Gegevensbeveiliging met een hulpmiddel op basis van bestaande modellen en standaarden
Auteur ing. L.M.C. Kers Plaats Tilburg Datum 10 september 2004
Better be despised for too anxious apprehensions, than ruined by too confident security. Edmund Burk (1729 – 1797) - Irish orator, philosopher, & politician
Titel Gegevensbeveiliging met een hulpmiddel op basis van bestaande modellen en standaarden. Auteur ing. L.M.C. Kers Administratienummer 42.26.34 Universiteit Faculteit Opleiding Afstudeerdocent
Universiteit van Tilburg Faculteit Economie en Bedrijfswetenschappen (FEB) Informatiekunde drs. A.L.W. Hexspoor MIM
Stagebedrijf Coevering B.V. Stagebegeleiders drs. J.M.A. Meesters drs. ing. R.P.J. Legierse Afstudeercommissie drs. A.L.W. Hexspoor MIM dr. B.A. van de Walle Afstudeerzitting 29 september 2004 / 15:00 uur Universiteit van Tilburg Gebouw Cobbenhagen Zaal A127
Voorwoord De studie Informatiekunde aan de Universiteit van Tilburg wordt afgerond met het schrijven van een afstudeerverslag. Voor u ligt mijn afstudeerverslag ter afronding van deze studie. Het departement Informatiekunde is één van de departementen van de Faculteit Economie en Bedrijfswetenschappen aan de Universiteit van Tilburg. De opleiding Informatiekunde kan worden omschreven als het vakgebied dat zich bezighoudt met de gegevensverzorging ten behoeve van de besturing van organisaties. In het bijzonder gaat het daarbij om de samenhang tussen de doelstellingen van de organisatie, de te nemen beslissingen, de benodigde gegevens en de coördinatie en communicatie daarvan. Hierbij wordt de informatietechnologie (IT) gezien als een middel om dit doel te bereiken. De afstudeerstage heeft plaatsgevonden van maart tot en met augustus 2004 bij het bedijf Coevering te Breda. Coevering is een organisatie waar medewerkers uit verschillende disciplines de meest uiteenlopende opdrachtgevers helpen bij een structurele verbetering van de organisatie. Dat gebeurt aan de hand van advies, detachering, opleiding en training. Coevering ondersteunt opdrachtgevers bij het management van strategie, organisatie, processen en kwaliteit. Graag wil ik van de gelegenheid gebruik maken om een aantal mensen te bedanken die de afstudeerstage en dit verslag mogelijk hebben gemaakt. Barry Meesters en Richard Legierse wil ik bedanken voor de goede begeleiding vanuit Coevering. De heer Jos Hexspoor wil ik bedanken voor zijn inzet, opbouwende kritiek en coördinatie vanuit de opleiding. Tevens wil ik de heer Bartel van de Walle bedanken voor zijn bereidwilligheid om zitting te nemen in de afstudeercommissie. Verder wil ik alle collega’s bij Coevering bedanken voor hun getoonde interesse en de geboden ondersteuning. Ten slotte wil ik mijn vriendin, familie en vrienden bedanken voor hun steun gedurende mijn gehele studietijd. Na dit dankwoord rest mij niets anders meer dan iedere geïnteresseerde lezer uit te nodigen vooral door te lezen en veel plezier toe te wensen bij het lezen van de rest van dit verslag.
Leon Kers
Pagina 3
Afstudeerverslag
Samenvatting Dit afstudeerverslag behandelt de ontwikkeling van een praktisch hulpmiddel ten behoeve van gegevensbeveiliging op basis van bestaande modellen en standaarden. Centraal staat hierbij de probleemstelling: “Welke bestaande modellen en standaarden kunnen worden gebruikt als basis voor een hulpmiddel dat organisaties op praktische wijze ondersteuning biedt bij gegevensbeveiliging?” Gegevensbeveiliging is het treffen en onderhouden van een samenhangend pakket maatregelen om de betrouwbaarheid (beschikbaarheid, integriteit en vertrouwelijkheid) van de informatievoorziening te waarborgen. De meeste organisaties zijn in toenemende mate afhankelijk van hun informatievoorziening geworden. Gegevensbeveiliging is nodig om de betrouwbaarheid en continuïteit van deze informatievoorziening te waarborgen. Factoren zoals wet- en regelgeving, contractuele verplichtingen, imagoschade, marktaandeel en geheimhouding van kennis spelen bij het beveiligen van gegevens een rol. Inzicht in en beheersing van risico’s, bedreigingen, kwetsbaarheden, schade en maatregelen geven richting aan gegevensbeveiliging. Diverse benaderingen zijn hierbij mogelijk. Een risicoanalyse kan worden toegepast om de risico’s waaraan de informatievoorziening wordt blootgesteld te waarderen. Maar ook benaderingen vanuit een normatief kader of procesmatige gedachte kunnen houvast bieden bij gegevensbeveiliging. Coevering worstelt dan ook met de vraag hoe men op een verantwoorde wijze gegevens kan beveiligen, zowel binnen de eigen organisatie als bij opdrachtgevers. Een praktisch hulpmiddel voor gegevensbeveiliging op basis van bestaande modellen en standaarden is een antwoord op deze vraag en wordt in dit verslag toegelicht. Op basis van een zestal voorwaarden waaraan dit hulpmiddel moest voldoen, is onderzocht welke bestaande modellen en standaarden geschikt zijn voor een dergelijk hulpmiddel. Uiteindelijk bleek dat de Code (BS7799, ISO/IEC17799 & Code voor Informatiebeveiliging) en het EFQM/INK-model het beste voldeden aan de gestelde voorwaarden en het meest geschikt waren om het hulpmiddel op te baseren. De Code op zich is vanwege het generieke karakter een document dat moeilijk te gebruiken is als praktisch hulpmiddel en vereist een vertaling naar de eigen specifieke situatie van een onderneming. De opbouw van de Code laat duidelijk zien dat beveiliging meer is dan techniek alleen en toont aandacht voor de menselijke factor en bewustzijn. Door het generieke karakter is de standaard toepasbaar bij een organisatie van elke omvang en typering. De tactische aard van de Code draagt bij aan de flexibiliteit van de standaard. De Code geeft door de formulering op basis van richtlijnen ruimte aan een onderneming om (operationele) invulling te geven aan de eigen beveiligingsbehoeften op basis van specifieke behoeften en wensen. Hierbij is oog voor het belang van een risicoanalyse en een procesmatige benadering van gegevensbeveiliging. Tevens is de Code een bekende en breed geaccepteerde beveiligingsstandaard in Nederland. Het instrument dat is ontwikkeld wijkt inhoudelijk niet af van de Code, maar is door de manier waarop het is opgebouwd op een meer praktische manier toe te passen. Hierbij is gebruik gemaakt van de aandachtsgebieden uit het EFQM/INK-model. In de toekomst kan het hulpmiddel op basis van ervaringen die ermee worden opgedaan verder worden ontwikkeld.
Pagina 4
Afstudeerverslag
Inhoudsopgave 1.
Inleiding .........................................................................................................................6 1.1. Achtergrond ............................................................................................................6 1.2. Probleemstelling en subvragen ................................................................................6 1.3. Doelstelling en reikwijdte .......................................................................................7 1.4. Wetenschappelijk en maatschappelijk belang ..........................................................7 1.5. Onderzoeksmethode................................................................................................7 1.6. Leeswijzer...............................................................................................................8 2. Organisatiebeschrijving ................................................................................................9 2.1. Werkwijze en opdrachtgevers .................................................................................9 2.2. Organigram.............................................................................................................9 3. Theoretisch kader........................................................................................................10 3.1. Begrippenkader.....................................................................................................10 3.2. Aanleiding tot gegevensbeveiliging.......................................................................12 4. Voorwaarden hulpmiddel ...........................................................................................15 4.1. Algemene voorwaarden.........................................................................................15 4.2. Voorwaarden Coevering .......................................................................................15 4.3. Conclusie ..............................................................................................................16 5. Benaderingen tot gegevensbeveiliging ........................................................................17 5.1. Risicoanalyse ........................................................................................................17 5.2. Normatief kader ....................................................................................................19 5.3. Procesmatig ..........................................................................................................20 5.4. Conclusie ..............................................................................................................21 6. Modellen ......................................................................................................................23 6.1. Modelbeschrijvingen.............................................................................................23 6.2. Conclusie ..............................................................................................................28 7. Totstandkoming van het hulpmiddel..........................................................................30 7.1. Stap 1: Combinatie van het EFQM/INK-model met de Code.................................30 7.2. Stap 2: De evaluatiemethode .................................................................................32 7.3. Stap 3: De afwerking.............................................................................................32 8. Conclusie en aanbevelingen ........................................................................................34 8.1. Conclusies.............................................................................................................34 8.2. Aanbevelingen en suggesties voor vervolgonderzoek ............................................35 9. Literatuuropgave.........................................................................................................37 10. Bijlagen....................................................................................................................41 Bijlage I: Bedreigingen die informatiesystemen aantasten................................................... I Bijlage II: Historie van de Code ......................................................................................... II Bijlage III: Inhoudsopgave van de CViB.......................................................................... IV Bijlage IV: Definities organisatiegebieden gegevensbeveiliging..................................... VIII Bijlage V: Mogelijke aandachtspunten resultaatgebieden ................................................. IX Bijlage VI: Onderdeel van het hulpmiddel ....................................................................... XI
Pagina 5
Afstudeerverslag
1. Inleiding In dit hoofdstuk worden na de achtergrond te hebben geschetst de probleemstelling en subvragen expliciet gemaakt. Vervolgens worden de doelstelling en de reikwijdte van het verslag besproken en het wetenschappelijk en maatschappelijk belang toegelicht. Daarna staat de gevolgde werkwijze beschreven. In de laatste paragraaf van dit hoofdstuk is een leeswijzer te vinden die de opbouw van de rest van het verslag beschrijft.
1.1. Achtergrond Beveiliging van informatiesystemen is een onderdeel aan het worden van kernprocessen in elke organisatie [TR E03, p.337]. Hieruit blijkt dat het belang van deze processen en de gegevens waardoor ze worden ondersteund groter is geworden. Door deze toename in belang is beveiliging van die gegevens ook belangrijker geworden. Coevering worstelt met de vraag hoe men op een verantwoorde wijze gegevens kan beveiligen, zowel binnen de eigen organisatie als bij opdrachtgevers. In de praktijk heeft Coevering ervaren dat veel organisaties wel iets willen doen om beveiliging van gegevens goed op orde te hebben of te krijgen, maar vaak niet weten wat hierbij komt kijken en waar men zou moeten beginnen. Coevering wil daarom graag over een hulpmiddel beschikken waarmee ze het beveiligingsvraagstuk voor ondernemingen begrijpelijk en bespreekbaar kan maken. Dit hulpmiddel moet een organisatie op een praktische manier ondersteuning bieden bij gegevensbeveiliging. Tevens moet het hulpmiddel het bewustzijn rond gegevensbeveiliging bij organisaties vergroten en aspecten die erbij van belang zijn inzichtelijk maken.
1.2. Probleemstelling en subvragen De volgende probleemstelling vormt de basis voor dit afstudeerverslag: Welke bestaande modellen en standaarden kunnen worden gebruikt als basis voor een hulpmiddel dat organisaties op praktische wijze ondersteuning biedt bij gegevensbeveiliging? Om een antwoord te kunnen geven op deze probleemstelling zijn de volgende subvragen in dit verslag beantwoord: 1. 2. 3. 4.
Wat is gegevensbeveiliging? Waarom is gegevensbeveiliging nodig? Op welke manieren kan gegevensbeveiliging worden benaderd? Aan welke voorwaarden moet een praktisch hulpmiddel voor gegevensbeveiliging voldoen? 5. Welke bestaande modellen en standaarden kunnen op basis van deze voorwaarden worden gebruikt als basis voor het hulpmiddel? 6. Op welke manier kunnen de voorwaarden, modellen en standaarden worden gecombineerd tot een praktisch hulpmiddel?
Pagina 6
Afstudeerverslag
1.3. Doelstelling en reikwijdte De doelstelling van dit verslag is om antwoord te geven op de probleemstelling en subvragen. Bestaande standaarden en modellen zullen worden onderzocht om dit doel te bereiken en er zal een hulpmiddel worden ontwikkeld dat organisaties op praktische wijze ondersteuning biedt bij gegevensbeveiliging. Dit hulpmiddel is daarmee het concrete product dat ten gevolge van het afstudeertraject zal worden opgeleverd. Concrete operationele maatregelen die genomen kunnen worden om gegevensbeveiliging te verbeteren vallen niet binnen de reikwijdte van dit onderzoek.
1.4. Wetenschappelijk en maatschappelijk belang Vele organisaties zijn afhankelijk van informatiesystemen en diensten [CAVA04, p. 297]. Een informatiesysteem dat niet goed functioneert, kan een kritieke impact hebben op de continuïteit van een organisatie. Het wordt voor organisaties steeds moeilijker om een bevredigend niveau van gegevensbeveiliging te handhaven [SOLM97]. De terreuraanslagen en boekhoudschandalen van de afgelopen tijd hebben de maatschappij hiermee nog eens extra geconfronteerd. Het is daarom van belang dat mogelijke kwetsbaarheden met betrekking tot de verwerking en opslag van gegevens worden beperkt of geëlimineerd. Coevering merkt in haar klantenkring dat een aantal van haar klanten problemen heeft om beveiliging van gegevens op een gestructureerde en verantwoorde wijze aan te pakken. Er zijn wel diverse standaarden en modellen in omloop, maar deze zijn volgens de opdrachtgevers van Coevering vaak te algemeen en ingewikkeld om op een praktische manier toe te passen. De diverse invalshoeken en disciplines van waaruit gegevensbeveiliging kan worden benaderd zijn hiervoor de aanleiding. Zowel juridische [ALJI03], technische [WALK99], organisatorische [WRIG01] en culturele [SOLM04A] invalshoeken tot gegevensbeveiliging zijn mogelijk. Door de diversiteit aan literatuur, normen, standaarden en wetgeving is er geen goed zicht op hoe het vraagstuk omtrent beveiliging van gegevens opgepakt zou moeten worden. Het hulpmiddel dat is ontwikkeld gedurende de afstudeerstage helpt een organisatie om gegevensbeveiliging op een praktische manier te benaderen.
1.5. Onderzoeksmethode Om een antwoord te kunnen geven op de bovengenoemde probleemstelling en subvragen, is de volgende methode van onderzoek gehanteerd. Eerst is een literatuurstudie verricht met als doel inzicht te verkrijgen in aspecten die van belang zijn bij het beveiligen van gegevens. Diverse vakliteratuur, publicaties en standaarden die betrekking hebben op gegevensbeveiliging zijn hierbij onder de loep genomen. Hierna is er onderzoek gedaan naar de voorwaarden waaraan een praktisch hulpmiddel voor gegevensbeveiliging moet voldoen. Deze voorwaarden zijn voortgekomen uit de literatuurstudie en uit de specifieke wensen van Coevering. Vervolgens is er onderzoek gedaan naar mogelijke benaderingswijzen tot gegevensbeveiliging. Hierbij zijn standaarden onderzocht die zouden kunnen worden gebruikt bij het ontwikkelen van het hulpmiddel. Eén van deze standaarden is op basis van de voorwaarden geselecteerd om als basis voor het hulpmiddel te dienen. Daarna is er onderzoek gedaan naar modellen die in combinatie met de geselecteerde standaard zouden kunnen worden gebruikt voor de totstandkoming van het hulpmiddel. Diverse artikelen en publicaties die betrekking hebben op deze modellen zijn onder de loep genomen. Uiteindelijk is er één model geselecteerd om samen met de gekozen standaard de basis voor het instrument te vormen. Vervolgens zijn de standaard en het model samengevoegd tot één hulpmiddel dat een Pagina 7
Afstudeerverslag
organisatie ondersteuning biedt bij het beveiligen van haar gegevens. Ten slotte is dit hulpmiddel voorgelegd aan twee klanten van Coevering om het praktische gehalte ervan te toetsen. Na een positieve initiële beoordeling zijn beide klanten vervolgens zelf verder aan de slag gegaan met het hulpmiddel.
1.6. Leeswijzer In het volgende hoofdstuk zal eerst een beschrijving worden gegeven van de stageverlenende organisatie Coevering. De werkwijze, opdrachtgevers en organisatiestructuur worden hierbij belicht. In hoofdstuk 3 wordt vervolgens het theoretische kader toegelicht. Naast definities van relevante begrippen licht dit hoofdstuk de aanleiding tot beveiliging van gegevens toe. In hoofdstuk 4 staan de voorwaarden geformuleerd waaraan het hulpmiddel voor gegevensbeveiliging moet voldoen. Daarna wordt in hoofdstuk 5 een drietal benaderingen tot gegevensbeveiligingen uiteengezet, waarna vervolgens een standaard wordt geselecteerd om het hulpmiddel op te baseren. In hoofdstuk 6 wordt een vijftal modellen beschreven. Eén van deze modellen wordt uiteindelijk geselecteerd om gebruikt te worden bij de totstandkoming van het hulpmiddel. Hierna wordt in hoofdstuk 7 deze totstandkoming beschreven. In hoofdstuk 8 staan de conclusies en aanbevelingen beschreven die op basis van de afstudeerstage tot stand zijn gekomen. Ten slotte besluiten aanbevelingen en suggesties voor vervolgonderzoek dit afstudeerverslag.
Pagina 8
Afstudeerverslag
2. Organisatiebeschrijving De heer R. van de Coevering (Directeur) heeft in 1996 de eenmanszaak Coevering opgericht. Deze eenmanszaak is in 2000 omgezet in een BV. Naast Coevering BV bestaat de zustervennootschap Coevering Interim BV, welke detacheringactiviteiten onder haar hoede heeft. De activiteiten van beide BV’s worden uitgevoerd onder de naam Coevering. Coevering is een organisatie waar medewerkers uit verschillende disciplines de meest uiteenlopende opdrachtgevers helpen bij structurele verbetering van de organisatie. Dat gebeurt aan de hand van advies, detachering, opleiding en training. Coevering adviseert en begeleidt opdrachtgevers op het gebied van strategie, organisatie, processen en kwaliteit. Dit doet men vanuit een kantoor dat gevestigd is te Breda, met een team van negentien medewerkers.
2.1. Werkwijze en opdrachtgevers Werkzaamheden die Coevering uitvoert zijn per definitie afgestemd op de behoeften van de opdrachtgever. Coevering kan in maatwerktrajecten die ze uitvoert optreden als begeleider, coach, adviseur, klankbord of trainer. Tevens zijn adviseurs en deskundigen op basis van detachering inzetbaar om de uitvoering van werkzaamheden te ondersteunen. Coevering werkt voor opdrachtgevers uit verschillende sectoren zoals de industrie, zakelijke dienstverlening en lokale overheden.
2.2. Organigram In figuur 1 is de organisatiestructuur van Coevering weergegeven. Barry Meesters was gedurende het afstudeertraject de afstudeerbegeleider, Richard Legierse was ondersteunend begeleider. Directie
Marketing & Sales HRM & Organisatie Richard Legierse manager HRM / adviseur
Secretariaat
Systeembeheer
Kwaliteitsdeskundigen
Adviseurs Barry Meesters management adviseur
Richard Legierse manager HRM / adviseur
figuur 1: Organigram Coevering
Pagina 9
Leon Kers afstudeerder
Afstudeerverslag
3. Theoretisch kader In dit hoofdstuk is eerst een aantal begrippen gedefinieerd dat van belang is voor een goed begrip van gegevensbeveiliging. Vervolgens is uitgelegd wat de aanleiding is voor organisaties tot het beveiligen van gegevens.
3.1. Begrippenkader 3.1.1. Gegevens (data) en informatie De begrippen gegevens en informatie worden in het dagelijks leven en in de literatuur nogal eens door elkaar gebruikt [MEAD97, p. 697]. Beide begrippen hebben een onderlinge relatie, maar zijn niet identiek aan elkaar. Gegevens zijn de voorstelling van een feit of een idee in een zodanige vorm dat dit door een proces kan worden bewaard, verplaatst of bewerkt [STAR02, p.6]. Gegevens kunnen dus worden gezien als de objectief waarneembare representaties van feiten. Voorbeelden van gegevens zijn personeelsgegevens, klantengegevens, ordergegevens en marktgegevens. Data is het engelse woord voor gegevens en wordt gedefinieerd als een verzameling van gegevens [VAND02]. Het woord data wordt in de Nederlandse taal als synoniem voor gegevens gebruikt. Informatie daarentegen kan worden gedefinieerd als datgene wat het bewustzijn van de mens bereikt en bijdraagt tot zijn kennisbeeld [STAR02, p.5]. Het is de betekenis die de mens aan de hand van bepaalde afspraken toekent aan gegevens, de kennistoename als gevolg van het ontvangen en verwerken van gegevens. Informatie moet dus voor de ontvanger nieuw en relevant zijn. 3.1.2. Informatiesysteem en informatievoorziening Een informatiesysteem is een Informatiesysteem Managementproces samenhangende gegevensverwerkende functionaliteit die kan worden ingezet Gegevens Planning om één of meer bedrijfsprocessen te Informatie Beheersing kennen, te ondersteunen, of te Omgeving besturen [OVER03, p.22]. Het informatiesysteem kan gegevens die in een voor een ontvanger niet te Primair bedrijfsproces gebruiken of te begrijpen vorm staan, verwerken tot begrijpelijke en Organisatie bruikbare gegevens voor de ontvanger. figuur 2: samenhang tussen primair proces, Wanneer deze gegevens het managementproces en informatiesysteem [BLUM84] bewustzijn van de ontvanger bereiken en bijdragen aan zijn kennisbeeld ontstaat informatie. De relatie tussen organisatie, gegevens en informatie is duidelijk gemaakt met behulp van het model van Blumenthal (zie figuur 2). Om tot een definitie van een informatievoorziening te komen, is het nodig om eerst de begrippen gegevensinfrastructuur, IT-infrastructuur en applicaties te definiëren. Een ITinfrastructuur is het geheel van automatiseringsmiddelen voor het opslaan, bewerken, transporteren en representeren van gegevens ten behoeve van gegevensinfrastructuren en
Pagina 10
Afstudeerverslag
applicaties. Een gegevensinfrastructuur is het geheel van één of meerdere gegevensverzamelingen, inclusief de daarop van toepassing zijnde procedures en documentatie, dat beschikbaar is voor één of meerdere informatiesystemen. Een applicatie is de programmatuur waarin de specifieke functionaliteit van een informatiesysteem geprogrammeerd is. Een applicatie omvat de toepassingsprogrammatuur en de bijbehorende gegevensverzamelingen, inclusief de daarop van toepassing zijnde procedures en documentatie [OVER03, p23]. De informatievoorziening is het geheel van IT-infrastructuur, gegevensinfrastructuur, applicaties en organisaties, dat tot doel heeft om te voorzien in de informatiebehoefte van de processen van een organisatie [OVER03, p.23]. De verzameling van alle informatiesystemen in een onderneming wordt ook wel beschouwd als de informatievoorziening. De componenten van de informatievoorziening en hun samenhang zijn schematisch weergegeven in figuur 3.
Gebruikers
Organisatie
Informatievoorzieing
Applicaties Gegevensinfrastructuur IT-infrastructuur
Basisinfrastructuur
figuur 3: De componenten van de informatievoorziening [OVER03, p.23]
3.1.3. Vertrouwelijkheid, integriteit, beschikbaarheid en betrouwbaarheid Vertrouwelijkheid is de mate waarin de toegang tot gegevens of functionaliteit beperkt is tot degenen die daartoe bevoegd zijn. Integriteit is de mate waarin gegevens of functionaliteit juist ingevuld zijn. Beschikbaarheid is de mate waarin gegevens of functionaliteiten op de juiste momenten beschikbaar zijn voor gebruikers [OVER03, p.24]. Deze drie aspecten samen zijn bepalend voor de betrouwbaarheid van de informatievoorziening van een organisatie. Betrouwbaarheid van de informatievoorziening wordt dan ook gedefinieerd als de mate waarin een organisatie zich kan verlaten op die informatievoorziening [OVER03, p.38]. 3.1.4. Gegevensbeveiliging Dit afstudeerverslag gaat over beveiliging van gegevens, kortweg gegevensbeveiliging. In dit verslag is bewust gekozen voor het hanteren van deze term. De overtuiging dat er een onderscheid is en gemaakt dient te worden tussen de begrippen gegevens en informatie ligt hieraan ten grondslag. Gegevensbeveiliging wordt gekarakteriseerd als het waarborgen van vertrouwelijkheid, integriteit en beschikbaarheid [NEN00, p.8]. In dit verslag wordt de volgende definitie voor gegevensbeveiliging gehanteerd: Gegevensbeveiliging is het treffen en onderhouden van een samenhangend pakket maatregelen om de betrouwbaarheid (beschikbaarheid, integriteit en vertrouwelijkheid) van de informatievoorziening te waarborgen. Er is bewust gekozen voor deze definitie omdat hierin het belang van betrouwbaarheid, vertrouwelijkheid, integriteit en beschikbaarheid expliciet tot uiting komt. Deze drie aspecten zijn in veel definities in de literatuur terug te vinden (zie bijvoorbeeld [USHE98, p.17], [ANDE03, p.308] en [NEN00, p.12]).
Pagina 11
Afstudeerverslag
3.2. Aanleiding tot gegevensbeveiliging De meeste organisaties zijn in toenemende mate afhankelijk van hun informatievoorziening geworden. Deze afhankelijkheid kan dusdanig zijn dat de continuïteit van een organisatie afhankelijk is van de betrouwbaarheid en continuïteit van deze informatievoorziening [SPRU96, p. 157]. Informatievoorzieningen zijn echter kwetsbaarder dan ooit voor bedreigingen en risico’s en moeten hiertegen worden beschermd [VROO04, p. 191]. Een informatiesysteem dat niet goed functioneert, kan een kritieke impact hebben op de continuïteit van de organisatie. Gegevensbeveiliging is nodig om de betrouwbaarheid en continuïteit van de informatievoorziening te waarborgen.
De kwetsbaarheid van een object ten aanzien van een bedreiging, is de mate waarin het betreffende object gevoelig is voor de betreffende bedreiging. Deze gevoeligheid ontstaat doordat één of meer karakteristieken van het object het mogelijk maken dat de bedreiging een negatieve invloed uit kan oefenen op het object (zie figuur 5). Er is sprake van een risico wanneer de kans op het optreden van een ongewenste gebeurtenis groter is dan nul [PRAA02, p69]. Een onderneming loopt risico zodra één of meerdere objecten van de informatievoorziening kwetsbaar zijn en getroffen kunnen worden door een bedreiging.
Bedreiging
Bescherming
Object
figuur 4: Objecten worden beschermd tegen bedreigingen
Bedreiging
Bescherming
Kwetsbaarheid
3.2.1. Bedreiging, kwetsbaarheid & risico De beveiliging van de informatievoorziening wordt gerealiseerd door het beschermen van de objecten die informatie bevatten tegen bedreigingen (zie figuur 4). Een bedreiging is een proces of een gebeurtenis die in potentie een verstorende invloed heeft op de betrouwbaarheid van een object. Voorbeelden van bedreigingen zijn brand, diefstal, virussen, stroomuitval, overstromingen, terrorisme of de uitval van een computer. In Bijlage I is een overzicht opgenomen van diverse bedreigingen die informatievoorzieningen kunnen aantasten.
Bescherming
Object
figuur 5: Kwetsbaarheden zijn tekortkomingen in de bescherming van een object
Bij gegevensbeveiliging gaat het om het inschatten van deze risico’s. Als risico’s niet acceptabel zijn Bedreiging voor de organisatie die ze loopt, zullen er maatregelen moeten worden genomen om de Maatregelen Bescherming kwetsbaarheid en daarmee de risico’s te reduceren. Maatregelen kunnen op diverse manieren worden Object geclassificeerd. Ze kunnen bijvoorbeeld worden ingedeeld naar de wijze waarop ze gerealiseerd figuur 6: Maatregelen reduceren de worden of op basis van de manier waarop ze met kwetsbaarheid van een object bedreigingen omgaan. In het eerste geval spreekt men over organisatorische, logische en fysieke maatregelen. In het tweede geval spreekt men over een preventieve, detectieve, repressieve of correctieve maatregel [OVER03, p.30+33].
Pagina 12
Afstudeerverslag
3.2.2. Noodzaak & kans Gegevensbeveiliging kan voor een organisatie noodzakelijk zijn vanwege andere redenen dan het beperken van risico’s. Ook is het mogelijk dat aandacht wordt besteed aan gegevensbeveiliging vanwege kansen die dit oplevert voor een organisatie. In deze subparagraaf worden de noodzaken en kansen toegelicht die aanleiding kunnen zijn tot het beveiligen van gegevens. Noodzaak Aan het begin van deze paragraaf is al duidelijk gemaakt dat de meeste organisaties in toenemende mate afhankelijk zijn geworden van hun informatievoorziening. Deze afhankelijkheid kan dusdanig zijn dat de continuïteit van een organisatie afhankelijk is van de betrouwbaarheid en continuïteit van deze informatievoorziening [SPRU96, p. 157]. Het waarborgen van deze continuïteit is dan ook de eerste noodzaak tot gegevensbeveiliging voor een organisatie. Naast deze eis ten aanzien van de continuïteit van de bedrijfsvoering zijn er nog meer factoren welke de noodzaak tot gegevensbeveiliging onderstrepen. Zo zijn er verplichting die voortkomen uit wet- en regelgeving. Wetten zoals de Wet Bescherming Persoonsgegevens (WBP) en ontwikkelingen op het gebied van Corporate Governance1 zoals sectie 404 uit de Sarbanes-Oxley Act2 en de Code Tabaksblat3 verplichten een organisatie tot het goed regelen van beveiliging van de informatievoorziening. Maar ook contractuele verplichtingen kunnen de aanleiding zijn tot gegevensbeveiliging, bijvoorbeeld in geval van Service Level Agreements (SLA’s) met zakenpartners. Ook risico’s zoals het oplopen van financiële schade (door b.v. diefstal van goederen), schade aan het imago (door b.v. het hacken van de website van het bedrijf) en het verlies van marktaandeel doordat afnemers alleen nog maar zaken willen doen met een leverancier die zijn beveiliging goed op orde heeft, rechtvaardigen het schenken van voldoende aandacht aan gegevensbeveiliging. Tenslotte zijn er de behoefte aan juiste en betrouwbare managementinformatie en de behoefte aan het geheimhouden van kennis die de noodzaak tot beveiliging kunnen zijn. Denk bij deze laatste noodzaak aan een competitief voordeel dat een organisatie ten opzichte van de concurrenten heeft, bijvoorbeeld door de eerste te zijn die de kennis heeft die benodigd is om een nieuw product te maken. Kans Naast de noodzaak van waaruit de aandacht voor gegevensbeveiliging voortkomt, is het ook mogelijk dat aandacht wordt besteed aan gegevensbeveiliging vanwege de kansen die dit meebrengt voor de organisatie. Gegevensbeveiliging kan ten eerste een gevoel van onzekerheid wegnemen bij mensen omtrent risico’s die een onderneming loopt. Ook kan gegevensbeveiliging van commerciële waarde zijn voor een onderneming, doordat men nieuwe klanten krijgt die na te hebben vernomen dat de onderneming haar zaken op het gebied van gegevensbeveiliging aantoonbaar goed op orde heeft zich aangetrokken voelen tot de organisatie. Tevens kan het goed regelen van de beveiliging van gegevens resulteren in verlaagde verzekeringskosten. Denk hierbij 1
Corporate Governance is het beheersen van de relatie tussen de diverse belanghebbenden in een organisatie [LASH04, p.46]. 2 Sectie 404 van de Sarbanes-Oxley wet uit 2002 houdt managers van beursgenoteerde bedrijven in de Verenigde Staten verantwoordelijk voor de nauwkeurigheid van financiële verslaglegging en informatie die wordt uitgevaardigd door hun bedrijven [KIM03, p.12]. 3 De Code Tabaksblat is de Nederlandse corporate governance code en beschrijft de beginselen van deugdelijk ondernemingsbestuur en best practice bepalingen daarvoor. Pagina 13
Afstudeerverslag
bijvoorbeeld aan het dalen van verzekeringspremies ten gevolge van het beter beveiligen van een ruimte waarin zich vele computers bevinden. Tenslotte kan gegevensbeveiliging ook nieuwe kansen bieden in de vorm van nieuwe producten en diensten, zoals de verkoop van producten via internet of de ontwikkeling van nieuwe producten gericht op beveiliging van gegevens. In figuur 7 staan de aanleidingen tot gegevensbeveiliging zoals ze naar voren zijn gekomen in deze subparagraaf samengevat. NOODZAAK Continuïteit van bedrijfsvoering
Voldoen aan weten regelgeving
Contractuele verplichtingen
Voorkomen financiële schade
Voorkomen imagoschade
Voorkomen verlies van marktaandeel
Juiste managementinformatie
Geheimhouding van kennis
Aanleidingen tot gegevensbeveiliging
Wegnemen onzekerheid
Commerciële waarde
Verminderen kosten
Onderdeel van (nieuwe) oplossing
KANS
figuur 7: Aanleidingen tot gegevensbeveiliging
3.2.3. Conclusie In dit hoofdstuk is de achterliggende theorie met betrekking tot gegevensbeveiliging behandeld. In dit verslag is bewust gekozen voor het hanteren voor de term gegevensbeveiliging, omdat deze vanwege het onderkende onderscheid tussen gegevens en informatie semantisch gezien meer verantwoord is dan de term informatiebeveiliging. Bij de definitie van het begrip gegevensbeveiliging zijn volgens diverse bronnen de termen betrouwbaarheid, beschikbaarheid, integriteit en vertrouwelijkheid van belang. Daarnaast is duidelijk gemaakt dat diverse noodzaken en kansen aanleiding kunnen zijn voor een organisatie om aandacht te besteden aan het beveiligen van gegevens. Bedreigingen, kwetsbaarheden en risico’s spelen hierbij een rol. In het volgende hoofdstuk zal worden ingegaan op de voorwaarden waaraan het hulpmiddel voor gegevensbeveiliging moet voldoen.
Pagina 14
Afstudeerverslag
4. Voorwaarden hulpmiddel In dit hoofdstuk staan een zestal voorwaarden geformuleerd waaraan het hulpmiddel voor gegevensbeveiliging moet voldoen. Deze voorwaarden zijn opgesomd op basis van diverse vakliteratuur en publicaties met betrekking tot gegevensbeveiliging en de wensen van Coevering.
4.1. Algemene voorwaarden 4.1.1. Voorwaarde 1: Onderkennen dat beveiliging meer is dan techniek alleen Problemen met betrekking tot beveiliging van gegevens in een organisatie kunnen niet alleen opgelost worden door technische middelen [SOLM04B, p. 372]. Sommige technieken gericht op gegevensbeveiliging houden bijvoorbeeld geen rekening met de samenwerking tussen beveiliging van gegevens en de reguliere beveiligingsafdeling. De technische oplossing moeten daarom worden ondersteund door de rest van de organisatie. De meeste tekortkomingen bij beveiliging van gegevens zitten hem dan ook niet in de techniek, maar in bedrijfsprocessen en training en bewustzijn van medewerkers [JAGE04, p. 8]. Die afstemming met bedrijfsprocessen en medewerkers is van doorslaggevend belang voor het slagen van gegevensbeveiliging. Een teambenadering tot gegevensbeveiliging, waar een groot aantal mensen in een organisatie op een gecoördineerde manier samenwerken, is absoluut noodzakelijk om een adequaat beveiligingsniveau te realiseren [WOOD04, p. 16]. 4.1.2. Voorwaarde 2: Aandacht voor de menselijke factor en bewustzijn Ondermaats beveiligingsbewustzijn van werknemers is een significante (misschien wel de grootste) factor die van belang is voor gegevensbeveiliging binnen een organisatie [LEAC03, p. 692]. Aandacht voor bewustzijn is van belang, zichtbare steun en betrokkenheid van managers in een organisatie is nodig [NEN00, p. 13]. Succes (of mislukking) van elk beveiligingsprogramma is grotendeels afhankelijk van de mensen die verantwoordelijk zijn voor ontwerp, implementatie, beheer en gebruik van de processen en technologieën [ORSH03, p. 43]. Het hulpmiddel moet daarom aandacht schenken aan de menselijke factor en het bewustzijn van deze mensen omtrent beveiliging vergroten.
4.2. Voorwaarden Coevering 4.2.1. Voorwaarde 3: Universele toepasbaar door flexibiliteit Coevering wil in staat zijn het hulpmiddel toe te passen binnen de eigen organisatie, maar ook bij elke (potentiële) opdrachtgever. Deze opdrachtgevers zijn van variërende omvang en komen uit verschillende sectoren zoals de industrie, zakelijke dienstverlening en lokale overheden. Feit is dat de manier en mate van beveiliging moet passen bij een onderneming [GERB01, p. 583]. Deze afstemming wordt bereikt door rekening te houden met de middelen, omstandigheden en eigenschappen van die onderneming [HAAR03, p. 244]. Factoren die aanleiding voor gegevensbeveiliging kunnen zijn zoals beschreven in het vorige hoofdstuk, spelen hierbij een rol. Op een industriële organisatie is bijvoorbeeld andere wet- en regelgeving van toepassing dan op een dienstverlenende adviesorganisatie. Naast deze factoren zijn de vijf basisaspecten van het organisatiedomein van belang bij gegevensbeveiliging: strategie, structuur, technologie, mensen en management [TAN97, p.76]. Deze vijf basisaspecten maken duidelijk dat bij het realiseren van gegevensbeveiliging een organisatie moet zoeken naar een geschikt niveau van beveiligen, een mate van beveiligen Pagina 15
Afstudeerverslag
die past bij een onderneming en haar omgeving en bevredigend is voor die onderneming. Overmatige beveiliging is zinloos, ondermaatse beveiliging is onverstandig en niets doen aan beveiliging is fout [CAPG02, p.11]. Het hulpmiddel moet dus in staat zijn rekening te houden met de middelen, omstandigheden en eigenschappen van een onderneming. Alleen dan kan het hulpmiddel geschikt zijn voor grote, middelgrote en kleine organisaties uit zowel de profit, non-profit als publieke sector. 4.2.2. Voorwaarde 4: Begrijpelijk en snel in gebruik In het eerste hoofdstuk van dit verslag was al aangegeven dat Coevering ervaart dat veel organisaties wel iets willen doen om beveiliging van gegevens goed op orde te hebben of te krijgen, maar vaak niet weten wat hierbij komt kijken en waar men zou moeten beginnen. Er zijn diverse beveiligingsstandaarden die geschikt zouden kunnen zijn als hulpmiddel bij gegevensbeveiliging in omloop, maar deze zijn volgens de opdrachtgevers van Coevering vaak te vaag en ingewikkeld om op een praktische manier toe te passen. Het hulpmiddel moet daarom gemakkelijk in gebruik zijn en eenduidig geformuleerd. Hierbij is het van belang dat het mogelijk is dat een organisatie in staat is om het hulpmiddel begrijpelijk, snel en zelfstandig toe te passen. 4.2.3. Voorwaarde 5: Gebaseerd op een bestaande bekende standaard Door het toenemende internationale belang van gegevensbeveiliging neemt het belang van een gemeenschappelijk stelsel van normen en waarden toe. De verwachting is dat een beveiligingstandaard uiteindelijk zal worden gebruikt als kenmerk richting derden, zoals ISO9000 ook indicatief is voor de kwaliteit van een organisatie [OUD02, p.29]. Grootschalige certificatie tegen de een bestaande standaard is in de toekomst dan ook zeker niet ondenkbaar, getuige het feit dat er nu al bedrijven zijn die zich aan het voorbereiden zijn op certificatie of zich zelfs al hebben laten certificeren4. Coevering stelde vanuit commercieel oogpunt daarom als voorwaarde dat het hulpmiddel gebaseerd moest zijn op een bestaande en bekende beveiligingsstandaard. 4.2.4. Voorwaarde 6: Tweetalig Een laatste voorwaarde is de tweetaligheid waarin het hulpmiddel moest worden ontwikkeld. Onder de opdrachtgevers van Coevering bevinden zich naast Nederlandstalige ondernemingen ook enkele multinationals. Het instrument moest daarom zowel in het Nederlands als in het Engels worden gemaakt.
4.3. Conclusie In dit hoofdstuk zijn zes voorwaarden geformuleerd waaraan het hulpmiddel voor gegevensbeveiliging moet voldoen. In de volgende hoofdstukken van dit verslag zullen de voorwaarden worden gebruikt bij het afwegen van diverse benaderingwijzen, standaarden en modellen die kunnen worden gebruikt bij de totstandkoming van het hulpmiddel.
4 Voorbeelden van zulke bedrijven zijn Akzo Nobel, TNT, Univé Verzekeringen, TPG-Post, Urenco Nederland BV, Consul Risk Management BV, Centraal Administratie Kantoor Bijzondere zorgkosten (CAK-BZ) en het Belasting Automatisering Centrum (BAC).
Pagina 16
Afstudeerverslag
5. Benaderingen tot gegevensbeveiliging Gegevensbeveiliging kan op meerdere manieren worden benaderd [TR E03, p.337 & HAAR03, p. 244]. In dit hoofdstuk worden drie benaderingwijzen tot gegevensbeveiliging toegelicht.
5.1. Risicoanalyse Een risicoanalyse kan worden toegepast om de risico’s waaraan de informatievoorziening wordt blootgesteld te waarderen. Het doel van een risicoanalyse is het beperken van te verwachten schade [SUH03, p. 150]. De uitvoering van een risicoanalyse bestaat uit drie stappen [SUH03, p. 150, CERU81 & LOCH92]: -
Identificeren en waarderen van objecten Identificeren en inschatten van bedreigingen en kwetsbaarheden Identificeren en waarderen van risico
Bij de eerste stap identificeert een onderneming alle objecten die betrekking hebben of van invloed zijn op de informatievoorziening. Hierbij kan de organisatie bijvoorbeeld gebruik maken van de zogenaamde MAPGOOD-verdeling: Mensen, Apparatuur, Programmatuur, Gegevens, Organisatie, Omgeving en Diensten [OUD02, p.63]. In tabel 1 is dit weergegeven. Andere benaderingen zijn ook mogelijk, zolang de organisatie maar zorgt dat er geen objecten over het hoofd worden gezien. Component Mensen Apparatuur Programmatuur Gegevens(verzamelingen) Organisatie Omgeving Diensten
Voorbeelden Eigenaar, houder, gebruikers, beheerders, bewerkers, controleurs Computerapparatuur, datacommunicatieapparatuur Salarisverwerkingsprogramma, kantoorapplicatie Adressenbestanden, tekstbestanden Procedures, administratieve organisatie Gebouw, werkplek Energie, water, telefoon
tabel 1: De componenten van MAPGOOD [OUD02, p.63]
Nadat alle objecten zijn gewaardeerd worden in de volgende stap alle mogelijke bedreigingen die van invloed kunnen zijn op de geïdentificeerde objecten in kaart gebracht. Ook de kwetsbaarheden van de objecten worden hierbij meegenomen. In de laatste stap van de risicoanalyse wordt het risico dat de organisatie loopt geïdentificeerd en gewaardeerd. Hierbij is het gebruikelijk dat de mogelijke schade die kan optreden en de waarschijnlijkheid dat de schade zal optreden in kaart wordt gebracht [BASK93]. De manier waarop dit wordt gedaan, is afhankelijk van de soort risicoanalyse die wordt uitgevoerd. Er is een onderscheid te maken in twee soorten van analyse: kwantitatieve en kwalitatieve risicoanalyses. 5.1.1. Kwantitatieve risicoanalyse De kwantitatieve risicoanalyse is een wiskundige benadering tot het uitvoeren van een risicoanalyse [NOSW00, p. 598]. Bij deze methode worden de risico’s waar mogelijk gekwantificeerd in meetbare criteria. Meestal is dit geld [OVER03, p. 111]. In geval van schadeverwachting op jaarbasis spreekt men van de Annual Loss Expectancy (ALE). De grootte van een risico is in dat geval gelijk aan de te verwachten schade, maal de kans (P) dat
Pagina 17
Afstudeerverslag
de schade (D) optreedt. Voor elk object (O) kan het risico R(O) worden berekend met behulp van de formule [OVER03, p.115]: Kans op schade
R (O) =
Schade (D) die optreedt
Pi (O, Bi ) wi ⋅ Di
Waarschijnlijkheid van optreden (kwetsbaarheid) Kans dat bedreiging (B) zich manifesteert op object (O)
Bovenstaande formule illustreert de complexiteit en onzekerheid van een kwantitatieve risicoanalyse. Het uitvoeren van een dergelijke analyse gaat gepaard met schattingen betreffende de kans dat de bedreiging zich manifesteert, de waarschijnlijkheid van optreden en de schade die daarbij wordt geleden. Vanwege deze complexiteit en onzekerheid zijn schattingen niet voor alle bedreigingen en objecten van de informatievoorziening even goed te maken. Dit betekent dat bij het beveiligen van gegevens de kwantitatieve risicoanalyse meestal niet goed uitgevoerd kan worden; behalve in uitzonderlijke situaties, zoals voor een relatief geïsoleerd en eenvoudig computersysteem. 5.1.2. Kwalitatieve risicoanalyse Bij de kwalitatieve risicoanalyse neemt men aan dat risico’s niet kunnen worden uitgedrukt in meetbare criteria zoals geld [SUH03, p. 150]. Daarom worden bij kwalitatieve analyses globale inschattingen van de risico’s gemaakt. Voordeel hiervan is dat het een relatief simpele manier is om risico te bepalen en niet zo tijdrovend is als de kwantitatieve methode. Nadeel is dat de schattingen een ruw en subjectief karakter hebben, waardoor ze niet erg bruikbaar zijn bij een kosten/baten beslissing. 5.1.3. Combinatie van beiden Kwantitatieve en kwalitatieve risicoanalyses hebben hun eigen voor- en nadelen, welke in tabel 2 zijn opgesomd. Voordelen
Nadelen
Kwantitatieve methode Toepasbaar op alle objecten Heeft een wiskundige basis Ondersteunend bij kosten-baten beslissingen Ongepastheid van geldelijke waarde van objecten Ongepastheid van generieke statistieken Tijdrovend
Kwalitatieve methode Simpele manier om risico te bepalen Bruikbaar wanneer de waarde van objecten irrelevant of onbekend is Minder tijdrovend Ruwe karakter van schattingen Niet erg bruikbaar bij een kosten-baten beslissing Subjectieve resultaten
tabel 2: voor- en nadelen van kwantitatieve en kwalitatieve risicoanalyse [SUH03, p.151]
Combinaties van kwantitatieve en kwalitatieve risicoanalyse zijn ook denkbaar. Een mogelijkheid is bijvoorbeeld om eerst een kwalitatieve risicoanalyse uit te voeren op de globale aspecten van een informatievoorziening. Vervolgens kan dan een kwantitatieve benadering worden toegepast op specifieke aandachtspunten. Feit is dat een onderneming moet weten welke risico’s ze loopt en hoe groot deze risico’s zijn om ze op een evenwichtige manier te kunnen beheersen [NOSW00, p. 614]. Beveiligingsbehoeften worden bepaald aan de hand van een methodische beoordeling van beveiligingsrisico’s [NEN00, p.9]. Een
Pagina 18
Afstudeerverslag
risicoanalyse is zo’n methodische beoordeling. Zowel de kwantitatieve methode, kwalitatieve methode en een combinatie van beide methodes kunnen hiervoor worden toegepast.
5.2. Normatief kader Een tweede benadering voor gegevensbeveiliging is uitgaan van een normatieve kader. Bij deze benadering neemt een organisatie een bestaande standaard als uitgangspunt bij haar benadering tot gegevensbeveiliging. Deze benadering levert een organisatie een raamwerk wat ervoor moet zorgen dat er geen beveiligingsaspecten over het hoofd worden gezien zonder dat men zelf hoeft uit te zoeken welke aspecten dit allemaal zijn [SOLM01, p. 505]. De benadering volgens het normatief kader kan zich uiten in de vorm van bijvoorbeeld quickscans of baseline-checks [OVER03, p. 112]. In deze paragraaf worden een aantal van deze normatieve kaders toegelicht. Er is gekozen voor juist deze kaders, omdat deze gedurende de literatuurstudie het meest naar voren kwamen. IT Baseline Protection Manual De IT Baseline Protection Manual is samengesteld door het Duitse Bundesambt für Sicherheit in der Informationstechnik (BSI). Dit document is een verzameling van aanbevolen standaard beveiligingsmaatregelen voor typische IT systemen dat om de zes maanden wordt geactualiseerd. Het doel van het document is om een beveiligingsniveau voor IT systemen te bereiken dat redelijk is en adequaat voldoet aan normale beschermingseisen. Tevens kan het document dienen als de basis voor IT systemen en applicaties die een hoge mate van beveiliging vereisen. Het document is erg omvangrijk (2380 pagina’s) en bevat naast een opsomming van gedetailleerde maatregelen tevens scenario’s van mogelijke bedreigingen waaraan een organisatie blootgesteld zou kunnen worden [BSI04]. ISF Standard of Good Practice for Information Security De Standard of Good Practice for Information Security is opgesteld door het Information Security Forum (ISF), een internationale associatie van ruim 250 vooraanstaande organisaties. De standaard beschrijft gegevensbeveiliging vanuit een bedrijfsperspectief waarbij een praktische basis voor de beoordeling van beveiligingsmaatregelen wordt gegeven. Er wordt in het document een doel gesteld waartegen een organisatie de eigen beveiliging kan toetsen. Het document is gebaseerd op een schat aan materiaal, onderzoeksbevindingen, kennis en ervaring van de aangesloten leden [ISF03]. NIST Handbook 800-12 Het NIST Handbook 800-12 is opgesteld door het National Institute of Standards and Technology, een onderdeel van het Amerikaanse department of Commerce. Het handboek biedt een helpende hand bij beveiliging van gegevens op een voornamelijk strategisch en operationeel niveau door uitleg te geven over belangrijke concepten en technieken op het gebied van beveiliging. Het handboek vertelt vooral waarom je iets zou doen en hoe dat gedaan kan worden, maar gaat verder niet uitvoerig in op wat je als organisatie zou moeten doen om gegevensbeveiliging te realiseren [NIST96]. BS7799 & ISO/IEC17799 & Code voor Informatiebeveiliging De Code voor Informatiebeveiliging (CvIB) is gebaseerd op de Britse norm BS7799. De ISO/IEC17799 is een internationale versie van deze norm, waardoor deze drie standaarden inhoudelijk identiek zijn aan elkaar. In dit verslag zal vanaf nu worden gesproken over ‘de Code’, waarmee alle drie deze standaarden worden bedoeld. In bijlage II is het verband en de historie van deze drie normen verder toegelicht.
Pagina 19
Afstudeerverslag
De Code bestaat uit twee delen. Het eerste deel bevat een omschrijving van ruim 120 maatregelen welke zijn gebaseerd op kennis en ervaringen van diverse ondernemingen. Het tweede deel bevat de beschrijving van een managementmodel om de juiste maatregelen te selecteren en te beheersen. Dit deel beschrijft het proces om tot een managementsysteem te komen en dit te onderhouden met behulp van de maatregelen die zijn beschreven in het eerste deel. Daarom is in het tweede deel een opsomming van dezelfde maatregelen uit het eerste deel opgenomen. Deel 1 is dus de leidraad, deel 2 beschrijft de norm. In Bijlage III is de inhoudsopgave van de CvIB opgenomen om een beeld van de opbouw en inhoud te kunnen vormen. De Code is een zogenoemde tactische standaard die vooral vertelt wat gedaan kan worden, niet waarom en hoe. Dit wil echter niet zeggen dat de Code helemaal niets zegt over strategische en operationele zaken. Zo wordt wel toegelicht dat er een beleid opgesteld moet worden en dat je als onderneming moet beschikken over procedures en werkinstructies. De Code is een standaard met een generiek karakter waardoor deze bruikbaar is voor alle infrastructuren, platforms en soorten organisaties. De Code kan worden gebruikt in grote, middelgrote en kleine organisaties. Dit betreft zowel profit, non-profit als publieke sector organisaties [NEN00, p. 7]. Control Objectives for Information and related Technology (CobiT) Het doel van CobiT is het onderzoeken, ontwikkelen, publiceren en promoten van een gezaghebbende, actuele en internationale set van algemeen geaccepteerde ITcontroledoelstellingen voor dagelijks gebruik door managers en auditors [COBI00A]. Om dit doel te bereiken is een raamwerk ontwikkeld dat bestaat uit 34 processen en 318 gedetailleerde controledoelstellingen en richtlijnen om de processen te evalueren. Deze 34 processen zijn opgedeeld in vier domeinen: Planning & Organization, Acquisition & Implementation, Delivery & Support en Monitoring [COBI00B]. CobiT helpt managers hun IT-organisatie te besturen. Hiervoor onderscheidt CobiT zogenaamde maturity models voor de controle over de IT-processen. Hierdoor zijn managers in staat zijn te bepalen waar de organisatie staat, waar ze heen willen met de organisatie in de toekomst en hoe de organisatie presteert ten opzicht van andere bedrijven (benchmarking). Ook definieert CobiT critical succes factors, key goal indicators en key performance indicators die ondersteuning bieden bij het bepalen in welke mate en op welke manier een organisatie haar doelen kan bereiken of heeft bereikt [HAWK03].
5.3. Procesmatig De laatste benaderingwijze heeft betrekking op het proces rond gegevensbeveiliging. Aangezien organisaties en hun omgeving voortdurend veranderen, zullen zowel de risico’s veranderen, als de eisen en randvoorwaarden die vanuit de organisatie aan beveiliging gesteld worden [OVER03, p. 39]. Het effect van genomen beveiligingsmaatregelen kan als gevolg hiervan ook veranderen. Om dit te voorkomen en te kunnen waarborgen dat een adequaat niveau van gegevensbeveiliging gehandhaafd blijft, dient het proces gegevensbeveiliging doorlopend te worden uitgevoerd. De basisgedachte van deze benadering is dat gegevensbeveiliging een continu proces is (zie figuur 8). Het proces bestaat uit zes stappen [OVER03, p. 50]: -
Beleid en organisatie: het formuleren van een beleid ten aanzien van gegevensbeveiliging en het inrichten van de organisatie die verantwoordelijk is ervoor.
Pagina 20
Afstudeerverslag
-
Informatie: het opsporen van onacceptabele risico’s en het zoeken van maatregelen die de risico’s kunnen reduceren. Selectie: het selecteren van een pakket maatregelen. Implementatie: het implementeren van de geselecteerde maatregelen. Bewaking: het bewaken van de naleving van de geïmplementeerde maatregelen. Evaluatie: het evalueren van het effect dat met de getroffen maatregelen bereikt wordt. Beleid & organisatie
Evaluatie
Informatie
Bewaking
Selectie
Implementatie
figuur 8: beveiliging als proces [OVER03, p. 50]
5.4. Conclusie In dit hoofdstuk zijn drie benaderingwijzen tot gegevensbeveiliging toegelicht. Alle drie kunnen ze ondersteuning bieden bij de ontwikkeling van een hulpmiddel voor gegevensbeveiliging. Het onderscheid tussen deze drie benaderingwijzen is niet altijd even helder. Een benadering volgens een normatief kader kan bijvoorbeeld ook aspecten van de procesmatige benaderingswijze in zich hebben (zie b.v. de cyclische gedachte in de vier domeinen van CobiT) of het gebruik van een risicoanalyse stimuleren (zie b.v. de Code). Een bezwaar aan de kwalitatieve risicoanalyse is dat het vooral een bottom-up benadering is met een subjectief karakter [HAAR03, p. 244]. De kwantitatieve risicoanalyse is nogal intensief en tijdrovend, wat in strijd is met voorwaarde 4 (begrijpelijk en snel in gebruik). Bij de benaderingwijze vanuit het normatieve kader is het afhankelijk van de standaard die je selecteert of deze voldoet aan de gestelde voorwaarden. De IT Baseline Protection Manual is breed inzetbaar, maar de details zijn erg technisch van aard. De ISF Standard of Good Practice for Information Security levert een heldere basis voor gegevensbeveiliging welke is gebaseerd op de praktijk. Hetzelfde kan gezegd worden over het NIST Handbook 800-12, de Code en CobiT. Bij alle onderzochte standaarden is het zo dat men onderkent dat beveiliging van gegevens meer is dan techniek alleen (voorwaarde 1) en is er aandacht voor de menselijke factor en bewustzijn (voorwaarde 2). De procesmatige benadering ten slotte onderstreept het belang van cyclisch denken van gegevensbeveiliging, de onderkenning dat beveiliging een continu proces is. Dit geloof in een procesmatige aanpak is terug te vinden in vele standaarden zoals de Code [BSI02, p. 2], CobiT [COBI00B, p. 5], IT Baseline Protection Manual [BSI04, p. 19] Uiteindelijk is gekozen voor de benadering vanuit het normatieve kader in de vorm van de Code als uitgangspunt voor het hulpmiddel. De eerste reden voor deze keuze was dat deze standaard goed voldoet aan de gestelde voorwaarden. De opbouw van de Code (zie bijlage III) laat duidelijk zien dat beveiliging meer is dan techniek alleen (voorwaarde 1) en toont Pagina 21
Afstudeerverslag
aandacht voor de menselijke factor en bewustzijn (voorwaarde 2). Door het generieke karakter is de standaard toepasbaar bij een organisatie van elke omvang en typering (universele toepasbaarheid uit voorwaarde 3). De tactische aard van de Code draagt bij aan de flexibiliteit van de standaard (voorwaarde 3). Als gevolg van deze aard zijn niet alle beveiligingsmaatregelen uit de Code van toepassing op elke willekeurige situatie. Het is daarom noodzakelijk om een ‘vertaling’ te maken naar de specifieke situatie van een onderneming. Ondernemingen dienen hierbij zelf rekening te houden met van toepassing zijnde beperkingen zoals milieuvoorschriften, wettelijke eisen of technologische beperkingen. De Code geeft door de formulering op basis van richtlijnen ruimte aan een onderneming om (operationele) invulling te geven aan de eigen beveiligingsbehoeften op basis van specifieke behoeften en wensen. De gewenste tweetaligheid (voorwaarde 6) is bij toepassing van de Code eenvoudig te realiseren bij gebruik van de CvIB, BS7799 en ISO/IEC17799. Ten slotte is aan voorwaarde 5 (gebaseerd op een bestaande standaard) ook voldaan bij toepassing van de Code. De tweede reden is het feit dat de Code erg bekend is in Nederland. Gebruik van de Code wordt onder andere gestimuleerd door het Ministerie van Economische zaken en ook organisaties als FENIT en VNO/NCW ondersteunen het gebruik van de Code [OVER03, p. 140]. Dit brede draagvlak voor de Code zorgt ervoor dat het mogelijk is om je te laten certificeren tegen de Code, zoals een aantal bedrijven in Nederland reeds hebben laten doen5. Sinds 1997 is het mogelijk om op basis van de Code een organisatie te laten certificeren door erkende organisaties [OVER03, p. 148]. Behalve in Nederland zijn certificatieschema’s op basis van de Code in vele andere landen in gebruik, waaronder het Verenigd Koninkrijk, Australië en enkele Scandinavische landen. De verwachting is dat een beveiligingstandaard uiteindelijk zal worden gebruikt als kenmerk richting derden, zoals ISO9000 ook indicatief is voor de kwaliteit van een organisatie [OUD02, p.29]. Deze bekendheid en het brede draagvlak in Nederland gecombineerd met de mogelijkheid tot certificering ontbreekt bij de andere normatieve kaders. Bijkomend voordeel en van belang zijnde factor bij de keuze voor de Code als uitgangspunt is ook dat de andere twee benaderingswijzen (risicoanalyse en procesmatig) verwerkt zijn in de Code. Regelmatig wordt in de Code gesproken over de toepassing van een risicoanalyse om beveiligingsrisico’s in te schatten en in de inleiding van de laatste versie van de Code wordt het belang van een procesmatige benadering expliciet uiteengezet. Het knelpunt bij de toepassing van de Code als hulpmiddel zit in de begrijpelijkheid en het snelle gebruik (voorwaarde 4). De keerzijde van de tactische aard van de Code is dat het document nogal generieke en vage richtlijnen bevat, waardoor de Code niet erg praktisch is in gebruik. Om onder meer dit probleem te ondervangen zal in het volgende hoofdstuk worden gekeken naar bestaande modellen die kunnen worden gebruikt bij de totstandkoming van het hulpmiddel.
5 Voorbeelden van zulke bedrijven zijn Akzo Nobel, TNT, Univé Verzekeringen, TPG-Post, Urenco Nederland BV, Consul Risk Management BV, Centraal Administratie Kantoor Bijzondere zorgkosten (CAK-BZ) en het Belasting Automatisering Centrum (BAC).
Pagina 22
Afstudeerverslag
6. Modellen Een model is in de context van dit verslag volgens het woordenboek Van Dale hedendaags Nederlands [VAND02] een systeem dat de werkelijkheid nabootst of tracht te beschrijven. Een model kan managers inspireren en bedrijven ondersteuning bieden bij het verbeteren van hun organisatie en het oplossen van problemen. Maar modellen hebben ook een duidelijke keerzijde: het zijn géén standaardoplossingen voor elk uniek probleem [BERE99, p. 13]. Een kritische houding bij het gebruik van modellen is dus hard nodig. In dit hoofdstuk wordt allereerst 5 modellen beschreven die ten behoeve van dit afstudeerverslag zijn onderzocht. Er is gekozen voor juist deze modellen, omdat deze in de bestudeerde literatuur over modellen die bijdragen aan organisatieverbetering het meest werden genoemd. Vervolgens wordt toegelicht voor welk model is gekozen om een hulpmiddel voor gegevensbeveiliging op te baseren en uitgelegd waarom juist deze keuze is gemaakt.
6.1. Modelbeschrijvingen 6.1.1. Balanced Scorecard Robert S. Kaplan6 en David P. Norton7 hebben in 1992 de Balanced Scorecard (BSC) ontwikkeld met als doel de prestaties van organisaties te evalueren [KAPL92]. De doelstellingen en metingen van de BSC worden afgeleid van het doel (de visie en de missie) en de strategie van de onderneming [KAPL99]. Deze doelstellingen en prestatiemetingen belichten de resultaten van de organisatie vanuit vier perspectieven: het financieel perspectief, het afnemersperspectief, het interne-processenperspectief en het leer- en groeiperspectief [KAPL96]. Deze perspectieven vormen samen het raamwerk van de BSC zoals afgebeeld in figuur 9. Financieel "Hoe aanlokkelijk moeten we zijn voor beleggers voor financieel succes?"
Afnemers "Hoe aanlokkelijk moeten we zijn voor afnemers om onze visie (doelstelling) te realiseren?"
Interne processen Visie en strategie
"Waarin moeten we uitblinken om afnemers en aandeelhouders tevreden te stellen?"
Leer en groei "Hoe blijven we in staat tot permanente verandering en verbetering om onze visie te realiseren?"
figuur 9: Het raamwerk van de balanced scorecard [KAPL96, p. 77]
6 7
Zie http://www.people.hbs.edu/rkaplan/ voor meer informatie over Robert. S. Kaplan. Zie http://www.bscol.com/bscol/leadership/ voor meer informatie over David P. Norton.
Pagina 23
Afstudeerverslag
De BSC is een model dat zich richt op prestatiemeting. Hiermee kunnen behaalde resultaten vergeleken worden met de oorspronkelijke doelstellingen. Het is primair een diagnostisch feedbacksysteem dat helpt de strategie-implementatie te monitoren [BERE99, p. 25]. Het is geen strategisch keuzemodel, wel geeft het informatie op basis waarvan de strategie kan worden bijgesteld of de implementatie kan worden bijgestuurd. Directies kunnen met dit instrument nagaan in hoeverre bedrijfsonderdelen waarde scheppen voor bestaande en toekomstige afnemers. Tevens kunnen zij ermee bepalen hoe interne pluspunten en investeringen in mensen, systemen en procedures moeten worden opgevoerd om toekomstige prestaties te verbeteren. De BSC verschaft een samenvattend beeld van de essentiële waardescheppende activiteiten van bekwame, goed gemotiveerde medewerkers in de organisatie [KAPL99, p. 23]. Daarmee is de BSC veel méér dan een tactisch of operationeel meetsysteem alleen. 6.1.2. 7-S-model Het 7-S-Model is bedacht door Thomas J. Peters en Robert M. Waterman [WOOD00, p. 30]. Deze twee grondleggers waren ten tijde van het ontstaan van het model consultants bij McKinsey & Co, waardoor het model ook wel bekend staat als het McKinsey 7-S-model. Het 7-S-Model beschrijft zeven belangrijke dimensies van een organisatie [BERE99, p. 166]: -
-
Shared values: de waarden die men in de organisatie heeft en waarmee men aangeeft wat de organisatie wil en waar deze voor staat; Strategy: welke doelen de organisatie heeft en hoe men deze wil bereiken; Structure: de inrichting van de organisatie, onder meer de taakverdeling, de hierarchie en coördinatie; Staff: de personele aspecten zoals beloning, opleiding, motivatie en gedrag; Systems: de formele en informele regels; Skills: de belangrijkste, onderscheidende vaardigheden van de Organisatie; Style: hoe men zich gedraagt, hoe men met elkaar omgaat en wat de manier van samenwerken is.
Structure
Strategy
Systems Shared values
Skills
Style
Staff
figuur 10: 7-S-model [WATE80]
Deze zeven worden opgedeeld in drie harde en vier zachte dimensies (zie figuur 10). De harde dimensies (strategy, structure en systems) zijn doorgaans eenvoudig te identificeren. Ze kunnen worden teruggevonden in strategische plannen, missies, organisatieschema’s en andere documentatie. De vier zachte dimensies zijn veel moeilijker te beschrijven omdat ze zich continu ontwikkelen en veranderen. Ze worden in hoge mate bepaald door de mensen die werken binnen de organisatie. Ondanks dat de zachte dimensies moeilijk waarneembaar en bestuurbaar zijn, kunnen ze van grote invloed zijn op de harde dimensies van een organisatie. In een organisatie moet men streven naar een consistente en evenwichtige afstemming tussen de zeven dimensies [WATE80]. Het 7-S-model biedt een goede checklist bij het bepalen van managementactiviteiten en het achterhalen van knel- en aandachtspunten in een organisatie. Het geeft uitleg over de
Pagina 24
Afstudeerverslag
belangrijkste organisatieaspecten en draagt bij aan het feit dat er geen belangrijke gebieden of onderwerpen over het hoofd worden gezien. Bezwaarlijk aan het model is dat het de focus legt op de interne mechanismen van de organisatie zonder rekening te houden met de externe omgeving. Vooral aandacht voor de externe omgeving (b.v. de focus op klanten en maatschappij) zitten niet verwerkt in het model. Daarnaast suggereert de afbeelding van het model zoals in figuur 10 (causale) verbanden tussen de dimensies, maar wordt niet duidelijk hoe deze er uit zouden zien. Tenslotte worden in het model geen aangrijpingspunten voor verbetering op de genoemde dimensies aangegeven. 6.1.3. Capability Maturity Model (CMM) Het Capability Maturity Model (CMM) is een model dat wordt gebruikt om procesverbetering te realiseren. Het model is ontwikkeld door het Carnegie Mellon Software Engineering Institute. Omdat het primair was bedoeld om processen rond softwareontwikkeling te beheersen, staat het ook wel bekend als SW-CMM. Tegenwoordig heeft het CMM model zich verder ontwikkeld in het Capability Maturity Model Integration (CMMI). Het CMM geeft inzicht in het ontwikkelingsniveau of de volwassenheid van een organisatie. Door gebruik te maken van volwassenheidsniveaus verkrijgt een organisatie inzicht in de processen en hoe deze verbeterd zouden kunnen worden. De essentie van CMM is dat er verschillende kwaliteitsniveaus kunnen worden onderscheiden [PIJL97, p. 269]. Een organisatie kan groeien in de niveaus door te voldoen aan bepaalde criteria (zie figuur 11). De achterliggende gedachte bij het streven naar een hoger kwaliteitsniveau is dat een hoog kwaliteitsniveau zal leiden tot betere resultaten en prestaties.
Optimizing (5) Continues process improvement is enabled by feedback from the process and from piloting innovative ideas and technologies. Managed (4) Processes are understood, measured and controlled.
Defined (3) Processes are documented and standarized. There are tailored standards for each project.
Repeatable (2) Basis management processes are established to track cost, schedule and functionality.
Initial (1) Voordeel van het CMM is dat het een toegankelijk Ad hoc, occasionally even chaotic. model is dat niet alleen voor analyse en evaluatie van de Few processes are defined and relatie tussen organisatie- en softwareontwikkeling success depends on individual effort. gebruikt kan worden, maar ook als basis kan dienen voor het verbeteren van de organisatie [BERE99, p. 40]. Dit figuur 11: Volwassenheidsniveaus komt doordat het model door de pragmatische vijfdeling van CMM [SEI93, p. 8] zijn oorspronkelijke IT-gerelateerde karakter overstijgt en daardoor ook bruikbaar is voor vragen over de ontwikkeling van bedrijfsprocessen en de organisatie in het algemeen. Varianten zoals Integrated Development Capability Maturity Model (IPD-CMM) en Systems Engineering Capability Model (SECM) onderstrepen dit. Bezwaar tegen het CMM is dat het een model is dat zich alleen richt op de ‘harde’ kant van de bedrijfsvoering. Effectieve organisatieontwikkeling zal doorgaans vergen dat, via aanvullende modellen of ideeën, ook aandacht uitgaat naar de mensgerichte of ‘zachte’ kant [BERE99, p. 41].
Pagina 25
Afstudeerverslag
6.1.4. EFQM/INK-model EFQM staat voor European Foundation for Quality Management en het is zowel de naam van het model als voor de organisatie die in 1988 werd opgericht door veertien Europese bedrijven8 als eigenaar en hoeder van het model. Deze organisatie telt ondertussen ongeveer 800 leden [EFQM03, p.2]. Eind 1991 werd in Nederland het Instituut Nederlandse Kwaliteit (INK) opgericht met als doelstelling het bevorderen van de kwaliteit van de bedrijfsvoering in organisaties met en zonder winstoogmerk. Al snel werd besloten het EFQM-model en de bijbehorende aanpak als uitgangspunt te nemen voor het op Nederland gerichte project. Tot op de dag van vandaag zijn het EFQM- en INK-model dan ook vrijwel identiek. De belangrijkste verschillen zitten in de onderverdeling van de aandachtsgebieden en het systeem van organisatie-ontwikkeling in vijf fasen bij het INK-model [INK00, p.7]. Het EFQM-model onderkent deze vijf fasen niet. Het EFQM-model staat ook wel bekend als het EFQM Excellence Model. Het INK-model kent men ook wel als het INK-managementmodel. Vanwege de grote conceptuele gelijkenis zullen ze in dit verslag samen worden genoemd als EFQM/INK-model. Het EFQM/INK-model is gebaseerd op 9 criteria. Van deze criteria zijn er 5 zogenaamde organisatiegebieden (enablers) en 4 zijn er resultaatgebieden (results). De enablers representeren de dingen die een organisatie doet, de gebieden waaraan managers aandacht moeten besteden bij het besturen van de organisatie. De results staan voor de dingen die een organisatie bereikt, de gebieden waarop de prestaties van een organisatie worden gemeten. Door feedback afkomstig uit de results worden de enablers verbeterd. Zo ontstaat een continue cyclus van leren en verbeteren. Het EFQM/INK-model staat afgebeeld in figuur 12. ENABLERS
RESULTS
People Results
People
Leadership
Policy & Strategy
Processes
Partnerships & Resources
Customer Results
Key Performance Results
Society Results
INNOVATION AND LEARNING
figuur 12: Het EFQM/INK-model [EFQM99 & INK96]
De basisgedachte achter het EFQM/INK-model is dat een organisatie streeft naar excellentie. Excellente resultaten die betrekking hebben op de prestaties, klanten, personeel en maatschappij worden bereikt door middel van leiderschap. Goed leiderschap stuurt vervolgens weer het beleid en de strategie welke op hun beurt weer sturing geven aan het personeel, partnerships, middelen en processen. Bij het EFQM-model staat de RADAR-logica voor deze basisgedachte centraal. Deze logica is gebaseerd op de gedachte dat een organisatie de resultaten (Results) moet bepalen als onderdeel van haar beleid en strategie. Vervolgens moet er een degelijke en geïntegreerde aanpak (Approach) worden ontwikkeld en gepland om deze resultaten te bereiken. Daarna dient deze aanpak op een systematische manier te worden 8
Deze bedrijven zijn Bosch, BT, Bull, Ciba-Geigy, Dassault, Electrolux, Fiat, KLM, Nestlé, Olivetti, Philips, Renault, Sulzer en Volkswagen. Pagina 26
Afstudeerverslag
ontplooid (Deployment) om een volledige implementatie te realiseren. Ten slotte dient de aanpak te worden beoordeeld (Assess) en herzien (Review). Bij het INK-model beschrijft men de Plan-Do-Check-Act-cirkel (PDCA) van dr. W. Edwards Deming als regelkring. Hierbij beginnen alle taken met planning (Plan), waarna de taak wordt uitgevoerd (Do). Vervolgens worden de resultaten bepaald (Check) en wordt lering getrokken uit de ervaring (Act). RADAR en PDCA zijn vergelijkbaar: een organisatie moet op basis van metingen en beoordelingen een activiteit bijsturen om zodoende verbetering te realiseren en dit cyclisch blijven doen. In figuur 13 is het verband tussen het EFQM/INK-model, RADAR en PDCA weergegeven.
Leadership
Policy & Strategy
Plan Approach Results
Act INNOVATION AND LEARNING
People
Do Deploy
Assess & Review
Processes
Partnerships & Resources
Check People Results
Customer Results
Key Performance Results
Society Results
figuur 13: Verband tussen EFQM-model, RADAR en PDCA
Het EFQM/INK-model is een voor managers herkenbaar en hanteerbaar model dat meer en meer gebruikt wordt voor het professionaliseren van de planning- en controlcyclus [BERE99, p. 64]. Het ordent en combineert de kernonderwerpen voor een manager en helpt deze bij het op transparante wijze beoordelen en verbeteren van de kwaliteit van de organisatie. Het model biedt inmiddels ook een gewaardeerde basis voor veel organisaties voor zelfevaluatie en benchmarking9. 6.1.5. Six Sigma Six Sigma is zowel een filosofie als een methodologie voor het verbeteren van kwaliteit door het analyseren van gegevens en statistieken met als doel het vinden van de oorzaken van kwaliteitsproblemen en het implementeren van beheersmaatregelen [MARK04 p. 46]. Six Sigma wordt gedefinieerd als een georganiseerde en systematische methode voor de strategische verbetering van processen en het ontwikkelen van nieuwe producten en diensten, welke is gebaseerd op statistische methodes en de wetenschappelijke methode om drastische reducties te realiseren in door de klant gedefinieerde afwijkingen [LIND03, p. 195]. De klant 9
Benchmarking is het vergelijken van de eigen organisatie met bedrijven uit dezelfde sector [VAND02]
Pagina 27
Afstudeerverslag
staat bij de benadering centraal en de kracht van Six Sigma schuilt in het feit dat beslissingen genomen worden op basis van feiten en metingen. Statistisch gezien is het doel van Six Sigma om niet meer dan 3.4 afwijkingen per miljoen kansen te realiseren. Een afwijking is gedefinieerd als datgene dat buiten de specificaties van de klanten valt.
6.2. Conclusie In dit hoofdstuk is een vijftal modellen beschreven. Niet al deze modellen zijn gezien de voorwaarden even geschikt om te gebruiken als basis voor een hulpmiddel dat organisaties op praktische wijze ondersteuning biedt bij gegevensbeveiliging. De BSC is een model dat zich richt op prestatiemeting en dat helpt de strategie-implementatie te monitoren. Door de focus op prestatiemeting richt het model zich vooral op de vraag in hoeverre bedrijfsonderdelen waarde scheppen voor bestaande en toekomstige afnemers. Expliciete aandacht voor de menselijke factor komt hierbij niet echt tot uiting (voorwaarde 2). Tevens is de mogelijkheid tot samenvoeging met de Code niet evident, omdat de vier perspectieven inhoudelijk niet goed aansluiten bij de indeling van de Code. In de Code wordt bijvoorbeeld niet gesproken over financiële doelen en de mate waarin afnemers tevreden moeten worden gesteld. Het 7-S-model onderkent met de zeven belangrijke dimensies dat een organisatie uit meer bestaat dan techniek alleen (voorwaarde 1) en dat aandacht voor de menselijk factor (voorwaarde 2) van belang is. Hiermee biedt het 7-S-model een goede checklist bij het bepalen van managementactiviteiten en het achterhalen van knel- en aandachtspunten in een organisatie. Het grootste bezwaar aan het 7-S-model is dat het de focus legt op de interne mechanismen van de organisatie zonder rekening te houden met de externe omgeving. En juist aandacht voor deze omgeving is van belang voor universele toepasbaarheid (voorwaarde 3) van het hulpmiddel. Het CMM is een model dat wordt gebruikt om procesverbetering te realiseren door inzicht te verschaffen in het ontwikkelingsniveau of de volwassenheid van een organisatie. Het gebruik van volwassenheidsniveaus zou op het eerste gezicht erg interessant zijn voor een hulpmiddel voor gegevensbeveiliging. Bezwaarlijk echter is dat het CMM zich te weinig richt op de ‘zachte’ kant van bedrijfsvoering, de menselijke factor (voorwaarde 2). Six Sigma is zowel een filosofie als een methodologie voor het verbeteren van kwaliteit door het analyseren van gegevens en statistieken. Bezwaar aan Six Sigma is dat het hoofdzakelijk een technische insteek heeft (voorwaarde 1) zonder aandacht te hebben voor de menselijke factor (voorwaarde 2). Uiteindelijk is gekozen voor het EFQM/INK-model als basis voor het hulpmiddel. Reden voor deze keuze is dat dit model van alle onderzochte modellen het beste voldoet aan de gestelde voorwaarden. Het EFQM/INK-model schenkt aandacht aan verschillende organisatiefacetten en vraagt daarmee aandacht voor de totale organisatie. Deelgebieden zoals strategie, beleid en mensen worden hierbij belicht. Hiermee onderkent het EFQM/INK-model dat een organisatie aandacht moet hebben voor meer dan techniek alleen (voorwaarde 1) en schenkt het aandacht aan de menselijke factor en bewustzijn (voorwaarde 2). Verder is het model door de basisgedachten en fundamentele concepten die eraan ten grondslag liggen gericht op zowel het gehele bedrijfsproces van een onderneming als op het resultaat (eindproduct) en legt daarbij door cyclisch denken een koppeling tussen organisatie- en resultaatgebieden. Op dit procesmatig denken bij gegevensbeveiliging komt de laatste tijd steeds meer nadruk te liggen [ROES03, p. 6]. Het EFQM/INK-model herbergt een verbeterproces om dit te realiseren en heeft daarmee oog voor een procesmatige benadering voor gegevensbeveiliging. Ook zijn de basisgedachten en fundamentele concepten onafhankelijk van de omvang en het type organisatie. Het model is daarmee universeel Pagina 28
Afstudeerverslag
toepasbaar en flexibel (voorwaarde 3). Aan voorwaarde 5 (gebaseerd op een bestaande standaard) wordt voldaan door het samenvoegen van het EFQM/INK-model met de Code. Ook is de beoordelingsmethodiek die gebruik wordt bij het EFQM-model van belang. De eerdergenoemde RADAR-logica staat hierbij centraal. Bij deze methodiek worden per deelgebied van het model punten toegekend aan diverse criteria. Deze systematische manier van beoordeling geeft een breed inzicht in de stand van zaken bij een organisatie. De gestructureerde opzet zorgt ervoor dat de aanpak op meerdere manieren kan worden toegepast bij diverse soorten organisaties (voorwaarde 3). Dankzij de structuur in de beoordelingsmethodiek is deze voor meer activiteiten geschikt dan alleen een beoordeling door een specialistische externe partij. De methode is ook geschikt voor zelfevaluaties door de organisatie en benchmarking en daarmee dus begrijpelijk en snel in gebruik (voorwaarde 4). Aan de tweetaligheid (voorwaarde 6) kan dankzij de Engelstalige achtergrond van het EFQMmodel en de Nederlandstalige achtergrond van het INK-model ook gemakkelijk invulling worden gegeven. Tevens is het brede draagvlak voor het EFQM/INK-model bij ondernemingen van belang voor de keuze. Inmiddels zijn al ongeveer 800 Europese bedrijven lid van de EFQMorganisatie [EFQM03, p.3]. Het model vormt als meest toegepast organisatorisch raamwerk in Europa doorgaans de basis voor vele kwaliteitsonderscheidingen en projecten en wordt wereldwijd geaccepteerd. En dat komt mede door het feit dat er diverse onderzoeken10 zijn gedaan de laatste jaren die de effectiviteit van toepassing van het EFQM/INK-model onderstrepen. Ten slotte is bij de keuze voor het model meegewogen dat een flink aantal klanten van Coevering bekend is met het EFQM/INK-model of dit zelfs hanteert. Sommigen onder hen dingen mee naar de European Quality Award, een prestigieuze prijs waarbij organisaties hun bedrijfsvoering toetsen tegen het EFQM-model. Mede vanwege het feit dat deze klanten het model hanteren, is Coevering zelf bekend met het EFQM/INK-model en beschikt daarom over praktische kennis en kunde van het model. Deze ervaring kan tijdens de afstudeerstage worden gebruikt om gedachten en bevindingen te toetsen. In het volgende hoofdstuk zal de samenvoeging van de Code en het gekozen EFQM/INKmodel ten behoeve van een praktisch hulpmiddel voor gegevensbeveiliging worden toegelicht.
10
Zie bijvoorbeeld de onderzoeken die gedaan zijn door Dr. Vinod Singhal van het Georgia Institute of Technology en Dr. Kevin Hendricks van het College of William and Mary (www.efqm.org). Pagina 29
Afstudeerverslag
7. Totstandkoming van het hulpmiddel In dit hoofdstuk is de totstandkoming van het ontwikkelde hulpmiddel beschreven. Eerst is beschreven hoe het EFQM/INK-model is samengevoegd met de Code. Hierna is beschreven hoe de evaluatiemethode voor het hulpmiddel tot stand is gekomen. Tenslotte is de afwerking van het hulpmiddel tot een samenhangend geheel toegelicht.
7.1. Stap 1: Combinatie van het EFQM/INK-model met de Code De eerste stap die gezet is bij de totstandkoming van het instrument bestond uit het combineren van de Code met het EFQM/INK-model. Hiervoor zijn alle organisatiegebieden uit het EFQM/INK-model afgestemd op gegevensbeveiliging (zie tabel 3). In bijlage IV zijn de Engelstalige definities terug te vinden. Organisatiegebied Leiderschap
Personeel Beleid & Strategie
Partnerships & Middelen Processen
Definitie De manier waarop de leiding van een organisatie bijdraagt aan het ontwikkelen, uitdragen en onderhouden van een beleid ten behoeve van gegevensbeveiliging en persoonlijk betrokken is bij het ontwikkelen en implementeren van het managementsysteem voor gegevensbeveiliging. De manier waarop de organisatie de medewerkers inzet, stimuleert en waardeert om het beleid ten behoeve van gegevensbeveiliging te realiseren. De manier waarop de organisatie haar missie en visie met betrekking tot gegevensbeveiliging implementeert door een heldere strategie, die wordt vertaald in concreet beleid, plannen, budgetten en processen voor gegevensbeveiliging. De manier waarop vanuit strategie en beleid partnerships en middelen worden aangewend om de activiteiten van de organisatie met betrekking tot gegevensbeveiliging effectief en efficiënt uit te voeren. De manier waarop de organisatie vanuit strategie en beleid haar processen met betrekking tot gegevensbeveiliging ontwerpt, beheerst en verbetert.
tabel 3: definities organisatiegebieden ten behoeve van gegevensbeveiliging
Vervolgens is de Code puntsgewijs en in detail doorlopen om alle maatregelen die hierin staan beschreven op te delen in de aandachtsgebieden uit het EFQM/INK-model. Al snel bleek dat dit een lastigere opgave zou zijn dan het op het eerste gezicht leek. Bij sommige maatregelen is het relatief eenvoudig om te bepalen in welk aandachtsgebied ze vallen. Het ligt voor de hand om het hoofdstuk in de Code over het beveiligingsbeleid onder te brengen in het aandachtsgebied Beleid & strategie. Bij andere hoofdstukken zoals Classificatie en beheer van bedrijfsmiddelen en Continuïteitsmanagement is dit echter een stuk lastiger, omdat er geen duidelijk raakvlak is met de aandachtsgebieden uit het EFQM/INK-model. Daarom is per maatregel bekeken op welk aandachtsgebied uit het EFQM/INK-model deze betrekking had. Vaak is het ook zo dat een maatregel uit de Code betrekking heeft op meerdere aandachtsgebieden. Een voorbeeld hiervan is de maatregel beschreven in paragraaf 9.3.1 van de Code “Gebruikers dienen goede beveiligingsgewoonten in acht te nemen bij het kiezen en gebruiken van wachtwoorden.” Enerzijds heeft dit betrekking op het proces ten behoeve van toegangsbeveiliging binnen een onderneming en valt daarmee onder het aandachtsgebied Processen. Anderzijds is dit fragment ook van invloed op het aandachtsgebied Personeel omdat de personeelsleden van de organisatie de gebruikers zijn die verantwoordelijk zijn voor de uitvoering van de maatregel. Om dit probleem te ondervangen is er per maatregel bekeken of deze in meerdere aandachtsgebieden moest terugkomen of overwegend betrekking had op Pagina 30
Afstudeerverslag
één gebied en daarom alleen in dat aandachtsgebied moest terugkomen. Ook was het hier en daar noodzakelijk een maatregel uit elkaar te trekken en te verdelen over meerdere aandachtsgebieden, omdat deze niet goed paste binnen één aandachtsgebied. Bijkomend probleem was dat de resultaatgebieden uit het EFQM/INK-model totaal niet aan de orde komen in de Code. De maatregelen op zich zeggen niets over de resultaten die een organisatie wil bereiken door het toepassen van die maatregelen. Dit komt doordat elke organisatie haar eigen doelstellingen heeft bij gegevensbeveiliging en de Code voornamelijk is geschreven om aan te geven wat er gedaan moet worden, niet zozeer hoe dit gedaan moet worden. Afhankelijk van de doelstellingen dienen de resultaatgebieden door een organisatie zelf te worden ingevuld; de organisatie bepaalt haar eigen beveiligingsbehoeften. In bijlage V is een tabel opgenomen van aandachtspunten die een organisatie per resultaatgebied kan afwegen. Per aandachtspunt kan een organisatie zelf maatstaven bepalen die de organisatie zelf kan toevoegen aan het hulpmiddel. Het is van belang dat een organisatie nadenkt over de invulling van resultaatgebieden, aangezien inzicht in deze beoogde resultaten een organisatie helpt bij het verkrijgen van inzicht in de inspanningen ten behoeve gegevensbeveiliging. Gedurende het opstellen van deze aandachtspunten werd duidelijk dat voor het model voor het hulpinstrument voor gegevensbeveiliging gekozen moest worden voor aandacht voor leveranciers. Het EFQM-model definieert als resultaatgebied ‘Customer results’, terwijl het INK-model hier spreekt over ‘Waardering door klanten en leveranciers’. De expliciete vernoeming van deze leveranciers is van belang, omdat de resultaten op het gebied van leveranciers van invloed kunnen zijn op de inspanning ten behoeve van gegevensbeveiliging. Denk hierbij concreet aan de impact die gegevensbeveiliging heeft op de relatie met leveranciers, bijvoorbeeld in de vorm van contractuele afspraken met betrekking tot elektronische diensten. Nadat alle punten uit de Code waren opgedeeld op basis van de organisatiegebieden uit het EFQM/INK-model, viel direct iets op aan deze indeling. De organisatiegebieden Partnerships & middelen en Processen omvatten een grote diversiteit aan maatregelen die bij elkaar erg verwarrend en rommelig overkwamen. Het was moeilijk om een logische samenhang te zien in deze maatregelen. Reden hiervoor is dat de structuur van de Code was verdwenen door het verdelen van de individuele maatregelen over de verschillende aandachtsgebieden van het EFQM/INK-model. Om dit probleem te verhelpen, zijn er subgebieden in de aandachtsgebieden van het EFQM/INK-model gedefinieerd. Hierbij is de hoofdstukindeling van de Code gebruikt, omdat vele maatregelen afkomstig waren uit hetzelfde hoofdstuk van de Code. In figuur 14 is het resultaat hiervan weergegeven. ORGANISATIEGEBIEDEN
Personeel
Leiderschap
RESULTATEN
Beheer van communicatie & bediening
Resultaten personeel
Beleid & Strategie
Processes
Toegangsbeveiliging
Resultaten klanten & leveranciers
Partnerships
Ontwikkeling & onderhoud
Resultaten maatschappij
Middelen
Resultaten kernprestaties
INNOVATIE & LEREN
figuur 14: Indeling hulpmiddel voor gegevensbeveiliging
Pagina 31
Afstudeerverslag
7.2. Stap 2: De evaluatiemethode Vervolgens was het nodig een evaluatiemethode te bepalen voor het hulpmiddel. Zonder een evaluatiemethode is het namelijk moeilijk om resultaten meetbaar te maken, waardoor benchmarking en zelfevaluaties worden bemoeilijkt. Met behulp van een geschikte evaluatiemethode wordt het universele en flexibele karakter (voorwaarde 3) van het hulpmiddel vergroot. Tevens draagt een geschikte evaluatiemethode bij aan de mogelijkheid het instrument begrijpelijk en snel toe te passen (voorwaarde 4). Het meest voor de hand liggend was om gebruik te maken van de methode die doorgaans wordt toegepast bij het EFQM-model: de RADAR-scoringsmatrix. Deze methode is gebaseerd op de eerdergenoemde RADAR-logica. De methode wordt met name toegepast voor de prestigieuze prijs waarbij organisaties hun bedrijfsvoering toetsen tegen het EFQM-model, de European Quality Award [EFQM99, p. 34]. De resultaten van deze methode kunnen worden gebruikt voor zelfevaluaties door de organisatie en voor benchmarking. Door bijvoorbeeld het instrument jaarlijks uit te voeren is het voor een onderneming mogelijk om een continu beeld te hebben op de stand van zaken omtrent gegevensbeveiliging. Een speerpunt van de methode is de flexibele schaalverdeling. De RADAR-scoringsmatrix maakt gebruik van een schaal van nul tot en met honderd procent, onderverdeeld in twintig stappen van ieder vijf procent. Bij het toekennen van een score aan een onderdeel moet bepaald worden in hoeverre een bepaalde stelling van toepassing is op de organisatie. Dit moet aantoonbaar het geval zijn. Alleen antwoorden met ja of nee is dus niet voldoende; het toekennen van een bepaalde score dwingt de invuller van de lijst tot het kritisch nadenken over welke score wordt toegekend. De mate van detail kan worden bepaald voordat men begint met het invullen van de scores. Indien men heel vlug en op basis van weinig criteria een score wil toekennen aan een stelling, kan men bijvoorbeeld afspreken dat men alleen gebruik maakt van de waarden in de blauwe kolommen. Op die manier ontstaat een vijfpuntschaal. Gevolg van de keuze voor deze evaluatiemethode was dat de maatregelen en vragen die reeds waren opgedeeld per organisatiegebied verder moesten worden onderverdeeld in subcategorieën. Door de indeling in de subcategorieën aanpak (approach), ontplooiing (deployment) en beoordeling & herziening (assessment & review) wordt de cyclische gedachte van het EFQM/INK-model sterk benadrukt. Op basis van een degelijke en geïntegreerde aanpak moeten er resultaten worden bereikt. Door middel van het systematisch ontplooien van deze aanpak kan vervolgens een volledige implementatie worden gerealiseerd. Het sturende element komt terug in de subcategorie beoordeling en herziening. Door te meten leert de organisatie waar er zaken niet gaan zoals ze waren gepland in de aanpak. Een organisatie leert hoe deze tekortkomingen kunnen worden verbeterd en stuurt de aanpak bij, waarna het gehele proces opnieuw wordt doorlopen.
7.3. Stap 3: De afwerking In de derde en laatste stap zijn alle maatregelen die in de eerste stap verdeeld zijn naar organisatiegebied waar nodig opnieuw geformuleerd en bijgeschaafd tot duidelijke en eenduidige stellingen (voorwaarde 4). De Code is in beginsel een tactische standaard die heel voorzichtig en algemeen is geformuleerd. In het instrument is het echter van belang dat een stelling geen ruimte laat voor twijfel of onduidelijkheid. In de Code tref je bijvoorbeeld in paragraaf 7.3.1 het volgende fragment aan: “Organisaties zouden moeten overwegen om een clear desk policy in te voeren.” Als dit rechtstreeks wordt overgenomen in het instrument zal dit in vele gevallen een vaag antwoord opleveren en daarmee een vertekend beeld van de huidige stand van zaken op het gebied van gegevensbeveiliging schetsen. Je kunt namelijk al snel aangeven dat is overwogen om een clear desk policy in te voeren, ook wanneer er verder
Pagina 32
Afstudeerverslag
geen concrete aandacht aan is besteed en goed is nagedacht over bijvoorbeeld de gevolgen op het gebied van efficiency van medewerkers. Ten slotte zijn alle stellingen logisch geordend en waar nodig nog aangepast op basis van de onderverdeling in het instrument. De indeling per organisatiegebied en in subcategorieën resulteerde namelijk niet in alle gevallen in een duidelijke samenhang tussen de stellingen. Alle werkzaamheden voor het instrument zijn aanvankelijk Nederlandstalig uitgevoerd. Aan het einde van het traject is vanwege de benodigde tweetaligheid (voorwaarde 6) het gehele hulpmiddel vertaald in het Engels. Hiermee was het hulpmiddel klaar en voldoet het dankzij de samenvoeging van de Code en het EFQM/INK-model aan alle gestelde voorwaarden. In bijlage VI is de Nederlandstalige uitvoering van het hulpmiddel terug te vinden.
Pagina 33
Afstudeerverslag
8. Conclusie en aanbevelingen Aan het begin van dit verslag werd de probleemstelling gepresenteerd die centraal stond bij de afstudeerstage: “Welke bestaande modellen en standaarden kunnen worden gebruikt als basis voor een hulpmiddel dat organisaties op praktische wijze ondersteuning biedt bij gegevensbeveiliging?” In dit afsluitende hoofdstuk wordt antwoord gegeven op deze vraag met behulp van de conclusies die staan beschreven. De antwoorden op de deelvragen zijn reeds in de voorgaande hoofdstukken van dit verslag naar voren gekomen. Dit hoofdstuk en verslag zullen worden afgesloten met aanbevelingen en suggesties voor vervolgonderzoek.
8.1. Conclusies Gegevensbeveiliging is het treffen en onderhouden van een samenhangend pakket maatregelen om de betrouwbaarheid (beschikbaarheid, integriteit en vertrouwelijkheid) van de informatievoorziening te waarborgen. In dit verslag is bewust gekozen voor de term gegevensbeveiliging, omdat deze vanwege het onderkende onderscheid tussen gegevens en informatie semantisch gezien meer verantwoord is dan de term informatiebeveiliging. De meeste organisaties zijn in toenemende mate afhankelijk van hun informatievoorziening geworden. Gegevensbeveiliging is nodig om de betrouwbaarheid en continuïteit van deze informatievoorziening te waarborgen. Coevering worstelt met de vraag hoe men op een verantwoorde wijze gegevens kan beveiligen, zowel binnen de eigen organisatie als bij opdrachtgevers. Factoren zoals wet- en regelgeving, contractuele verplichtingen, imagoschade, marktaandeel en geheimhouding van kennis spelen bij het beveiligen van gegevens een rol. Inzicht in en beheersing van risico’s, bedreigingen, kwetsbaarheden, schade en maatregelen geven richting aan gegevensbeveiliging. Diverse benaderingen zijn hierbij mogelijk. Een risicoanalyse kan worden toegepast om de risico’s waaraan de informatievoorziening wordt blootgesteld te waarderen. Maar ook benaderingen vanuit een normatief kader of procesmatige gedachte kunnen houvast bieden bij gegevensbeveiliging. In dit verslag is naar voren gekomen dat het de Code en het EFQM/INK-model uitstekend kunnen worden samengevoegd tot een praktisch hulpmiddel voor gegevensbeveiliging. Dit komt doordat aan alle gestelde voorwaarden wordt voldaan bij de samenvoeging van de standaard en het model. De Code op zich is vanwege het generieke karakter een document dat moeilijk te gebruiken is als praktisch hulpmiddel en vereist een vertaling naar de eigen specifieke situatie van een onderneming. De Code is een leidraad voor implementatie, geen strikt keurslijf. Het instrument dat is ontwikkeld wijkt inhoudelijk niet af van de Code, maar is op een meer praktische manier toe te passen. Dit komt door de manier waarop de aandachtspunten uit de Code aan bod komen in de vorm van stellingen waarop een organisatie antwoord moet geven. Deze stellingen zijn gegroepeerd op basis van de aandachtsgebieden uit het EFQM/INK-model. Deze indeling zorgt ervoor dat het instrument op een praktische manier kan worden toegepast. De verschillende onderdelen die zijn gebaseerd op de diverse aandachtsgebieden kunnen gemakkelijk worden toegewezen aan de verantwoordelijke afdelingen en functionarissen. Een directeur vult bijvoorbeeld de gebieden Leiderschap en Beleid en Strategie in, terwijl de manager personeelszaken zich richt op het gebied Personeel. Bijkomend voordeel is dat deze indeling er voor zorgt dat Coevering op een gestructureerde manier gebaseerd op een brede invalshoek met haar klanten kan communiceren over gegevensbeveiliging.
Pagina 34
Afstudeerverslag
Het hulpmiddel geeft op een praktische manier inzicht in de huidige stand van zaken op het gebied van gegevensbeveiliging. De gestructureerde opzet zorgt ervoor dat de aanpak op meerdere manieren kan worden toegepast. De aandachtsgebieden die het slechtste scoren kunnen het eerste kunnen worden aangepakt. Dankzij de indeling in organisatiegebieden en subcategorieën is het eenvoudig om vervolgstappen aan te wijzen, waardoor de uitkomsten van het hulpmiddel de basis vormen voor een verder verbeteringstraject ten behoeve van gegevensbeveiliging. Dankzij de structuur in de beoordelingsmethodiek is deze voor meer activiteiten geschikt dan alleen een beoordeling door een specialistische externe partij. De methode is ook geschikt voor periodieke zelfevaluaties door de organisatie en voor benchmarking. Ook is het instrument indien gewenst in te passen in bestaande EFQM/INKbeoordelingen die organisaties reeds uitvoeren, omdat het instrument is gebaseerd op hetzelfde model en de veelvuldig toegepaste RADAR-evaluatiemethode. Het hulpmiddel is toepasbaar bij zowel grote, middelgrote als kleine organisaties. Voor zowel profit, non-profit als publieke sector organisaties kan het instrument toegevoegde waarde bieden. Het hulpmiddel dat ontwikkeld is gedurende de afstudeerstage onderkent dat beveiliging meer is dan techniek alleen, heeft aandacht voor de menselijke factor en bewustzijn en is universeel toepasbaar door flexibiliteit. Tevens is het begrijpelijk en snel in gebruik, gebaseerd op een bestaande standaard en tweetalig. Kortom: het hulpmiddel voldoet aan alle gestelde voorwaarden.
8.2. Aanbevelingen en suggesties voor vervolgonderzoek De aanbeveling die gemaakt kan worden aan Coevering is om het instrument zoals dit is ontwikkeld gedurende de afstudeerstage in de toekomst verder te gaan uitbreiden op basis van praktijkervaringen die met het instrument opgedaan zullen worden. In dit verslag is duidelijk gemaakt dat de resultaatgebieden uit het EFQM/INK-model niet expliciet aan de orde komen in de Code. Om de toegevoegde waarde van het instrument te vergroten is het geven van invulling aan deze resultaatgebieden sterk aan te bevelen. Inzicht in de beoogde resultaten helpt een organisatie richting te geven aan de inspanningen ten behoeve van de gegevensbeveiliging. Hierbij zouden andere standaarden en modellen op het gebied van gegevensbeveiliging kunnen worden gebruikt. Maar ook de praktijkervaring die Coevering opdoet bij de toepassing van het hulpmiddel bij klanten kan hiervoor als basis dienen. Ook het toekennen van bepaalde gewichten aan vragen en aandachtsgebieden op basis van praktijkervaringen zou nader kunnen worden onderzocht. In de RADAR-scoringsmatrix worden aan de diverse aandachtsgebieden uit het EFQM/INK-model diverse wegingsfactoren toegekend. De validiteit van deze gewichten in het kader van gegevensbeveiliging is een onderwerp van discussie en zou nader onderzocht kunnen worden op basis van bevindingen in de praktijk. Echter blijft het wel de vraag of het überhaupt mogelijk is om een bepaalde wegingsfactor toe te kennen per aandachtsgebied, omdat het belang en de doelstellingen bij gegevensbeveiliging voor elke organisatie verschillend kunnen zijn. Misschien is het denkbaar dat er per branche of industrie wegingsfactoren bepaald kunnen worden, aangezien deze bedrijven met elkaar te vergelijken zijn. Vervolgonderzoek op dit gebied (vooral vanuit de doelgroepen van Coevering) is aan te bevelen. Ten derde is het aan te bevelen om toelichtingen en criteria waarop een bepaalde stelling een score krijgt toegewezen te gaan ontwikkelen. Op die manier ontstaan maatstaven per onderdeel die ervoor zorgen dat er minder ruimte is voor discussie over de interpretatie van een stelling. Het instrument zal daarmee beter kunnen worden gebruikt voor vergelijkingen
Pagina 35
Afstudeerverslag
met resultaten uit voorgaande metingen en voor vergelijkingen met andere bedrijven (benchmarking). Tenslotte zou Coevering zich verder kunnen gaan verdiepen in het ontwikkelen van volwassenheidsniveaus om de huidige groeifase van een organisatie te bepalen op het gebied van gegevensbeveiliging. Op basis van praktijkervaring die wordt opgedaan met het hulpmiddel kan worden vastgesteld welke criteria en welke maatregelen bepalend zijn bij een dergelijke positiebepaling. Desgewenst kan het instrument branchespecifiek worden gemaakt. Waarschijnlijk is het hierbij mogelijk om aspecten uit standaarden, modellen en (branchespecifieke) wet-en regelgeving te gebruiken.
Pagina 36
Afstudeerverslag
9. Literatuuropgave ALJI03
Aljifri, H. & D.S. Navarro (2003). International legal aspects of cryptography: Understanding cryptography. Computers & Security, vol. 22, nr. 3, p. 196-203.
ANDE03
Anderson, J.M. (2003). Why we need a new definition of information security. Computers & Security, vol. 22, nr. 4, p. 308-313.
BASK93
Baskerville, R. (1993). Information systems security design methods: implications for information systems development. ACM Computing Surveys, vol. 25, nr. 4, p. 375-414.
BERE99
Berenschot (1999). Het managementmodellenboek: zestig ideeën toegankelijk gemaakt. ’S-Gravenhage: Elsevier.
BLUM84
Blumenthal, S. (1984). Informatiesystemen voor ondernemingen. Alphen a.d. Rijn: Samson.
BSI02
British Standards Institute (BSI) (2002). Information security management systems: specification with guidance for use (BS7799-2:2002).
BSI04
Bundesamt für Sicherheit in der informationstechnik (BSI) (2000). IT Baseline Protection Manual. http://www.bsi.bund.de/gshb/english/etc/menue.html, bezocht op 23 mei 2004.
CAPG02
Cap Gemini Ernst & Young; VNO-NCW (2002). Informatiebeveiliging in bedrijf : wat ondernemers kunnen doen om informatie veilig te stellen.
CAVA04
Cavalli, E., A. Mattasoglio, F. Pinciroli & P. Spaggiari (2004). Information security concepts and practices: the case of a provincial multi-specialty hospital. International Journal of Medical Informatics, vol. 73, nr. 3, p. 297-303.
CERU81
Cerullo, M.J. & F.A. Shelton (1981). Analyzing the cost-effectiveness of computer controls & security. The Internal Auditor, vol. 38, nr. 5, p. 30-37.
COBI00A
CobiT (2000). CobiT 3rd edition: Management guidelines. IT Governance Institute.
COBI00B
CobiT (2000). CobiT 3rd edition: Executive summary. IT Governance Institute.
EFQM99
European Foundation for Quality Management (EFQM) (1999). The EFQM Excellence Model. Brussel: EFQM.
EFQM03
European Foundation for Quality Management (EFQM) (2003). The Fundamental Concepts of Excellence. http://www.efqm.org/Downloads/pdf/0774-FuCo-en.pdf, bezocht op 2 juni 2004.
GERB01
Gerber, M. & R. von Solms (2001). From Risk Analysis to Security Requirements. Computers & Security, vol. 20, nr. 7, p. 577-584.
Pagina 37
Afstudeerverslag
HAAR03
Haar, H. van der & R. von Solms (2003). A model for deriving information security control attribute profiles. Computers & Security, vol. 22, nr. 3, p. 233244.
HAWK03
Hawkins, K.W., S. Alhajjaj & S.S. Kelley (2003). Using CobiT to secure information assets. The Journal of Government Financial Management, vol. 52, nr. 2, p. 22-32.
INK96
Instituut Nederlandse Kwaliteit (INK) (1996). Handleiding positiebepaling & verbeteren ondernemingen. ‘s-Hertogenbosch: Triam BV.
INK00
Instituut Nederlandse Kwaliteit (INK) (2000). Gids voor toepassing van het INK -managementmodel. ‘s-Hertogenbosch: Triam Kennismanagement.
ISF03
Information Security Forum (ISF) (2003). The Standard of Good Practice for Information Security. http://www.isfsecuritystandard.com/index_ie.htm, bezocht op 14 april 2004.
JAGE04
Jager, P. de (2004). Against the grain: the myth of technical security. ABA Banking Journal, vol. 96, nr. 1, p. 8
KAPL92
Kaplan, R.S. & D.P. Norton (1992). The balanced scorecard: measures that drive performance. Harvard Business Review, vol. 70, nr. 1, p. 71-79.
KAPL96
Kaplan, R.S. & D.P. Norton (1996). Using the Balanced Scorecard as a Strategic Management System. Harvard Business Review, vol. 74, nr. 1, p. 77.
KAPL99
Kaplan, R.S. & D.P. Norton (1999). Op kop met de Balanced Scorecard: strategie vertaald naar actie. Amsterdam: Uitgeverij Contact.
KIM03
Kim, G. (2003). Sarbanes-Oxley, Fraud Prevention, and IMCA: A Framework for Effective Controls Assurance. Computer Fraud & Security, vol. 2003, nr. 9, p. 12-16.
LEAC03
Leach, J. (2003). Improving user security behaviour. Computers & Security, vol. 22, nr. 8, p. 685-692.
LASH04
Lashgari, M. (2004). Corporate Governance: Theory and Practice. Journal of American Academy of Business, vol. 5, nr. 1/2, p. 46-51.
LIND03
Linderman, K., R.G.Schroeder, S. Zaheer & A.S. Choo (2003). Six Sigma: a goal-theoretic perspective. Journal of Operations Management, vol. 21, nr. 2, p. 193-203.
LOCH92
Loch, K.D, H.H. Carr & M.E. Warkentin (1992). Threats to information systems: today’s reality, yesterday’s understanding. MIS Quarterly, vol. 16, nr. 2, p. 173-186.
MARK04
Markarian, J. (2004). What is Six Sigma? Reinforced Plastics, vol. 48, nr. 7, p.
Pagina 38
Afstudeerverslag
46-49. MEAD97
Meadow, C.T. & W. Yuan (1997). Measuring the impact of information: Defining the concepts. Information Processing & Management, vol. 33, nr. 6, p. 697-714.
NEN00
Nederlands Normalisatie-Instituut (NEN) (2000). Code voor informatiebeveiliging: een leidraad voor beleid en implementatie. Delft.
NIST96
National Institute of Standards and Technology (NIST) (1996). Special Pub 80012: An Introduction to Computer Security. http://csrc.nist.gov/publications/nistpubs/800-12/, bezocht op 18 april 2004.
NOSW00
Nosworthy, J.D. (2000). A Practical Risk Analysis Approach: Managing BCM Risk. Computers & Security, vol. 19, nr. 7, p. 596-614.
OUD02
Oud, E.J. (2002). Praktijkgids Code voor informatiebeveiliging. Schoonhoven: Academic Service.
ORSH03
Christine M Orshesky, C.M. (2003). Beyond technology - the human factor in business systems. The Journal of Business Strategy, vol. 24, nr. 4, p. 43-47.
OVER03
Overbeek, P., E.R. Lindgreen & M. Spruit (2003). Informatiebeveiliging onder controle: Grondslagen, management, organisatie en techniek. Amsterdam: Pearson Education Uitgeverij BV.
PIJL97
Pijl, G.J. van der, G.J.P. Swinkels & J.G. Verrijdt (1997). ISO 9000 versus CMM: Standardization and certification of IS development. Information & Management, vol. 32, nr. 6, p. 267-274.
PRAA02
Praat, J. van & H. Suerink (2002). Inleiding EDP-auditing : kwaliteitscontrole en beveiliging van informatiesystemen. Den Haag: tenHagenStam.
ROES03
Roest, G. de, P. Dijckmans en R. Havermans (2003). Een kwaliteitsbenadering voor blijvende effectiviteit van Security Management. De EDP-auditor, vol. 12, nr. 3, p. 6-16.
SEI93
Software Engineering Institute (SEI) (1996). Capability Maturity Model for Software version 1.1. Carnegie Mellon University Pittsburgh Pennsylvania. http://www.sei.cmu.edu/pub/documents/93.reports/pdf/tr24.93.pdf, bezocht op 23 juli 2004.
SOLM97
Solms, R. von (1997). Can security baselines replace risk analysis, IFIP TC11 13th annual International Conference on Information Security (SEC’97), Copenhagen, Denmark, Information Security in Research and Business, edited by Louise Yngström & J. Carlsen, p. 91-98.
SOLM01
Solms, B. von (2001). Information Security: A Multidimensional Discipline. Computers & Security, vol. 20, nr. 6, p. 504-508.
Pagina 39
Afstudeerverslag
SOLM04A Solms, R. von & B. von Solms (2004). From policies to culture. Computers & Security, vol. 23, nr. 4, p. 275-279. SOLM04B Solms, B. von & R. von Solms (2004). The 10 deadly sins of information security management. Computers & Security, vol. 23, nr. 5, p. 371-376. SPRU96
Spruit, M.E.M. & Looijen, M. (1996). IT security in Dutch practice. Computers & Security, vol. 15, nr. 2, p. 157-170.
STAR02
Starreveld, R., O. van Leeuwen & H. van Nimwegen (2002). Bestuurlijke Informatieverzorging Deel 1: Algemene grondslagen. Groningen/Houten: Wolters-Noordhoff BV.
SUH03
Suh, B. & I. Han (2003). The IS risk analysis based on a business model. Information & Management, vol. 41, nr. 2, p. 149-158.
TAN97
Tan, D.S. (1997). Van informatiemanagement naar Informatie Infrastructuur Management. Leiderdorp: Lansa Publishing.
TR E03
Tr ek, D. (2003). An integral framework for information systems security management. Computers & Security, vol. 22, nr. 4, p. 337-360.
USHE98
Usher, M. & I. Salus (1998). Information security issues in an age of converging technologies. Computer Fraud & Security, vol. 998, nr. 9, p. 16-19.
VAND02
Van Dale Lexicografie (2002). Van Dale groot woordenboek hedendaags Nederlands. Utrecht: Uitgeverij van Dale.
VROO04
Vroom, C. & R. von Solms (2004). Towards information security behavioural compliance. Computers & Security, vol. 23, nr. 3, p. 191-198.
WALK99
Walker, M. (1999). The direction of telecommunications security. Information Security Technical Report, vol. 4, nr. 1, p. 53-60.
WATE80
Waterman, R.H., T.J. Peters & J.R. Phillips (1980). Structure Is Not Organisation. Business Horizons, vol. 23, p. 14-26.
WOOD00
Woodall, B. (2000). Strategic alignment: aligning organisations with their operating environment. Training Journal, Jun 2000, p. 28-31.
WOOD04
Wood, C.C. (2004). Why information security is now multi-disciplinary, multidepartmental, and multi-organizational in nature. Computer Fraud & Security, vol. 2004, nr. 1, p. 16-17.
WRIG01
Wright, M.A. (2001). Keeping Top Management Focused on Security. Computer Fraud & Security, vol. 2001, nr. 5, p. 12-14.
Pagina 40
Afstudeerverslag
10. Bijlagen Bijlage I: Bedreigingen die informatiesystemen aantasten Bijlage II: Historie van de Code Bijlage III: Inhoudsopgave van de CViB Bijlage IV: Definities organisatiegebieden gegevensbeveiliging Bijlage V: Mogelijke aandachtspunten resultaatgebieden Bijlage VI: Het ontwikkelde hulpmiddel voor gegevensbeveiliging
Pagina 41
Afstudeerverslag
Bijlage I: Bedreigingen die informatiesystemen aantasten Deze lijst is afkomstig uit CRAMM en terug te vinden in [OUD02, p.78]. -
Masquerading of User Identity by Insiders Masquerading of User Identity by Contracted Service Providers Masquerading of User Identity by Outsiders Unauthorised Use of an Application Introduction of Damaging or Disruptive Software Misuse of System Resources Communications Infiltration Communications Interception Communications Manipulation Repudiation Connection Failure Embedding of Malicious Code Accidental Misrouting Technical Failure of Host Technical Failure of Workstation Technical Failure of Storage Device Technical Failure of Print Facilities Technical Failure of Network Distribution Component Technical Failure of Network Management/Service Host Technical Failure of Network Interface Technical Failure of Network Services Power Failure Air Conditioning Failure System or Network Software Failure Application Software Failure Operations Error Hardware Maintenance Error Software Maintenance Error User Error Fire Water Damage Natural Disaster Staff Shortage Theft by Insiders Theft by Outsiders Wilful Damage by Insiders Wilful Damage by Outsiders Terrorism
Pagina I
Bijlage
Afstudeerverslag
Bijlage II: Historie van de Code De Code voor Informatiebeveiliging is gebaseerd op de Britse norm BS7799 welke tot stand is gekomen onder de verantwoordelijkheid van de BSI/DISC commissie BDD/2 – Information security management. Zowel de BS7799 als de CvIB bestaan uit 2 delen. De oorspronkelijk versie van de BS7799 werd in concept uitgegeven in 1994 en resulteerde na wat kleine aanpassingen in BS7799:1995. Begin 1998 werd hieraan een tweede deel toegevoegd (BS7799-2:1998), waarna in 1999 een revisie van deel 1 volgde (BS77991:1999). Gebruikelijk is dat dergelijke normen een vijfjarige revisie kennen, waardoor in 2002 een herziene versie van deel 2 (BS7799-2:2002) beschikbaar kwam. In deze herziening werd vooral rekening gehouden met de ontwikkelingen in de toepassing van informatietechnologie, met name op het gebied van netwerken en communicatie. Ook werd in deze vernieuwde versie meer nadruk gelegd op de betrokkenheid van bedrijven bij en de verantwoordelijkheid voor beveiliging en is het hoofdstuk met betrekking tot continuïteitsmanagement geheel herschreven. De Nederlandse vertaling van de Britse norm BS7799:1999 staat bekend als de Code voor Informatiebeveiliging (CvIB:2000 ofwel SPE 20003:2000) en is tot stand gekomen onder supervisie van de NEN normcommissie 381 27 – IT Beveiligingstechniek – met de medewerking van enige andere organisaties en de financiële ondersteuning van het Ministerie van Economische Zaken, het Ministerie van Verkeer en Waterstaat en de Nederlandse Vereniging van Banken. Naast de BS7799 en de CvIB bestaat er de internationale norm ISO/IEC17799, uitgegeven in december 2000. Deze norm is de integrale overname van deel 1 van de BS7799:1999. In de praktijk is er niets anders gedaan dan het geven van een ander nummer en het toevoegen van een voorblad. Na een achttal kleine wijzigingen werd de BS7799-1:1999 een jaar later gereviseerd als de BS7799-1:2000. In praktijk betekent dit dat BS7799-1:1999, BS7799-1:2000, ISO/IEC17799:2000 en CvIB-1:2000 vrijwel identiek zijn aan elkaar. Begin 2002 werd door de BSI/DISC commissie BDD/2 besloten om te gaan werken aan een revisie van deel 2 van BS7799:1999. Hierin moest de norm meer worden afgestemd op andere (kwaliteits)normen zoals ISO 9000:2000 en ISO 14000:1996. Het resultaat was de publicatie van BS7799:2002 op 5 september 2002. Ook ISO/IEC17799 wordt inmiddels al herzien zodat vermoedelijk eind 2004 een totaal herschreven ISO17799 ontstaat. Tijdens de overname van BS7799 deel 1 als ISO/IEC17799 kwam namelijk uit een aantal landen (met name uit de VS en Canada) veel inhoudelijk commentaar op de standaard. De verwachting is dat vooral in de vormgeving van de maatregelen aanpassingen zullen worden gemaakt, zodat er een duidelijker onderscheid ontstaat tussen eisen, adviezen voor implementatie en aanvullende informatie. Ook de toevoeging van nieuwe maatregelen en verbeterde uitleg bij huidige maatregelen wordt verwacht. Of een herziene ISO/IEC17799 als Nederlandse norm overgenomen wordt, is nog niet besloten. Ook is nog onbekend of de nieuwe Britse BS7799 deel 2 overgenomen zal worden als ISO-standaard. Tevens gaan er geruchten dat er ook een derde deel zou komen. Deze geruchten zijn gebaseerd op de gedachte dat ISO9000 opgebouwd is uit vier delen en het feit dat BS77992:2002 lijkt op ISO9001:2000. Een derde deel zou dan kunnen gaan over de continue verbetering van een managementsysteem voor beveiliging. Vooralsnog zijn er geen officiële bevestigingen hiervan.
Pagina II
Bijlage
Afstudeerverslag
Pagina III
Bijlage
Afstudeerverslag
NL
GB
CvIB:1994
vertaling
concept
BS7799:1994
Internationaal
1994
revisie
toevoeging deel 2
BS7799:1995
1995
revisie
BS7799-2:1998
1998
revisie
SPE 20003-2:2000
CvIB-2:2000
CvIB-1:2002 NEN ISO/IEC 17799:2002 revisie
CvIB-1:2000
vertaling
revisie onderweg
BS7799-2:2002
2002
SPE 20003-1:2000
revisie
BS ISO/IEC 17799:2000
BS7799-1:2000
overname
ISO/IEC17799:2000
2000
vertaling
revisie
overname
vertaling
BS7799-1:1999
1999
Historie en samenhang van de Code
Bijlage III: Inhoudsopgave van de CViB Afkomstig uit [NEN00]. Deel 1: Code voor Informatiebeveiliging INHOUDSOPGAVE VOORWOORD INLEIDING Wat is informatiebeveiliging? Waarom informatiebeveiliging nodig is Het opstellen van beveiligingseisen Inschatting van beveiligingsrisico's Maatregelen bepalen Hoe begint informatiebeveiliging? Kritische succesfactoren Het ontwikkelen van uw eigen richtlijnen 1 REIKWIJDTE 2 TERMEN EN DEFINITIES 2.1 Informatiebeveiliging 2.2 Risicoanalyse 2.3 Risicomanagement 3 BEVEILIGINGSBELEID 3.1 INFORMATIEBEVEILIGINGSBELEID 3.1.1 Beleidsdocument voor informatiebeveiliging 3.1.2 Beoordeling en evaluatie 4 BEVEILIGINGSORGANISATIE 4.1 DE ORGANISATORISCHE INFRASTRUCTUUR VOOR INFORMATIEBEVEILIGING 4.1.1 Managementforum voor informatiebeveiliging 4.1.2 Coördinatie van informatiebeveiliging 4.1.3 Toewijzing van verantwoordelijkheden voor informatiebeveiliging 4.1.4 Autorisatieproces voor IT-voorzieningen 4.1.5 Specialistisch advies over informatiebeveiliging 4.1.6 Samenwerking tussen organisaties 4.1.7 Onafhankelijke beoordeling van informatiebeveiliging 4.2 BEVEILIGING VAN TOEGANG DOOR DERDEN 4.2.1 Identificeren van risico's van toegang door derden 4.2.2 Beveiligingseisen in contracten met derden 4.3 UITBESTEDING 4.3.1 Beveiligingseisen in uitbestedingscontracten 5 CLASSIFICATIE EN BEHEER VAN BEDRIJFSMIDDELEN 5.1 VERANTWOORDING VOOR BEDRIJFSMIDDELEN 5.1.1 Overzicht van bedrijfsmiddelen 5.2. CLASSIFICATIE VAN INFORMATIE 5.2.1 Richtlijnen voor het classificeren 5.2.2 Labelen en verwerken van informatie 6 BEVEILIGINGSEISEN TEN AANZIEN VAN PERSONEEL 6.1 BEVEILIGINGSEISEN IN DE FUNCTIEOMSCHRIJVING EN BIJ HET AANNEMEN VAN PERSONEEL 6.1.1 Beveiligingseisen in de functieomschrijving 6.1.2 Screening en personeelsbeleid 6.1.3 Geheimhoudingsverklaring 6.1.4 Arbeidscontract 6.2 TRAINING VOOR GEBRUIKERS 6.2.1 Opleiding en training voor informatiebeveiliging 6.3 REAGEREN OP BEVEILIGINGSINCIDENTEN EN STORINGEN 6.3.1 Het rapporteren van beveiligingsincidenten 6.3.2 Het rapporteren van zwakke plekken in de beveiliging 6.3.3 Het rapporteren van onvolkomenheden in de software 6.3.4 Lering trekken uit incidenten 6.3.5 Disciplinaire maatregelen 7 FYSIEKE BEVEILIGING EN BEVEILIGING VAN DE OMGEVING 7.1 BEVEILIGDE RUIMTEN 7.1.1 Fysieke beveiliging van de omgeving 7.1.2 Fysieke toegangsbeveiliging
Pagina IV
Bijlage
Afstudeerverslag
7.1.3 Beveiliging van kantoren, ruimten en voorzieningen 7.1.4 Werken in beveiligde ruimten 7.1.5 Afgescheiden ruimten voor laden en lossen van goederen 7.2 BEVEILIGING VAN APPARATUUR 7.2.1 Het plaatsen en beveiligen van apparatuur 7.2.2 Stroomvoorziening 7.2.3 Beveiliging van kabels 7.2.4 Onderhoud van apparatuur 7.2.5 Beveiliging van apparatuur buiten de locatie 7.2.6 Veilig afvoeren en hergebruiken van apparatuur 7.3 ALGEMENE BEVEILIGINGSMAATREGELEN 7.3.1 Clear desk en clear screen policy 7.3.2 Het verwijderen van bedrijfseigendommen 8 BEHEER VAN COMMUNICATIE - EN BEDIENINGSPROCESSEN 8.1 BEDIENINGSPROCEDURES EN VERANTWOORDELIJKHEDEN 8.1.1 Gedocumenteerde bedieningsprocedures 8.1.2 Het beheer van wijzigingen 8.1.3 Procedures voor het behandelen van incidenten 8.1.4 Functiescheiding 8.1.5 Scheiding van voorzieningen voor ontwikkeling en productie 8.1.6 Extern beheer van voorzieningen 8.2 SYSTEEMPLANNING EN -ACCEPTATIE 8.2.1 Capaciteitsplanning 8.2.2 Acceptatie van systemen 8.3 BESCHERMING TEGEN KWAADAARDIGE SOFTWARE 8.3.1 Maatregelen tegen kwaadaardige software 8.4 HUISREGELS 8.4.1 Reservekopieën maken (back-ups) 8.4.2 Bijhouden van een logboek 8.4.3 Storingen opnemen in een logboek 8.5 NETWERKBEHEER 8.5.1 Maatregelen voor netwerken 8.6 BEHANDELING EN BEVEILIGING VAN MEDIA 8.6.1 Management van verwijderbare computermedia 8.6.2 Afvoer van media 8.6.3 Procedures voor de behandeling van informatie 8.6.4 Beveiliging van systeemdocumentatie 8.7 UITWISSELING VAN INFORMATIE EN SOFTWARE 8.7.1 Overeenkomsten over het uitwisselen van informatie en software 8.7.2 Beveiliging van media tijdens transport 8.7.3 Beveiliging van elektronische handel (e-commerce) 8.7.4 Beveiliging van elektronische post (e-mail) 8.7.5 Beveiliging van elektronische kantoorsystemen 8.7.6 Publiek toegankelijke systemen 8.7.7 Andere vormen van informatieuitwisseling 9 TOEGANGSBEVEILIGING 9.1 ZAKELIJKE EISEN TEN AANZIEN VAN TOEGANGSBEVEILIGING 9.1.1 Beleid ten aanzien van toegangsbeveiliging 9.2 MANAGEMENT VAN TOEGANGSRECHTEN / AUTORISATIEBEHEER 9.2.1 Registratie van gebruikers 9.2.2 Beheer van speciale bevoegdheden 9.2.3 Beheer van gebruikerswachtwoorden 9.3 VERANTWOORDELIJKHEDEN VAN GEBRUIKERS 9.3.1 Gebruik van wachtwoorden 9.3.2 Onbeheerde gebruikersapparatuur 9.4 TOEGANGSBEVEILIGING VOOR NETWERKEN 9.4.1 Beleid ten aanzien van het gebruik van netwerkdiensten 9.4.3 Authenticatie van gebruikers bij externe verbindingen 9.4.4 Node-authenticatie 9.4.5 Beveiliging van diagnosepoorten op afstand 9.4.6 Scheiding in netwerken 9.4.7 Beheer van netwerkverbindingen 9.4.8 Beheer van netwerkroutering 9.4.9 Beveiliging van netwerkdiensten 9.5 TOEGANGSBEVEILIGING VOOR BESTURINGSSYSTEMEN 9.5.1 Automatische identificatie van werkstations 9.5.2 Aanlogprocedures voor werkstations
Pagina V
Bijlage
Afstudeerverslag
9.5.3 Gebruikersidentificatie en -authenticatie 9.5.4 Wachtwoordmanagementsysteem 9.5.5 Gebruik van systeemhulpmiddelen 9.5.6 Stil alarm ter bescherming van gebruikers 9.5.7 Time-out voor werkstations 9.5.8 Beperking van verbindingstijd 9.6 TOEGANGSBEVEILIGING VOOR TOEPASSINGEN 9.6.1 Beperking van toegang tot informatie 9.6.2 Isolatie van gevoelige systemen 9.7 MONITORING VAN TOEGANG TOT EN GEBRUIK VAN SYSTEMEN 9.7.1 Vastleggen van beveiligingsrelevante activiteiten ("event-logging") 9.7.2 Monitoring van systeemgebruik 9.7.3 Synchronisatie van systeemklokken 9.8 MOBIELE COMPUTERS EN TELEWERKEN 9.8.1 Mobiele computers 9.8.2 Telewerken 10 ONTWIKKELING EN ONDERHOUD VAN SYSTEMEN 10.1 BEVEILIGINGSEISEN VOOR SYSTEMEN 10.1.1 Analyse en specificatie van beveiligingseisen 10.2 BEVEILIGING IN TOEPASSINGSSYSTEMEN 10.2.1 Validatie van invoergegevens 10.2.2 Validatie van de interne gegevensverwerking 10.2.3 Authenticatie van berichten 10.2.4 Validatie van uitvoergegevens 10.3 CRYPTOGRAFISCHE BEVEILIGING 10.3.1 Beleid ten aanzien van het gebruik van cryptografische beveiliging 10.3.2 Versleuteling (encryptie) 10.3.3 Digitale handtekeningen 10.3.4 Onweerlegbaarheid 10.3.5 Sleutelbeheer 10.4 BEVEILIGING VAN SYSTEEMBESTANDEN 10.4.1 Beheersing van operationele software 10.4.2 Beveiliging van testgegevens 10.4.3 Toegangsbeveiliging voor softwarebibliotheken 10.5 BEVEILIGING BIJ ONTWIKKEL-EN ONDERSTEUNINGSPROCESSEN 10.5.1 Procedures voor het beheer van wijzigingen 10.5.2 Technische controle op wijzigingen in het besturingssysteem 10.5.3 Restricties op wijzigingen in softwarepakketten 10.5.4 Geheime communicatiekanalen en Trojaanse paarden 10.5.5 Uitbestede ontwikkeling van software 11 CONTINUÏTEITSMANAGEMENT 11.1 ASPECTEN VAN CONTINUÏTEITSMANAGEMENT 11.1.1 Het proces van continuïteitsmanagement 11.1.2 Bedrijfscontinuïteit en analyse van mogelijke gevolgen 11.1.3 Het schrijven en invoeren van continuïteitsplannen 11.1.4 Structuur van de continuïteitsplanning 11.1.5 Testen, onderhouden en evalueren van continuïteitsplannen 12 NALEVING 12.1 NALEVING VAN DE WETTELIJKE VOORSCHRIFTEN 12.1.1 Specificatie van de van toepassing zijnde wetgeving 12.1.2 Intellectuele eigendomsrechten (Intellectual Property Rights, IPR) 12.1.3 Beveiliging van bedrijfsdocumenten 12.1.4 Bescherming van persoonsgegevens 12.1.5 Voorkomen van misbruik van IT-voorzieningen 12.1.6 Voorschriften ten aanzien van het gebruik van cryptografische middelen 12.1.7 Verzamelen van bewijsmateriaal 12.2 BEOORDELING VAN NALEVING VAN HET BEVEILIGINGSBELEID EN DE TECHNISCHE VEREISTEN 12.2.1 Naleving van het beveiligingsbeleid 12.2.2 Controle op naleving van technische normen 12.3 OVERWEGINGEN TEN AANZIEN VAN SYSTEEMAUDITS 12.3.1 Beveiligingsmaatregelen bij systeemaudits 12.3.2 Beveiliging van hulpmiddelen voor systeemaudits
Pagina VI
Bijlage
Afstudeerverslag
Deel 2: Specificatie van het managementsysteem voor informatiebeveiliging INHOUDSOPGAVE VOORWOORD 1 REIKWIJDTE 2 TERMEN EN DEFINITIES 2.1 VERKLARING VAN TOEPASSELIJKHEID 3 EISEN TEN AANZIEN VAN HET MANAGEMENTSYSTEEM VOOR INFORMATIEBEVEILIGING (ISMS) 3.1 ALGEMEEN 3.2 OPSTELLEN VAN EEN MANAGEMENTSTRUCTUUR 3.3 IMPLEMENTATIE 3.4 DOCUMENTATIE 3.5 DOCUMENTBEHEER 3.6 DOCUMENTEN 4 GEDETAILLEERDE BEVEILIGINGSDOELSTELLINGEN EN -MAATREGELEN 4.1 BEVEILIGINGSBELEID 4.1.1 Informatiebeveiligingsbeleid 4.2 BEVEILIGINGSORGANISATIE 4.2.1 De organisatorische infrastructuur voor informatiebeveiliging 4.2.2 Beveiliging van toegang door derden 4.2.3 Uitbesteding 4.3 CLASSIFICATIE EN BEHEER VAN BEDRIJFSMIDDELEN 4.3.1 Verantwoording voor bedrijfsmiddelen 4.3.2. Classificatie van informatie 4.4 BEVEILIGINGSEISEN TEN AANZIEN VAN PERSONEEL 4.4.1 Beveiligingseisen in de functieomschrijving en bij het aannemen van personeel 4.4.2 Training voor gebruikers 4.4.3 Reageren op beveiligingsincidenten en storingen 4.5 FYSIEKE BEVEILIGING EN BEVEILIGING VAN DE OMGEVING 4.5.1 Beveiligde ruimten 4.5.2 Beveiliging van apparatuur 4.5.3 Algemene beveiligingsmaatregelen 4.6 BEHEER VAN COMMUNICATIE -EN BEDIENINGSPROCESSEN 4.6.1 Bedieningsprocedures en verantwoordelijkheden 4.6.2 Systeemplanning en -acceptatie 4.6.3 Bescherming tegen kwaadaardige software 4.6.4 Huisregels 4.6.5 Netwerkbeheer 4.6.6 Behandeling en beveiliging van media 4.6.7 Uitwisseling van informatie en software 4.7 TOEGANGSBEVEILIGING 4.7.1 Zakelijke eisen ten aanzien van toegangsbeveiliging 4.7.2 Management van toegangsrechten / autorisatiebeheer 4.7.3 Verantwoordelijkheden van gebruikers 4.7.4 Toegangsbeveiliging voor netwerken 4.7.5 Toegangsbeveiliging voor besturingssystemen 4.7.6 Toegangsbeveiliging voor toepassingen 4.7.7 Monitoring van toegang tot en gebruik van systemen 4.7.8 Mobiele computers en telewerken 4.8 ONTWIKKELING EN ONDERHOUD VAN SYSTEMEN 4.8.1 Beveiligingseisen voor systemen 4.8.2 Beveiliging in toepassingssystemen 4.8.3 Cryptografische beveiliging 4.8.4 Beveiliging van systeembestanden 4.8.5 Beveiliging bij ontwikkel- en ondersteuningsprocessen 4.9 CONTINUÏTEITSMANAGEMENT 4.9.1 Aspecten van continuïteitsmanagement 4.10 NALEVING 4.10.1 Naleving van wettelijke voorschriften 4.10.2 Beoordeling van de naleving van het veiligheidsbeleid en de technische vereisten 4.10.3 Overwegingen ten aanzien van systeemaudits
Pagina VII
Bijlage
Afstudeerverslag
Bijlage IV: Definities organisatiegebieden gegevensbeveiliging LEIDERSCHAP
LEADERSHIP
De manier waarop de leiding van een organisatie bijdraagt aan het ontwikkelen, uitdragen en onderhouden van een beleid ten behoeve van gegevensbeveiliging en persoonlijk betrokken is bij het ontwikkelen en implementeren van het managementsysteem voor gegevensbeveiliging.
The way in which the management of an organisation contributes to the development, propagation and maintenance of an data security policy and how they are personally involved in ensuring that the organisation’s management system for data security is developed and implemented.
PERSONEEL
De manier waarop de organisatie de medewerkers inzet, stimuleert en waardeert om het beleid ten behoeve van gegevensbeveiliging te realiseren.
BELEID & STRATEGIE
PEOPLE
The way in which the organisation deploys, stimulates and appreciates its people in order to realise its data security policy.
POLICY & STRATEGY
De manier waarop de organisatie haar missie en visie met betrekking tot gegevensbeveiliging implementeert door een heldere strategie, die wordt vertaald in concreet beleid, plannen, budgetten en processen voor gegevensbeveiliging.
The way in which the organisation implements its mission and vision concerning data security via a clear strategy, supported by relevant policies, plans, budgets and processes for data security.
PARTNERSHIPS & MIDDELEN
PARTNERSHIPS & RESOURCES
De manier waarop vanuit strategie en beleid partnerships en middelen worden aangewend om de activiteiten van de organisatie met betrekking tot gegevensbeveiliging effectief en efficiënt uit te voeren.
PROCESSEN
De manier waarop de organisatie vanuit strategie en beleid haar processen met betrekking tot gegevensbeveiliging ontwerpt, beheerst en verbetert.
Pagina VIII
The way in which the organisation proceeding from its strategy and policy applies its partnerships and resources in order to support its data security related activities in an effective and efficient way.
PROCESSES
The way in which the organisation proceeding from its strategy and policy designs, manages and improves its data security related processes.
Bijlage
Afstudeerverslag
Bijlage V: Mogelijke aandachtspunten resultaatgebieden Resultaten Personeel Deze resultaten richten zich op wat de organisatie bereikt betreffende haar personeel. De nadruk ligt op de perceptie van het personeel over hoe de organisatie omgaat met gegevensbeveiliging. De resultaten zouden kunnen worden verkregen uit interne of externe audits, zelfevaluaties, enquêtes, focusgroepen of interviews Mogelijke aandachtspunten voor prestatiemeting: - Manier waarop gegevensbeveiliging wordt gecommuniceerd naar het personeel - Betrokkenheid van personeel bij kwesties met betrekking tot gegevensbeveiliging - Beveiligingstraining - Perceptie op en tevredenheid van personeel over hoe de organisatie omgaat met gegevensbeveiliging - Waarneming van de mate van duidelijkheid van taken en verantwoordelijkheden - Beveiligingsincidenten veroorzaakt door foutieve screening - Waargenomen effectiviteit van processen en procedures betreffende gegevensbeveiliging
Resultaten Klanten & Leveranciers Deze resultaten hebben betrekking op wat de organisatie bereikt in relatie tot haar externe klanten en leveranciers. De focus van de resultaten ligt op de perceptie van klanten en leveranciers op de gegevensbeveiliging van de onderneming. De resultaten zouden kunnen worden verkregen uit enquêtes, focusgroepen, verkoopwaarderingen en gegevens die betrekking hebben op complimenten en klachten. Mogelijke aandachtspunten voor prestatiemeting: - Imago van het bedrijf - Negatieve publiciteit - Impact van gegevensbeveiliging op producten en diensten - Service Level Agreements (SLA’s) - Perceptie van klanten en leveranciers op hoe de organisatie omgaat met gegevensbeveiliging - Loyaliteit van klanten en leveranciers - Nieuwe en/of verloren klanten
Resultaten Maatschappij Deze resultaten hebben betrekking op de resultaten van de organisatie met betrekking tot de locale, nationale en internationale maatschappij. De focus ligt op de perceptie op de onderneming door de maatschappij. De resultaten zouden kunnen worden verkregen doormiddel van externe of interne audits, enquêtes, verslagen, publieke vergaderingen en bij overheidsinstellingen. Mogelijke aandachtspunten voor prestatiemeting: - Imago van het bedrijf - Overtreding van wetgeving betreffende privacy en corporate governance (Sarbanes-Oxley, Code Tabaksblat) - Overtreding van wetgeving betreffende auteursrecht of software (software piraterij) en publicaties - Negatieve publiciteit veroorzaakt door beveiligingsincidenten - Publieksprijzen voor gegevensbeveiliging - Lidmaatschap van beveiligingsgroepen en branche overleggroepen
Pagina IX
Bijlage
Afstudeerverslag
Resultaten Kernprestaties Deze resultaten hebben betrekking op wat de organisatie bereikt ten opzichte van de geplande prestaties. De focus ligt op het reduceren van risico en het verbeteren van betrouwbaarheid, integriteit en beschikbaarheid van informatie. De resultaten zouden kunnen worden verkregen uit externe en interne audits, enquêtes, rapportages, publieke vergaderingen en bij overheidsinstellingen. Mogelijke aandachtspunten voor prestatiemeting: - De manier waarop beveiligingsincidenten worden afgehandeld - De aard van beveiligingsincidenten - Financiële resultaten - Ontwikkelingen van het marktaandeel - Nieuwe bedrijfsmogelijkheden die worden gecreëerd door toepassing van gegevensbeveiliging - Effectiviteit van management informatie - Toepassing en juistheid van beveiligingsvoorschriften
Pagina X
Bijlage
Afstudeerverslag
Bijlage VI: Het ontwikkelde hulpmiddel voor gegevensbeveiliging
Pagina XI
Bijlage
Afstudeerverslag
