Op het gebied van informatiebeveiliging is eenzelfde

Artikel

Informatiebeveiliging gezien vanuit een Service Management perspectief Vincent Jentjens

Service Management is het beheersen van alle aspecten die van invloed zijn op de ICT-dienstverlening op zodanige wijze dat de met de klant afgesproken kwaliteit en kosten worden gewaarborgd [Sch04]. Het bekendste voorbeeld hiervan is ITIL. ITIL is ontstaan doordat organisaties steeds meer afhankelijk werden van de IT om de bedrijfsdoelstellingen te realiseren. Deze toenemende afhankelijkheid leidde tot een groeiende behoefte om de IT-dienstverlening beter af te stemmen op de bedrijfsdoelstellingen en de eisen en verwachtingen van de klanten. De IT moest van intern gericht naar extern gericht groeien.

O

p het gebied van informatiebeveiliging is eenzelfde trend waar te nemen. Informatiebeveiliging wordt, onder andere gevoed door wet- en regelgeving (SOX, Voorschrift Informatiebeveiliging Rijksdienst, Wet bescherming persoonsgegevens), een steeds belangrijker onderwerp in organisaties. In de praktijk blijkt het lastig om de informatiebeveiliging goed en werkend te implementeren. Eén van de redenen hiervoor is dat informatiebeveiliging zich begeeft in verschillende werelden. Informatiebeveiliging is van oudsher een ICT aangelegenheid. Het heeft zich vanuit hier ontwikkeld tot een specialistisch vakgebied met eigen functionarissen (security officers en managers), een eigen jargon, verenigingen en vakbladen. De aansluiting met de business is hierdoor wel eens lastig te maken. De business, veelal vertegenwoordigd door de proceseigenaar of procesverantwoordelijke, heeft de verantwoordelijkheid over het te treffen beveiligingsniveau. Door het specialistische karakter van het vakgebied, de verschillende zienswijzen (risicomanagement versus businessmanagement) sluiten deze werelden niet naadloos op elkaar aan. Het gedegen opzetten en inrichten van de informatiebeveiliging vereist dan ook een goede afstemming met betrekking tot de eisen en verwachtingen van de klant. Met Service Management, afgestemd op het vakgebied van de informatiebeveiliging, kan een organisatie informatiebeveiligingsdiensten aanbieden die zijn toegesneden op de behoefte van de klant. Hierdoor worden de twee verschillende werelden dichter bijeen gebracht.

Drs. Vincent Jentjes is consultant informatiebeveiliging bij Hintech Security

Informatiebeveiliging Bij informatiebeveiliging draait het om het verantwoord en bewust stellen van betrouwbaarheidseisen aan processen en systemen. Procesverantwoordelijken moeten in staat worden gesteld om deze verantwoordelijkheid te kunnen nemen. Dit artikel schetst een Security Service Management Framework dat een organisatie de mogelijkheid biedt om informatiebeveiliging vanuit een Service Management gedachte in te richten, te exploiteren en te beheren. Met behulp van dit security framework kunnen procesverant-

Dit artikel schetst een Service Management framework, afgestemd op informatiebeveiliging, vanuit de volgende vraagstelling: Op welke manier kan Service Management worden ingericht zodat het een bijdrage levert aan de inrichting, exploitatie en het beheer van informatiebeveiliging en de hierop afgestemde beveiligingsdienstverlening? Om deze vraag te kunnen beantwoorden, worden eerst de uitgangspunten van het Service Management framework, genaamd het Information Security Management Framework (ISMF) beschreven. Aan de hand van deze uitgangspunten wordt het ISMF verder uitgewerkt. Het artikel wordt afgesloten met een beschrijving van de toepassingsmogelijkheden van het ISMF.

woordelijken gefundeerd keuzes maken in het te treffen beveiligingsniveau en de daaraan gerelateerde beveiligingsdiensten en producten.

Uitgangspunten ISMF Het ISMF vindt haar oorsprong in het afstudeerreferaat ‘Uitbesteden van informatiebeveiliging’ van de opleiding

12 | de EDP-Auditor nummer 2 | 2006

EDP-auditing aan de Erasmus Universiteit te Rotterdam [Jen06]. In het referaat zijn de uitkomsten beschreven van een onderzoek naar de mogelijke manieren om niet alleen de technische kant / hard controls van informatiebeveiliging (de managed security services) uit te besteden, maar ook de procedurele en soft controls (bewustwording, naleving gedragsregels). Het ISMF wordt in dit referaat gehanteerd als een framework dat organisaties voorbereidt op eventuele uitbesteding van informatiebeveiliging.

de activiteiten en taken, verantwoordelijkheden en bevoegdheden van procesmanagers duidelijk vastgelegd worden. Hierdoor is het mogelijk met behulp van prestatie-indicatoren vaste meetpunten in het proces in te bouwen. Een model dat veelal wordt gebruikt bij het sturen op de kwaliteit is de PDCA-cirkel van Deming. Door herhaaldelijk de stappen – Plan, Do, Check en Act - te doorlopen kan de kwaliteit van het proces worden verbeterd. Het ISMF past de PDCAcirkel op twee manieren toe.

Het ISMF heeft een voorbeeld genomen aan ITIL (Information Technology Infrastructure Library) en ASL (Application Services Library). Beide modellen zijn gebaseerd op ‘best practices’ en voorbeelden van Service Management modellen die veel organisaties gebruiken om (onderdelen van) de IT-organisatie in te richten en te beheren. ITIL is een algemeen aanvaarde standaard om technisch beheer in te richten. In dezelfde lijn der gedachte is ASL (Application Services Library) ontwikkeld. ASL richt zich op het beheer van de applicaties.

• Per ISMF proces wordt de PDCA-cirkel toegepast om het proces te optimaliseren. Door de afspraken met de klant regelmatig te evalueren, kan het proces beter afgestemd worden op de behoefte van de klant.

ITIL en ASL hebben als kenmerk dat ze bestaan uit verschillende, op elkaar afgestemde processen, waarbij taken, verantwoordelijkheden, bevoegdheden en resultaatsverplichtingen duidelijk zijn vastgelegd. Echter, daar waar ITIL zich richt op het beheren en exploiteren van de IT-infrastructuur en ASL op de applicatie gerelateerde aspecten hiervan, daar richt het ISMF zich op het inrichten, exploiteren en beheren van de informatiebeveiliging van toepassing op de gehele organisatie. Het ISMF verschilt bijvoorbeeld van ITIL Security Management (ITIL SM) doordat het proces ITIL SM alleen kan functioneren bij het bestaan en de (goede) werking van de andere ITIL processen [Ko04]. ITIL SM geeft aanwijzingen aan de ITIL processen met betrekking tot de inrichting van de beveiligingsgerichte activiteiten. De ISMF processen daarentegen zijn opzichzelfstaande, onafhankelijke processen die de klant ondersteunen bij de verschillende aspecten van beveiliging.

• Hiernaast wordt de PDCA-cirkel toegepast om de kwaliteit van de informatiebeveiliging te borgen en te vergroten. Doordat het ISMF voor iedere stap uit de Plan, Do, Check, Act-cirkel één of meerdere processen definieert wordt de cirkel voor het totaal tevens doorlopen (zie figuur 1). Zo worden in de strategische processen het beleid en de informatiebeveiligings-strategie opgesteld. Hiermee wordt de Plan-fase uit de Deming cirkel afgedekt. De implementatieen beheerprocessen zorgen voor de implementatie en het onderhoud van de informatiebeveiliging. Deze processen zorgen door de invullen van de Do-fase uit de Deming cirkel. De ISMF managementprocessen dragen zorg voor de coördinatie en controle op de informatiebeveiliging. Onderdeel hiervan is het controleren of de security doelstellingen wel volgens de planning en normen zijn gehaald. Hiermee wordt de Check opgepakt. Als laatste dragen de verbeterprocessen bij tot het bijstellen van de informatiebeveiligingsdoelstellingen; de Act-fase. De servicegedachte 3TRATEGISCHE -ANAGEMENT PROCESSEN

Het ISMF is gebaseerd op de volgende uitgangspunten:

PLAN

DO

/NDERHOUD )MPLEMENTATIE PROCESSEN

ACT

De procesbenadering

De activiteiten voor de ontwikkeling, exploitatie en beheersing van informatiebeveiliging zijn gegroepeerd in processen. Het voordeel van een procesbenadering is dat het ISMF organisatieonafhankelijk is. Door de groepering van de activiteiten in tien beveiligingsprocessen is het mogelijk om de processen los van de feitelijke organisatievorm te beschrijven. Zo kunnen de activiteiten die deel uitmaken van het risicoanalyseproces, bijvoorbeeld uitgevoerd worden bij afdelingen als ICT, management, P&O, et cetera. Verschillende afdelingen van de organisatie nemen dus onderdelen van het proces op zich. Hiernaast biedt de procesbenadering grote voordelen voor het sturen op de kwaliteit (effectiviteit en efficiëntie) van het proces. Omdat een proces een afgebakend geheel is, kunnen

6ERBETER PROCESSEN

CHECK -ANAGEMENT PROCESSEN Bewaken

Figuur 1: Deming cirkel

Het proces van het effectief en efficiënt beheren en beheersen van de kwaliteit van de dienstverlening aan de klant speelt een belangrijke rol. De klant bepaalt het gewenste niveau van beveiliging en de af te nemen beveiligingsdiensten. Als insteek geldt het leveren van continue dienstverle-

13 | de EDP-Auditor nummer 2 | 2006

ning door het maken van goede afspraken over het ‘service level’ en een zo spoedig mogelijk herstel van het afgesproken ‘service level’ bij de constatering van een afwijking. De focus is dus dienstverlening en de service die geleverd wordt. Een toekomstgerichte visie

Tijdig anticiperen op ontwikkelingen draagt zorg voor continuïteit van de ondersteuning en voorkomt desinvesteringen. Toekomstgericht denken is essentieel voor informatiebeveiliging. Informatiebeveiliging is niet zomaar van de ene op de andere dag ingevoerd in een organisatie. Veelal is het een proces dat jaren in beslag neemt. Bedreigingen aangaande de afhankelijkheid en kwetsbaarheid veranderen iedere dag. Het is daarom ook zaak om bij de inrichting en het onderhoud van de informatiebeveiliging voorbereid te zijn op de veranderende omgeving. Het hebben van een toekomstvisie en een beveiligingsstrategie is daarom essentieel. Scheiding tussen beheer en onderhoud / vernieuwing

Veelal wordt het onderscheid tussen beheer en vernieuwing niet zo expliciet gemaakt. Hierdoor wordt aan het beheer van informatiebeveiliging te weinig aandacht besteed. Immers, wanneer informatiebeveiliging eenmaal is geïmplementeerd, dient het beheerd te worden. Niet alleen het beheer op ICT-vlak (updates van firewalls, virusscanners, en dergelijke) is van essentieel belang, maar ook het beheer op het menselijk aspect van informatiebeveiliging is belangrijk. Het informatiebeveiligingsbewustzijn bijvoorbeeld verdient constante aandacht. Naast beheer verdient het vernieuwen

en aanpassen van de informatiebeveiliging aan de veranderende (organisatie)omgeving aandacht. Het Information Security Management Framework Bovenstaande uitgangspunten zijn samengebracht in het Information Security Management Framework. Het framework bestaat uit tien processen. De processen komen niet allemaal voort uit de informatiebeveiliging. Veel ervan zijn afkomstig van terreinen als management en dienstverlening. De tien processen zijn ingedeeld vijf clusters, verdeeld over strategisch, tactisch en operationeel niveau (zie figuur 2). Strategische processen Het beveiligingsbeleid is veelal het vertrekpunt voor de inbedding van de informatiebeveiliging in de organisatie. Het is het essentiële instrument voor de aansturing en coördinatie van de verschillende beveiligingsprocessen in de organisatie. Het beleid wordt opgesteld op basis van onder andere de missie, strategie en doelstellingen van de onderneming onder verantwoordelijkheid van het businessmanagement. Naast het beleid zal de beveiligingsstrategie bepaald moeten worden. In deze strategie wordt uiteengezet hoe informatiebeveiliging wordt ingezet in de organisatie. De strategische processen richten zich op de ontwikkeling van een toekomstvisie op de informatiebeveiliging, de vertaling van die visie naar beleid en de inrichting van de beveiligingsorganisatie. Afhankelijk van de organisatie, het ambitieniveau, et cetera worden processen uit het ISMF gekozen en ingericht.

Figuur 2: Information Security Management Framework

14 | de EDP-Auditor nummer 2 | 2006

dienstverleners in de organisatie die diensten verlenen waaraan de klant betrouwbaarheidseisen kan stellen. Hierbij kan gedacht worden aan de afdeling P&O die met de klant afspraken maakt over de exclusiviteiteisen die aan personeelsdossiers worden gesteld. Of de IT-afdeling die afspraken maakt over de beschikbaarheid van een bepaald systeem. Echter, als de IT-organisatie gebruik maakt van ITIL Service Level Management, dan dient de beveiligingsparagraaf als input voor de ICT-gerelateerde diensten. Ten tweede zijn er de dienstverleners, vaak vormgegeven in de vorm van een beveiligingsorganisatie, die de klant ondersteunen bij het onderwerp informatiebeveiliging. In de producten en dienstencatalogus (welke is afgeleid van de output van de ISMF processen) staat beschreven welke producten en diensten worden geleverd. Hierbij kan gedacht worden aan ondersteuning bij bijvoorbeeld het opstellen van het beveiligingsbeleid, het uitvoeren van risicoanalyses en bewustwordingsprogramma’s.

In dit cluster wordt het volgende proces onderscheiden: -

Security Policy & Strategic Management (SPSM)

Het doel van het proces Security Policy & Strategic Management is om informatiebeveiliging beleidsmatig en strategisch vorm te geven. In dit proces wordt het beveiligingsbeleid gedefinieerd en de informatiebeveiligingsstrategie opgesteld. Met het beveiligingsbeleid wordt bepaald waaraan de informatiebeveiliging dient te voldoen, wat het ambitieniveau is en welke ISMF-processen ingericht worden. De informatiebeveiligingsstrategie schrijft voor hoe de informatiebeveiliging past binnen de organisatiedoelstellingen en strategie. Managementprocessen Groot probleem, ingegeven door de complexiteit van informatiebeveiliging, is vaak het overzicht bewaren in de gedefinieerde risico’s, de beveiligingsmaatregelen, de implementatiestatus, et cetera. De managementprocessen hebben een bewakende en planmatige invalshoek. Planning, kwaliteitbewaking, risicomanagement, afspraken met klanten en leveranciers zijn in dit cluster de aandachtspunten.

De Security Service Level Manager stemt de eisen en wensen van de klant af op het gedefinieerde beveiligingsbeleid. De afspraken komen in het Security Service Level Dossier (SSLD) te staan. In dit dossier staan naast de afspraken verwijzingen naar de werkplannen (zie proces SPM) waarin op detailniveau staat beschreven hoe en wanneer de afspraken gerealiseerd worden.

In dit cluster worden de volgende processen onderscheiden: -

Security Quality & Audit Management (SQAM)

Het doel van het proces Security Quality & Audit Management is het evalueren van en rapporteren over de effectiviteit en kwaliteit van de ISMF processen. Hiernaast biedt dit proces ondersteuning bij de voorbereiding voor een onafhankelijke audit op de informatiebeveiliging zelf. De verantwoordelijkheid over dit proces wordt belegd bij een Security Quality Manager. Deze stelt een Security Audit Programma op aan de hand van het gedefinieerde beleid, strategie en de Security Service Level Dossiers (zie proces SSLM). De per proces gedefinieerde prestatie-indicatoren vormen een belangrijk meetinstrument voor het meten van de effectiviteit en kwaliteit van het proces. Hiernaast wordt gebruik gemaakt van het Security Programma en werkplannen (zie proces SPM), die gedefinieerd worden in het Security Planning proces. De Security Quality Manager rapporteert zijn bevindingen aan de security procesmanagers, aan klanten en aan het management. -

Security Service Level Management (SSLM)

Informatiebeveiliging is geen opzichzelfstaand proces. Informatiebeveiliging is van toepassing op alle processen in de organisatie. Dit betekent dat voor ieder proces in de organisatie bepaalde beveiligingsactiviteiten uitgevoerd moeten worden. Het doel van het proces Security Service Level Management is het (maken en) beheren van de afspraken tussen de (security)dienstverleners en de klantenorganisatie - proces- en systeemeigenaren (intern/extern) - met betrekking tot de te leveren beveiligingsdiensten en betrouwbaarheidseisen. Binnen de Service Level wordt onderscheid gemaakt tussen twee soorten dienstverleners. Ten eerste zijn er

-

Security Program Management (SPM)

Informatiebeveiliging kan uitgroeien tot een zeer complex geheel. Zeker in grote organisaties, met verschillende locaties, voorzien van verschillende IT-infrastructuren en -systemen, kan informatiebeveiliging het nodige beslag gaan leggen op de financiële en personele capaciteit. Immers, hoe meer locaties, infrastructuren en systemen, hoe meer risicoanalyses uitgevoerd worden en hoe meer beveiligingsmaatregelen geïmplementeerd moeten worden. SPM zorgt voor het implementatiemanagement van de informatiebeveiliging. Het proces heeft als doel het plannen, afstemmen en begeleiden van de verschillende implementaties. In dit proces vindt het management over de implementatie van de informatiebeveiliging plaats. Er worden door de Security Planner implementatiewerkplannen opgesteld, rapportages over de totale implementatiestatus afgegeven, et cetera. De Security Planner draagt zorg voor het Security Programma bestaande uit een samenhangend portfolio aan werkplannen. Een werkplan is een plan waarin op een projectmatige wijze staat aangegeven wie, wat in een bepaalde tijd voor activiteiten moet ondernemen. In het Security Programma staat de prioritering, en de samenhang van en afstemming tussen de werkplannen. Input voor het Security Programma en werkplannen zijn het beveiligingsbeleid, de strategie en het SSLD.

15 | de EDP-Auditor nummer 2 | 2006

-

Security Risk Management (SRM)

Het doel van dit proces is om voor objecten, processen en diensten het risicoprofiel (norm) en de beveiligingsmaatregelen te definiëren, te managen en wijzigingen hierop efficiënt en effectief af te handelen. Security Risk Management ondersteunt de klant en het management bij het bepalen van de te aanvaarden risico’s en de te treffen beveiligingsmaatregelen. Hierbij kan gedacht worden aan het uitvoeren van Afhankelijk en Kwetsbaarheidsanalyses (A&K). Beheerprocessen Informatiebeveiliging houdt zich helaas niet vanzelf in stand. Er doen zich altijd incidenten voor die niet voorzien zijn. Hiernaast verslapt de aandacht voor informatiebeveiliging op den duur. Dagelijks beheer is dan ook noodzakelijk wil men op het gedefinieerde betrouwbaarheidsniveau blijven. De beheerprocessen dragen zorg voor het dagelijkse beheer van de informatiebeveiliging door een optimale inzet van de in gebruik zijnde informatiebeveiligingproducten en -diensten te realiseren. In dit cluster worden de volgende processen onderscheiden: -

Security Incident Management (SIM)

Het process Security Incident Management is meer dan alleen het registreren van incidenten. Het doel van dit proces is om het vooraf gedefinieerde kwaliteitsniveau van de informatiebeveiliging te handhaven door afwijkingen van de normsituatie zo snel mogelijk te detecteren en te verhelpen. Security Incident Management zorgt voor het aannemen, registreren, afhandelen en afsluiten van beveiligingsincidenten. Een onderdeel van Security Incident Management is, wat in ITIL termen wordt aangeduid als Problem Management, het analyseren en oplossen van repeterende (veel voorkomende) incidenten. De Security Incident Manager probeert bij veel voorkomende incidenten te achterhalen wat de achterliggende oorzaak is en doet hiervoor verbetervoorstellen aan het management en de klant. Wanneer een organisatie het ITIL proces Incident Management heeft ingericht, vervangt dit het aannemen, registreren, afhandelen en afsluiten van incidenten van het proces Security Incident Management. Er moet wel een koppeling gelegd worden met het proces Security Incident Management om repeterende incidenten te op te lossen en de aansluiting op de overig ISMF processen te maken. -

Security Configuration Management (SCM)

Om informatiebeveiliging te kunnen beheren en managen, is het van vitaal belang dat er betrouwbare en accurate informatie beschikbaar is over alle aspecten van de informatiebeveiliging. Het doel van het proces Security Configuration Management is te zorgen voor deze accurate en betrouwbare informatie. Ter ondersteuning van dit proces wordt gebruik gemaakt van de Security Configuration Database. In de Security Configuration Database worden onder andere de vol-

gende zaken bijgehouden: Beleid en strategie documenten. Lijst van objecten, processen en diensten (assets). Risicoprofielen per object, proces en dienst. De beveiligingsmaatregelen gedefinieerd per object, proces, dienst. - Het Security Service Level Dossier. - De status van implementatie, programma’s en werkplannen. - Beveiligingsincidenten. - Het Auditprogramma. De database wordt beheerd en ingericht door de Security Configuration Manager. De Security Configuration Manager vult de database, verleent toegang tot de database en verzorgt op aanvraag statusrapportages. Security Configuration Management is de spil in het management van de informatiebeveiliging. Ieder ISMF-proces levert informatie aan en krijgt informatie uit de database. De Security Configuration Database is een andere dan de CMDB die binnen ITIL wordt gebruikt. In de CMDB die in het ITIL proces Configuration Management wordt gebruikt, worden onder andere alle CI’s met classificatie geregistreerd. De Security Configuration Database richt zich enkel op het beheer van de (informatie)beveiliging. -

-

Security Awareness Management (SAM)

In veel informatiebeveiligingsimplementatietrajecten wordt gebruik gemaakt van een bewustwordingscampagne om het bewustzijn inzake informatiebeveiliging te verhogen. Helaas is een bewustwordingscampagne veelal een eenmalige actie. Wanneer het bewustwordingsprogramma is afgesloten, daalt het bewustzijn al weer heel snel. Het doel van het proces Security Awareness Management is het opleiden, bewustmaken en bewust houden van alle medewerkers in de organisatie aangaande de informatiebeveiliging. De Security Awareness Manager stelt een lange termijn bewustwordingsprogramma op. Belangrijke input voor het bewustwordingsprogramma komt uit het proces Security Incident Management en Security Opportunities & Threats Management. Tevens voert de Security Awareness Manager eigen onderzoeken uit naar de status van het bewustzijn. Het Awareness programma wordt afgestemd met de overige communicatie-uitingen in de organisatie en met het proces Security Program Management. De Security Awareness Manager adviseert de Security Planner bij het opstellen van het Security Programma en de werkplannen. Het doel hiervan is dat bewustwording van informatiebeveiliging een integraal onderdeel van de implementatie wordt. Hiernaast adviseert de Security Awareness Manager de Security Implementation Manager bij de praktische uitvoering van de werkplannen met betrekking tot de bewustwording. Hierbij moet gedacht worden aan het adviseren over communicatiemiddelen, communicatiekanalen, et cetera. Implementatieprocessen De daadwerkelijke implementatie van de beveiligingsnorm

16 | de EDP-Auditor nummer 2 | 2006

vergt, gezien de complexiteit en hoeveelheid aan beveiligingsmaatregelen, een projectmatige aanpak. De implementatieprocessen richten zich op de implementatie van beveiligingsmaatregelen, volgens tijd, geld en budget. In dit cluster wordt het volgende proces onderscheiden: -

Security Implementation Management (SIM)

In het proces Security Planning worden werkplannen opgesteld, die in het proces Security Implementation Management uitgevoerd worden. Het doel van dit proces is het implementeren van de beveiligingsmaatregelen op lokaal / asset niveau op een projectmatige wijze. Afhankelijk van de grootte van het werkplan wordt dit projectmatig opgepakt. Per werkplan bestaat er een proces Security Implementation Management, met als verantwoordelijke de Security Implementation Manager. De Security Implementation Manager is de projectleider die zorgt voor de uitvoering van het werkplan. Hij rapporteert aan de Security Planner. Verbeterprocessen Informatiebeveiliging is een continu proces. Bedreigingen in de omgeving veranderen constant. Het aanpassen en verbeteren van de informatiebeveiliging is hierdoor uitermate belangrijk. De verbeterprocessen richten zich op het proactief zoeken naar mogelijke bedreigingen en het doen van verbetervoorstellen. In dit cluster wordt het volgende proces onderscheiden: -

Security Opportunities and Threats (SOT)

Het doel van dit proces is om nieuwe bedreigingen en kansen te herkennen en voorstellen te doen tot verbetering van de informatiebeveiliging. Dit proces kijkt voornamelijk naar de toekomst en probeert trends en nieuwe bedreigingen in de buitenwereld waar te nemen, te voorspellen en verbetervoorstellen te doen. Praktisch voorbeeld is het lid zijn van een CERT. Hiernaast communiceert het proces bijvoorbeeld over de impact van nieuwe wet en regelgeving naar het management. Toepassingsmogelijkheden van het ISMF Het ISMF kan, zoals gezegd, worden toegepast om informatiebeveiliging op een gestructureerde manier in te richten, te exploiteren en te beheren. Hiernaast kan het ISMF nog voor een aantal andere doeleinden worden toegepast: - Het vormgeven van een Security Service Organisation. - Als voorbereiding op of als inrichting van uitbesteding van informatiebeveiliging. - Audit normenkader. Security Service Organisation Het ISMF is uitermate geschikt om een informatiebeveiligingsbeheerorganisatie / Security Service Organisation (SSO) in te richten. Het grote voordeel van een SSO, ingericht volgens de ISMF processen, is dat de informatiebeveiliging op een servicegerichte manier aangeboden kan

worden. De klant wordt in staat gesteld om zelf betrouwbaarheidseisen aan processen en systemen te stellen en hier verantwoording voor te nemen. De SSO ondersteunt de klant hierbij op strategisch, tactisch en operationeel niveau in de organisatie. Afhankelijk van de wensen van de organisatie kan een SSO beveiligingsproducten en -diensten via de bijbehorende processen leveren. In tabel 1 zijn de ISMF processen weergegeven met een aantal mogelijke te leveren producten en diensten. De te leveren producten en diensten worden in het Security Service Level Dossier vastgelegd. De gemaakte afspraken worden meetbaar door prestatie-indicatoren per product of dienst te definiëren. Neem als voorbeeld de ondersteuning bij het uitvoeren van risicoanalyses in het proces Security Risk Management. Tussen de klant en de SSO worden afspraken gemaakt over het aantal uit te voeren risicoanalyses per tijdseenheid, de manier van rapporteren, het aantal reviews over door de klant zelf uitgevoerde risicoanalyses, et cetera. Afhankelijk van de wensen van de klant worden bepaalde producten en diensten ingekocht. Uitbesteden van informatiebeveiliging Uitbesteden is het, op basis van een contract, voor lange duur overdragen naar een externe partij van de management- of beheerverantwoordelijkheid van één of meer dienstverleningstaken [KV04]. Hierbij kan al dan niet sprake zijn van de overdracht van medewerkers en middelen naar de uitbestedingsleverancier. Een logische stap na het inrichten van een SSO is deze over te dragen naar een externe partij. De gedachte hierachter is dat informatiebeveiliging een steeds prominentere rol in de organisatie inneemt en hierdoor steeds meer op de budgetten van de primaire processen drukt. Uitbesteding van informatiebeveiliging zou kunnen leiden tot kostenreductie en verhoging van de kwaliteit. Het uitbesteden van informatiebeveiliging gebeurt voornamelijk op het ICT-beveiligingsvlak in de vorm van managed security services (diensten die zich onder andere richten op het inrichten, onderhouden en monitoren van firewalls, virusscanners en overige netwerkbeveiliging). Omdat deze diensten relatief goed meetbaar zijn, zijn goede afspraken te maken over de resultaatverplichtingen. Informatiebeveiliging is echter breder. Naast technische aspecten zijn de procedurele en menselijke aspecten minstens zo belangrijk. Ook hiervoor geldt dat de uitbestedingsleverancier moet kunnen waarborgen dat de aangegane verplichtingen nagekomen kunnen worden. Vanwege onder andere de borging in het proces Security Awareness Management (SAM), is het ISMF een instrument om ook de procedurele en menselijke aspecten gestructureerd (kwantificeerbaar en kwalificeerbaar) uit te voeren. In het afstudeerreferaat ‘Uitbesteden van informatiebeveiliging’ [Jen06] wordt het onderwerp uitbesteden van informatiebeveiliging verder uitgewerkt.

17 | de EDP-Auditor nummer 2 | 2006

Proces

Product / dienst

Uitleg product / dienst

SPSM

- Beleidsdocument Informatiebeveiliging - Advisering over het beleid

Beleid en strategie t.a.v. informatiebeveiliging Advisering over het opstellen en uitvoeren van het beleid inzake informatiebeveiliging.

SQAM

- Security Audit Programma - Resultaten uitgevoerde audits

Het lange en korte termijn auditprogramma t.b.v. de kwaliteit van de informatiebeveiliging. Rapporten per uitgevoerde audit

SSLM

- Security Service Level Dossiers - Klantrapportages - Advisering

Dossier met gemaakte afspraken tussen klant en dienstverlener (SLA voor de security ondersteuning) Rapportages per proces over de geleverde dienstverlening. Deze staan los van de audit rapporten. Advisering van klanten over de af te nemen security diensten

SPM

- Security Programma - Implementatie werkplannen - Rapportages implementaties

Het lange termijn projectprogramma ter ondersteuning en afstemming van de verschillende informatiebeveiligingsprojecten. De implementatieplannen (IB-plannen) per business unit. De voortgangsrapportages inzake de implementatie van de informatiebeveiliging.

SIM

- Incident registraties en verwerkingen - Incident rapportages - Escalatie procedures - Workarounds

Servicepunt voor het registreren en verwerken van beveiligingsincidenten. Rapportages over de beveiligingsincidenten (aantal, repeterende, etc.) Advisering over de escalatieprocedures bij grote incidenten. Adviseren over en zoeken naar workarounds bij incidenten die primaire en secundaire processen verstoren.

SCM

- Rapportages - Producten uit alle Security processen - Vragen beantwoorden

Op verzoek het uitdraaien van allerlei rapportages (statussen, voortgangen, etc.) Verzamelen van alle producten afkomstig uit alle security processen. Op verzoek het beantwoorden van vragen over de security processen.

SAM

- Awareness programma’s - Workshops risicomanagement - Managementgames Onderzoeksrapportages bewustzijn

Het geven van advies over, en opstellen van, bewustwordingsprogramma’s. Op verzoek geven van risicomanagement workshops. Op verzoek geven van managementgames. Uitvoeren van audits naar het beveiligingsbewustzijn en hierover rapporteren aan de klant / opdrachtgever

SIM

Statusrapportages Advisering bij opstellen implementatieplan

Voortgangsrapportages, Issue log, etc. Advisering bij opstellen implementatieplan / IB-plan

SRM

- A&K Risicoanalyses - Beveiligingsplan Calamiteitenplan Beveiligingsmaatregelen

(Ondersteunen bij) uitvoeren van A&K-analyses Adviseren over / opstellen van beveiligingplan Adviseren over / opstellen van calamiteitenplan Adviseren over / opstellen van beveiligingsmaatregelen / baselines (ISO 17799, NEN7510, Wbp)

SOT

Rapportages CERT

Rapporteren over potentiële nieuw bedreigingen.

Tabel 1: ISMF processen en diensten

18 | de EDP-Auditor nummer 2 | 2006

Audit normenkader Het ISMF kan verder worden ontwikkeld als auditraamwerk om de kwaliteit van de inrichting, de exploitatie en het beheer van informatiebeveiliging mee te toetsen. Het ISMF levert zowel voor de klant als de leverancier herkenbare toetsingscriteria. Het auditraamwerk bevat tien objecten (processen) van informatiebeveiliging waarvoor duidelijke doelstellingen zijn gedefinieerd. Deze doelstellingen zijn het uitgangspunt bij ontwerp, inrichting en naleving van de informatiebeveiliging. Deze doelstellingen kunnen verder vertaald worden in beheersmaatregelen waarop geaudit kan worden. Bij een audit op de beveiliging van bijvoorbeeld een informatiesysteem, kan het ISMF worden gehanteerd als normenkader voor de inrichting, de exploitatie en het beheer van de beveiliging. Het normenkader kan verder aangevuld worden met beveiligingsmaatregelen uit de Code voor Informatiebeveiliging / ISO 17799, waarmee de beveiliging van het informatiesysteem getoetst kan worden. Conclusie Informatiebeveiliging gaat een steeds prominentere rol spelen in organisaties. Een professionele ondersteuning van de proces- of systeemeigenaar is hiervoor een must. De tijd dat informatiebeveiliging als een dirigerend onderdeel vanuit de ICT-afdeling opgedrongen kon worden, is definitief voorbij. Proceseigenaren moeten in staat worden gesteld om zelfstandig gefundeerde keuzes te maken in het te treffen beveiligingsniveau en de daaraan gerelateerde beveiligingsdiensten en producten. Informatiebeveiliging wordt in veel organisaties nog niet bezien vanuit het dienstverleningsperspectief. Door toepassing van het ISMF wordt informatiebeveiliging als een portfolio aan producten en diensten aan de klantorganisatie aangeboden, afgestemd op de behoeften van de klant.

Literatuur [Jen06]

Jentjens V.L.M. (2006), Uitbesteden van informatiebeveiliging, Afstudeerreferaat EDP-auditing, Erasmus Universiteit Rotterdam.

[KV04]

Kateman H., Vries L. de (2004), Sourcing in de praktijk, Pink Roccade.

[KO04]

Kossen F. (2004), Besturing en beheersing van informatiebeveiliging bij de Rechterlijke Organisatie, Afstudeerreferaat EDP-Auditing, Erasmus Universiteit Rotterdam.

[Sch04]

Scheffel, P. (2004) , Het doel, de weg en de rugzak, Een gids voor praktisch ICT service management, van Haren Publishing.

Website:

www.ismf.nl.

19 | de EDP-Auditor nummer 2 | 2006