INFORMATIEBEVEILIGING

april 2008 nummer 2

Introductie: discussiemodel voor integrale beveiliging

Virtualisatie, de ins en outs

Sociale netwerksites onschuldig?

De menselijke kant van informatiebeveiliging

INFORMATIEBEVEILIGING

Risicomanagement krijgt vaste plaats in ITIL

http://creativecommons.org/licenses/by-sa/3.0/nl/

IB 2 2008.indd 1

18-03-2008 10:07:19

Integrale beveiliging: een koppeling van de begrippen Auteur: Drs. T. Keizer RSE >Thimo Keizer werkt bij Northwave en is bereikbaar via [email protected].

Als beveiligingsdeskundigen weten we inmiddels allemaal dat informatiebeveiliging meer is dan een firewall of antivirustoepassingen. Voor mensen buiten het vakgebied is vaak nog niet duidelijk wat we nu precies bedoelen. Ook zien we dat de fysieke- en informatiebeveiliging steeds meer naar elkaar toegroeien, steeds meer op elkaar gaan vertrouwen en meer en meer gebruikmaken van elkaar. In dit artikel geven we een discussiemodel voor integrale beveiliging. Met dit model zijn we in staat om de beveiliging binnen organisaties integraal op te pakken waardoor de maatregelen optimaal kunnen worden afgestemd op de situationele aspecten van die organisatie. Ook kunnen we de beveiligingsmaatregelen op deze manier beter managen waardoor het risico op te weinig, te veel of de verkeerde maatregelen kan worden beheerst. Omdat we uiteindelijk maatregelen moeten nemen, wordt dit model tevens gekoppeld aan de technische, procedurele, organisatorische, bouwkundige en elektronische maatregelen.

onderdeel. De primaire en secundaire bedrijfsprocessen zijn het doel, de ICTcomponenten en de locaties de middelen die dit doel ondersteunen. Ook zien we vaak dat, na een incident, gekozen wordt voor een productgerichte oplossing (firewall van merk X, camerasysteem van leverancier Y) en niet voor een top-downbenadering waarbij we op gestructureerde wijze proberen de risico’s voor de organisatie te beperken. Natuurlijk moeten we de brand blussen als het gebouw in brand staat en het virus

Continuïteit van de organisatie

geworden. Informatiebeveiliging

verwijderen als we geïnfecteerd zijn, maar

De belangrijkste doelstelling voor iedere

richt zich dan ook vooral op deze

daarna moeten we niet wachten op het

organisatie is (of zou moeten zijn)

beschikbaarheid, integriteit en

volgende incident, maar moeten we op

continuïteit. Hoewel dit voor iedere

exclusiviteit om zo de continuïteit van

gestructureerde wijze proberen de risico’s

bestuurder, manager of directeur wel

de organisatie, de bedrijfsprocessen en

voor de organisatie te beheersen.

duidelijk is, zie je deze doelstelling maar

de informatie te waarborgen. Vaak is de

zelden expliciet terug in de jaarverslagen,

informatiebeveiliging hierbij gebaseerd op

Vanuit informatiebeveiligingsoptiek

missies en beleids- en bedrijfsplannen

de Code voor Informatiebeveiliging. Tot

worden de risicoanalyse methodes A&K/

van organisaties. Om deze continuïteit te

zover niets nieuws onder de zon.

CRAMM en SPRINT/SPARK gehanteerd

waarborgen, moet de organisatie waarde

terwijl vanuit de fysieke beveiliging

toevoegen aan de producten en diensten

In de praktijk zien we echter dat

gebruik kan worden gemaakt van de

die ze beschikbaar stelt. Michael Porter

informatiebeveiliging en fysieke beveiliging

zogenaamde ‘Haagse Methode’. Hoewel

introduceerde hiervoor halverwege de

nog weinig geïntegreerd zijn met elkaar.

de uitkomsten van de A&K-analyse

jaren tachtig de zogenaamde waardeketen

De informatiemanager draagt zorg voor

ook fysieke beveiligingsmaatregelen

waarbij onderscheid gemaakt werd tussen

de informatiebeveiliging en de fysieke

genereren, is het doel de bescherming

de primaire en secundaire processen.

beveiliging wordt door de facilitair manager

van de ICT-componenten en niet direct de

georganiseerd. En hoewel de Code voor

bescherming van de primaire en secundaire

Met de intrede van mainframes,

Informatiebeveiliging ook ingaat op

bedrijfsprocessen. Al deze methodes

microcomputers, LAN’s/WAN’s en dergelijke

fysieke beveiliging is de scope hiervan

zijn goed bruikbaar binnen het integraal

werden deze primaire en secundaire

gericht op de fysieke beveiliging van de

beveiligingsmodel. De uitkomsten van

processen steeds vaker ondersteund door

informatiesystemen en niet op de fysieke

deze analyses worden samengebracht en

ICT-componenten, daarom moesten deze

beveiliging ten behoeve van de primaire en

geïntegreerd zodat de risico’s voor de

beveiligd worden. Fysieke beveiliging

secundaire processen van de organisatie.

bedrijfsprocessen optimaal kunnen worden

bestond al jaren, maar nu was ook

Het risico hiervan is dat we de verkeerde

beheerst. Ook als de informatiebeveiliging

informatiebeveiliging geboren. Sindsdien

scope hanteren, te weinig, te veel of

gebaseerd is op best practices als

zijn ICT-componenten meer en meer

de verkeerde beveiligingsmaatregelen

de Code voor Informatiebeveiliging

cruciaal geworden voor het voortbestaan

implementeren.

past dit naadloos in het integraal

van de organisatie en ze zijn niet meer uit organisaties weg te denken.

12 •

beveiligingsmodel. Wel moeten we hierbij Het uitgangspunt moet niet zijn de

steeds rekening houden met de scope van

beveiliging van de ICT-componenten of

de gehanteerde risicoanalyse methode of de

Naast efficiency en effectiviteit zijn

locaties, maar de continuïteit van de

best practice. De vraag die we ons hierbij

ook de beschikbaarheid, exclusiviteit

bedrijfsprocessen van de organisatie.

kunnen stellen, is: Is de scope gericht op

(vertrouwelijkheid) en integriteit hierbij

Daarbij vormt naast informatiebeveiliging

de informatiesystemen, de locaties of de

belangrijke en bekende begrippen

ook fysieke beveiliging een belangrijk

bedrijfsprocessen?

• • • • • Informatiebeveiliging april 2008

IB 2 2008.indd 12

18-03-2008 09:31:27

Hoe kunnen we integrale beveiliging

beveiliging kunnen niet meer los van elkaar

van informatie (geautomatiseerde en

dan borgen binnen de organisatie? Door

worden gezien.

niet- geautomatiseerde data), materieel

een top-downbenadering te hanteren

en personeel om de continuïteit van de

en een risicoanalyse uit te voeren die

Integrale beveiliging

organisatie te waarborgen door, op basis

de risico’s voor de bedrijfsprocessen van

Omdat we uiteindelijk maatregelen moeten

van risicomanagement en een kosten-

de organisatie in kaart brengt. Hierbij

nemen om daadwerkelijk veiliger te worden,

batenanalyse, technische, procedurele,

kunnen we de risico’s voor de belangrijkste

worden de begrippen informatiebeveiliging

organisatorische, bouwkundige en

bedrijfsprocessen eerst aanpakken. Deze

en fysieke beveiliging op operationeel

elektronische maatregelen te selecteren en

kritische processen worden ondersteund

niveau onderverdeeld in de volgende

te implementeren.

door informatiesystemen en ze vinden

maatregelencategorieën:

plaats in gebouwen. Hier komen de best

• Bij informatiebeveiliging spreken we

Door beveiliging op een integrale wijze

practices en de uitkomsten van de CRAMM,

over de zogenaamde TOP-maatregelen.

aan te pakken ontstaat een evenwichtig

SPRINT en fysieke risicoanalyses goed van

De technische, organisatorische en

pakket aan maatregelen, dat afgestemd

pas. De prioriteit voor de implementatie

procedurele maatregelen.

is op de specifieke situatie en processen

van beveiligingsmaatregelen zal liggen

• Bij fysieke beveiliging spreken we over

van de organisatie. Uiteraard moeten

bij de kritische bedrijfsprocessen en de

de OBE-mix. De mix van organisatorische,

deze maatregelen steeds op basis van

informatiesystemen en gebouwen die deze

bouwkundige en elektronische

risicomanagement worden vastgesteld,

processen ondersteunen.

maatregelen.

steeds kijkend naar de bedrijfsprocessen van de organisatie. De risico’s moeten

Hier komt een begrip om de hoek waarin

gewaardeerd worden, prioriteiten moeten

de beveiligingsmaatregelen aan elkaar

worden gesteld en beslissingen moeten

en aan informatie- en fysieke beveiliging

worden genomen over al dan niet te nemen

kunnen worden gekoppeld zodat duidelijk

beheersingsmaatregelen of te accepteren

kan worden gemaakt wat er nu echt wordt

risico’s. We willen immers geen maatregelen

bedoeld: integrale beveiliging (ook wel

nemen, maar risico’s afdekken en het heeft

comprehensive of enterprise security

weinig nut om een briefje van 10 euro te

genoemd).

beveiligen met een kluis ter waarde van 1000 euro. Zo heeft het ook weinig nut

We beginnen met een definitie voor

om technisch hoogstaande (en meestal

dit begrip:

kostbare) maatregelen te nemen voor

Integrale beveiliging is de beveiliging

een informatiesysteem dat geen kritisch

Figuur 1: Risicoanalyses Figuur 2: Integrale beveiliging

Informatiebeveiliging en fysieke beveiliging groeien naar elkaar toe Fysieke- en informatiebeveiliging groeien steeds meer naar elkaar toe, ze gaan steeds meer op elkaar vertrouwen en ze gaan meer en meer gebruikmaken van elkaar. Denk bijvoorbeeld aan de beveiligingscamera’s die tegenwoordig heel wat geavanceerder zijn dan een aantal jaar geleden. Ze hebben een ingebouwde server in zich, communiceren wireless met elkaar en het basisstation en beschikken over gigabytes aan opslagcapaciteit. Waren toegangspassen vroeger alleen voor toegang tot het gebouw, nu worden ze vaak al gebruikt om via je toetsenbord, een smartcard en een pincode toegang te verkrijgen tot het netwerk. De mogelijkheden zijn bijna onbeperkt en dragen zeker bij aan de verbetering van de beveiliging. We zullen dan ook zien dat ze meer en meer samen zullen smelten. Informatiebeveiliging en fysieke

Informatiebeveiliging april 2008 • • • • • •

IB 2 2008.indd 13

13

18-03-2008 09:31:28

bedrijfsproces ondersteunt of waarvoor de

ook wel computer- of ICT-beveiliging)

de middelen (ICT-componenten, gebouwen,

procedurele maatregelen niet georganiseerd

wordt nogal eens gelijkgesteld aan het

medewerkers) niet door elkaar halen.

zijn.

begrip informatiebeveiliging. Hierdoor

Fysieke beveiliging

bestaat de kans dat niet-geautomatiseerde

Fysieke beveiliging valt in dit model

We pleiten in dit artikel dan ook

data onvoldoende worden beveiligd. Een

vervolgens uiteen in de beveiliging van

voor een top-downbenadering vanuit

voorbeeld hiervan is het weggooien of

materieel en de beveiliging van personeel.

risicomanagement op het hoogste niveau

mee naar huis nemen van vertrouwelijke,

Hierbij wordt gedoeld op het materieel

binnen de organisatie waarbij managers zich

papieren documenten. Ook hier is de

dat van belang is voor de kritieke

steeds af moeten vragen:

koppeling van informatiebeveiliging en

bedrijfsprocessen van de organisatie.

• Wat moeten we beschermen om de

fysieke beveiliging aanwezig in de vorm

Dat kan hardware zijn (servers, routers,

continuïteit van de organisatie te borgen?

switches), maar dat kan ook een robot- of

afvalbakken zoeken naar interessante

fabricagestraat zijn. Vanuit de verzekering

• Wat gebeurt er als we het niet goed

informatie. Er zullen dus ook risico’s

worden al eisen gesteld aan brandpreventie

afgewogen moeten worden voor niet-

en inbraakdetectie, dit vormt soms al een

geautomatiseerde data. Hoewel het

goede basis voor het niveau van materiële

Als deze vragen beantwoord zijn,

natuurlijk meer om handen heeft, kan een

beveiliging binnen de organisatie. Personele

kunnen we met behulp van het integrale

goede papierversnipperaar of een juiste

beveiliging is vervolgens niet het bewaken

beveiligingsmodel de juiste prioriteiten

afval-ophaalprocedure al een deel van dit

van het personeel door bodyguards in te

stellen, maatregelen selecteren,

risico afdekken.

huren. Nee, personele beveiliging richt

implementeren en de status ervan monitoren.

Informatiebeveiliging moet vooral niet

zich bijvoorbeeld op de betrouwbaarheid

beschermen?

Integrale beveiliging: een koppeling van de begrippen 14 •

van het begrip dumpsterdiving: het in

• Waarom moeten we juist dat beschermen?

verward worden met computerbeveiliging

van het personeel (screeningen),

Informatiebeveiliging

omdat dan risico’s over het hoofd kunnen

het beveiligingsbewustzijn en de

Informatiebeveiliging valt bij dit model

worden gezien en het begrip tekort

beveiligingscultuur binnen de organisatie.

uiteen in de geautomatiseerde en de

wordt gedaan. Ook moeten we het doel

niet- geautomatiseerde data. Met name

(continuïteit van de organisatie door

Beveiligingsmaatregelen

het eerste begrip (geautomatiseerde data

uitkomsten kritische bedrijfsprocessen) en

De verbetering van de integrale beveiliging

ADVERTENTIE

OPENBAAR MINISTERIE FUNCTIONEEL PARKET

INFORMATIEBEVEILIGINGFUNCTIONARIS (vac.nr. BV/2008) Het Functioneel Parket (FP) is een, landelijk opererend, onderdeel van het Openbaar Ministerie, belast met de strafrechtelijke handhaving van de milieu-, economie- en fraudewetgeving. Het FP beweegt zich in een complexe omgeving van bestuurders, departementen, bijzondere opsporingsdiensten, politie en belangenorganisaties. Het FP kent 5 locaties: Den Haag, Amsterdam, Den Bosch, Rotterdam en Zwolle.

Taken Inlichtingen Bij de heer A.R.K. Bloembergen, Hoofd Bedrijfsvoering, tel. (070) 30 23 207, een volledige vacatureomschrijving is aanwezig. Belangstellenden kunnen hun schriftelijke sollicitaties onder vermelding van bovenstaand vacaturenummer vóór 12 april 2008 mailen naar DVOM_P.sollicitaties. [email protected] of sturen naar DVOM/P, Postbus 320, 3300 AH Dordrecht.

Als informatiebeveiligingsfunctionaris (IBF-er) bent u verantwoordelijk voor het formuleren van informatiebeveiligingsbeleid. U bent ook verantwoordelijk voor de coördinatie van informatiebeveiligingswerkzaamheden en controleert de naleving van het beleid en de voorschriften. U volgt de relevante ontwikkelingen op het gebied van de informatiebeveiliging en evalueert en past daar waarnodig beleid aan. De IBF-er dient een duidelijke visie te hebben op de betekenis van informatiebeveiliging bij externe inhuur van personeel.

Functie-eisen: U beschikt over een relevante opleiding op HBO-niveau en de nodige communicatieve- en adviesvaardigheden. Kennis van informatiebeveiliging en -methoden, relevante wet- en regelgeving alsmede communicatiemiddelen, opslagmedia en geautomatiseerde (gegevens) verwerking- en informatiesystemen. U dient vaardigheid te hebben in het verzamelen, analyseren en verwerken van pre-adviezen van informatie over het informatiebeveiligingsbeleid en het (doen)ontwikkelen en aanpassen van de hierop van toepassing zijnde procedures.

Bijzonderheden: • het salaris bedraagt maximaal € 3702,55 (BBRA schaal 10) bij een 36-urige werkweek (5 x 8 uur als gevolg waarvan ADV wordt opgebouwd) exclusief vakantie- en eindejaarsuitkering en secundaire arbeidsvoorwaarden; standplaats is Den Haag; Tijdelijk dienstverband (2 jaar) met uitzicht op vast dienstverband; een veiligheidsonderzoek maakt deel uit van de selectieprocedure.

• • • • • Informatiebeveiliging april 2008

IB 2 2008.indd 14

18-03-2008 09:31:35

strekt zich uit over alle producten, diensten,

kunnen voor hun deelgebied deelbeleid

ernstige gevolgen kan hebben voor het

materialen, medewerkers en vestigingen

opstellen dat dan in overeenstemming moet

voortbestaan van de organisatie. Het kan

van de organisatie. Het heeft betrekking

zijn met het integraal beveiligingsbeleid.

direct invloed hebben op de aandelenkoers,

op alle aspecten van de bedrijfsprocessen

Omdat zij hiërarchisch veelal niet onder de

maar een incident kan bijvoorbeeld ook

van de organisatie (en de koppelvlakken

CISO zullen vallen (zij hebben immers meer

het zo zorgvuldig opgebouwde imago in

met betrekking tot de klanten) om de

taken dan beveiliging) moeten zij daar waar

één klap tenietdoen. Door incidenten

continuïteit van de bedrijfsvoering te

het informatie- of fysieke beveiliging betreft

kunnen bedrijfsprocessen stilvallen,

kunnen waarborgen. De kritieke processen,

functioneel verantwoording afleggen aan

kunnen mensenlevens in gevaar worden

die per organisatie verschillen, verdienen

de CISO.

gebracht, kan omzet worden misgelopen

hierbij de hoogste prioriteit daarom moeten

of kunnen klanten schadeclaims indienen.

we allereerst maatregelen implementeren

De CISO, de informatiemanager

Beveiliging is niet (langer) een technische

voor die informatiesystemen en die kritische

en de facilitair manager zullen de

uitdaging, maar een bedrijfskundig aspect

ruimtes die de kritische bedrijfsprocessen

beveiligingsmaatregelen onderling af

dat een structurele aanpak verdient en

ondersteunen. We kunnen natuurlijk allerlei

moeten stemmen om een optimale set van

dat afgestemd moet zijn op de kritische

mooie theorieën ontwikkelen en ideeën

beveiligingsmaatregelen te garanderen.

processen van de organisatie.

op operationeel niveau maatregelen te

De rechterlijke macht kan in deze structuur

Niet alle incidenten kunnen voorkomen

implementeren waarmee we daadwerkelijk

worden ingevuld door interne controleurs,

worden, maar de kans dat een incident zich

beter beveiligd zijn. Om de risico’s die

kwaliteitsmedewerkers of interne auditors.

voordoet kan wel verkleind worden door,

de continuïteit van de bedrijfsvoering in

Zij toetsen de integrale beveiliging aan de

naast allerlei technische maatregelen,

gevaar kunnen brengen beheersbaar te

informatiebeveiligingsplannen, de fysieke

ook te zorgen voor een samenhangend

maken, moet de juiste combinatie van

beveiligingsplannen en/of de eisen die door

pakket procedurele, organisatorische,

technische, procedurele, organisatorische,

de directie zijn vastgelegd in het integraal

bouwkundige en elektronische maatregelen.

bouwkundige en elektronische maatregelen

beveiligingsbeleid.

Als een incident zich dan toch voordoet,

bedenken, maar uiteindelijk gaat het erom

geïmplementeerd worden. Een integraal

is het te hopen dat de organisatie een

beveiligingsbeleid dat afgestemd is

De directie ontvangt haar rapportages vanuit

incidentresponse team heeft ingericht en

op het bedrijfsbeleid, de missie en de

drie kanalen, namelijk van de CISO die

een business continuity en disaster recovery

doelstellingen van de organisatie vormt

verantwoording aflegt over zijn uitgevoerde

plan heeft opgesteld om de schade te

hierbij het vertrekpunt.

beveiligingswerkzaamheden. Ook ontvangt

beperken.

de directie de rapportages uit de lijn- of Beleggen van verantwoordelijkheden

staforganisatie (waar de informatiemanager

Conclusie

De zogenaamde trias politica kan gebruikt

en de facilitair manager onder vallen).

Kortom; de begrippen informatiebeveiliging

worden om de belegging van taken,

Daarnaast ontvangt de directie de

en fysieke beveiliging kunnen niet meer

bevoegdheden en verantwoordelijkheden toe

rapportages van de rechterlijke macht,

los benaderd worden. Ze komen samen in

te lichten. Hierbij worden de zogenaamde

die eventuele afwijkingen rapporteert.

het begrip integrale beveiliging dat een

wetgevende, uitvoerende en rechterlijke

Op deze wijze is de directie altijd op de

bedrijfskundige uitdaging is die gebaseerd

macht onderscheiden.

hoogte van de status van de integrale

is op risicomanagement en waarvoor de

beveiliging binnen de organisatie en kan zij

coördinatie en eindverantwoordelijkheid

Op voldoende hoog niveau binnen de

verantwoording afleggen aan de Raad van

op voldoende hoog niveau binnen de

organisatie kan een Chief Information

Bestuur of aan externe controle organen. Op

organisatie moeten worden opgepakt.

Security Officer (CISO) worden aangewezen

deze wijze wordt de bekende Demming circle

Het vereist een top-downbenadering die

die verantwoordelijk wordt gesteld

ingericht en in feite is dit het begin van het

zichtbare steun geniet van het management,

voor de wetgevende macht binnen de

Information Security Management System

daarbij steeds kijkend naar de kritieke

organisatie. Hier wordt het integraal

uit ISO27000.

bedrijfsprocessen voor de organisatie.

de directie wordt vastgesteld) en hij/zij

Incidenten

Met dit model zijn niet alle ontwikkelde

vormt het overkoepelende orgaan aan

Honderd procent beveiligen is een

theorieën en best practices in één klap

wie de uitvoerende macht functioneel

onmogelijke of in ieder geval een

ongedaan gemaakt, in tegenstelling:

verantwoording aflegt.

erg kostbare zaak. Door beveiliging

deze theorieën en best practices zijn

De uitvoerende macht die hierbij

op een integrale wijze, gebaseerd op

goed bruikbaar, ze worden met dit model

onderscheiden wordt, is de

risicomanagement, aan te pakken

juist bijeengebracht. De vraag of iedere

informatiemanager die verantwoordelijk

kunnen de onderkende risico’s met

organisatie nu aan de integrale beveiliging

is voor het uitvoering geven aan de

minder kosten worden afgedekt. Er zullen

moet, kan met een volmondig “ja” worden

informatiebeveiliging en de facilitair

minder incidenten plaatsvinden en als ze

beantwoord, mits de organisatie de

manager die verantwoordelijk is voor het

plaatsvinden, kunnen ze tijdig worden

continuïteit van de organisatie zeker wil

uitvoeren van de fysieke beveiliging. Zij

ontdekt. Dit is belangrijk omdat een incident

stellen.

beveiligingsbeleid opgesteld (dat door

Informatiebeveiliging april 2008 • • • • • •

IB 2 2008.indd 15

15

18-03-2008 09:31:36