Whitepaper Informatiebeveiliging
Hoe informatie te beveiligen en
datalekken te voorkomen...
HERKENT U DIT? Een organisatie besluit dat er na jaren uitstel eindelijk iets moet gebeuren rondom informatiebeveiliging. Deze mooie taak wordt bij voorkeur neergelegd bij de IT-afdeling, want die zijn toch verantwoordelijk voor de informatievoorziening? Vervolgens wordt er een spreadsheet opgemaakt met honderden maatregelen en wordt achter iedere maatregel een status én eigenaar opgesomd. Meestal worden er dan nog een aantal gesprekken gevoerd met verantwoordelijken en verdwijnt de spreadsheet met rapportage in een archief. Tot zover het project Informatiebeveiliging… Uiteraard is bovenstaand voorbeeld gechargeerd, maar wel tekenend voor de gang van zaken rond informatiebeveiliging bij veel organisaties. Er kleven een groot aantal bezwaren aan deze werkwijze, waarvan het feit dat deze bij de meeste organisaties minimaal resultaat heeft, wel de belangrijkste is. Gelukkig is het mogelijk op een veel efficiëntere wijze te komen tot een goed informatiebeveiligingsbeleid, dat voldoet aan de noodzakelijke minimale eisen zonder al die honderden maatregelen, want dat is het onder de streep wel. Het maatschappelijke belang om uw informatie te beveiligen wordt steeds groter, met name omdat organisaties steeds afhankelijker worden van informatietechnologie. Reden te meer om informatiebeveiliging hoog op de agenda te zetten. Deze whitepaper zal u inzicht geven hoe het best met deze materie om te gaan en en hoe u een Plan van Aanpak kunt opstellen zodat adequaat reageren mogelijk is, in het geval de continuïteit van uw organisatie op het spel staat of zich bijvoorbeeld een datalek voordoet.
4
Staat informatiebeveiliging
op de agenda?
Maatschappelijke ontwikkelingen Het bewustzijn van overheid en bedrijfsleven voor informatiebeveiliging is de laatste jaren toegenomen. Debet hieraan zijn publieke affaires zoals bijvoorbeeld de DigiNotar certificaten voor online overheidsdiensten in 2011, maar ook meer recent het geval bij de Amerikaanse bank JP Morgan Chase waar hackers bij de gegevens van 83 miljoen klanten konden komen. In juni 2014 is een wetsvoorstel ingediend, dat niet alleen overheden maar ook ondernemers verplicht stelt ernstige datalekken te melden bij het College Bescherming Persoonsgegevens (CBP) met het risico op hoge boetes als deze verplichting niet na gekomen wordt. De gedachte hierachter is om vertrouwelijk gegevens van personen te beschermen. Een inbreuk op persoonsgegevens kan voor betrokkenen namelijk vergaande nadelige gevolgen hebben. Continuïteit van uw organisatie... Maar ook het groeiende besef dat we in een maatschappij leven die in toenemende mate risicomijdend wordt. Dit gaat hand in hand met een steeds complexer wordende samenleving waarvan de afhankelijkheid van elektronische middelen groter wordt, of we dat willen of niet. Niet alleen uitval van elektriciteit kan snel catastrofale gevolgen hebben, maar ook uitval van informatie- en communicatiemiddelen. De continuïteit komt in gevaar! Reden waarom de Nederlandse overheid aan o.a. gemeenten en waterschappen heeft opgedragen te voldoen aan een normenkader voor informatieveiligheid. Deze Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) en Baseline Informatiebeveiliging Waterschappen (BIWA) schrijft een verplicht minimum niveau aan informatieveiligheid voor. Zorginstellingen dienen al vanaf 2005 te voldoen aan de NEN7510- norm omdat ook zorgverlening zeer sterk afhankelijk is van de continuïteit van hun informatievoorziening. Wat voor overheid geldt, geldt natuurlijk in meer of mindere mate ook voor het bedrijfsleven. In deze tijden van crisis neigen bedrijven alles rondom informatiebeveiliging voor zich uit te schuiven. Maar juist in deze moeilijke tijden kan een calamiteit of groter incident van welke aard ook snel leiden tot de definitieve teloorgang van een organisatie omdat de middelen om een nieuwe start te maken ontbreken. Denk alleen al aan de imagoschade die kan worden opgelopen en waar enorme bedragen mee gemoeid kunnen zijn. Hiervoor is het niet altijd noodzakelijk honderden maatregelen af te vinken en te implementeren. Door terug te gaan naar de basis kan in relatief korte tijd een aanvaardbaar risiconiveau bereikt worden.
5
Meldplicht datalekken in een notedop In de nabije toekomst, na goedkeuring van het in juni 2014 ingediende wetsvoorstel, zullen organisaties die verantwoordelijk zijn voor vertrouwelijke persoonsgegevens in hun organisatie, verplicht moeten melden als er een ernstige inbreuk heeft plaatsgevonden op de beveiligingsmaatregelen die de verantwoordelijke heeft getroffen. Deze wetswijziging heeft voor organisaties (en hier worden zowel private als publieke bedoeld) gevolgen op het gebied van informatiebeveiliging. De wet dwingt organisaties zich voor te bereiden om informatie te beveiligen, bijvoorbeeld met een Plan van Aanpak zoals hier in de whitepaper beschreven. Als tweede stap moeten zij bepalen of ze het datalek moeten melden. Zo ja, dan moet de melding op de juiste wijze geschieden (zoals in de wet beschreven) en moeten de betrokkenen geïnformeerd worden. Ook voor partijen die in opdracht van verantwoordelijken gegevens verwerken (de zogenaamde ‘bewerkers’), brengt het voorstel verplichtingen met zicht mee. Leveranciers van ICT-systemen en netwerkdienstverleners moeten de organisatie actief bijstaan en waarschuwen als ze een lek vaststellen*. Bij schending van de meldplicht zoals bedoeld in de Wet bescherming persoonsgegevens kan het CBP boetes opleggen.
* Bron: whitepaper In vier stappen voldoen aan meldplicht datalekken - 20 september 2012 van Nictiz, mr. dr. A.H. Ekker
Hoe kijken we tegen Informatiebeveiliging aan?
Eerst en vooral is het natuurlijk belangrijk vast te stellen wat we verstaan onder Informatiebeveiliging. Binnen administratieve organisaties (en onder die classificatie valt het overgrote deel van overheid en bedrijfsleven) is het beschikbaar zijn van de juiste informatie op het juiste moment erg belangrijk. Bedrijfsprocessen zijn hier direct van afhankelijk en kunnen vaak geen doorgang vinden zodra deze voorziening stopt of onbetrouwbaar wordt. Het gebied informatiebeveiliging omvat alle aspecten van de informatievoorziening binnen bedrijven en instellingen met als focus de zekerstelling van deze informatievoorziening. Onderwerpen die binnen dat kader vallen zijn bijvoorbeeld integriteit van informatie, maar ook beschikbaarheid van informatiesystemen en continuïteitsplanning. Informatie kan allerlei vormen aannemen, maar wordt in toenemende mate geleverd in digitale vorm via een groeiend aantal gebruikersapparaten (Bring Your Own Device). Geen wonder dat veel informatiebeveiligingsprojecten zich daarom concentreren op IT-middelen. Het resultaat is vaak veel technische maatregelen die uiteindelijk meer beperkend werken dan bijdragen aan een veilige omgeving. Waar het echter tenslotte, ook bij Informatiebeveiliging, om gaat is de beschikbaarheid van de bedrijfsprocessen. Die zijn echter lang niet allemaal even belangrijk. Verder is niet ieder proces even afhankelijk van IT en ook de lijst van niet-IT afhankelijkheden is voor ieder proces anders. Het heeft daarom weinig zin een lange lijst niet-specifieke maatregelen te implementeren omdat daardoor de plank weleens volledig misgeslagen zou kunnen worden. Daarom dient een goed Informatiebeveiligingsproject ook bij de bedrijfsprocessen te starten: aan de basis.
6
“Informatiebeveiliging betreft niet alleen de IT-Af-
deling. Je moet een bewustwordingsproces binnen de organisatie op gang brengen, bijvoorbeeld ook papier en ruimtes in gebouwen tellen mee”
*aldus een klant van Innervate tijdens een kennissessie
Onze aanpak De belangrijkste standaard op het gebied van informatiebeveiliging van dit moment is de ISO27001/2. Voor de gezondheidszorg is een specifieke standaard opgesteld die echter qua opzet goed te vergelijken is met de ISO27001/2, namelijk de NEN7510-2011. Een solide aanpak op het gebied van informatiebeveiliging dient gebaseerd te zijn op deze standaarden. In de praktijk blijkt echter dat deze standaarden op nogal verschillende wijze (kunnen) worden geïnterpreteerd.
Infobeveiligingsbeleid
De kern van de Innervate-aanpak bestaat uit een risico-analyse uitgevoerd op de specifieke kenmerken van de bedrijfsprocessen. Met deze holistische benadering wordt bereikt dat organisaties bewuste keuzes kunnen maken tussen aanvaardbare en niet-aanvaardbare risico’s, m.a.w. een beperking van risico’s zonder de maatregelenbrij. De aanpak is onderverdeeld in twee fasen, waarbij fase één gezien kan worden als de denkfase, d.w.z. dat de noodzakelijke analyses en rapportages in deze fase worden opgesteld. Fase twee betreft de doe-fase waarin de maatregelen uit het ontwerp worden geïmplementeerd.
Afhankelijkheidanalyse
ISO27001/2
1. BELEID
2. INVENTARSATIE
Kwetsbaarheidsanalyse
FASE
Informatiebeveiligingsplan
1
3. EISEN
4. ONTWERP
Door te bepalen welke componenten nodig zijn voor de uitvoering van de processen en aan welke risico’s deze componenten blootstaan is het mogelijk een efficiënt ontwerp te maken voor de te treffen maatregelen 7
Fase 1: denkfase Stap 1: Informatiebeveiligingsbeleid Het uiteindelijke doel van deze fase is een geaccordeerd informatiebeveiligingsplan waarin een ontwerp staat beschreven van de te implementeren maatregelen. Daartoe dient een risico-analyse te worden uitgevoerd, die onderverdeeld kan worden in afhankelijkheidsanalyse en een kwetsbaarheidsanalyse. De eerste stap is echter het opstellen van een informatiebeveiligingsbeleid. Deze is noodzakelijk om als leidraad te dienen voor het gehele proces van risico-analyse. In het beleid wordt feitelijk het ambitieniveau bepaald van de organisatie m.b.t. informatiebeveiliging. Keuzes die gedurende het traject gemaakt worden aangaande processen, maatregelen en risico’s dienen getoetst te kunnen worden aan het beleid. Ook wordt hierin vastgelegd welke scope het gehele traject zal moeten bezitten, m.a.w. wat is de omvang van de analyses en met welk detailniveau? Het beleid moet een afgeleide zijn van het informatiebeleid, organisatiebeleid en wet- en regelgeving. Vaak beschikken organisaties reeds over documenten die gebruikt kunnen worden als input voor deze stap.
Stap 2: Afhankelijkheidsanalyse Na accordering van het informatiebeveiligingsbeleid kan gestart worden met de afhankelijkheidsanalyse. In de afhankelijkheidsanalyse wordt bepaald welke componenten noodzakelijk zijn voor de uitvoering van het bedrijfsproces en hoe belangrijk deze zijn voor het proces, m.a.w. welke eisen hieraan gesteld dienen te worden. Het begrip ‘componenten’ moet hier breed worden opgevat. Voor de bepaling van deze componenten wordt wel het MAPGOOD schema gehanteerd. MAPGOOD staat voor Mensen, Apparatuur, Producten, Gegevens, Organisatie, Omgeving en Diensten. De hoeveelheid werk in deze stap wordt in hoge mate bepaald door de mate van detail. Deze dient tevoren te worden afgesproken en vastgelegd in het beleidsdocument.
8
Computers moeten werken, mensen moeten denken!
Nulmeting (AS-IS)
Stap 3: Kwetsbaarheidsanalyse In de kwetsbaarheidsanalyse wordt bepaald welke eisen gesteld dienen te worden aan processen en de in de vorige stap geïnventariseerde componenten. Deze eisen worden uitgedrukt in termen van beschikbaarheid, integriteit en vertrouwelijkheid. Een belangrijke input voor de formulering van deze eisen is het beleidsdocument. Vervolgens wordt geïnventariseerd welke bedreigingen manifest kunnen worden en met welke kans. Gecombineerd met de te stellen eisen kan bepaald worden welke schade deze bedreigingen kunnen aanbrengen aan de bedrijfsprocessen en of dit wel of niet acceptabel is. De lijst met bedreigingen is voor iedere situatie en iedere organisatie verschillend. Bij het opstellen van deze lijst wordt zoveel mogelijk gebruik gemaakt van de eerder genoemde standaarden, maar ook van lokale bronnen zoals Provinciale Risicokaarten. Op basis van de gegevens uit de afhankelijkheids- en kwetsbaarheidsanalyse kan vervolgens een ontwerp van maatregelen worden gemaakt. Dit gebeurt alleen voor die bedreigingen die een onacceptabel risico vormen voor de bedrijfsprocessen. Ook hier wordt zoveel mogelijk gebruik gemaakt van de genoemde standaarden. Pas in dit late stadium wordt gekeken naar de reeds bestaande maatregelen, die bepaald worden middels een zogenaamde nulmeting. Door het spiegelen van deze nulmeting aan het ontwerp kan bepaald worden welke nieuwe maatregelen getroffen dienen te worden, maar ook welke bestaande maatregelen afdoende zijn, of wellicht zelfs overbodig!
Ontwerpmaatregelen (TO-BE)
Informatiebeveiligingsplan
PvA implementatie maatregelen
Stap 4: Informatiebeveiligingsplan Vervolgens kan een Plan van Aanpak worden opgesteld voor implementatie van nieuwe maatregelen. Hierbij wordt uitgegaan van een no-nonsense beleid. Maatregelen worden onderverdeeld in een drietal categorieën waarbij alleen de meest dringende meteen worden ingevoerd. Voor de resterende wordt een langere termijn planning gemaakt. Zo wordt de organisatie niet overladen met acties en kan er voldoende aandacht besteed worden aan het veiligheidbewustzijn. Dat brengt ons bij Fase twee van de aanpak.
FASE 2 5. maatregelen ISO27001/2 FASE 1
6. procedures 7. organisatie
9
8. audits
Fase 2: doe-fase Afhankelijk van het in de vorige fase bepaalde ontwerp vergt de implementatie het één en ander van de organisatie in kwestie. Dit wordt (heel) vaak onderschat. Niet alleen dienen technische maatregelen uitgevoerd te worden, maar ook organisatorische en procedurele. Informatiebeveiliging stopt niet bij het plan en de uitvoering van maatregelen! Om ook op langere termijn effect te hebben dient daarom een nieuw bedrijfsproces ´Informatiebeveiliging´ te worden geïmplementeerd. Compleet met verantwoordelijken, procedures en ijkmomenten. Binnen de ISO27001 wordt dit ‘Information Security Management System’ genoemd, het ISMS. Het introduceren van een vorm van ISMS garandeert dat Informatiebeveiliging een blijvend aandachtsgebied wordt waarbij maatregelen en procedures up-to-date worden gehouden. In het geval een organisatie ervoor kiest een audit te ondergaan (voor gezondheidsinstellingen verplicht) is een ISMS in elk geval noodzakelijk. Leemten of onvolkomenheden die uit audits naar voren komen dienen aangepakt te worden in een nieuwe cyclus van de hier beschreven aanpak, zoals uitgebeeld in voorgaande figuur.
I
nformatiebeveiliging stopt niet bij het
uitvoering van
10
plan
!
maatregelen
en de
De Innervate manier De hiervoor beschreven aanpak vergt het één en ander aan resources en tijd, maar garandeert dat Informatiebeveiliging binnen uw organisatie op de kaart gezet wordt en ook blijvend effect zal sorteren. Daartoe is het ook noodzakelijk gebruik te maken van de Deming kwaliteitscyclus van Plan-Do-Check-Act . Binnen het in deze Whitepaper beschreven stappenplan is deze geborgd. Enterprise Architectuur Een ander belangrijk neveneffect is, dat gedurende het proces veel informatie over uw organisatie beschikbaar komt. Het koppelen van componenten aan processen levert feitelijk een goed beeld van uw Enterprise Architectuur op. Gezien de effort die hiervoor nodig is, is het verstandig deze informatie vast te leggen. Hiertoe maken wij gebruik van de taal ‘Archimate’. Archimate is een Opensource EA modelleringstaal waarmee Enterprise Architecturen kunnen worden beschreven op een gestructureerde en gestandaardiseerde wijze. Sinds 2008 maakt Archimate deel uit van ‘The Opengroup’ en is gekoppeld aan het architectuur framework ‘TOGAF’. Door gebruik van geavanceerde tooling kunnen deze modellen dusdanig worden vastgelegd, dat achteraf geautomatiseerde analyses mogelijk zijn. Maatwerk in maatregelen Bij de daadwerkelijke invoering van maatregelen is vaak nog een extra detailontwerp noodzake-lijk afhankelijk van de specifieke omstandigheden. Zoals eerder vermeld zijn de maatregelen uit de vigerende standaarden non-specifiek en behoeven dus een extra maatwerkslag om geschikt te worden gemaakt voor uw organisatie. Vaak hebben organisaties niet de kennis of ervaring om deze stap te maken. Door de brede expertise kan Innervate ook hier behulpzaam zijn. Kiezen voor wel of niet zelf doen De noodzakelijke inspanningen voor de uitvoering van de in deze whitepaper beschreven aanpak zijn sterk afhankelijk van reeds voorhanden zijnde documenten en de gewenste scope. Sommige organisaties kiezen ervoor het werk zelf uit te voeren. Innervate kan in die gevallen als ‘coachende’ partij optreden waarbij wij u met adviezen en hulpmiddelen terzijde staan. Wij kunnen echter ook het grootste deel van het werk voor u uitvoeren. In beide gevallen is het noodzakelijk dat u als organisatie zeer nauw betrokken bent en blijft. Alleen dan is succes verzekerd!
11
Waarom Innervate? Innervate is een eredivisiespeler in het vakgebied van informatietechnologie en ICT infrastructuur. Onze diensten zijn gericht op advies, software-ontwikkeling en trainingen. De professionals van Innervate zijn allemaal spelers’ met hun eigen specifieke expertise en praktijkervaring. Innervate kan de werkprocessen in uw organisatie geheel overzien en exact de puntjes op de ‘i’ zetten. Dit levert voor de klant een slimme oplossing op en 100% kans op een succesvol project, met name op het gebied van Information Management & Enterprise Architecture.
Innervate Aziëlaan 14 6199 AG Maastricht-Airport T
+31 (0) 88 007 9000
E W
[email protected] www.innervate.nl
Volg ons via:
12
Deze Whitepaper is opgesteld door Rob Braam, Prinicpal Consultant bij Innervate, op basis van zijn project- en onderzoekservaring op het gebied van Information Management & Enterprise Architecture.
Maastricht, 2014
13
