deze informatie en is het verstandig om op dit punt beleid op te stellen en door te geven aan de direct betrokken medewerkers.

Pagina 55


4.6 Totale model Als alle aspecten uit de voorgaande paragrafen mee zijn genomen, ziet het complete model er als volgt uit:

Hoog

Risico

IT - afdeling -

Top manager -

Niets

-

Medewerker

Manager


-

Ad – hoc

Niets

Laag

-

Betrokkenheid managers Verantwoordelijken bekend Goede protocollen Begin awarenesscampagne


Awarenesscampagne

Controle door managers

Awareness / tijd Bewust, onbekwaam

Onbewust, onbekwaam

0

0

5

Onbewust, bekwaam

Bewust, bekwaam

10

8

15

Afhankelijkheid + gevoeligheid Afhankelijkheid

Gevoeligheid Figuur 21: Globaal overzicht van het totale model security awareness-matrix

Pagina 56


4.7 Plaatsbepaling awarenessmatrix Om de awareness-matrix te gebruiken, moet ook de huidige positie kunnen worden bepaald. Om dit te doen, moet een onderneming kijken naar welke fase het best past bij de huidige situatie. Aan de hand van de positionering in de voorgaand paragrafen zijn voor de verschillende fasen verschillende stellingen opgesteld. Aan de hand van deze stellingen kan gekeken worden welke fase het beste bij de onderneming past. Fase 1: Onbewust, onbekwaam − Technische middelen zijn niet voldoende om onze informatie te beschermen. − U maakt op ad-hoc basis mensen bewust. − Als IT-manager staat u niet alleen voor de informatiebeveiliging. − Het is moeilijk om geld/tijd of personeel vrij te krijgen bij het topmanagement. − Er gebeuren incidenten door onwetendheid. Fase 2: Bewust, onbekwaam − U communiceert regelmatig met het topmanagement over beveiliging. − Er is een goed beleid opgesteld met betrekking op informatiebeveiliging en awareness. − Het topmanagement is bewust van de noodzaak informatie te beveiligen. − Er worden rapporten naar het topmanagement gestuurd met betrekking informatiebeveiliging. − Security en security awareness zijn agendapunten bij het topmanagement.

op

Fase 3: Bewust, bekwaam − Er zijn duidelijke protocollen over de omgang met informatie en informatiesystemen. − De eindverantwoordelijke voor security awareness is een CEO of CIO. − Er is een plan om een awareness-campagne op te starten. − Het management is bewust van de noodzaak om informatie te beveiligen. − Managers werken mee aan beveiliging. Fase 4: Onbewust, bekwaam − Medewerkers weten wat er mag met informatie (wordt er gecommuniceerd). − Medewerkers handelen op een goede manier met informatie. − Beveiligingsinformatie wordt regelmatig herhaald. − Security awareness wordt gemeten op een concrete manier. − Security awareness is een onderdeel van de beoordeling van medewerkers. Deze stellingen kunnen worden beantwoord met eens en oneens. Op deze manier kan er een score worden verkregen voor ieder fase. Aan de hand van deze score wordt gekeken in welke fase een onderneming momenteel zit. Hierbij wordt aangenomen dat men niet in fase 3 kan zitten als de vragen van fase 2 onvoldoende zijn beantwoord. Om een fase te hebben doorlopen moeten minimaal vier van de vijf vragen goed beantwoord te zijn. Ook wordt gevraagd om in de afhankelijkheid en de gevoeligheid van de informatie voor de onerneming in te vullen. Met behulp van de concretisering in hoofdstuk 4.5, kan worden bepaald in welke fase een onderneming zou moeten zitten. Nu de gewenste en huidige fase bekend is, kan een advies worden gegeven. Het advies dat wordt gegeven is gebaseerd op het model en de uitkomsten en conclusie van dit onderzoek. In Bijlage VII is de quickscan visueel weergegeven. De gehele quickscan is te bekijken op www.mediaplaza.nl.

Pagina 57


4.8 Verificatie - Expert opinie Het model is tevens voorgelegd aan experts op het gebied van beveiliging en awareness. Uit deze expert opinies, kwam naar voren dat het model in zijn huidige vorm goed toepasbaar is, maar dat er wel gelet moet worden op verschillende punten. Hieronder zijn enkele opmerkingen van experts naar aanleiding van de interviews met experts geplaatst. - Het model klopt, maar in het model, op een lager level, zit nogmaals het leerproces. Als er beleid moet worden opgesteld, zal dit door middel van de verschillende leerstappen ook moeten worden doorlopen. Beleid opstellen moet dus van onbewust, onbekwaam naar onbewust, bekwaam, waarbij alle stappen weer worden doorlopen. (In paragraaf 4.4 is dit opgenomen in het onderzoek) - Concretisering moet strakker, veel meer ondernemingen zouden hun informatie moeten beveiligen door de awareness te verhogen. Over het algemeen was er weinig negatief commentaar en waren de experts het meestal eens met de conclusies zoals die uit dit onderzoek naar voren zijn gekomen.

Pagina 58


5.0 Bevindingen in de praktijk Omdat awareness nog een relatief nieuwe term is en weinig bedrijven gebruik maken van de huidige technieken om personeel aware te maken, is er nog maar weinig bekend over de problemen waar bedrijven tegen aanlopen bij de invoering van een awareness programma. Als bedrijven gaan beginnen met awareness, is het handig om te kijken naar welke problemen er kunnen zijn. In paragraaf 5.1 zullen deze problemen worden uiteengezet. Het probleem met het meten van awareness wordt besproken in paragraaf 5.2. In paragraaf 5.3 zal worden gekeken waar in de matrix de geïnterviewde bedrijven denken te zitten en behoren te zitten. Oplossingen om awareness in te voeren binnen een onderneming worden uiteengezet in paragraaf 5.4 en in paragraaf 5.5 zal gekeken worden naar oplossingen en techniek. Als laatste zal in paragraaf 5.6 gekeken worden naar de effectiviteit van verschillende communicatie middelen.

5.1 Welke problemen worden bij bedrijven ondervonden Verschillende problemen zijn tijdens de interviews naar voren gekomen. Om een overzicht te krijgen van de problemen zullen de problemen worden weergegeven aan de hand van de verschillende groepen binnen een organisatie. Hierbij zal worden gekeken naar topmanagers, managers en medewerkers. Wie maakt een onderneming bewust van het gevaar dat een onderneming loopt? Het idee om een awareness-campagne op te richten komt vooral uit de richting van het ITmanagement. Langzaam aan zal dit door invoering van regelgeving (zoals nu al te zien is bij Sarbanes-Oxley wetgeving) veranderen en zal de sturing hierdoor vanaf de top van de organisatie komen. Daarnaast zijn de volgende problemen met de verschillende lagen in een organisatie naar voren gekomen [19], die in willekeurige volgorde hieronder worden gepresenteerd. Problemen met topmanagers: -

Moeilijk communiceren Door de drukke agenda en de grote hoeveelheid issues waaraan een topmanager aandacht moet geven, is het moeilijk om te communiceren met een topmanager. Daarnaast is het moeilijk om de terugverdien tijd en de effectiviteit van een maatregel aan te tonen, wat nadelig werkt als er middelen moeten worden vrijgegeven.

-

Snappen het niet Beveiliging is een probleem waar de topmanager weinig verstand van heeft. Door het gebrek aan kennis over de mogelijke bedreigingen en oplossingen, zal het onderwerp niet worden begrepen en zal het geen agendapunt worden. Daardoor wordt er geen tijd, geld en personeel aan awareness gespendeerd.

-

Gebeurt ons niet Doordat er zich nog geen ongeval in het verleden heeft voorgedaan, is er in de mening van een topmanager vaak geen noodzaak om te beveiligen. Een dilemma voor de beveiliger, want als die het werk goed doet en er geen inbreuken zijn, zal dit leiden tot een mindere betrokkenheid van het topmanagement voor beveiliging of awareness.

-

Geen tijd, geld of personeel beschikbaar Doordat het geld binnen een organisatie maar één keer kan worden verdeeld, zal het zo zijn dat,op het moment dat awareness geen belangrijk punt is voor de topmanager, er geen geld aan uitgegeven wordt.

-

Minder prioriteit Awarenss en andere beveiligingsissues hebben een mindere prioriteit, dit omdat het vaak niet direct te maken heeft met het primaire bedrijfsproces van de onderneming. Daarom

Pagina 59

Bewust van informatiebeveiliging, De zet aan de IT- manager liggen de prioriteiten niet bij beveiliging en veel meer bij de primaire bedrijfsprocessen en taken. -

Geen betrokkenheid Het topmanagement is niet betrokken bij de beveiligingsproblemen

-

Moeilijk permanent aandacht krijgen De aandacht van topmanagers met betrekking tot beveiligingsissues verwaterd

-

Mindere prioriteit Het topmanagement heeft verschillende verantwoordelijkheden, waarover de aandacht moet worden verdeeld.

-

Heeft liever harde technische maatregelen Technische maatregelen zijn in de meeste gevallen beter meetbaar, daarnaast is de werking ervan verzekerd. Dit is een reden waarom het topmanagement eerder voor een technische maatregel kiest, dan een organisatorische maatregel.

Problemen met managers: -

Onbekend met risico’s Doordat een manager niet bezig is met beveiliging van informatie, zullen de risico’s die onveilig gedrag met zich mee brengt onbekend zijn voor de manager, hierdoor kan de manager zijn medewerkers niet sturen.

-

Niet de kerntaak Doordat beveiliging meestal niet behoort tot de kerntaak van een manager, zal er weinig behoefte zijn om de extra taak met betrekking tot beveiliging op zich te nemen. Daarnaast is de manager gewend dat verschillende zaken als bijvoorbeeld HRM over genomen worden door in dit geval de HRM afdeling.

-

Budget Beveiliging kost geld en tijd. Afhankelijk van hoe de organisatie is opgebouwd, zou het kunnen zijn dat managers moeten gaan meebetalen aan beveiliging. Ook hierbij moet worden gerekend op weerstand van het management.

-

Is niet bewust mee bezig en niet vooruit denken Zoals al eerder bleek, is beveiliging in de ogen van de manager geen taak voor de manager. Hierdoor zal een manager er niet bewust mee omgaan en niet vooruit denken wat de gevolgen zijn van de handelingen die verricht worden met de informatie.

-

Beveiliging staat in conflict met flexibiliteit Op het moment dat men zaken gaat beveiligen, zal deze beveiliging lastig kunnen zijn, omdat het belemmert in de uitvoering van een taak. Hierdoor zal de manager proberen om beveiliging te ontwijken.

-

Geeft niet altijd het goede voorbeeld Als de manager geen aandacht heeft voor awareness en beveiliging en zelf niet het goede voorbeeld geeft, zullen medewerkers hetzelfde gedrag vertonen.

-

Moet personeel er beter op wijzen De controlerende functie van de manager wordt vaak niet in voldoende mate toegepast op het gebied van de informatiebeveiliging.

Pagina 60


Gebeurt ons niet Net zoals bij de topmanager is de manager zich niet bewust van het feit dat inbreuken op de informatiebeveiliging ook in hun organisatie kunnen gebeuren. Ook dit vloeit weer voort uit het feit dat de beveiliging goed geregeld is en er weinig tot geen incidenten plaats hebben gevonden.

-

Niet melden / niet tijdig melden Vaak worden zaken als bijvoorbeeld uitdiensttreding, niet gemeld aan de IT-afdeling, dit kan resulteren in een open toegang tot het bedrijfsnetwerk voor ex-werknemers, wat een grote inbreuk op de beveiliging op kan leveren.

-

Moeilijk groot draagvlak te krijgen Door al deze problemen en het feit dat er veel verschillende managers in een bedrijf zijn, is het een complexe taak om draagvlak te krijgen bij managers. Er zijn namelijk altijd managers die het belang van beveiliging niet zien, ook niet in het belang van de organisatie.

Problemen met medewerkers -

Groepsgedrag Medewerkers hebben de neiging om gedrag van elkaar over te nemen. Hierdoor ontstaat er een groepsgedrag, wat een negatief effect kan hebben op de veiligheid van de informatie. Een voorbeeld hiervan is bijvoorbeeld dat medewerkers allemaal een bepaald softwareprogramma downloaden en gebruiken, zonder dat de impact van dit programma op de veiligheid en verbruik van bandbreedte bekend is.

-

Proberen eronder uit te komen Voor veel medewerkers is beveiliging lastig. Ze proberen beveiligingen te omzeilen. Een voorbeeld is het doorgeven van wachtwoorden, want het is handig als een ander bij de gegevens kan komen tijdens vakantie. Daarnaast blijkt dat het meestal geen boze opzet is, maar illegale handeling om aan benodigde informatie te komen. Wel kan dit leiden tot inbreuken op de informatiebeveiliging.

-

Snappen de risico’s niet / denken er niet aan Medewerkers snappen uit zichzelf de risico’s niet, ze zijn niet bezig met informatiebeveiliging. Doordat er een bepaalde onwetendheid is over het onderwerp, is de kans groot dat er beveiligingsrisico’s zijn.

-

Verwateren Als er een incident gebeurt, of de risico’s en manieren van omgang met informatie worden gepresenteerd aan de medewerker, zal dit voor enige tijd een effect hebben. Langzamerhand zal dit gedrag verwateren, risico’s zijn niet meer zo duidelijk met als gevolg dat het effect af zal nemen.

-

Onwetendheid mobiele informatie Vooral mobiele data is een probleem. Medewerkers hebben vaak geen idee van de informatie en het belang van de informatie die op mobiele apparaten staat. Vaak worden mobiele apparaten verloren. Gevolgen kunnen aanzienlijk zijn, niet alleen voor de onderneming maar ook voor de betreffende persoon zelf.

Uit de voorgaande opsommingen komen de 4 B’s uit hoofdstuk 3.2 weer naar voren, die gebruikt worden om gedrag te beïnvloeden. Deze 4 B’s zijn bewustwording, betrokkenheid, belang en beloning (waar bestraffing bij inbegrepen is). De problemen met het vergroten van de awareness in een organisatie hebben dus te maken met de verandering van gedrag. De aspecten bewustwording, betrokkenheid en belang zijn aspecten die te maken hebben met communicatie. Beloning en bestraffing heeft te maken met controle. Hieruit kan worden geconcludeerd dat het Pagina 61

Bewust van informatiebeveiliging, De zet aan de IT- manager vergroten van de awareness binnen een organisatie, gepaard gaat met gedragsveranderingen binnen verschillende lagen van een organisatie. In de volgende paragraaf zal gekeken worden naar de controle op awareness. In hoofdstuk 5.6 zal meer ingegaan worden op de effectiviteit van verschillende communicatie middelen.

5.2 Meten van awareness Een verbetering van awareness is bijna niet te meten, maar toch zal er duidelijk moeten worden wat de effecten zijn van een awareness-campagne. Het doel voor meten van awareness is tweeledig. Als eerste is het mogelijk om te bepalen wat de effecten zijn en vindt er een controle plaats op de resultaten en vorderingen. Als tweede kunnen metingen worden gebruikt om het nut van awareness aan te tonen aan het topmanagement en management, waardoor weer commitment van deze lagen in de organisatie kan worden verkregen. Meten is dus van wezenlijk belang voor beveiligingsmaatregelen en dus ook voor awareness. Om te meten, moet er duidelijk worden beschreven wat gemeten gaat worden en op welke manier dit gemeten gaat worden. Een van de manieren van meten, verkregen tijdens de interviews, is hieronder weergegeven.

Figuur 22: Controle kaart om awareness te meten (gericht op de fysieke werkplek)

In dit voorbeeld, wordt na werktijd gecontroleerd op de werkplek van de medewerker. Daarnaast kan er controle zijn op verschillende andere zaken, zoals het duidelijk en zichtbaar dragen van toegangspasjes en het meelopen met gasten vanaf binnenkomst door de ingang, tot aan het vertrek via de uitgang. Maar hiermee wordt maar een heel klein gebied bestreken waarvoor awareness moet worden verkregen. Op alle gebieden waar mensen in werken moet awareness worden verkregen, van communicatie door middel van de telefoon, faxen, e-mail en brieven tot internetgebruik. Pas bij het duidelijk vaststellen van de identiteit van een persoon, of de

Pagina 62

Bewust van informatiebeveiliging, De zet aan de IT- manager betrouwbaarheid van degene waar informatie naartoe wordt verstuurd of vandaan wordt gehaald, is het mogelijk om informatie veilig te houden. Verschillende manieren om het informatiesysteem en de awareness te meten zijn de volgende: -

Meten door vergelijking van hoeveelheid incidenten Meten door risk assesments herhaaldelijk uit te laten voeren Meten door gecontroleerde aanval (white hat hacking) op systeem uit te laten voeren

Controle op zichzelf heeft weinig effect, hierdoor moet er een beloning [16] zijn op het moment dat er wordt voldaan aan de gegeven eisen, of op het moment dat er niet wordt voldaan aan de eisen moet er een bestraffing plaats vinden. Als er een controle is en op het moment dat awareness meegenomen wordt in het functioneren van een werknemer, dan zal de awareness van een onderneming aanzienlijk worden vergroot. Niet alleen omdat awareness medewerkers eigen verantwoordelijkheid is, maar ook dat ze afgerekend worden op awareness. Awareness is voor een medewerker een zaak van eigenbelang geworden.

5.3 Positie in de tabel Tijdens de interviews, is een vraag opgenomen wat de gevoeligheid en de afhankelijkheid van de informatie binnen een organisatie is. Aan de hand van deze informatie is met behulp van de concretisering bepaald waar de ondernemingen zouden moeten zitten. Ook is gekeken waar de ondernemingen op het moment zich in de matrix bevind. Gewenste en huidige positie van de geïnterviewden uitgezet in de awareness-matrix Bewust, onbekwaam

X X

Bewust, bekwaam

XX

X X

X X X

X X

X

X X X XX

XX X H XXX XL X

X XX XX

Onbewust, onbekwaam

XX

Onbewust, bekwaam

X = Huidige positie X = Gewenste positie Figuur 23: Verschil tussen huidige en gewenste situatie

Zoals blijkt uit de bovenstaande figuur, zitten de meeste geïnterviewde ondernemingen in de fase bewust onbekwaam. Dit betekent dat de meeste bedrijven in Nederland nog te weinig aandacht Pagina 63

Bewust van informatiebeveiliging, De zet aan de IT- manager geven aan het onderwerp awareness en dat het topmanagement of net bewust is geworden van de gevaren of momenteel bewust wordt gemaakt. Wel moet worden opgemerkt dat er ook verschillende ondernemingen zijn die al in een vergevorderd stadium zijn, waar awareness onderdeel uitmaakt van het functioneren van de onderneming. Tijdens de interviews is ook gevraagd hoe de awareness in de eigen onderneming geschat werd. Aan de hand van deze schatting en de bovenstaande invulling, bleek dat veel ondernemingen zichzelf te hoog inschatten op het gebied van awareness. Aan de hand van deze informatie kan worden geconcludeerd dat van de geïnterviewde ondernemingen de meeste niet zitten op het niveau dat voor awareness in hun organisatie van belang is. Het volgende nieuwsbericht, geeft weer dat er momenteel nog geen eenduidig en duidelijk beleid is opgesteld door het topmanagement met betrekking tot informatiebeveiliging en awareness. Dit betekent dat de meeste ondernemingen in de Benelux zouden zitten in de overgang tussen de fase onbewust onbekwaam en bewust onbekwaam.

Pagina 64


woensdag 15 december 2004

Slechte communicatie veroorzaakt it-problemen Bijna gelijk met Synstar heeft BMC Software ook onderzoek gedaan naar de positie van it-afdelingen in een onderneming. Hoewel minder negatief zijn de bevindingen van dit onderzoek zeker niet positief te noemen. Volgens 44 procent van de it-managers in de Benelux zijn het bedrijfsbeleid en de -strategie helemaal niet op elkaar afgestemd. Dat concludeert BMC Software, leverancier van 'Enterprise Management'-software, uit een onderzoek dat het daaromtrent voerde in verschillende landen in Emea (Europa, het Midden-Oosten en Afrika). Daarmee scoort de Benelux overigens nog niet eens zo slecht, want alleen in Israël (28 procent) en in de Scandinavische landen (36 procent) is de situatie beter. Gebrek aan communicatie lijkt de kern van het probleem te zijn. Slechts 33 procent van de managers in de Benelux vindt dat bedrijfsdoelstellingen snel genoeg worden gecommuniceerd zodat de it-afdeling daar effectief op kan inspelen. In Israël ligt het aandeel it-managers dat tevreden is over de communicatie met 64 procent bijna twee keer zo hoog. Toch vindt slechts 17 procent van de it-verantwoordelijken in de Benelux dat communicatie totaal ontbreekt of beperkt blijft tot informele, mondelinge informatie. De managers noemen verbeterde communicatie de eerste vereiste samenhang tussen bedrijfsdoelstellingen en it-doelstellingen. 30 procent zij te weinig contact hebben met de ceo om te kunnen begrijpen wat verwacht en 100 procent geeft te kennen dat ze per week zo'n twee uur zouden willen spreken.

voor een betere is van mening dat er van hen wordt langer met de ceo

Het geconstateerde gebrek aan communicatie heeft in ieder geval grote gevolgen gehad voor een aantal organisaties, zo stelt BMC Software. Bij 28 procent van de in de Benelux geënquêteerden bedrijven, worden verliezen gemeld van 50.000 tot maar liefst 10 miljoen euro als direct gevolg van it-problemen. Redactie Computable/Data News Bron: http://www.computable.nl/nieuws.htm?id=419888&o=15

5.4 Oplossing door procesbenadering Er zijn verschillende manieren om problemen in organisaties aan te pakken, één van deze manieren is de procesbenadering [27]. Bij oplossingen die door middel van een procesbenadering kunnen worden verkregen, moet het probleem aan verschillende zaken voldoen: Problemen moeten ongestructureerd zijn. Dit houdt in dat er nauwelijks objectieve informatie beschikbaar is en dat de normen en waarden over het probleem onderling verschillen. Bij awareness, is er maar weinig informatie beschikbaar en binnen een organisatie verschillen de meningen over informatiebeveiliging sterk. Daarnaast wordt er in de praktijk nog maar weinig metingen gedaan naar de awareness binnen de eigen organisatie. Problemen moeten worden opgelost in een netwerk Problemen die met behulp van de procesbenadering kunnen worden opgelost, zijn problemen waar een verscheidenheid van actoren aanwezig zijn, waarbij het mogelijk is dat één of meerdere actoren het niet eens zijn met de oplossing. Ook bij awareness komt dit aspect naar voren, er zijn verschillende lagen in een organisatie en verschillende soorten afdelingen met verschillende

Pagina 65

Bewust van informatiebeveiliging, De zet aan de IT- manager soorten medewerkers, organisaties zijn netwerken [20]. Deze actoren die betrekking hebben op awareness van een onderneming zullen het niet altijd met elkaar eens zijn. Problemen en oplossingen zijn dynamisch Bij een procesbenadering moeten problemen en oplossingen dynamisch zijn. De problemen kunnen veranderen en de oplossingen kunnen ook veranderen aan de hand van bijvoorbeeld extra informatie. Ook dit is te zien bij awareness. De problemen kunnen veranderen, andere aspecten van ongewenst gedrag kunnen binnendringen in de organisatie. Een organisatie die eerst vooral de fysieke beveiliging verbeterd heeft en hierin gewenst gedrag aan heeft kunnen brengen, krijg ineens te maken met gedrag in de communicatielijnen van de organisatie. Daarnaast kan het zijn dat in de toekomst betere manieren worden gevonden om awareness binnen organisaties te vergroten. Denk bijvoorbeeld aan weten regelgeving, zoals nu al in de financiële sector van toepassing is met de Sarbanes – Oxley wet in de Verenigde Staten. De hier bovenstaande problemen zijn allemaal gerelateerd aan awareness binnen een organisatie. Wil een organisatie de awareness vergroten, dan zal de benadering van het probleem dus kunnen worden aangepakt met behulp van de procesbenadering. De procesbenadering is een benadering waarbij er niet direct gekeken wordt naar een oplossing, maar waarbij het probleem met behulp van de verschillende betrokken partijen, in de vorm van een proces wordt opgelost. De verschillende partijen worden betrokken bij de besluitvorming om het probleem aan te pakken. De twee belangrijkste resultaten van een procesbenadering zijn, dat het product een groot draagvlak heeft en inhoudelijk robuust is. Voor awareness betekent dit dat men over de gehele breedte van de organisatie voor de vergroting van awareness zal zijn en dat door de inbreng van de managers en IT-manager de oplossingen inhoudelijk robuust zullen zijn. Door de procesbenadering wordt dus bewustheid, betrokkenheid en belang verkregen bij de betrokken partijen.

5.4.1 Problemen en valkuilen bij procesbenadering Uit de verschillende eigenschappen van de problemen die met behulp van een procesbenadering kunnen worden opgelost, blijkt dat security awareness en de vergroting van het beveiligingsbewustzijn, door middel van een procesbenadering kan worden opgelost. Verschillende problemen die tijdens een procesbenadering zich voor kunnen doen en die ook geconstateerd zijn bij het aware maken van een organisatie, zijn de volgende: Verschillende actoren in het netwerk zullen het niet eens zijn met de oplossingen In het voorgaande hoofdstuk, is te lezen dat verschillende actoren binnen een onderneming, beveiliging een noodzakelijk kwaad vinden. Beveiliging hindert de manager en medewerker in zijn core business en daarom zal het een niet geliefd onderwerp zijn. Te weinig participanten Een ander probleem is dat er te weinig draagvlak wordt verkregen voor het probleem. Door te weinig participanten te betrekken bij de verbetering van awareness van een organisatie, kan het zijn dat er geen betrokkenheid is om het probleem op te lossen en is het mogelijk dat een onderneming niet bewust wordt gemaakt. Fixatie probleem en fixatie oplossing Bij het ontwerpen van een awareness-programma, kan het zijn dat al snel naar een bepaald aspect van awareness wordt gekeken. Zo kan het zijn dat andere belangrijke aspecten worden vergeten, er wordt dan teveel gefixeerd op een probleem. Zo ook bij de oplossing, moet er gekeken worden welke oplossing het beste past bij de onderneming, niet klakkeloos moet er worden gecommuniceerd, maar duidelijk moet worden wat de beste manier is, voor heel de organisatie om bewust te worden.

Pagina 66


5.4.2 Oplossingen bij procesbenadering Oplossingen die geven worden op problemen tijdens een procesbenadering op te lossen en die van invloed zijn op de problemen die zich voordoen bij de invoering van een middel om een onderneming bewust te maken, zijn de volgende: Betrekken actoren bij probleemoplossing Actoren moeten bij een procesmatige oplossing van een probleem worden betrokken bij de besluitvorming omtrent dit probleem. • • • • •

Betrokkenheid verkrijgen Win – win situatie creëren Actief gebruik maken van de omgeving Creëren van een gevoel van noodzaak Ontdooien

Bij een procesbenadering moeten er voldoende partijen van mening zijn dat er een probleem is. Dit probleem moet worden opgelost door samenwerking van de verschillende actoren, er moet betrokkenheid [21] worden verkregen. Bij awareness komt dit naar voren in het feit dat in het begin van het bewustwordingsproces, zoals geschetst is in de awareness-matrix, er nog niet bekend is dat er een probleem is. Door het breed uit te laten meten van incidenten en bijna incidenten van binnen en buiten de organisatie, kan de awareness worden vergroot. Een van de meest effectieve manieren om een onderneming beter bewust te krijgen is om een gevoel van noodzaak te gebruiken. Door deze methode zal in ieder geval het topmanagement awareness als agendapunt opnemen. Daarbij wordt door het verkrijgen van betrokkenheid van het management een kritische massa verkregen, waarmee de betrokkenheid van managers zal worden vergroot. Een win – win situatie word gecreëerd, om ervoor te zorgen dat actoren die het niet eens zijn met de oplossing van het probleem, achter zich te krijgen, dus een breder draagvlak te vergaren. Deze methode kan worden gebruikt, om aan te tonen hoe belangrijk awareness voor de individuele personen is. Dit is de manier waarop personeel bewust moet worden gemaakt. Door een win – win situatie te creëren, zal gedrag van actoren kunnen ontdooien. Tijdens het proces om een organisatie beter bewust te maken, zal door de interactie tussen de verschillende actoren het gedrag van actoren ontdooien. Dit komt overeen met de ontdooifase in het ISF awareness framework. Tijdens het proces om de awareness binnen een onderneming te vergroten, zal gebruik moeten worden gemaakt om percepties van actoren te ontdooien. Het topmanagement, management en medewerkers moet ontdooit worden, op het moment dat ze het nut en de bedreiging van een slechte awareness niet zien. Zoals blijkt, is het verbeteren van awareness een probleem dat met behulp van een procesbenadering kan worden opgelost. Tevens blijkt dat de oplossingen die verkregen zijn door middel van verschillende interviews, overeenkomen met de oplossingen die hierboven zijn genoemd.

5.4.3 Zware bemensing Top – down besturing [22],[24], kan in sommige gevallen noodzakelijk zijn om een verandering te kunnen verkrijgen. Veranderingen waarbij de organisatie van binnenuit zichzelf niet kan of wil sturen, zijn veranderingen waarbij top – down besturing nodig is. Informatiebeveiliging is een probleem, waarbij dit over het algemeen speelt. Het nut van informatiebeveiliging en de manieren om hiermee om te gaan, zullen meestal niet van binnen de organisatie zelf worden verkregen. Daarom is het noodzakelijk om deze problemen met betrekking tot het niet zien van problemen door informatiegebruikers en het niet begrijpen van het nut van informatiebeveiliging doormiddel van een top – down structuur de organisatie moeten bereiken. Maar top – down sturing staat in conflict met de procesbenadering en kan hierom niet gebruikt worden in combinatie met de procesbenadering. Dus moet gekeken worden naar een manier waarop de top van een Pagina 67

Bewust van informatiebeveiliging, De zet aan de IT- manager onderneming betrokken kan worden bij het proces, zonder dat er spraken is van top – down sturing. Topmanagers moeten worden betrokken. Als topmanagers betrokken zijn, zal dit een impuls zijn voor managers en medewerkers om zich te committeren aan het besluitvormingsproces. Het is raadzaam om te zorgen voor een zogeheten ‘zware bemensing’. Met een zware bemensing wordt bedoeld dat de vertegenwoordiging zwaar is, ofwel dat belangrijke personen betrokken zijn bij het proces. Een zware bemensing is bevorderlijk voor het proces, omdat dit gezag en uitstraling geeft aan het proces. Daarnaast hebben ze de mogelijkheid om de eigen organisatie te laten betrekken bij het proces. Als laatste kan de top van een onderneming in bepaalde mate afstand nemen van de eigen achterban. Dit is nodig als bij een proces, partijen moeten inleveren en het accepteren hiervan niet eenvoudig is. Dit laatste kan ook worden toegepast op informatiebeveiliging, waar een maatregel een belasting kan zijn voor verschillende werknemers uit alle lagen van een organisatie. Dat een zware bemensing noodzakelijk is blijkt ook uit de awareness-matrix en aan de hand van de uitkomsten van de verschillende interviews. Maar hoewel een zware bemensing zorgt voor een succesvol proces en voor draagvlak van het proces, tevens is het destructieve vermogen van een zware bemensing erg groot en moet hiermee voorzichtig worden omgesprongen. [27]

5.4.4 Communicatie Het veiligheidsbewustzijn richt zich op de 4 C’s [23], namelijk Communicatie, Commitment (Betrokkenheid), Co-operatie en Cultuur. Als eerste is communicatie van belang, zonder communicatie is iedere vorm van beveiliging gedoemd te mislukken. Commitment wil zeggen dat iedereen zich er binnen de organisatie aan moet houden, wil een beveiliging goed werken. Hiervoor zijn dus regels nodig. Co-operatie is belangrijk omdat een goede beveiliging overlappend is voor de organisatie. Zonder samenwerking het niet mogelijk is om een goede beveiliging op te zetten. Als de cultuur niet van voldoende niveau is zal de beveiliging minder goed zijn. Commitment: Zolang topmanagers [19], managers en medewerkers zich niet betrokken voelen of het niet hun probleem vinden om de awareness te verbeteren en erop te letten dat de veiligheid van informatie is gewaarborgd. Alleen als er vanuit alle lagen in de organisatie betrokkenheid is, zal het niveau van informatiebeveiliging toenemen. Co-operatie: Managers van verschillende afdelingen moeten samenwerken [24], taken moeten worden verdeeld. Dit vergt samenwerking van de verschillende managers met elkaar, maar overal in de organisatie moeten medewerkers samenwerken om de beveiliging voldoende van niveau te laten zijn. Cultuur: Sociale controle en groepsgedrag zijn zaken die zich binnen de cultuur van een organisatie kunnen hebben ontwikkeld. Als er een goede sociale controle is binnen een organisatie, zullen de regels beter worden nageleefd. Hierdoor is het implementeren van awareness een eenvoudigere zaak geworden, want onbewust worden de regels nageleefd. Groepsgedrag kan echter verstorend werken, als een bepaald persoon een fout maakt, kan deze fout zich verspreiden over de gehele organisatie. Hierbij kan worden gezien dat bijvoorbeeld een hele afdeling ineens gebruik maakt van Microsoft Networks (MSN) Messenger. Een probleem kan zijn om dit groepsgedrag te doorbreken en een goede sociale controle te creëren. Communicatie: [25] Uit de onderstaande tabel, komen verschillende aanpakken naar voren, om problemen met doelgroepen op te lossen. Deze verschillende aanpakken komen voor een groot deel neer op hetzelfde, namelijk communicatie en controle. Dit komt overeen met de conclusie van de problemen aan de hand van de gehouden interviews. Daarnaast moet de communicatie regelmatig worden herhaald [25], dit blijkt ook uit de opzet van tweede generatie awareness methoden. Dit voorkomt het verwateren van de problematiek bij medewerkers en zorgt ervoor dat awareness een agendapunt blijft bij het topmanagement.

Pagina 68


Probleem Medewerkers maken fouten

Doelgroep Medewerkers

Booswichten nemen het niet zo nauw met normen en waarden

Booswichten

Managers veroorzaken organisatiefouten

Management

Aanpak − Redelijkheid van te treffen maatregelen waarborgen en zonodig uitleggen − Goede voorbeeld door managers − Participatie van Medewerkers − Inzetten van ‘ambassadeurs’ − Belonen van gewenst gedrag en niet van ongewenst gedrag − Verhouding kosten/opbrengsten dient in individuele situaties positief uit te vallen − Begeleiding nieuwe medewerkers − Functiescheiding en andere maatregelen om ongewenst gedrag te voorkomen − Extra beveiligingsmaatregelen bij gevoelige functies − Duidelijke communicatie van de huisregels naar alle medewerkers − Goede voorbeeld door managers − Informatieverschaffing over risico’s door deskundigen − Opzet adequate incidentenregistratie en regelmatige rapportage

Tabel 6: Voornaamste problemen m.b.t menselijk falen en karakteristieke aspecten van de daarvoor benodigde aanpak [26]

Commitment, co-operatie en cultuur zijn zaken die door middel van communicatie kunnen worden veranderd. Om topmanagers en managers betrokken te krijgen bij informatiebeveiliging, zullen deze lagen in een organisatie eerst op de hoogte moeten worden gebracht. Om medewerking te verkrijgen dien duidelijk te worden dat beveiliging de taak is van een hele organisatie. Door middel van commitment en co-operatie kan de cultuur in een organisatie worden verandert. Al de verschillend zaken die nodig zijn om een organisatie beter beveiligingsbewust te krijgen zijn dus terug te koppelen aan communicatie.

5.5 Oplossingen en techniek Naast de oplossingen die hierboven genoemd zijn, is er nog een belangrijke oplossing, namelijk door gebruik te maken van technische middelen om het niveau van informatiebeveiliging te verhogen of om problemen te voorkomen. Het blijkt dat topmanagers en managers ervoor kiezen om technische maatregelen te implementeren in plaats van organisatorische maatregelen. De informatie over deze middelen is verkregen tijdens beursbezoeken en maken van cases voor Media Plaza Deze cases staan in Bijlage IX. Zaken waar hierbij aan gedacht moet worden zijn bijvoorbeeld de volgende:

Pagina 69


5.5.1 Gebruiken van biometrie, tokens en smardcards voor toegang Door gebruik te maken van bijvoorbeeld biometrie voor het inloggen op systemen, zal het onmogelijk worden om een collega te laten inloggen op het systeem van een andere collega. Naast de code die nodig is, is er ook een vinger nodig. Hierdoor zullen medewerkers veiliger omgaan met de informatie op de systemen en worden ze elke keer herinnerd aan het belang van de informatiebeveiliging voor het bedrijf. Mensen worden dus meer aware van belang en een mogelijkheid om misbruik te maken wordt uitgesloten. Maar niet alleen computersystemen kunnen worden beveiligd doormiddel van biometrie. Ook fysiek is het mogelijk om biometrie te gebruiken om een bedrijf te beveiligen. Op deze manier wordt voorkomen dat ongeautoriseerde personen binnen kunnen komen en schade aanrichten. Ook wordt hiermee de taak van medewerkers weggenomen om personen die zich ophouden in het gebouw geminimaliseerd, omdat het bijna niet meer voor zal komen dat personen ongeautoriseerd binnen komen. Op dezelfde wijze als het mogelijk is om met behulp van biometrie te beveiligen is het ook mogelijk om dit te doen met behulp van tokens, smartcards en RFID kaarten. Gebruik van deze producten hebben dezelfde eigenschappen als die van biometrie, alleen is het nu mogelijk om de kaart of token over te dragen., hetgeen in sommige gevallen van belang kan zijn. Voordeel boven het gebruik van inlognaam en wachtwoord is dat verlies van de kaart/token opgemerkt worden en een beveiligingsinbreuk eerder wordt gedetecteerd. Biometrie, tokens en smartcards worden in dit geval gebruikt om te voorkomen dat menselijke fouten met betrekking tot toegangsbeheersing worden gemaakt. Deze technieken verhelpen dus problemen op een technische manier, zonder dat het noodzakelijk is om de awareness te vergroten.

5.5.2 Gebruiken van PKI en encryptie Op gebied van logische beveiliging is het bijvoorbeeld mogelijk om mail te versturen met behulp van encryptie en PKI. Door het versleutelen van e-mail, is het niet mogelijk dat data kan worden gelezen door derden op internet. Daarnaast is het zeker dat alleen diegene de mail kan lezen, voor wie de mail bestemd is. Op deze manier neemt dus een softwarematig technische oplossing een taak van de gebruiker over. Ook wordt op deze manier verzenden van e-mail voorkomen dat spam en virussen het bedrijf binnenkomen. Maar ook hele harde schijven kunnen worden beveiligd door middel van encryptie. Bij laptops en andere mobiele apparatuur die snel kwijt kunnen raken, kan het versleutelen van een hele harde schijf de oplossing zijn om bij diefstal belangrijke gegevens te beschermen. Op deze manier is niet de laptop beveiligd, maar wel de gegeven die op de laptop staan.

5.5.3 Overige technieken en voordelen van techniek Natuurlijk zijn er verschillende mogelijkheden en zijn de bovenste 3 maar een kleine selectie uit de mogelijkheden. Een korte opsomming van technieken die uit de interviews gekomen zijn, zal hieronder gegeven worden: -

Single sign-on Patch management Uitschakelen van forward functie e-mail programma Centrale controle op content Centrale controle over internet (1 in- en uitgaande verbinding) Wachtwoorden automatisch laten wijzigen E-mail vanaf gevoelige afdelingen alleen intern laten blijven

Pagina 70


Wat betreft deze mogelijkheden, een technische oplossing is een oplossing die vertrouwd kan worden. Een technische oplossing gedraagt zich zoals verwacht en daarom zullen de problemen zoals die ondervonden worden bij awareness van medewerkers, niet voordoen bij een technische implementatie. Mogelijkheden uitsluiten heeft ook als voordeel dat gebruikers niet hoeven te weten waarom het niet mag, maar dat het niet mag. Als ze willen weten waarom het niet mag zullen ze uit zichzelf contact opnemen met de verantwoordelijke. Technische maatregelen hebben dus de volgende gevolgen: -

Wegnemen mogelijkheden Robuuste manier van beveiligen op awareness Makkelijke manier Betrouwbare manier

Een ander voordeel van technische maatregelen, is dat het makkelijker is om bij het topmanagement aan te tonen wat de effectiviteit van de maatregelen is, meestal zijn deze maatregelen beter te meten dan een manier om awareness te vergroten. Daarom zal een topmanager eerder een technische maatregel willen implementeren dan een awareness maatregel, wat tevens gebleken is uit dit onderzoek en uitgewerkt zal worden in paragraaf 5.5.5.

5.5.4 Nadelen van techniek Natuurlijk zijn er ook verschillende nadelen [I16] verbonden aan het gebruik van technieken om informatie te beveiligen.Hieronder worden verschillende nadelen weergegeven. -

Technologie is niet compleet waterdicht. Ondanks de kwaliteit van de software, zijn er toch vaak mogelijkheden, achterdeuren, onverwachte uitzonderingen, die gevonden worden door hackers, testers en gebruikers. (Vandaar dat er regelmatig patches nodig zijn om het systeem te beschermen) Er zijn dus vaak verschillende kwetsbaarheden in commerciële en zelf ontworpen software. Door de huidige status van IT-systemen is de complexiteit een probleem.

-

Niet ieder bedrijf kent de problemen of kwetsbaarheden in voldoende mate om deze technisch te beveiligen. Zo zal er wel een virusscanner worden aangeschaft, die e-mail controleert op virussen, maar vergeten wordt de JavaScripts te controleren. Op het moment dat een onderneming niet alle problemen in kaart heeft, kan een technische beveiliging niet voldoen als totale beveiliging.

-

Technologie is duur en daarbij worden vaak standaard oplossingen verkocht, die niet geheel bij de wensen van een onderneming aansluiten.

-

Technische beveiliging schermt alleen de informatie af in het bedrijf, vooral van buiten naar binnen. Medewerkers kunnen nog steeds onbewust, belangrijke informatie verstrekken. Bij de implementatie van technische maatregelen wordt hier niet vaak bij stilgestaan.

-

Er kan een conflict tussen werkbaarheid en veiligheid optreden. Door het toepassen van verschillende technieken, zoals het niet toestaan van forwarden naar een ander mail adres, wordt de veiligheid wel vergroot, maar veel medewerkers zullen het gevoel hebben dat de werkbaarheid minder is geworden, zonder dat ze weten waarom een maatregel is ingevoerd.

Technische maatregelen kunnen heel nuttig en effectief zijn, maar zoals blijkt is het nodig om zeker ook de organisatorische aspecten mee te laten gelden bij een complete beveiliging. In het

Pagina 71

Bewust van informatiebeveiliging, De zet aan de IT- manager onderstaande artikel is te lezen dat een technische maatregel heel goed kan werken, maar ook als knellend wordt ervaren.

Veiligheid voor alles bij PDA landsadvocaat De landsadvocaat ofwel het advocaten- en notariskantoor Pels Rijcken & Drooglever Fortuijn, nam vlak voor Kerst een Blackberrysysteem in gebruik om de onderlinge communicatie te vereenvoudigen. Het kantoor zocht twee jaar naar een systeem dat aan de veiligheidseisen voldoet. De 180 advocaten en notarissen hadden tijdens de feestdagen iets om mee te spelen. Toch vonden deze ‘fee earners’ het speeltje niet onder de kerstboom maar op de drempel van de IT-afdeling. Ze moesten hun Blackberry-PDA persoonlijk afhalen en in het bijzijn van een systeembeheerder het generieke wachtwoord wijzigen in een persoonlijke code. Affaires zoals de Amsterdamse officier van Justitie Tonino veroorzaakte toen hij enkele maanden geleden zijn oude laptop met vertrouwelijke informatie aan de straat zette, kan de landsadvocaat niet gebruiken. Het gebruik van laptops is dan ook uit den boze bij het kantoor. Ook thuiswerken behoort niet tot de opties bij Pels Rijcken en het opslaan van contacten in een mobiele telefoon wordt slechts oogluikend toegestaan. Die situatie werd toch als knellend ervaren. "Wat ik vooral miste was de e-mail-faciliteit", licht Jan Pas, advocaat bij Pels Rijken toe. "Bereikbaarheid staat in dit vak voorop." Pieter Offers, hoofd facilitaire dienst & automatisering van het kantoor formeerde daarom twee jaar geleden een team om een concept voor een beveiligde mobiele IT-omgeving uit te werken. "We hebben vele opties bekeken. Laptops zijn onvoldoende te beveiligen. Ook een reeks PDA’s die we over de vloer hebben gehad, bleef steken in de test." Het kantoor koos uiteindelijk na onder meer een uitgebreide proef met een tiental toestellen voor de aanschaf van een Blackberrysysteem van het Canadese Research in Motion (RIM). "Dit systeem is het enige waarbij bij verlies of diefstal de inhoud van het toestel op afstand volledig is leeg te halen", motiveert Offers de keuze. Bovendien zet het systeembeheer een gebruikersprofiel op de toestellen dat maar heel weinig rechten toekent en het toestel binnen enkele tientallen seconden weer in de wachtstand zet. Om hem te reactiveren is opnieuw een wachtwoord nodig….. (Thijs Doorenbosch) AG Weekblad 2005, week 1 bron: www.automatiseringgids.nl/news/default.asp?artId=17170

5.5.5 Awareness en technische maatregelen Uit hoofdstuk 2 en 3 blijkt dat het creëren van awareness een organisatorische maatregel is. Naast organisatorische maatregelen zijn er ook nog fysieke en logische maatregelen, ofwel technische maatregelen. Deze maatregelen moeten allemaal door een onderneming worden geïmplementeerd, wil de beveiliging van voldoende niveau zijn. Om inzicht te krijgen van de verhouding technische maatregelen tegenover organisatorische maatregelen, in de awareness-matrix, is tijdens de interviews gevraagd welke technische beveiligingsmaatregelen genomen waren. Aan de hand van de positionering van de ondernemingen in de matrix, kon daarna gekeken worden welke maatregelen bij welk kwadrant van de matrix kunnen worden geplaatst. Aan de hand van deze vraag kon worden geconcludeerd dat veel bedrijven eerst begonnen zijn met het aanbrengen van technische maatregelen. Pas sinds korte tijd wordt er aandacht besteed aan awareness en andere organisatorische maatregelen. Uit het volgende nieuwsbericht blijkt dat veel ondernemingen vooral zoeken naar technologische oplossingen om de informatiebeveiliging te verbeteren.

Pagina 72


woensdag 15 december 2004

Security bovenaan wenslijstje van CIOs in 2005 Engelse CIOs hebben security technologieën bovenaan hun wenslijstje voor 2005 staan, zo blijkt uit een klein onderzoek onder verschillende CIOs. E-mail security, anti-spam, monitoring en anti-virus zullen de gebieden zijn waar bestuurders zich volgend jaar op zullen richten, gevolgd door IT-governance, desktop hardware, PDAs en web services. Ook outsourcing en nieuwe technologieen als VoIP staan hoog op de agenda van de CIOs, maar andere tech trends, zoals RFID, worden als "over-hyped" bestempeld en zouden nog niet klaar voor mainstream gebruik zijn. Door Redactie van security.nl Bron: http://www.security.nl/article/9539/1

Als dit in een schema wordt uitgezet, blijkt dat de implementatie van technische maatregelen in de eerste fasen van de awareness van een onderneming groot zijn, in een latere fase, worden de organisatorische maatregelen ook belangrijker en zullen de technische maatregelen minder belangrijk worden dan dat ze waren. Ook zijn de meeste technieken dan bij veel bedrijven al geïmplementeerd. Uit de interviews is gebleken dat in de fase 3 en 4 zo goed als alle technische mogelijkheden waren gebruikt bij alle bedrijven in deze fasen. In de fase 1 en 2 zijn er nog technische middelen die aangewend kunnen worden om de beveiliging te verbeteren.

100 90 80 70 60 50 40 30 20 10 0

Fase 1 en 2 Fase 3 en 4

In tr Vi ru In usio sp tru n ro si de te on te pr cti Fire ctie ev on w en -s all tio ys s t C n-s em lie ys en nt te V -fi m C ers rew en VP on le a N te ut lls – nt el be in in sp g ve ilig W An ec t L i ti in g AN sp e (S -s am SL ec C e u od Au nc rity e t he ryp in fo nt tie) rm ic at at ie ie be P M KI v ei el lig di ng in B in Pr el g br ot ei eu oc d k ol / l Fy op en sie sl aa Th ke irt be Au n Pa pa ve dit r i U tch ty c ligin itw m on g ijk an tra m ag c og e ts el me ijk n he t de n

Procent

Gebruik technische middelen

Middelen Figuur 24: Nieuwe technische implementatie tegenover awareness uitgezet

Pagina 73


Geconcludeerd kan worden dat een organisatie liever technische maatregelen treft, dan dat er organisatorische maatregelen worden getroffen. Dit is een probleem waar tegenaan gelopen wordt bij de verhoging van de awareness binnen een organisatie. Aan de hand van de uit de interviews gegenereerde data en aan de hand van de nieuwsberichten, kan het volgende schema worden verkregen.

Hoog

Implementeren van technische maatregelen Awareness

Laag

Laag Hoog

5.6 Communicatie advies Uit de voorgaande paragrafen, blijkt dat door middel van communicatie een onderneming bewust moet worden gemaakt. Hieronder wordt weergegeven, op welke manier er door de geïnterviewden gedacht werd over de effectiviteit van verschillende communicatie methoden. Effectiviteit middelen Tijdens de interviews is gevraagd om de efficiëntie van de in hoofdstuk 3.2.2 beschreven methodes een cijfer te geven op een schaal van 5, waarbij 5 zeer effectief is 1 niet effectief is. De volgende gegevens kwamen uit dit onderzoek naar voren. Hierbij is het hoogst, het laagst en het gemiddelde cijfer dat gegeven is voor de effectiviteit weergegeven.

Beoordeling middelen 5 Hoogste cijfer Laagste cijfer Gemiddeld Cijfer

3 2

Persoonsgerichte Communicatie

Drukwerk

E-mail

Nieuwe Media

Prularia bij Melding Mensen in de spotlights

Intranet

Systeem messages

E-learning

Nieuwsbrieven

Posters

Flyers

Brochures

Publicatie in blad

Presentaties

Gesprekken

Training

Workshops

Self assesment

0

Protocollen

1 Beleid

Cijfer

4

Overig

Middelen Figuur 25: Effectiviteit van communicatiemiddelen

Pagina 74

Bewust van informatiebeveiliging, De zet aan de IT- manager Aan de hand van deze cijferlijst is te zien welke ervaringen de geïnterviewde bedrijven hebben met de verschillende specifieke methode om personeel beter aware te maken van de risico’s. Deze “Best practice” lijst geeft aan dat volgens de geïnterviewde bedrijven de volgende methoden de 3 belangrijkste methoden zijn om kennis over te brengen. 1: E – learning 2: Persoonlijke gesprekken 3: E – mail / Mensen in de spotlichten plaatsen

(4.67) (4.27) (4.00)

Uit de verschillende interviews bleek wel dat een onderneming niet zo snel mogelijk E – learning moet gaan implementeren op het moment dat de onderneming een betere awareness wil bij medewerkers. Er moet worden nagedacht op welke manier het beste en effectiefste gecommuniceerd moet worden naar de medewerker, manager en topmanager. De verschillende lagen moeten om verschillende redenen bewust worden gemaakt. Een topmanager moet naast het toestemmen tot het bewust maken van de onderneming, ook zelf bewust worden gemaakt over de risico’s die er door de persoonlijke omgang met informatie zijn en over de gewenste omgang met de informatie. Een topmanager moet in wezen dus gelijk behandeld worden als een medewerker op het moment dat zijn persoonlijke awareness wordt vergroot. Dit geldt ook voor de managers. Gekeken moet worden bij het zoeken naar middelen, naar welke lagen er in de organisatie wordt gecommuniceerd en wat de kosten zijn van de middelen om te communiceren. Daarnaast zijn sommige communicatie middelen effectief op het moment dat ze gebruikt worden in combinatie met anderen. Ook moet worden gekeken welke personen in de organisatie actief moeten worden betrokken en moet de informatie herhaald worden [4] om verwatering tegen te gaan.

Pagina 75


6.0 Conclusies en aanbevelingen In het volgende hoofdstuk zullen de conclusies de aanbevelingen en de reflectie met betrekking tot het onderzoek worden weergegeven.

6.1 Conclusie Uit het onderzoek blijkt dat het voor de geïnterviewde bedrijven bijna niet meer mogelijk is om niets te doen aan awareness. Wetten en richtlijnen zoal de WBP en de code Tabaksblat verwachten een zekere mate van awareness bij een bedrijf. Daarnaast zijn nog maar weinig bedrijven op de hoogte van de risico’s die het met zich meebrengt als het personeel zich onvoldoende bewust is van de gevaren rond informatiebeveiliging. Het doel is het ontwerpen van een methode om de awareness van bedrijven te positioneren, zodat adviezen kunnen worden gegeven over te nemen stappen. Op lange termijn zou dit moeten bijdragen tot de verbetering van beveiligingsbewustheid bij ondernemingen in Nederland. Het eerste deel van de doelstelling, namelijk het ontwerpen van een methode om awareness van bedrijven te positioneren, is uitgewerkt aan de hand van de in het onderzoek ontwikkelde awareness-matrix, met de bijbehorende concretisering. De bijdrage van dit onderzoek om de beveiligingsbewustheid bij ondernemingen in Nederland te vergroten zal door dit document worden behaald, ook zal de awareness van ondernemingen groter worden op het moment dat de awareness-matrix wordt toegepast. Daarnaast kan uit de veelal positieve reacties die na afloop van de interviews zijn verkregen worden afgeleid de awareness bij verschillende van de geïnterviewden was gestegen.. De reacties hadden betrekking op nieuwe ideeën die gegenereerd waren tijdens de gesprekken om awareness binnen de organisatie te vergroten. Door het lezen van dit verslag zal de lezer zich meer bewust worden van de risico’s en is het mogelijk om concrete stappen te ondernemen om een betere informatiebeveiliging te verkrijgen. Daarnaast zal de matrix die tijdens het onderzoek is ontworpen een idee geven van de positie waarin een onderneming zich bevind met betrekking tot security awareness. Op deze manier kan gezien worden welke problemen en oplossingen nog zullen passeren, wil de onderneming in de voor hen juiste positie zitten. De antwoorden op de onderzoeksvragen zullen hier in het kort worden weergegeven. 1. Wat zijn de typische problemen bij een vergroting van awareness? Deze vraag is door middel van literatuurstudie en interviews behandeld. De meest voorkomende problemen en valkuilen zijn het gebrek aan communicatie, wat een negatief effect heeft op de betrokkenheid, het belang en de bewustwording van de actoren en waarmee er een onwetendheid is ontstaan.. Een valkuil is dat een onderneming vooral gebruik maakt van ad-hoc maatregelen om een onderneming aware te maken. Er ontstaat een probleem met de beveiliging. Iedereen wordt eenmalig ingelicht en het probleem wordt verholpen. Na verloop van tijd verwaterd eenmalige inlichting en is er de mogelijkheid dat er opnieuw beveiligingsinbreuken van dezelfde aard zich voordoen. Ad-hoc maatregelen werken op een kort tijdsbestek. Om een goede awareness binnen een onderneming te creëren, moet meer aandacht worden gegeven aan de risico’s en vaker de informatie worden herhaald. Van de geïnterviewden had 31% een awareness-campagne, of wilde beginnen met een awareness-campagne. Andere bedrijven gaven aan op ad - hoc basis gebruik te maken van middelen om bewust te maken.

Pagina 76


Citaat uit interview: “Als ik met kerst mensen erop wijs dat ze geen mailtjes met rare kerstbijlagen moeten openen, doen ze het niet. Maar met valentijn zijn ze alles weer vergeten en doen ze het wel.”

Vaak wordt de voorkeur gegeven aan implementatie van technische maatregelen. Er kan geconcludeerd worden dat bedrijven bij informatiebeveiliging als eerste vooral aan logische en fysieke maatregelen denken. Dit blijkt uit het feit dat iedere organisatie verschillende van deze beveiligingsmaatregelen hebben geïmplementeerd. Daarnaast blijkt dat pas op een later tijdstip de organisatorische maatregelen worden bekeken. Bij de positionering van de geïnterviewde bedrijven, bleek dat de bedrijven die zich in een hogere fase van de awareness-matrix bevinden, alle mogelijke technische maatregelen in gebruik hebben om hun informatie en informatiesysteem te beschermen. Een trend die gezien word, is dat er liever technische maatregelen worden geïmplementeerd dan organisatorische maatregelen. Citaat uit interview: “Als ik naar de directeur ga om middelen te vragen om bijvoorbeeld spam tegen te gaan, krijg ik als antwoord dat we toch al een virusscanner hebben.”

Een ander probleem is een te lage awareness bij topmanagers en bij managers. Topmanagers en managers moeten bewust zijn van de noodzaak van awareness binnen een organisatie, wil een awareness-campagne worden opgezet. Een gevolg van de slechte communicatie en de lage awareness bij het topmanagement en het managent is het overschatten van de eigen positie. Uit het onderzoek is naar voren gekomen dat topmanagers en managers denken dat de beveiliging van voldoende niveau is. Dit wordt bijvoorbeeld gebaseerd op de lage hoeveelheid beveiligingsinbreuken. Doordat topmanagers en managers minder aandacht hebben voor beveiliging, zullen beveiliging en awareness weinig prioriteit hebben. Daarnaast ligt de taak om van informatiebeveiliging meestal bij de IT-manager, dit hoewel het een organisatie breed probleem is en organisatie breed aandacht vraagt. 2. Welke oplossingen zijn er om de awareness te verhogen, en wat zijn de voor en nadelen van deze oplossingen? Aan de hand van interviews is gekeken naar wat de oplossingen zijn voor awareness problemen. Goede communicatie is de beste oplossing. Daarnaast is herhaling van de communicatie noodzakelijk. Hierbij komt wel naar voren dat bij herhaling gekeken moet worden naar de manier waarop informatie wordt aangeboden en de wijze van overdracht van informatie. Het creëren van een gevoel van noodzaak [27], door bijvoorbeeld het breed uitmeten van problemen met betrekking tot beveiliging van informatie is een methode die goed werkt. Door het onder de aandacht brengen van deze informatie en het toepassen van gevolgen van incidenten op de eindgebruiker, brengt met zich mee dat een gebruiker de handelingen niet meer doet omdat het moet, maar doet omdat het van belang is voor het eigen functioneren. In hoofdstuk 5.6 zijn verschillende methodes bekeken en aan de hand van een cijfer beoordeeld op efficiëntie. Hierdoor is een duidelijk beeld verkregen welke middelen en maatregelen effectief zijn om de awareness te vergroten. Deze middelen kunnen allemaal worden teruggekoppeld aan de mate van goede informatieverstrekking en beloning van goed gedrag.

Pagina 77

Bewust van informatiebeveiliging, De zet aan de IT- manager Maar alleen goed communiceren is niet genoeg. Het vergroten van de awareness heeft als probleem verschillende kenmerken. Deze zijn: - Het probleem is ongestructureerd; Over awareness binnen organisaties is geen objectieve informatie beschikbaar, bedrijven kijken niet naar de awareness en hebben geen concrete gegevens over de awareness. Daarnaast is het probleem informatiebeveiliging een probleem waarbij de waarden en normen van de betrokken partijen verschillen. - Het probleem moet in een netwerk worden opgelost; Een onderneming is zelf in wezen een netwerk. Er zijn verschillende partijen met wederzijdse afhankelijkheden en verschillende belangen. - Het probleem en de oplossing is dynamisch; Door het gebrek aan informatie, kan het probleem en de oplossing van het probleem veranderen. Nieuwe technologische innovaties en producten kunnen beschikbaar worden en opvattingen kunnen veranderen. Deze kenmerken van het probleem awareness, zoals hierboven beschreven, geven aan dat de invoering van awareness in een organisatie een probleem is dat met behulp van een procesmatige aanpak moet worden opgelost. Een belangrijk onderdeel van de procesbenadering die betrekking heeft op het vergroten van awareness is een zware bemensing. Doordat er veel verschillende afdelingen zijn, met allemaal hun eigen visie en ervaring, is het noodzakelijk om belangrijke personen van de organisatie te betrekken bij het proces om de awareness te vergroten. Deze zware bemensing is terug te vinden in de awareness-matrix, waar eerst het topmanagement, daarna het management worden betrokken, waardoor een zware bemensing/vertegenwoordiging wordt verkregen. Om een awareness-campagne op te stellen en ervan te kunnen profiteren is het belangrijk dat er binnen de organisatie verschillende stappen worden ondernomen. Deze stappen om het bewustzijn van een gehele onderneming te vergroten, hangen nauw samen met het bewust maken van verschillende lagen van de organisatie. Om een organisatie aware te maken, moet eerst het topmanagement aware zijn. Daarna zal de invloed van het topmanagement door moeten werken en zullen de managers aware worden gemaakt. Dit aware maken van topmanagers en managers is nodig, niet zo zeer om de beveiliging van informatie te verbeteren, maar veel meer om betrokkenheid te krijgen om de awareness in de gehele organisatie te vergroten. 3. Hoe kan de awareness van bedrijven worden gepositioneerd? Gekeken word naar een manier om bedrijven te positioneren, zodat adviezen kunnen worden gegeven om een betere informatiebeveiliging te verzorgen. Deze methode is in de vorm van een awareness-matrix uitgewerkt. De awareness-matrix bestaat uit vier kwadranten. Deze kwadranten zijn ingevuld met de leerstadia van Maslov. Een onderneming bevindt zich aan de hand van ondernomen stappen in een bepaalde fase. De verschillende fasen zijn onbewust onbekwaam, bewust onbekwaam, bewust bekwaam en onbewust bekwaam. Om van de ene naar het andere kwadrant te komen, moeten de awareness van de verschillende betrokkenen worden vergroot en taken worden uitgevoerd. In overgang van de fase onbewust onbekwaam naar bewust onbekwaam, moet het topmanagement aware gemaakt worden. Beleid moet worden opgesteld en tijd, geld en middelen beschikbaar gesteld. In de overgang van bewust onbekwaam naar bewust bekwaam, moeten de managers bewust worden gemaakt. Protocollen moeten worden opgesteld en gecontroleerd. Taken met betrekking tot awareness moeten worden verdeeld. Als laatste fase overgang van bewust bekwaam naar

Pagina 78

Bewust van informatiebeveiliging, De zet aan de IT- manager onbewust bekwaam, moet bij medewerkers de awareness worden vergroot. Ook wordt awareness een deel van de bedrijfsprocessen. Er wordt gemeten en meegenomen in de beoordeling van een medewerker. Om een gewenste positie te bepalen in de awareness-matrix is uitgegaan van het belang van informatie voor de bedrijven. Hierbij is gekeken naar de afhankelijkheid en de gevoeligheid van informatie. Aan de hand hiervan is kan de gewenste positie worden bepaalt. Aan de hand van de ondernomen stappen kan de huidige positie van een onderneming in de awareness-matrix worden bepaald. Op het moment dat de gewenste positie en de huidige situatie is bepaald zullen er concrete stappen worden aangewezen om tot een betere awareness te komen. Tijdens de interviews hebben de verschillende contactpersonen zelf aangegeven waar zij dachten te zitten in de awareness-matrix en is aan de hand van de concretisering gekeken naar de gewenste positie van de geïnterviewde. De verschillende posities van de geïnterviewde bedrijven staan in bijlage VIII. Hieraan kan worden gezien, dat veel bedrijven nog enigszins aandacht moeten besteden om op het juiste niveau binnen de awareness-matrix te komen. Aan de hand van de huidige positie en de gewenste positie, kunnen adviezen gegeven worden over de verwachte problemen en de oplossingen voor deze problemen. Het overzicht van problemen en oplossingen is te vinden in hoofdstuk 5.

6.2 Aanbevelingen vervolgonderzoek Als eerste aanbeveling zal moeten worden gekeken naar de mate waarin afhankelijkheid en gevoeligheid van informatie gebruikt kan worden om een positie in de awareness-matrix te bepalen. In dit verslag is dit door middel van een subjectieve basis bepaald en gecontroleerd met behulp van experts. Dit onderzoek is gericht op middel grote bedrijven in Nederland. Naast deze bedrijven zal er in de toekomst ook aandacht moeten worden besteed aan de MKB, gekeken moet worden of dezelfde maatregelen als bij ondernemingen met meer dan 1000 werknemers ook toepasbaar is bij andere ondernemingen. Aan de hand van een enquête of interviews kan dit worden onderzocht. Op welke manier en hoe moeten de verschillende informatiedragers worden gebruikt en bij welke managementlaag is welke methode om informatie over te dragen het meest effectief, zijn vragen die in een vervolg onderzoek duidelijk moeten worden. Ook zal gekeken moeten worden wat het effect is van een combinatie van de verschillende communicatiemiddelen. Dit onderzoek is een vooronderzoek, dit houdt in dat de resultaten uit dit onderzoek een indicatie zijn en niet een statistisch onderbouwde steekproef.

6.3 Reflectie De reflectie van de verschillende aspecten van het onderzoek zal hieronder worden besproken. Gekeken zal worden naar de inhoud van het onderzoek en naar de methode waarop het onderzoek is uitgevoerd. Reflectie op de inhoud: Als gekeken wordt naar de inhoud en het doel van dit onderzoek, dan blijkt dat de bewustheid van de verschillende IT- managers waarmee is gesproken is verhoogd. Verschillende positieve reacties heb ik gekregen op de interviews. Vaak werd gevraagd naar mijn mening over de stand van zaken bij de desbetreffende onderneming. Ook werden de ideeën en oplossingen die ik tijdens de interviews aan heb gedragen opgeschreven en werd naar mijn mening over de effectiviteit van verschillende middelen gevraagd. In het minste geval, zei de manager dat hij in ieder geval weer na had moeten denken over de uit te voeren taken en over de

Pagina 79

Bewust van informatiebeveiliging, De zet aan de IT- manager informatiebeveiliging binnen de organisatie. Enkele keren werd ik uitgenodigd omdat de onderneming bezig was met het opzetten van security awareness en graag extra informatie wilden over het onderwerp. De reacties tijdens de interviews waren dus zeer positief. Daarnaast gingen de gesprekken met experts redelijk vlot en waren er maar weinig op en aanmerkingen op mijn onderzoek. Hieruit kan worden geconcludeerd dat de inhoud van dit onderzoek voldoet aan de verwachtingen. Reflectie op de methode: De methode waarop dit onderzoek is uitgevoerd heeft in verschillende opzichten niet volledig voldaan. De grootste vraag moet gezet worden bij het feit dat er alleen maar IT-Managers of ITgerelateerde werknemers van een organisatie zijn benaderd. Hierdoor is een te eenzijdig beeld van de werkelijkheid verkregen. Om een beter beeld te krijgen dienen meerdere interviews of enquêtes te worden gehouden, die organisatie breed moeten worden uitgevoerd. Daarnaast is de complexiteit van een onderneming vereenvoudigd en is uitgegaan van een ideale situatie. Er is geen rekeninjg gehouden met het feit dat verschillende negatieve relaties van verschillende afdelingen onderling het proces kunnen belemmeren. Als laatste is dit onderzoek uitgevoerd vanuit het oogpunt van grote ondernemingen. Hoewel het hoogst waarschijnlijk is dat de inhoud van dit verslag goed toepasbaar is op het MKB, zou dit in een vervolgonderzoek nog moeten worden bewezen. Zowel het richten op IT-managers als het interviewen van ondernemingen waar meer dan 1000 werknemers aanwezig zijn, waren wensen van Media Plaza.

Pagina 80


Literatuurlijst Literatuur [1]

P.L. Overbeek, E. Roos Lindgreen, M.E.M. Spruit

Informatiebeveiliging onder controle

derde druk, november 2003

[2]

P.L. Overbeek, E. Roos Lindgreen

Informatiebeveiliging in de praktijk

Internationaal management forum, Eindhoven, september 2003

[3]

F.P.H. Prick van Wely,

Woordenboek Engels

Kramers 1970

[4]

C. Neys

IT’ers, regels en security awareness

Afstudeerthesis Masteropleiding Security in informatie Technologie, Technische Universiteit Eindhoven, april 2003

[5]

J. Boersma, A. MullerSloos, A. Overdiep

Beveiligingsbewust Management

Programmabureau Kwint, Leidschendam, Oktober 2004

[6]

E.Schiltz

Security training and Awareness – fitting a square peg in a round hole

Computers & Security (2004) 23,1 – 2, Elsevier

[7]

M. E. M. Spruit

“Informatiebeveiliging”

College IN4067, 05 – 2003

[8]

M.E.M. Spruit

Risicoanalyse voor Internetaansluiting

HEC, 1998

[9]

P. Overbeek, W Sipman

Informatiebeveiliging

Tutein Nolthenius bv, 1999, 2e druk,, ISBN 9072194578

[10]

R. N. R. van Os

Criminologie als vertrekpunt voor informatiebeveiliging

Informatiebeveiligingsjaarboek 2003 / 2004. Eerste editie eerste druk, 2003, ten Hage & Stam uitgevers, Den Haag. ISBN 90-440-0685-1 NUR 980

[11]

R. Greuter

Informatiebeveiliging anno 2003


[12]

K. D. Mitnick, W. L. Simon, S.Wozniak

The Art of Deception: Controlling the Human Element of Security

[13]

H. Mintzberg

Organisatie structuren

2002

13e oplage, november 2000, Academic Service, Schoonhoven, ISBN 9052610509 NUGI 684 Pagina 81


[14]

Ministerie van Binnenlandse zaken en Koningsrelaties

Handboek innovatiemonitor Openbaar bestuur

uitgave 1.0, Juni 2004

[15]

R. Bolstad

Hoe worden we bewust onbewust bekwaam

InZicht, 1999

[16]

L. van den Bosch, A. Hofman en M.C. Hoogenboom

Onbewust maakt onbekend

Informatiebeveiligingjaarboek 2004/2005. Eerste editie, eerste druk, 2004, ten Hagen & Stam uitgevers, Den Haag. ISBN 90

[17]

E. Magnée en H. Schippers

De strategische betekenis van informatiebeveiliging

EDP-Auditor nummer 2, 2004

[18]

T. Blonk, J. de Haas

Informatiebeveiliging begint bij het management

Informatiebeveiligingjaarboek 2004/2005. Eerste editie, eerste druk, 2004, ten Hagen & Stam uitgevers, Den Haag. ISBN 90-440-1091-3 NUR 980

[19]

F. Cohen

Managing Network Security: The limits of Awareness

June 1999 Network Security, Elsevier Science Ltd

[20]

J. A. de Bruijn, E. F. ten Heuvelhof

Management in netwerken

Delft, 8 juli 1999

[21]

P. Spurling

Promoting Security awareness and commitment

Information Management & Computer Security, Vol 3 No. 2 1995

[22]

M. Brenters

De organisatie als netwerk

Alphen aan den Rijn, 1999

[23]

R. N. R. van OS

Veiligheidsbewustzijn, de 3 C’s

Informatiebeveiligingjaarboek 2004/2005. Eerste editie, eerste druk, 2004, ten Hagen & Stam uitgevers, Den Haag. ISBN 90

[24]

J. Leach

Improving uses security behavior

2003 Computer & Security Vol 22, No 8, Elsevier Ltd

[25]

F.M. Kanters

Communicatie als succesfactor voor informatiebeveiliging


Pagina 82

Bewust van informatiebeveiliging, De zet aan de IT- manager [26]

M.E.M. Spruit

Informatiebeveiliging en bewustzijn


[27]

J.A. de Bruijn, E.F. ten Heuvelhof, R.J. in ’t Veld

Proces management, over procesontwerp en besluitvorming

Academic Service, Schoonhoven, 2e oplage mei 1999. ISBN 90-5261-2633 NUGI 684

[28]

M. E. M. Spruit, M. Looijen

IT – beveiliging in Cijfers

Delft 1997

[29]

S. Gompen, E. Wouters

Het menselijke aspect van informatiebeveiliging meetbaar gemaakt


[30]

J.Boersma, E.R. Nieuwland

Awareness

Presentatie tijdens infosecurity beurs 2004

[31]

N.F.H. Basten

Security Awareness, de zachte kant van informatiebeveiliging


2001,2002,2003,2004

Surveys [S2]

E&Y

Global information security survey 2001,2002,2003,2004

[S3]

KPMG

Global Information Security Survey 2002

[S1]

L. A. Gordon, M.P. Loeb, W. Lucyshyn, R. Richardson

2004,2003 en 2002CSI/FBI Computer Crime and Security Survey

2002 Computer Security Institute, 2004, 2003 en 2002

Internet [I1]

Http://www.mediaplaza.nl/mp.php/kennisplaza/artike l?kp_id=1&id=229

(06-12-2004)

[I2]

Http://mmbase.vnunet.nl/nieuws_print.jsp?id=382166 &rid=350339&site=241

(13 – 12 – 2004)

[I3]

Http://www.breekpunt.nl/nieuwsbericht.asp?id=6331

(10 – 11 – 2004)

[I4]

Http://www.tweakers.net/nieuws/34908

(10 - 11 - 2004)

[I5]

Http://www.computable.nl/nieuws.htm?id=357917

(10 – 09 – 2004)

Pagina 83

Bewust van informatiebeveiliging, De zet aan de IT- manager [I6]

Http://software.silicon.com/malware/0,3800003100,39 125457,00.htm

(09 – 12 – 2004)

[I7]

Http://www.nu.nl/news.jsp?n=422656&c=14

(07 – 10 – 2004)

[I8]

Http://www.ictforyourbusiness.nl/main.asp?ChapterID =2282

(13 – 12 – 2004)

[I9]

Http://www.security.imn.nl/security/gelaagdheid.html

(15 - 10 - 2004)

[I10]

Http://www.noticebored.com/html/samples.html

(06-12-2004)

[I11]

Http://security.arizona.edu/awareness.html

(06-12-2004)

[I12]

Http://www.e-learning.nl

(29-11-2004)

[I13]

Http://www.humanfirewall.org/issues.htm

(17 – 01 – 2005)

[I14]

Http://www.computable.nl/nieuws.htm?id=419888&o =15

(15 – 12 – 2004)

[I15]

Http://www.automatiseringgids.nl/news/default.asp?ar tId=17170

(11 – 01 – 2005)

[I16]

Http://www.noticebored.com/html/human_factors.ht ml

(13 - 12 - 2004)

[I17]

Http://www.security.nl/article/9539/1

(15 – 12 – 2004)

Internet Algemeen ISF

http://www.securityforum.org /html/frameset.htm

Kwint

www.kwint.nl

Media Plaza

www.mediaplaza.nl

Beveiligingsnieuws

http://www.nu.nl http://www.security.nl

Noticebored

www.noticebored.com

Security Plaza

www.securityplaza.nu

The University of Arizona, Information security en privacy

http://security.arizona.edu/

De verschillende internetsites en onderliggende pagina’s zijn in de periode van 07 – 2004 tot 02 – 2005 regelmatig bekeken op content voor het onderzoek. Wanneer er gebruik is gemaakt van deze content, is dit vermeld in een voetnoot.

Pagina 84


Figurenlijst Figuur 1: Onderzoeksopzet ...................................................................................................................................... 12 Figuur 2: Onderzoeksproces..................................................................................................................................... 13 Figuur 3: Plaatsbepaling van awareness binnen organisatorische maatregelen ................................................ 27 Figuur 4: Organisatie structuur Mintzberg ............................................................................................................. 30 Figuur 5: Verschillende lagen binnen een organisatie [I9] ................................................................................... 30 Figuur 6: Model van een mogelijke de organisatie (Zonder ondersteunde diensten)...................................... 32 Figuur 7: ISF awareness framework ........................................................................................................................ 35 Figuur 8: Voorbeeld van een Poster (http://security.arizona.edu/poster11.html (10 – 11 – 2004) )......... 37 Figuur 9: Basis van de awareness-matrix ................................................................................................................ 39 Figuur 10 : Security awareness meetinstrument in de vorm van een matrix..................................................... 40 Figuur 11: Volwassenheid van een organisatie uitgezet tegenover risico .......................................................... 42 Figuur 12: Collegesheets in4067, 2003: M.Spruit, TUDelft, ITS, Informatiesystemen [7]............................. 42 Figuur 13: Awareness gerichte maatregelen in de fase onbewust onbekwaam ................................................ 46 Figuur 14: Awareness gerichte maatregelen in de fase bewust onbekwaam ..................................................... 47 Figuur 15: Awareness gerichte maatregelen in de fase bewust bekwaam.......................................................... 48 Figuur 16: Awareness gerichte maatregelen in de fase onbewust bekwaam ..................................................... 49 Figuur 17: Dimensies van de awareness-matrix..................................................................................................... 50 Figure 18: Indeling van betrokken delen van de organisatie bij de verschillende fase. ................................... 51 Figuur 19: Overgangsfasen ....................................................................................................................................... 52 Figuur 20: Subjectieve concretisering positie awareness ...................................................................................... 54 Figuur 21: Globaal overzicht van het totale model security awareness-matrix ................................................ 56 Figuur 22: Controle kaart om awareness te meten (gericht op de fysieke werkplek) ...................................... 62 Figuur 23: Verschil tussen huidige en gewenste situatie....................................................................................... 63 Figuur 24: Nieuwe technische implementatie tegenover awareness uitgezet ................................................... 73 Figuur 25: Effectiviteit van communicatiemiddelen............................................................................................. 74

Tabellenlijst Tabel 1: Indeling van beveiligingsmaatregelen........................................................................................................20 Tabel 2: Verschillende mogelijke bedreigingen.......................................................................................................21 Tabel 3: Technische middelen om bedreigingen tegen te gaan............................................................................22 Tabel 4: Organisatorische middelen om bedreigingen tegen te gaan..................................................................22 Tabel 5: Top obstakels naar een effectieve informatiebeveiliging, E&Y GISS 2004 [S2] ...............................25 Tabel 6: Voornaamste problemen m.b.t menselijk falen en karakteristieke aspecten van de daarvoor benodigde aanpak [26] ......................................................................................................................................69

Pagina 85


Bijlagen

Pagina 86


I. Geïnterviewde bedrijven Hieronder is een overzicht van de bedrijven waarbij een interview is afgenomen. Ook is een lijst opgenomen met de namen van de awareness experts waarmee mijn bevindingen zijn besproken en gecontroleerd.

+1000 medewerker bedrijven voor interview

Door de gevoeligheid van deze informatie is dit niet opgenomen in deze versie van het verslag

Totaal

15

Totaal

6

Totaal

21

Expert

Pagina 87


II. Interviewprotocol +1000 medewerkers Interview protocol Beveiligingsmanager Naam: Plaats: Tijd: Bedrijf:

Inleiding Recent onderzoek wijst uit dat gebrek aan security awareness bij gebruikers een van de grootste obstakels is voor realisatie van een effectieve informatiebeveiliging. Op dit moment doe ik onderzoek bij bedrijven naar de mogelijkheden voor het vergroten van security awareness bij medewerkers. Interview protocol Ik verricht dit onderzoek vanuit Security Plaza. Security Plaza is een initiatief van Stichting Media Plaza ter bevordering van security awareness in Nederland. Onderzoeksresultaten worden vastgelegd in mijn afstudeerscriptie voor de faculteit Technische Bestuurskunde aan de TuDelft. Iedereen die meedoet met het onderzoek krijgt de beschikking over de resultaten. Procedure Aan de hand van het verzamelde materiaal, zullen verschillende producten worden afgeleverd. Als eerste is dit materiaal nodig voor mijn afstudeerverslag. Daarna zal op basis van de informatie een awareness-matrix opgesteld en ingevuld worden, die beschikbaar zal zijn via www.mediaplaza.nl en kan het materiaal gebruikt worden bij seminars en workshops en andere activiteiten van Media Plaza.Vanwege het mogelijk gevoelige karakter van de informatie, zullen alle interviews anoniem worden behandeld. Benodigde input - antwoord op alle vragen

Pagina 88


Algemeen 1. Kunt u een taakomschrijving geven? • Taak

•

Verantwoordelijkheid

•

Wie is er eindverantwoordelijk voor informatiebeveiliging

•

Wie is er verantwoordelijk voor awareness

2. Hoe groot is de nut van informatie in het algemeen voor uw bedrijf? Schaal 1 op 10 (1 niet belangrijk – 10 heel belangrijk)

Security awareness is de mate waarin elke medewerker de volgende punten begrijpt: - het belang van informatiebeveiliging - het niveau van informatiebeveiliging dat voor de organisatie noodzakelijk is, en er ook naar handelt. 3. In hoeverre bekwaam? • Welke middelen gebruiken jullie voor bescherming? Middelen Wordt gebruikt Middelen Wordt gebruikt Virusprotectie Code informatiebeveiliging Firewalls Beleid Intrusion detection-systemen Protocollen Intrusion prevention-systemen Melding inbreuk Client-firewalls Audit Versleuteling Fysieke beveiliging Contentinspectie / anti-spam WLAN-security VPN – beveiliging (SSL encryptie) Authenticatie PKI

• • • •

Hebben jullie een awarenessprogramma? Welke programma’s/ onderdelen Hoe pakken jullie het aan Hebben jullie codes/gedragregels en procedures opgesteld

Pagina 89


• • • • • •

Gebruiken jullie voorbepaalde methoden (ISF / IMF)

4. Welke stappen zijn genomen om de awareness binnen uw organisatie te vergroten? (bewust, onbewust) • Nut informatiebeveiliging bekend • Risico’s van informatiebeveiliging bekend • Nut awareness bekend • Risico awareness bekend • • Welke toepassingen worden gebruikt en op welke manier Topmanager 5. Zijn de topmanagers binnen uw bedrijf bewust van noodzaak om te beveiligen / bewust van noodzaak van awareness?

6. Zijn er regels en richtlijnen met betrekking tot Beveiliging/awareness opgenomen in beleid?

7. Worden er rapportages gestuurd naar het topmanagement? • Hoe vaak • Waar over • Wat gebeurt ermee?

8. Wordt er geld/ tijd/ personeel beschikbaar gesteld voor awareness?

Pagina 90


9. Welke andere problemen ondervindt u bij het invoeren/uitvoeren van een awareness programma bij het topmanagement?

Managers 10. Zijn managers bewust van de noodzaak om te beveiligen?

11. Geven ze het goede voorbeeld?

12. Welke problemen met invoering/uitvoering van awareness heeft u door managers?

Medewerkers 13. Weten de medewerkers wat mag met informatie?

14. kent medewerkers (gedrag)regels? Hoe zijn ze bewust gemaakt?

Pagina 91


15. Wat zijn de door u ondervonden problemen met betrekking tot awareness en medewerkers?

Awareness programma 16. Heeft u een splitsing van het Awareness programma tussen verschillende lagen binnen de organisaties? (Zo ja, Welke en waarom?) • • • • •

Werknemer Management Topmanagement

17. Wat zijn de belangrijkste knelpunten van de beveiliging met betrekking tot Awareness? • Financiën • Beleid • Geen nut • Gedrag / gewoontes in de groep • Te weinig kennis over de concrete status of werking van het informatiesysteem • Management beslissingen • Bevriezen goed gedrag • Openstaan van technische mogelijkheden • •

18. Wat zijn de maatregelen die u heeft genomen om Awareness te stimuleren en waren deze effectief (ook op langere termijn)? Cijfer tussen de 1 en 5 en waarom dit cijfer Hoofdgroep Methode

Waarom?

Beleid/gedragscode Procedures/ protocollen Persoonsgerichte Communicatie Self assesment

Pagina 92


Workshops Training Gesprekken Presentaties Drukwerk

Brochures Publicatie in blad Flyers Posters Nieuwsbrieven

Nieuwe Media

E-learning Waarschuwing intranet Desktop Systeem messages

Incentives (prularia) Bij Melding

19. Hoe wordt de Awareness gemeten? (Methoden / Ferquentie) 20. Waar schieten de meetinstrumenten in tekort? 21. Op welke punten moet de awareness / het awarenessprogramma vooral verbeterd worden? • • •

Controle Implementatie

Pagina 93


Positionering 22. Waar denkt u dat uw organisatie in het vierkant zit?

Hoge kosten


3. bewust, bekwaam

Kosten

Lage kosten


Groot risico


Bewustheid

Klein risico

Pagina 94


III. Interview experts Naam: Plaats: Tijd: Bedrijf: Tel: Inleiding Recent onderzoek wijst uit dat gebrek aan security awareness bij gebruikers een van de grootste obstakels is voor realisatie van een effectieve informatiebeveiliging. Op dit moment doe ik onderzoek bij bedrijven naar de mogelijkheden voor het vergroten van security awareness bij medewerkers. Interview protocol Ik verricht dit onderzoek vanuit Security Plaza. Security Plaza is een initiatief van Stichting Media Plaza ter bevordering van security awareness in Nederland. Onderzoeksresultaten worden vastgelegd in mijn afstudeerscriptie voor de faculteit Technische Bestuurskunde aan de TuDelft. Iedereen die meedoet met het onderzoek krijgt de beschikking over de resultaten. Procedure Aan de hand van het verzamelde materiaal, zullen verschillende producten worden afgeleverd. Als eerste is dit materiaal nodig voor mijn afstudeerverslag. Daarna zal op basis van de informatie een quickscan opgesteld worden, die beschikbaar zal zijn via www.mediaplaza.nl en kan het materiaal gebruikt worden bij seminars en workshops en andere activiteiten van Media Plaza.Vanwege het mogelijk gevoelige karakter van de informatie, zullen alle interviews anoniem worden behandeld. Benodigde input - antwoord op alle vragen

Doel: Controleren of bevindingen en methode overeenkomen met de gedachten van de expert. Aspecten:

Model Invulling van het model Problemen per vak Oplossingen voor problemen

Pagina 95


Algemeen 1. Klopt het dat topmanagement wel bewust is in Nederland?

2. Klopt het dat het management momenteel bij de meeste ondernemingen het grootste struikelblok vormt?

3. Wat vormt volgens u het grootste blok bij de invoering van een awarenessprogramma?

4. Klopt het dat awareness al lang op de agenda heeft gestaan?

5. Waarom komt het nu pas naar buiten en wordt er wat aan gedaan?

Pagina 96


Controle model

Hoog

Implementeren van technische maatregelen

Risico dragend

Risico neutraal

IT - afdeling Niets

• • • •

Niets


Ad – hoc

Risico mijdend

Manager

Top manager • • • •

Laag


Controle door managers

Gehele organisatie • • • • •

Medewerkers bewust Awareness campagne Bekijken nieuwe risico’s Bijwerken campagne Meten en sturen

Awareness campagne

•

Eerst technische maatregelen, later pas organisatorische maatregelen

•

Belangrijke personen(eerst Top-management, dan management, dan medewerker)

•

Niet voor iedere onderneming noodzakelijk awareness programma (volwassenheid en risico profiel)

Pagina 97


invulling van het model

2. Bewust, onbekwaam • • • •


1. Onbewust, onbekwaam •

Niets

3. Bewust, bekwaam • • • •


4. Onbewust bekwaam • • • • •

Medewerkers bewust Awarenesscampagne Bekijken nieuwe risico’s Bijwerken campagne Meten en sturen

Pagina 98


Problemen per laag in de organisatie Problemen Top- managers - moeilijk communiceren - Snappen het niet - Gebeurt ons niet - Geen personeel beschikbaar - Geen commitment - Moeilijk permanent aandacht krijgen - Zijn het niet eens met de getroffen maatregelen (denken dat een virusscanner ook spam tegenhoud) = onwetend - Snappen de risico’s niet volkomen - Beveiliging moet beter, want risico nemen toe (gelinieerde stijging budget) - Is nog geen “ramp”gebeurd - Mindere prioriteit (verantwoordelijkheden verdelen Managers - Onbekend met risico’s - Beveiliging staat in conflict met flexabiliteit - Moet personeel er beter op wijzen - Is niet bewust mee bezig - Geeft niet altijd het goede voorbeeld - mijn probleem niet - niet de core business - Niet bewust mee bezig - Niet vooruit denken - Proberen het te ontwijken - niet bewust - moeilijk groot draagvlak te krijgen - core bussiness belangrijker - gebeurt ons niet - niet onze taak - niet melden / niet tijdig melden Medewerkers - groepsgedrag / gewoontes in de groep - proberen eronder uit te komen - het is geen boze opzet, maar illegale handeling om aan info te komen - snappen de risico’s niet - verwateren - ict als ontspanning - snappen risico’s niet (beperkt) - Onwetendheid mobiele informatie - denken er niet aan

Pagina 99


Oplossing in communicatie Wat is volgens u de effectiviteit van de volgende methode om awareness binnen een onderneming te vergroten? Hoofdgroep

Methode

Waarom?

Beleid/gedragscode Procedures/ protocollen Persoonsgerichte Communicatie Self assesment Workshops Training Gesprekken Presentaties Drukwerk

Brochures Publicatie in blad Flyers Posters Nieuwsbrieven

Nieuwe Media

E-learning Waarschuwing intranet Desktop Systeem messages E-mail

Incentives (prularia) Bij Melding In kijker zetten? (fouten die medewerkers maken publiek melden)

Oplossing moet worden gezocht in een goede communicatie, - content moet afwisselend en herhalend zijn - Verschillende communicatie middelen kunnen/moeten worden gebruikt

Pagina 100

1 0

Persoonsgerichte Communicatie Drukwerk Nieuwe Media

Prularia bij Melding Mensen in de kijker zetten

E-mail

Systeem messages

Intranet

E-learning

Nieuwsbrieven

Posters

Flyers

Publicatie in blad

Brochures

Presentaties

Gesprekken

Training

Workshops

Self assesment

Protocollen

Beleid

Cijfer


Beoordeling middelen

6

5 4

3 2 Hoogste cijfer Laagste cijfer Gemiddeld Cijfer

Overig

Middelen

Pagina 101


Concretisering Als afhankelijkheid groter of gelijk aan 8 is, moet er minimaal naar gestreefd worden om fase 3 te bereiken. Als gevoeligheid groter of gelijk aan 8 is, moet er minimaal naar gestreefd worden om fase 3 te bereiken. Als de optelsom van afhankelijkheid en gevoeligheid kleiner of gelijk is aan 5 is het niet noodzakelijk om na te denken over awareness, fase 1 is voldoende Als de optelsom van de afhankelijkheid en gevoeligheid tussen de 5 en de 10 ligt, is het noodzakelijk om minimaal in fase 2, bewust, onbekwaam te zitten. Als de optelsom van afhankelijkheid en gevoeligheid tussen de 10 en 15 ligt, dan is het noodzakelijk minimaal in fase 3 te zitten.

0

5

10

15 Afhankelijkheid + gevoeligheid

Onbewust Onbekwaam

Bewust Bekwaam

Bewust Onbekwaam

Onbewust Bekwaam Afhankelijkheid

0

8 Gevoeligheid

0

8

93% van de ondervraagde bedrijven valt momenteel in de 3de en 4de fase van het model met deze concretisering.

Pagina 102


Verschil tussen gewenste en huidige positie

15

Geïnterviewden

13 11 9 7 5 3 1 0Onbewust, onbekwaam 1

Bewust, onbekwaam

2

Bewust, bekwaam

3

Onbewust, bekwaam 4

Fasen Volgens concretisering in vakje

Geschatte huidige positie (door interview)

Uit deze grafiek, die ontworpen is met behulp van de interviews, blijkt dat over het algemeen de top van de organisatie bewust is dat informatie beveiliging en awareness een belangrijk punt is (bleek uit interviews dat topmanagement meewerkt/bewust is van noodzaak om te beveiligen) Het grootste probleem ligt momenteel bij het bewust maken van het management

Pagina 103

IV. Tijdsplanning afstudeerproject

Inlezen plan van aanpak Gewenste situatie Huidige situatie/maken protocol afnemen interviews 1000wnm afnemen interviews controle/opl Maken awareness-matrix Controleren awareness-matrix Publiceren awareness-matrix Publiceren onderzoeksresultaat Afstuderen voorbereiden

23aug

30aug

06sep

13sep

20sep

27sep

04okt

11okt

18okt

25okt

01nov

08nov

15nov

22nov

29nov

06dec

13dec

20dec

27dec

03jan

10jan

17jan

24jan

31jan

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

V. Organogram, Media Plaza Media Plaza startte in 1997 op initiatief van het Ministerie van Economische Zaken, KPN Telecom, ING Groep en de Jaarbeurs Utrecht. Speerpunt was destijds het stimuleren van de elektronische snelweg. Inmiddels is Media Plaza uitgegroeid tot een dynamische ICT-marktplaats en kennisknooppunt in een hightech facilitair centrum. Media Plaza is een stichting, die innovatie stimuleert door vernieuwing te laten zien en ervaren. Met een combinatie van seminars, workshops, rondetafeldiscussies en demonstraties in het state-of-the-art centrum wordt een volledig programma aangeboden. Zo'n totaalprogramma wordt een Plaza genoemd.

Bestuur

Raad van advies

Directie

Administratie

Personeelszaken

Sales

Business development

Facilitair

Communicatie

Innovatie

Redactie

Tabel 7: Organigram van Media Plaza

Eén van deze plaza’s is Security Plaza, dit plaza heeft als doel om klanten op de hoogte te brengen van security innovaties door middel van een virtuele en fysieke ontmoetingsplaats op het gebied van security awareness, informatiebeveiliging en netwerkbeveiliging. Dit onderzoek zal binnen de visie op beveiliging van Media Plaza vallen binnen de “Awareness”.

Innovatie in beveiliging

Awareness

Informatiebeveiliging

Tabel 8: Visie van Media Plaza op beveiliging

Netwerkbeveiliging


VI: Awareness uitgezet tegen tijd

Awareness

Onbewust Bekwaam Bewust Bekwaam Bewust Onbekwaam Onbewust Onbekwaam

Tijd De fasen van awareness uitgezet tegen tijd

Pagina 106


VII: Quickscan

Startpagina quickscan

Invullen Quickscan

Pagina 107


Resultaat quickscan

Advies quickscan

Pagina 108


VIII: Positie in de matrix

Huidige positie 15 Geïnterviewden

13 11 9 7 5 3 1 0Onbewust, onbekwaam

1 Bewust, onbekwaam

2

Bewust, bekwaam

3

Onbewust, bekwaam

4

Fasen Huidige positie (bepaald door interview) Geschatte huidige positie (door ondernemingen zelf)

Pagina 109


IX: Cases techniek

Pagina 110

Biometrie maakt computerruimte veilig ion-ip heeft een nieuw datacentrum geopend

Als

aan

reducerende techniek. Het is namelijk niet

de

Gyroscoopweg

in

Amsterdam.

tweede

is

biometrie

een

kosten-

Bedrijven hosten hier systemen en maken

mogelijk

gebruik van ruimte, datacapaciteit en andere

(zonder het te weten) te verliezen. Bij

voorzieningen van ion-ip. Klanten willen 24

andere toegangsbeheersingssystemen die

uur per dag, 7 dagen per week toegang

werken met sleutels of tokens is dit wel het

“Door

hebben tot het datacentrum, om bij hun

geval. Dit levert vaak naast de kosten voor

hebben we optimaal inzicht in

systemen te kunnen. Om verschillende

een

wie, wat doet in onze com-

redenen is gekozen voor biometrie als

kosten op. Bij gebruik van biometrie is het

toegangsbeveiliging.

aanmelden

om

nieuwe

biometrische

token

de

ook

kenmerken

administratieve

enige

administratieve

handeling die verricht dient te worden.

Betere security gebruik

puterruimtes. we

een

van

biometrie

Daardoor

bieden

betere

security

ten

van

pasjes

en

opzichten

tokensystemen.”

Daarnaast is een ander gevolg van het verlies

van

een

sleutel

of

token

dat

Marc Rolsma,

ongeautoriseerde personen binnen kunnen

Product Manager Hosti ng, i on-i p

dringen. Hierdoor kan een gat in de

b.v.

beveiliging ontstaan. Iets wat met biometrie niet voor zal komen. Als derde heeft het gebruik van een state-of-the-art technologie het

voordeel

dat

het

een

innovatieve

uitstraling heeft. Vingerscanners geven een

Vingerafdrukscanner

Gebruiksgemak “Biometrie is vooral gebruikersgemak. Medewerkers gaan voor gemak, sneller en gemakkelijker

gevoel van vertrouwen bij de klant en zijn

en dat doet biometrie. Dat voor

makkelijk

bedrijven

in

gebruikt.

Gebruik

van

ook

de

beveiliging

biometrische kenmerken heeft dus ook

verbeterd wordt, dat is mooi

positieve gevolgen voor het imago van ion-

meegenomen”

ip. Reinier van der Drift, GeneralManager,Bi oXS

Voordelen van biometrie

W erking biometrie bijion-ip

Ten eerste heeft biometrie als voordeel dat

Geregistreerde klanten, kunnen via internet

alleen de geautoriseerde persoon toegang

een tijd reserveren, wanneer zij in het

Security Plaza

heeft tot de faciliteit. Door de herkenning

datacentrum willen zijn. Er vindt controle

Deze

van vingerafdrukken, worden alleen de

plaats of er al andere klanten zijn op dat

opdracht

binnengelaten die van tevoren

tijdstip. Als het tijdstip vrij is, wordt het

Security Plaza stimuleert security

geregistreerd zijn. Op deze manier is ook

gereserveerd voor de klant. Op dat tijdstip,

awareness bij managers. Voor

duidelijk welke personen op welk tijdstip

wordt de klant toegang verleend. Als de

aanwezig waren in het datacentrum. Dit

klant bij het datacentrum komt, moet hij zich

levert een veiligheid op, omdat eventuele

identificeren door zijn vingerafdruk. Komen

schade die is aangericht kan worden terug

tijd en vingerafdruk overeen, dan wordt de

herleid naar een persoon.

klant toegelaten.

personen

meer

case

is

van

ontwikkeld Security

in

Plaza.

informatie over seminars,

workshops

en

artikelen

mediaplaza.nl/securityplaza

:

Aanwezigheidsregistratie via RFID Chippo

Technologies

produceert

ontwikkelt

innovatieve

software

hardware

producten

en

Radio

en

pasj es systeem van Chippo Presto.

Frequency

Identification

(RFID)

voor

persoonsidentificatie en registratie. Chippo

De werking van het systeem

werkt met contactloze kaarten en readers.

Leerlingen moeten voordat ze de klas

Huidige

onder

ingaan, hun collegekaart voor de reader

aanwezigheidsregistratie

houden.Hierdoor worden ze aangemeld in

andere

toepassingen leerling

systemen en

omvatten

internet of intranet login

de les.Als de les uiteindelij k gaat beginnen,

Goed hulpm iddel “Chippo is geen volautomatisch systeem,

maar

een

systemen. Deze case beschrij ft hoe op

houdt de docent zij n pas voor de reader.

scholen deze producten worden gebruikt.

Leerlingen die hierna binnen komen,worden automatisch als te laat gemarkeerd. De

Aanwezigheidsregistratie

Geert Christiaansen,

docent kan aan het begin van de les op het

Directeur Chippo

Het Mozaïek college in Arnhem heeft

systeem zien, welke leerlingen nog niet

ongeveer 1000 leerlingen. Omdat deze

aangemeld zij n en of deze leerlingen zich

VMBO school in het centrum van de stad

van tevoren absent hebben gemeld.Tussen

ligt,komt het regelmatig voor dat leerlingen

Chippo Presto en de administratie is een

goed

hulpmiddel om de aanwezigheid van leerlingen te registreren.”

RFID Radio Frequency Identification of RFID is een technologie waarmee

besluiten om een middag de stad in te gaan

koppeling, zodat duidelij k is welke leerling

in plaats van lessen te volgen. Gevolgen

op welk moment waar moet zij n en wie ook

RFID

hiervan zij n dat er klachten komen omdat de

daadwerkelij k aanwezig is.

uitgelezen.BijChippo PAS zit de

college wil leerlingen die aanwezig zij n in de

Benodigdheden

de leerlingen toch altij d bij zich

klas en geen leerlingen die tij dens lesuren in

Om het systeem goed te laten werken,is het

dragen.

de

nodig dat de roosters, die gekoppeld zij n

leerlingen voor overlast zorgen.Het Mozaïek

binnenstad zij n. Een

nadeel

van

contactloos de gegevens van een chip

kunnen

worden

chip zit in de collegekaart,iets dat

absentenregistratie is dat dit altij d achter de

aan Chippo Presto, kloppen. Daarnaast

feiten aanloopt.Pas een dag later is bekend

moet ook rekening gehouden worden met

Deze

wie er niet aanwezig zij n geweest en tegen

het feit dat het systeem geen automatisch

opdracht van Security Plaza,een

die tij d hebben de leerlingen allang een

systeem

initiatief van

smoes verzonnen.

medewerking noodzakelij k zij n voor het

Plaza

succes van Chippo Presto.Docenten zullen

security awareness bijmanagers.

Er moet dus gekeken worden naar een

is, maar

dat

controle

en

moeten controleren op het gebruik van

manier om leerlingen beter te controleren en

pasj es

sneller informatie beschikbaar te krij gen.

voorkomen.Ook moeten docenten aan het

Daarnaast

min

begin van de les niet vergeten hun pas te

moet

het

systeem

zo

van

leerlingen

om

fraude

te

mogelij k geld en personeel gaan kosten.Om

laten scannen.Regels en naleving van de

deze problematiek op te lossen en te

regels zij n nodig om het systeem te laten

voldoen aan de gestelde voorwaarden, is

werken.

gekozen voor de implementatie van een

Security Plaza case

ter

Voor meer

is

ontwikkeld in

Stichting bevordering

Media van

informatie over de

evenementen van Security Plaza bezoek

de

website


via:

Huidige situatie Als leerlingen besluiten om een middag niet aanwezig te zijn bij de lessen, wordt dit door het systeem bij aanvang van de les opgemerkt.

Zonder

controle

van

klassenboeken wordt de informatie direct opgeslagen in het systeem. De vroegere administratieve handelingen zijn niet meer nodig. Automatisch wordt gemeld welke leerlingen niet aanwezig zijn. Gelijk kunnen stappen

worden

ondernomen

om

de

desbetreffende leerling te bereiken, om naar de reden van het verzuim te vragen. Ook ouders van de leerling kunnen direct op de hoogte worden gesteld. Daarnaast zijn er ook

mogelijkheden

om

laatkomers

te

registreren. Stel dat een leerling drie keer te laat gekomen is, dan wordt automatisch een melding gegeven door het systeem. En kan deze leerling verzocht worden om te helpen met corvee diensten of om na te blijven.

Gevolg van de invoering van Chippo Presto aanwezigheidsregistratie

Door de invoering van het systeem zijn er minder spijbelaars. De invoering heeft echter niet als gevolg dat de hoeveelheid te laat komers is verminderd. W el is er een striktere handelswijze met betrekking tot te laat komers door de invoering van Chippo Presto.

niet

zozeer

het verminderen van het aantal FTE’ s, maar een verplaatsing van de huidige FTE’ s. W erd er voorheen veel aandacht en tijd besteed aan de administratie voor de

Lastig voor spijbelaars

aanwezigheidsregistratie, momenteel wordt

De spijbelaar gaat lastige tijden

deze aandacht gebruikt om de leerlingen op

tegemoet. Althans, als het aan

te volgen. Een bijkomstigheid van het

het Veldhovense bedrijf Chippo

systeem,

Technologies ligt. Het doel: de

is

dat

scholen

door

het

gestructureerd opslaan van hoeveel lessen er zijn en hoeveel leerlingen er les volgen op de school, de subsidie aanvragen beter in kunnen vullen. Daarbij komt dat als ernaar gevraagd

houdt de leerling de ChippoCard

de

mogelijk

gegeven

is

lessen

en

wordt contactloos uitgelezen en het

hoeveelheid leerlingen.

systeem

aanwezigheid Omdat

Inloggen op intranet

het

registreert automatisch.

systeem

real-time

registreert verandert de vraag van

zijn

meer

toepassingen

met

de

ChippoCard mogelijk. Speciaal voor de

“waar was je gisteren?” naar “waar ben je nu?”.

toegang tot netwerken heeft Chippo samen met

Quadrix

System

Design

het

ChippoGuard systeem ontwikkeld. Het werkt simpel: je hebt een ChippoCard nodig en een pincode, een combinatie van “je hebt iets” en “je weet iets”. Alleen met deze combinatie krijg je toegang tot het computernetwerk. Er is al een school in Nederland waar leraren van deze nieuwe technologie gebruik maken om vanaf thuis via een secure

vpn

verbinding

met

computernetwerk van school te maken.

Chippo Presto Reader

voor de opvolging. Bij het naar binnengaan (school en/of lokaal)

voor de lezer, de ChippoCard

van

het

te-laat registratie automatiseren zodat er meer tijd beschikbaar is

gedetailleerd overzicht te overleggen als bewijs

wordt

aanwezigheidsregistratie en de

een

Er

Resultaten en gevolgen

is

het

Bron:

FiAC

Opleidingen

Trainingen, fiac.nl

&

Veilig elektronisch factureren met PKI Bij een internationale elektronica fabrikant,

dat er geen papieren documenten na

met ongeveer 20.000 medewerkers, gaan

hoeven te worden gezonden.

per

dag

tussen

de

500

en

1000

elektronische facturen de deur uit.Ook ishet

Trends

e-mail verkeer de laatste jaren met een

Tegenwoordig komt het veel voor dat er een

Gebruiksgemak

toegenomen. De

behoefte is aan het veilig versturen en

“Bij

gegevens die via e-mail verstuurd worden

ontvangen van e-mail. Het gebruik van e-

vriendelijkheid en het weghalen

moeten beveiligd zijn, want deze gegevens

mail is enorm

van drem pels voor de gebruikers

zijn van groot belang voor de fabrikant.

gevaren verbonden aan het versturen van e-

enorme

hoeveelheid

Uitdaging De

elektronica

fabrikant

gestegen en er zijn vele

Izecom

staat

gebruiks-

voorop.“

mail.Tegelijkertijd is het gemak van e-mail

Christine Karman

en factureren over internet kosten en tijd

CEO Izecom

fabriceert

besparend. Veel bedrijven zullen gebruik

communicatie en computer apparatuur door

willen maken van elektronisch factureren en

W at zegt de wet?

heel de wereld.Dit betekend dat er facturen

e-mail. Er dient dus een veilige manier

De wet zegt: Een elektronische

moeten worden gezonden rond de hele

worden

wereld. De fabrikant streeft ernaar om de

gevonden

om

documenten

elektronisch te versturen.

handtekening

is

handtekening die

bestaat

een uit

elektronische gegevens die zijn

facturen elektronisch te versturen, omdat

vastgehecht

deze makkelijker te verwerken zijn en

Er is gekozen voor PKI

minder tijd kost.Maar naast deze facturen

Om dit te bereiken is gekozen voor de

aan

of

logisch

geassocieerd zijn m et andere

moet er ook een papieren versie worden

invoering van een digitale handtekening, die

verzonden. Dit omdat de verschillende

gedeeltelijk gebaseerd is op Public Key

belastingkantoren wereldwijd vaak geen

Infrastructure en encryptie techniek

genoegen nemen met alleen elektronische

Izemail.Eerder genoemde belastingdiensten

facturen.Er zit namelijk geen handtekening

waren na een uitleg van de werking van

elektronische gegevens en die worden gebruikt als m iddel van authenticatie.

van

op een elektronisch document.Gevaren van

deze manier van verzenden tevreden met

het elektronisch via internet versturen van

alleen een elektronische factuur.

Digitale sleutelbos Een digitale sleutelbos is een situatie waarbij m en voor de diverse toepassingen binnen de diverse

mail en data zoals spam, virussen en

maatschappelijke

sectoren, zal beschikken over

phishing zijn aan de orde van de dag.Grote

Eenvoudige implementatie

bedrijven

meestal

De benodige aanpassing voor het gebruik

vertrouwelijke e-mail. Gezien de risico’ s is

van digitale handtekening en encryptie was

Security Plaza

het van groot belang dat ook dit veilig gaat.

minimaal. Slechts de

Security Plaza stimuleert security

Zekerheid van afzender en ontvanger is een

extra

must,

installatie van de benodigde software was

versturen

veel

en

zonder dat derden inzage kunnen

computer

aan

een digitale handtekening.

koppeling van een het

netwerk

en

hebben in de vertrouwelijke stukken. Dit

hiervoor nodig.Na het aanpassen van de e-

bedrijf wil investeren in een

manier om

mail instellingen van de medewerkers ging

veilig en betrouwbaar e-mails en e-facturen

alle e-mail langs de certificaten gateway.

te

Medewerkers merkten geen verschil tussen

verzenden,

waarbij

ook

de

rechtsgeldigheid van een zodoende aard is

de nieuwe werkwijze en de oude.

awareness bij managers. Voor meer

inform atie over sem inars,

workshops

en

artikelen


:

hebben, of die niet aangesloten zijn bij de

Werking van digitale handtekening Hoe werkt een digitale handtekening? Een vergelijking

is

te

maken

met

een

vingerafdruk. Een vingerafdruk is uniek en hoort bij één persoon. Personen kunnen wel afdrukken afgeven aan iedereen, zonder dat zij

van

deze

afdruk

opnieuw

een

maken.

Van

vingerafdruk

kunnen

documenten

gewaarmerkt

met

een

vingerafdruk is te zien van wie het afkomstig is. Op deze manier werkt een digitale handtekening ook. Doormiddel van een publieke

code

is

een

document

te

versleutelen en naar ontvangers te sturen met een private sleutel. Alleen met de private sleutel kan de publieke sleutel worden geopend. Op deze manier kan niemand ongemerkt e-mail lezen. Om de afzender te waarborgen, kan de afzender eerst de code met zijn private sleutel versleutelen en dan met de publieke sleutel van de ander. Als de ander nu de mail krijgt, moet eerst met de private sleutel het mailtje worden geopenend. De inhoud is onderweg niet gelezen. Daarna wordt met behulp van de publieke sleutel van de ander de data ontcijfert. Nu is zeker dat het mailtje afkomstig is van degene is die zegt het mailtje verstuurd te hebben. Op deze manier wordt er dus en voor een veilige manier van verzenden van mail en documenten gezorgd

leverancier

van

implementatie

de

van

software.

Izemail

is

gebruiken

om

te

certificaat heeft, wordt er door Izemail een certificaat aangemaakt voor deze persoon. de

E-mail onbetrouwbaar?

ontvangende partij kiezen om een gratis lite-

Om

e-mail

te

ontvangen

E-mail is het meest effectieve

versie van Izemail te downloaden om mail te

en

efficiënte

medium

om

informatie

de mail te bekijken met een webmail

Echter, de vertrouwelijkheid en

applicatie van Izecom. Op deze manier

privacy is niet gegarandeerd.

worden

partners

Izemail

te

niet

gebruiken

gedwongen om

te

ook

kunnen

communiceren. Als de partner al een

uit

te

wisselen.

Zo is onlangs een aantal malen in het nieuws geweest dat vertrouwelijke Tweede

e-mail

van

Kamerleden

certificaat heeft, zal dit worden opgeslagen

onderschept werd, waardoor

in de database van Izemail. Na het sturen

gevoelige

van een mail naar een onbekende partij, zal

publiekelijk bekend werd.

in de database van Izemail gekeken worden of deze partij al een certificaat heeft. Is dit het geval, dan zal de publieke sleutel op het systeem

van

de

verzender

worden

gedownload. Op deze manier kan dus beveiligde

mail

verstuurd

worden

partijen met en zonder certificaten.

Resultaat De resultaten van PKI oplossing:

-

Ruimte besparing

vermeld

en

-

Makkelijke verwerking

veiligheid zijn dus de kernwoorden voor de

-

Veiligheid

digitale handtekening.

-

Betrouwbaarheid

W at normaal wel een probleem is bij het

-

Betrouwbaar imago

dat het niet mogelijk is mail en facturen te

kan

bekijken. Tevens is er de mogelijkheid om

degene die als afzender bij het mailtje

sturen naar bedrijven die geen certificaat

kunnen

mail naar een persoon die nog geen

Kosten besparing

invoeren van een digitale handtekening is

niet

communiceren. Bij het versturen van een e-

-

Betrouwbaarheid

het

de

noodzakelijk dat business partners ook Izemail

en weet men zeker dat het mailtje komt van

staat.

Bij

naar

informatie

Device en content encryptie SafeBootis een bedrij fdatsoftware heeft

beheer

ontwikkel d om mobiel e data te beveil igd.Om

probl emen of aanpassingen binnen de

deze data te beveil igen wordt gebruik

huidige bedrij fsvoering teweeg te brengen.

gemaakt van

En moest vanuit financieel oogpunt ook

encryptie. Onl angs

heeft

en

impl ementatie

geen

grote

gel etworden op de kosten.

Goede beveiliging

De werking van het systeem

"W ith onl y one fil e to downl oad

Encryptie

Encryptie van een mobil e device werktal s

onto W indows-based pl atforms,

In deze case zalgekeken worden naar Atos

vol gt:Om een goede beveil iging te krij gen

SafeBoot de SC Magazine Reader trust award 2004 gewonnen.

SC Magazine Findings

KPMG Consul ting. Atos KPMG Consul ting

maakt SafeBoot gebruik van twee zaken

heeft enkel e

namel ij k

duizenden

medewerkers

een

goede

en

krachtige

verspreid over een groot aantal l ocaties.

toegangsbeheersing

Veelvan de werknemers zij n in dienstal s

encryptie. De toegangsbeheersing kan bij

en

een

zware

consul tant.Deze consul tants zij n vaak onder

SafeBoot tweel edig zij n, dus naast het

weg ofbijkl anten en werken metbehul p van

gebruik

mobiel e

en

gebruikersnaam en wachtwoorden,kan ook

pal mtops. Op de verschil l ende mobiel e

gebruik worden gemaaktvan een smartcard

apparaten staan bel angrij ke gegevens met

ofeen USB token.Voor de encryptie wordt

betrekking tot het eigen bedrij f en met

gebruik gemaakt van bewezen al goritmes

apparatuur

zoal s

l aptops

van

de

gebruikel ij ke

SafeBoot

al so

provides

transparent protection and even al l ows

upgrades

to

be

transparentl y depl oyed from a centraladministrative consol e"

Encryptie Encryptie is het transformeren van

data

in

een

ongeauthoriseerde

voor

personen

onbegrij pel ij ke code.Decryptie is

betrekking totde kl ant.Onder geen beding

zoal s RC5-1024 en AES-256.Daarnaastis

het omkeren van encryptie en

mogen deze gegevens in verkeerde handen

de encryptie en ecryptie transparanten “on

zorgtervoor datuitde onl eesbare

val l en ofuitl ekken.Nietal l een omdater een

the fl y” en gaater bij na geen performance

code weer l eesbare,begrij pel ij ke

hevige concurrentie is,maar tevens omdat

van het systeem verl oren gaat. Encryptie

code wordtverkregen.

de kosten van verl ies van data een zware

zorgt ervoor dat de data op het mobiel e

inbreuk voor de onderneming zou zij n.

apparaatnietmeer te l ezen is,al s er nietop

Daarnaast wil het bedrij f vol doen aan de

de

richtl ij nen van BaselIIen Sarbanes-Oxl ey.

voorkomt

Deze

personen

Nieuwe

beursgenoteerde

regul ering

voor

j uiste

manier dat

wordt ingel ogd. Dit er

ongeauthoriseerde

bij bel angrij ke

data

kunnen

Security Plaza Deze

case

is

ontwikkel d

in

opdrachtvan Security Pl aza,een

ondernemingen

komen. Daarnaast heeft SafeBoot een

initiatief van

verpl ichten bedrij ven om hun el ektronische

centraal management appl icatie, waarmee

Pl aza

ter

Stichting bevordering

Media van

correspondentie te bewaren.Hiervoor moet

de hel e encryptie kan worden bij gehouden.

security awareness bijmanagers.

ook een opl ossing komen om dit veil ig te

Tevens worden de pol icies voor SafeBoot

Voor meer

via dit central e management systeem top-

evenementen van Security Pl aza

doen.Encryptie is hier de opl ossing.

down opgel egd.

Am bities De ambities is in de eerst pl aats om gegevens te beveil igen op een betrouwbare en transparante manier. Daarnaast dient

bezoek

informatie over de

de

website

www.securitypl aza.nu

via:

ingrijpende

veranderingen

voor

de

eindgebruiker, is het belangrijkste resultaat dat

er

encryptie

is

toegepast

op

de

apparatuur waar SafeBoot is geïnstalleerd. Op

deze

manier

zijn

deze

apparaten

beveiligd tegen verlies en diefstal en zullen derden niet bij de gegevens kunnen komen. SafeBoot heeft nog een ander voordeel. Op \

het moment dat een laptop of computer

Het instellen van de software

wordt verkocht, is het niet noodzakelijk om de harddisk te wissen, om de harddisk te

Benodigdheden

verwijderen

Om encryptie toe te passen op mobiele

vernietigen. Op het moment dat de laptop

apparatuur, moet de software van SafeBoot

niet wordt gebruikt door iemand die de juiste

of

om

de

harddisk

te

worden geïnstalleerd op ieder afzonderlijk

combinatie van inlognaam en wachtwoord

apparaat. Door middel van centrale sturing,

niet weet, zal de data op het mobiele

is dit geen probleem. Als een laptop of

apparaat ontoegankelijk zijn voor deze

palmtop aan het netwerk wordt gekoppeld,

gebruiker. Op het moment dat de laptop

zal de software automatisch downloaden en

door verkoop verwisseld van eigenaar is de

ïnstalleren.

data dus onbruikbaar.

Het

enige

verschil

dat

de

gebruiker merkt is dat er een ander login scherm is bij opstarten van de het apparaat.

Content encryptie Er zijn meer toepassingen mogelijk met encryptie. Speciaal voor het beschermen van

content

encryptie

heeft

ontwikkeld.

SafeBoot Content

content encryptie

zorgt ervoor dat data die op servers, Nieuw opstartvenster,het enige verschil

computers, datasticks, memorycards

en

dergelijke is opgeslagen beveiligd word door

Huidige situatie

middel van versleuteling. Eén van de

Alle mobile devices van de consultant, zijn

grootste

momenteel

encryptie is het feit dat data versleuteld is en

beveiligd

door

middel

van

voordelen

van

deze

content

SafeBoot encryptie. Zonder problemen is de

versleuteld blijft, ook op het moment dat het

software geïnstalleerd op de systemen en

van de ene gegevensdrager naar de andere

draait het. Terwijl er niets is veranderd aan

gegevensdrager wordt gekopieerd. Op deze

de werkwijze van de consultants.

manier zorgt SafeBoot content encryptie voor een goede en betrouwbare encryptie

Resultaten en gevolgen

van content, waar niet zonder de juiste

Naast de al beschreven resultaten zoals makkelijk

te

implementeren

en

geen

sleutel gebruik van kan worden gemaakt.

CRAMM risico - model Glidepath introduceert een nieuw concept

Informatiebeveiliging Rij ksoverheid). Deze

voor

IT-outsourcingmarkt. Europa' s

verschillende richtlij nen schrij ven elk voor

eerste gespecialiseerde aanbieder van IT-

de

dat er een risico analyse moet worden

beheerdiensten

uitgevoerd, om zodanig een passende set

biedt

klanten

kwalitatief

Passende maatregelen

hoogstaande oplossingen voor het beheren

aan maatregelen te kunnen implementeren.

van bedrij fsapplicaties, -systemen en -

Daarnaast

netwerken.Vanuit het eigen datacenter ofbij

risicoanalyse een verplicht ‘ onderdeel’ . De

bevei l i gi ngsmaatregel en

de klant biedt het bedrij fmanaged services:

Code voor Informatiebeveiliging schrij ft een

passend i s voor de organi sati e.”

geavanceerde en flexibele oplossingen voor

diepgaande risico analyse voor. Voor het

het

elke

uitvoeren van deze analyse is CRAMM

bedrij fskritische

zowel als methode als tool een uitstekend

monitoren

en

managen

denkbare

van

is

bij

certificering

een

applicatieomgeving. Klanten bepalen zelf

hulpmiddel, Omdat de omgevingen waarin

hoe,

specifieke

GlidePath opereert volop in beweging zij n,is

bedrij fsapplicaties,-systemen en -netwerken

waar

en

welke

het voor GlidePath van belang dat de risico

worden uitbesteed. Bovendien zij n alle

analyse

aspecten van beheer,zowel de processen,

CRAMM dit faciliteert, is voor CRAMM V

de technologie als de organisatie,op elkaar

kan

worden

herhaald. Omdat

“CRAMM verzorgt een set aan

Leo W estra, Consultant informatiebeveiliging 3 – ANGLE Software & Services

Citaat “De combi nati e CRAMM /3-Angl e i s een ui tstekende basi s voor het

gekozen.

bouwen van een goed werkend

afgestemd. Tevens biedt GlidePath onder

Informati on Securi ty Management

één overkoepelende afspraak en op elke

W erking CRAMM risico - model

denkbare locatie optimale beschikbaarheid

De CRAMM analyse van GlidePath is

van de complete IT-infrastructuur. Klanten

uitgevoerd met behulp van 3 – ANGLE

behouden altij d de volledige controle en

System.”

Douwe van Houte,

Software & Service.Tij dens deze specifieke

Program Manager

gemaakte

case, is de methode gebruikt om een

GlidePath Nederland B.V.

afspraken direct online en dus transparant

medewerker van GlidePath te trainen. Na

gerapporteerd worden.

deze training heeft deze medewerker met

sturing

in

handen

doordat

Om klanten te kunnen garanderen dat de

ondersteuning van 3 – ANGLE Software &

door

Services

GlidePath

beheerde

informatie

in

de

analyse

toegepast

op

goede handen is,wil GlidePath voldoen aan

GlidePath.

de huidige gestelde veiligheidsnormen en de

Als eerste wordt samen met de klant een

eerste stap voor GlidePath is de BS7799 of

obj ect

de Code voor Informatiebeveiliging.

analyse wordt duidelij k welke deel van het

Deze

systeem of welk proces er moet worden

opdracht

W aarom een risico analyse

analyse

gedaan. Tij dens deze

beschouwd. Op deze manier wordt een

Er zij n op dit moment verschillende normen /

duidelij ke afbakening verkregen.

standaards

Hierna

met

betrekking

tot

zal

een

afhankelij kheidsanalyse

worden uitgevoerd. Deze afhankelij kheids-

voor

analyse

Informatie

beveiliging (ISO/IEC

–

kan

op

2 manieren

Security Plaza case

is ontwikkeld

van

in

Security Plaza.

Security Plaza stimuleert security awareness bij managers. Voor

informatiebeveiliging. Zo zij n er de Code

17799),Sarbanes-Oxley en VIR (Voorschrift

di e

worden

uitgevoerd. Door middel van interviews of

meer


workshops

en

artikelen


:

door middel van een workshop, worden alle

Om het beheer en de controle makkelijk en

verantwoordelijke personen, die te maken

effectief te maken kan gebruik worden

hebben met de systemen of processen

gemaakt van het managementdeel van

benaderd. Bij een interview zal dit gebeuren

CRAMM.

door

Code van informatie beveiliging

individueel

de

betrokkenen

te

ondervragen, waarna conclusies kunnen

De certificering is hetgeen waarom de risico

worden getrokken. Tijdens een workshops

analyse is uitgevoerd. Doordat er gekozen is

zal door middel van discussie waarbij de

voor de Code van informatiebeveiliging is

betrokkenen

aan

deel

nemen

de

deze analyse uitgevoerd met behulp van het

afhankelijkheden in kaart worden gebracht.

CRAMM risico - model. Om een certificering

Na deze afhankelijkheidsanalyse zal met

te krijgen moeten er drie verschillende

behulp

stappen worden doorlopen. Deze zijn de

van

een

rapport

gecontroleerd

worden of de bevindingen overeen komen

volgende.

met de bevindingen van de opdrachtgever. De

volgende

stap

is

1.

een 2.

38 - tal bedreigingen die al dan niet relevant

Deze

bedreigingen

3.

zijn

verschillend van aard. Zo zijn er bijvoorbeeld

Is

er

voldoende

en

goed

gedocumenteerd?

zijn voor een organisatie en waaruit gekozen worden.

een risico - analyse op de

juiste wijze uitgevoerd?

kwetsbaarheidanalyse. CRAMM V kent een

kan

Is er

Zijn de maatregelen daadwerkelijk geïmplementeerd?

Op dit moment is men bezig met de tweede

technische en fysieke bedreigingen. Samen

stap van voor de certificering. In het eerste

met

de

kwartaal van volgend jaar hoopt GlidePath

een

in het bezit te zijn van de certificering. Om

de

resultaten

afhankelijkheidsanalyse

van wordt

zogenaamd risicoprofiel opgesteld. Aan de

de

hand van dit profiel selecteert CRAMM uit

noodzakelijk om iedere 2 jaar een risico -

een bestand van ruim 3.200 denkbare

analyse te doen om te kijken of het bedrijf

maatregelen op 3 verschillende niveaus,

nog voldoet aan de norm.

een set van aanbevolen maatregelen.

Als het bedrijf 2 jaar geleden voor het eerst

Op

het

eerste

niveau

staan

vooral

certificering

te

behouden

is

het

is gecertificeerd en er geen ingrijpende

statements. De andere niveau’s zijn meer

veranderingen in de organisatie (computer

eisend en meer concreet uitgewerkt . Op

architectuur) of omgeving van het bedrijf

het moment dat de analyse is uitgevoerd,

heeft plaatsgevonden, dan kan volstaan

zal –er gekeken moeten worden

worden met een verkorte versie van deze

maatregelen

er

al

dan

niet

geïmplementeerd middels de

welke zijn

risico-analyse.

GAP –

analyse waarbij CRAMM ook ondersteuning

Waarom CRAMM

biedt. Op deze manier word een set van

CRAMM heeft verschillende voordelen. Als

maatregelen verkregen die nog moeten

eerste

worden geïmplementeerd.

zorgt

CRAMM

beveiligingsmaatregelen aangedragen

passend

ervoor die zijn

dat

de

worden voor

de

organisatie.

Hierdoor wordt een werkbare

en veilige organisatie verkregen en niet een onwerkbare veilige omgeving. Daarnaast is CRAMM de enige risico analyse die voldoet voor een certificering van de code van informatiebeveiliging,

middels

wizards

kunnen de diverse verplichte documenten zoals het ISMS en een documentatieregister worden opgesteld.

SecureNotebook SecureNotebook is een aanbieder van en-

woord om de software te downloaden. De

cryptie software, waarbij verschillende on-

software werd geïnstalleerd en na de instal-

dersteunende diensten worden verleend. De

latie en herstart van het notebook werd tele-

encryptie van SecureNotebook is geen file,

fonisch gecontroleerd of de installatie goed

container of directory encryptie, maar een

was verlopen. Gelijktijdig werd de encryptie

Tonino-Effect

encryptie van de gehele harde schijf van

geactiveerd. Het feitelijke encryptieproces

“Het “Tonino-effect” is toch sim-

een mobiel apparaat. De doelgroep van Se-

duurt een paar uur, afhankelijk van de groot-

pelweg

te en de snelheid van de harde schijf. Als dit

financieel planner die écht werk

proces klaar is, dan is de notebook bevei-

maakt van zijn zorgplicht.“

cureNotebook zijn kleinere ondernemingen.

Waarom SecureNotebook

ligd.

Dick Kruijt van Kruijt Consultancy & Training, is een financieel planner die zich richt op de

De gevolgen voor de gebruiker zijn mini-

doelgroep (zeer) vermogende particulieren

maal, omdat SecureNotebook gebruik maakt

en ondernemers. Als financieel planner

van single-sign-on. Voordat het besturings-

werkt hij op verschillende plaatsen en bij

systeem wordt opgestart, wordt er om een

verschillende ondernemingen. Als gevolg

wachtwoord en een gebruikersnaam ge-

hiervan is zijn notebook een onmisbaar in-

vraagd. De gebruikersnaam en het wacht-

strument. Maar ook de veiligheid van de

woord wordt na het inloggen in SecureNote-

gegevens die op de notebook opgeslagen

book getransporteerd naar het inlogscherm

staan, moet worden gewaarborgd. Als finan-

van het besturingssyteem, zodat er niet twee

cieel planner bezit Kruijt over alle financieel

keer een gebruikersnaam en wachtwoord

gevoelige gegevens van zijn cliënten.

moet worden ingevuld.

ondenkbaar

voor

een

Dick Kruijt Directeur Kruijt Consultancy & Training

Hoog veiligheidsniveau “SecureNotebook levert een hoog veiligheidsniveau, zonder dat er inbreuk wordt gedaan op het gebruikersgemak.” Eric Cantineau, Directeur SecureNotebook

Nu wilde Kruijt op vakantie, maar op het laatste moment dacht hij eraan om zijn notebook (die thuis bleef) te beveiligen. Dit zodat er in geval van diefstal geen gevoelige informatie van de notebook kan worden gehaald. Op deze manier kwam Kruijt in con-

Security Plaza

tact met SecureNotebook.

Deze case is ontwikkeld in op-

Installatie

dracht van Security Plaza. Secu-

Als eerste werd het service-overeenkomst gedownload van de website. De onderte-

rity Plaza

Onkraakbaar

kende overeenkomst werd teruggefaxt naar

De beveiligde notebook van Kruijt werd tij-

SecureNotebook. Na ontvangst van de ge-

dens zijn afwezigheid niet gestolen, maar

tekende

een paar maanden later crashte de harde

service-overeenkomst,

ontving

Kruijt per email een loginnaam en wacht-

schijf van de notebook.

stimuleert security

awareness bij managers. Voor meer


workshops

en

artikelen


:

Omdat er na de laatste backup nog twee

identiteit van de beller, wordt de code vrijge-

weken aan werk op de notebook stond, be-

geven en is het toch mogelijk om op een

sloot Kruijt om deze naar een bedrijf te

snelle en betrouwbare manier bij informatie

brengen die de data weer van de harde

te komen.

schijf zou halen. Gemeld werd dat de schijf

Ook is het mogelijk om de harde schijf on-

geëncrypt was, maar dit was voor het reco-

bruikbaar te maken. Op het moment dat de

ver bedrijf geen enkel probleem. Iedere be-

notebook is afgeschreven kan door middel

Serieus beveiligen

veiliging was volgens hen te kraken. Na 2

van encryptie de harde schijf voor 99,9%

“Wat mij betreft moet iedere ge-

weken was de notebook nog niet terug en

onbruikbaar worden gemaakt.

certificeerde financiele planner, die aangesloten is bij de FFP,

was inmiddels naar een laboratorium in Duitsland gebracht, waar geprobeerd werd

Waarom SecureNotebook?

verplicht moeten worden om cli-

om de encryptie te breken en de informatie

Dat SecureNotebook werkt blijkt uit de erva-

terug te vinden op de harde schijf. Maar de

ring van Dick Kruijt. Maar is het noodzakelijk

encryptie werd niet verbroken.

om dergelijke beveiliging te installeren op

ent data te beveiligen op een serieuze wijze. Om de kosten hoeft het niet te worden gelaten.”

een notebook? De meeste computers en

Dick Kruijt

notebooks zijn toch al beveiligd door middel

Directeur

Omdat de data van wezelijk belang was voor

van een windows wachtwoord?

Kruijt Consultancy & Training

de uitvoering van zijn werk, is Kruijt naar

Windows wachtwoorden zijn voor veel kra-

SecureNotebook gegaan om te vragen of ze

kers geen probleem, ze leveren weliswaar

Herstel

de beveiliging van de notebook wilde halen,

een vertraging op, maar beschermen de

zodat de gegevens van de hardeschijf nog

informatie onvoldoende. Ook andere bevei-

achterhaald konden worden. SecureNote-

ligingen zoals het BIOS wachtwoord zijn

book kon met behulp van de encryptiesleutel

meestal makkelijk te resetten door middel

op lokatie bij Kruijt de hardeschijf decrypten

van een resetknop. Daarnaast kan een har-

en de data van de harde schijf worden ge-

de schijf altijd worden overgezet als 2

haald.

de schijf bij een andere computer. Op deze

de

har-

manier is de data gemakkelijk leesbaar.

Andere opties SecureNotebook werkt met de mogelijkheid

Omdat data op een mobiele apparaten ge-

om meerdere vormen van authenticatie te

voelig kan zijn en omdat mobiele apparaten

gebruiken. Zo is het mogelijk om bijvoor-

makkelijk kunnen worden verloren of ont-

beeld met wachtwoorden en een token te

vreemd, is het verstandig om mobiele appa-

werken. Op deze manier wordt de identiteit

raten goed te beveiligen om schade te voor-

van de gebruiker dus dubbel vastgesteld.

komen.

Maar een token is te verliezen en een wachtwoord kan worden vergeten. Om dit op te lossen kan er een resetcode worden gegeven. Om een resetcode te krijgen moet contact worden opgenomen met SecureNotebook. Na het vaststellen van de juiste

Bewust van informatiebeveiliging De zet aan de IT-manager

Recommend Documents