april 2008 nummer 2
Introductie: discussiemodel voor integrale beveiliging
Virtualisatie, de ins en outs
Sociale netwerksites onschuldig?
De menselijke kant van informatiebeveiliging
INFORMATIEBEVEILIGING
Risicomanagement krijgt vaste plaats in ITIL
http://creativecommons.org/licenses/by-sa/3.0/nl/
IB 2 2008.indd 1
18-03-2008 10:07:19
Integrale beveiliging: een koppeling van de begrippen Auteur: Drs. T. Keizer RSE >Thimo Keizer werkt bij Northwave en is bereikbaar via
[email protected].
Als beveiligingsdeskundigen weten we inmiddels allemaal dat informatiebeveiliging meer is dan een firewall of antivirustoepassingen. Voor mensen buiten het vakgebied is vaak nog niet duidelijk wat we nu precies bedoelen. Ook zien we dat de fysieke- en informatiebeveiliging steeds meer naar elkaar toegroeien, steeds meer op elkaar gaan vertrouwen en meer en meer gebruikmaken van elkaar. In dit artikel geven we een discussiemodel voor integrale beveiliging. Met dit model zijn we in staat om de beveiliging binnen organisaties integraal op te pakken waardoor de maatregelen optimaal kunnen worden afgestemd op de situationele aspecten van die organisatie. Ook kunnen we de beveiligingsmaatregelen op deze manier beter managen waardoor het risico op te weinig, te veel of de verkeerde maatregelen kan worden beheerst. Omdat we uiteindelijk maatregelen moeten nemen, wordt dit model tevens gekoppeld aan de technische, procedurele, organisatorische, bouwkundige en elektronische maatregelen.
onderdeel. De primaire en secundaire bedrijfsprocessen zijn het doel, de ICTcomponenten en de locaties de middelen die dit doel ondersteunen. Ook zien we vaak dat, na een incident, gekozen wordt voor een productgerichte oplossing (firewall van merk X, camerasysteem van leverancier Y) en niet voor een top-downbenadering waarbij we op gestructureerde wijze proberen de risico’s voor de organisatie te beperken. Natuurlijk moeten we de brand blussen als het gebouw in brand staat en het virus
Continuïteit van de organisatie
geworden. Informatiebeveiliging
verwijderen als we geïnfecteerd zijn, maar
De belangrijkste doelstelling voor iedere
richt zich dan ook vooral op deze
daarna moeten we niet wachten op het
organisatie is (of zou moeten zijn)
beschikbaarheid, integriteit en
volgende incident, maar moeten we op
continuïteit. Hoewel dit voor iedere
exclusiviteit om zo de continuïteit van
gestructureerde wijze proberen de risico’s
bestuurder, manager of directeur wel
de organisatie, de bedrijfsprocessen en
voor de organisatie te beheersen.
duidelijk is, zie je deze doelstelling maar
de informatie te waarborgen. Vaak is de
zelden expliciet terug in de jaarverslagen,
informatiebeveiliging hierbij gebaseerd op
Vanuit informatiebeveiligingsoptiek
missies en beleids- en bedrijfsplannen
de Code voor Informatiebeveiliging. Tot
worden de risicoanalyse methodes A&K/
van organisaties. Om deze continuïteit te
zover niets nieuws onder de zon.
CRAMM en SPRINT/SPARK gehanteerd
waarborgen, moet de organisatie waarde
terwijl vanuit de fysieke beveiliging
toevoegen aan de producten en diensten
In de praktijk zien we echter dat
gebruik kan worden gemaakt van de
die ze beschikbaar stelt. Michael Porter
informatiebeveiliging en fysieke beveiliging
zogenaamde ‘Haagse Methode’. Hoewel
introduceerde hiervoor halverwege de
nog weinig geïntegreerd zijn met elkaar.
de uitkomsten van de A&K-analyse
jaren tachtig de zogenaamde waardeketen
De informatiemanager draagt zorg voor
ook fysieke beveiligingsmaatregelen
waarbij onderscheid gemaakt werd tussen
de informatiebeveiliging en de fysieke
genereren, is het doel de bescherming
de primaire en secundaire processen.
beveiliging wordt door de facilitair manager
van de ICT-componenten en niet direct de
georganiseerd. En hoewel de Code voor
bescherming van de primaire en secundaire
Met de intrede van mainframes,
Informatiebeveiliging ook ingaat op
bedrijfsprocessen. Al deze methodes
microcomputers, LAN’s/WAN’s en dergelijke
fysieke beveiliging is de scope hiervan
zijn goed bruikbaar binnen het integraal
werden deze primaire en secundaire
gericht op de fysieke beveiliging van de
beveiligingsmodel. De uitkomsten van
processen steeds vaker ondersteund door
informatiesystemen en niet op de fysieke
deze analyses worden samengebracht en
ICT-componenten, daarom moesten deze
beveiliging ten behoeve van de primaire en
geïntegreerd zodat de risico’s voor de
beveiligd worden. Fysieke beveiliging
secundaire processen van de organisatie.
bedrijfsprocessen optimaal kunnen worden
bestond al jaren, maar nu was ook
Het risico hiervan is dat we de verkeerde
beheerst. Ook als de informatiebeveiliging
informatiebeveiliging geboren. Sindsdien
scope hanteren, te weinig, te veel of
gebaseerd is op best practices als
zijn ICT-componenten meer en meer
de verkeerde beveiligingsmaatregelen
de Code voor Informatiebeveiliging
cruciaal geworden voor het voortbestaan
implementeren.
past dit naadloos in het integraal
van de organisatie en ze zijn niet meer uit organisaties weg te denken.
12 •
beveiligingsmodel. Wel moeten we hierbij Het uitgangspunt moet niet zijn de
steeds rekening houden met de scope van
beveiliging van de ICT-componenten of
de gehanteerde risicoanalyse methode of de
Naast efficiency en effectiviteit zijn
locaties, maar de continuïteit van de
best practice. De vraag die we ons hierbij
ook de beschikbaarheid, exclusiviteit
bedrijfsprocessen van de organisatie.
kunnen stellen, is: Is de scope gericht op
(vertrouwelijkheid) en integriteit hierbij
Daarbij vormt naast informatiebeveiliging
de informatiesystemen, de locaties of de
belangrijke en bekende begrippen
ook fysieke beveiliging een belangrijk
bedrijfsprocessen?
• • • • • Informatiebeveiliging april 2008
IB 2 2008.indd 12
18-03-2008 09:31:27
Hoe kunnen we integrale beveiliging
beveiliging kunnen niet meer los van elkaar
van informatie (geautomatiseerde en
dan borgen binnen de organisatie? Door
worden gezien.
niet- geautomatiseerde data), materieel
een top-downbenadering te hanteren
en personeel om de continuïteit van de
en een risicoanalyse uit te voeren die
Integrale beveiliging
organisatie te waarborgen door, op basis
de risico’s voor de bedrijfsprocessen van
Omdat we uiteindelijk maatregelen moeten
van risicomanagement en een kosten-
de organisatie in kaart brengt. Hierbij
nemen om daadwerkelijk veiliger te worden,
batenanalyse, technische, procedurele,
kunnen we de risico’s voor de belangrijkste
worden de begrippen informatiebeveiliging
organisatorische, bouwkundige en
bedrijfsprocessen eerst aanpakken. Deze
en fysieke beveiliging op operationeel
elektronische maatregelen te selecteren en
kritische processen worden ondersteund
niveau onderverdeeld in de volgende
te implementeren.
door informatiesystemen en ze vinden
maatregelencategorieën:
plaats in gebouwen. Hier komen de best
• Bij informatiebeveiliging spreken we
Door beveiliging op een integrale wijze
practices en de uitkomsten van de CRAMM,
over de zogenaamde TOP-maatregelen.
aan te pakken ontstaat een evenwichtig
SPRINT en fysieke risicoanalyses goed van
De technische, organisatorische en
pakket aan maatregelen, dat afgestemd
pas. De prioriteit voor de implementatie
procedurele maatregelen.
is op de specifieke situatie en processen
van beveiligingsmaatregelen zal liggen
• Bij fysieke beveiliging spreken we over
van de organisatie. Uiteraard moeten
bij de kritische bedrijfsprocessen en de
de OBE-mix. De mix van organisatorische,
deze maatregelen steeds op basis van
informatiesystemen en gebouwen die deze
bouwkundige en elektronische
risicomanagement worden vastgesteld,
processen ondersteunen.
maatregelen.
steeds kijkend naar de bedrijfsprocessen van de organisatie. De risico’s moeten
Hier komt een begrip om de hoek waarin
gewaardeerd worden, prioriteiten moeten
de beveiligingsmaatregelen aan elkaar
worden gesteld en beslissingen moeten
en aan informatie- en fysieke beveiliging
worden genomen over al dan niet te nemen
kunnen worden gekoppeld zodat duidelijk
beheersingsmaatregelen of te accepteren
kan worden gemaakt wat er nu echt wordt
risico’s. We willen immers geen maatregelen
bedoeld: integrale beveiliging (ook wel
nemen, maar risico’s afdekken en het heeft
comprehensive of enterprise security
weinig nut om een briefje van 10 euro te
genoemd).
beveiligen met een kluis ter waarde van 1000 euro. Zo heeft het ook weinig nut
We beginnen met een definitie voor
om technisch hoogstaande (en meestal
dit begrip:
kostbare) maatregelen te nemen voor
Integrale beveiliging is de beveiliging
een informatiesysteem dat geen kritisch
Figuur 1: Risicoanalyses Figuur 2: Integrale beveiliging
Informatiebeveiliging en fysieke beveiliging groeien naar elkaar toe Fysieke- en informatiebeveiliging groeien steeds meer naar elkaar toe, ze gaan steeds meer op elkaar vertrouwen en ze gaan meer en meer gebruikmaken van elkaar. Denk bijvoorbeeld aan de beveiligingscamera’s die tegenwoordig heel wat geavanceerder zijn dan een aantal jaar geleden. Ze hebben een ingebouwde server in zich, communiceren wireless met elkaar en het basisstation en beschikken over gigabytes aan opslagcapaciteit. Waren toegangspassen vroeger alleen voor toegang tot het gebouw, nu worden ze vaak al gebruikt om via je toetsenbord, een smartcard en een pincode toegang te verkrijgen tot het netwerk. De mogelijkheden zijn bijna onbeperkt en dragen zeker bij aan de verbetering van de beveiliging. We zullen dan ook zien dat ze meer en meer samen zullen smelten. Informatiebeveiliging en fysieke
Informatiebeveiliging april 2008 • • • • • •
IB 2 2008.indd 13
13
18-03-2008 09:31:28
bedrijfsproces ondersteunt of waarvoor de
ook wel computer- of ICT-beveiliging)
de middelen (ICT-componenten, gebouwen,
procedurele maatregelen niet georganiseerd
wordt nogal eens gelijkgesteld aan het
medewerkers) niet door elkaar halen.
zijn.
begrip informatiebeveiliging. Hierdoor
Fysieke beveiliging
bestaat de kans dat niet-geautomatiseerde
Fysieke beveiliging valt in dit model
We pleiten in dit artikel dan ook
data onvoldoende worden beveiligd. Een
vervolgens uiteen in de beveiliging van
voor een top-downbenadering vanuit
voorbeeld hiervan is het weggooien of
materieel en de beveiliging van personeel.
risicomanagement op het hoogste niveau
mee naar huis nemen van vertrouwelijke,
Hierbij wordt gedoeld op het materieel
binnen de organisatie waarbij managers zich
papieren documenten. Ook hier is de
dat van belang is voor de kritieke
steeds af moeten vragen:
koppeling van informatiebeveiliging en
bedrijfsprocessen van de organisatie.
• Wat moeten we beschermen om de
fysieke beveiliging aanwezig in de vorm
Dat kan hardware zijn (servers, routers,
continuïteit van de organisatie te borgen?
switches), maar dat kan ook een robot- of
afvalbakken zoeken naar interessante
fabricagestraat zijn. Vanuit de verzekering
• Wat gebeurt er als we het niet goed
informatie. Er zullen dus ook risico’s
worden al eisen gesteld aan brandpreventie
afgewogen moeten worden voor niet-
en inbraakdetectie, dit vormt soms al een
geautomatiseerde data. Hoewel het
goede basis voor het niveau van materiële
Als deze vragen beantwoord zijn,
natuurlijk meer om handen heeft, kan een
beveiliging binnen de organisatie. Personele
kunnen we met behulp van het integrale
goede papierversnipperaar of een juiste
beveiliging is vervolgens niet het bewaken
beveiligingsmodel de juiste prioriteiten
afval-ophaalprocedure al een deel van dit
van het personeel door bodyguards in te
stellen, maatregelen selecteren,
risico afdekken.
huren. Nee, personele beveiliging richt
implementeren en de status ervan monitoren.
Informatiebeveiliging moet vooral niet
zich bijvoorbeeld op de betrouwbaarheid
beschermen?
Integrale beveiliging: een koppeling van de begrippen 14 •
van het begrip dumpsterdiving: het in
• Waarom moeten we juist dat beschermen?
verward worden met computerbeveiliging
van het personeel (screeningen),
Informatiebeveiliging
omdat dan risico’s over het hoofd kunnen
het beveiligingsbewustzijn en de
Informatiebeveiliging valt bij dit model
worden gezien en het begrip tekort
beveiligingscultuur binnen de organisatie.
uiteen in de geautomatiseerde en de
wordt gedaan. Ook moeten we het doel
niet- geautomatiseerde data. Met name
(continuïteit van de organisatie door
Beveiligingsmaatregelen
het eerste begrip (geautomatiseerde data
uitkomsten kritische bedrijfsprocessen) en
De verbetering van de integrale beveiliging
ADVERTENTIE
OPENBAAR MINISTERIE FUNCTIONEEL PARKET
INFORMATIEBEVEILIGINGFUNCTIONARIS (vac.nr. BV/2008) Het Functioneel Parket (FP) is een, landelijk opererend, onderdeel van het Openbaar Ministerie, belast met de strafrechtelijke handhaving van de milieu-, economie- en fraudewetgeving. Het FP beweegt zich in een complexe omgeving van bestuurders, departementen, bijzondere opsporingsdiensten, politie en belangenorganisaties. Het FP kent 5 locaties: Den Haag, Amsterdam, Den Bosch, Rotterdam en Zwolle.
Taken Inlichtingen Bij de heer A.R.K. Bloembergen, Hoofd Bedrijfsvoering, tel. (070) 30 23 207, een volledige vacatureomschrijving is aanwezig. Belangstellenden kunnen hun schriftelijke sollicitaties onder vermelding van bovenstaand vacaturenummer vóór 12 april 2008 mailen naar DVOM_P.sollicitaties.
[email protected] of sturen naar DVOM/P, Postbus 320, 3300 AH Dordrecht.
Als informatiebeveiligingsfunctionaris (IBF-er) bent u verantwoordelijk voor het formuleren van informatiebeveiligingsbeleid. U bent ook verantwoordelijk voor de coördinatie van informatiebeveiligingswerkzaamheden en controleert de naleving van het beleid en de voorschriften. U volgt de relevante ontwikkelingen op het gebied van de informatiebeveiliging en evalueert en past daar waarnodig beleid aan. De IBF-er dient een duidelijke visie te hebben op de betekenis van informatiebeveiliging bij externe inhuur van personeel.
Functie-eisen: U beschikt over een relevante opleiding op HBO-niveau en de nodige communicatieve- en adviesvaardigheden. Kennis van informatiebeveiliging en -methoden, relevante wet- en regelgeving alsmede communicatiemiddelen, opslagmedia en geautomatiseerde (gegevens) verwerking- en informatiesystemen. U dient vaardigheid te hebben in het verzamelen, analyseren en verwerken van pre-adviezen van informatie over het informatiebeveiligingsbeleid en het (doen)ontwikkelen en aanpassen van de hierop van toepassing zijnde procedures.
Bijzonderheden: • het salaris bedraagt maximaal € 3702,55 (BBRA schaal 10) bij een 36-urige werkweek (5 x 8 uur als gevolg waarvan ADV wordt opgebouwd) exclusief vakantie- en eindejaarsuitkering en secundaire arbeidsvoorwaarden; standplaats is Den Haag; Tijdelijk dienstverband (2 jaar) met uitzicht op vast dienstverband; een veiligheidsonderzoek maakt deel uit van de selectieprocedure.
• • • • • Informatiebeveiliging april 2008
IB 2 2008.indd 14
18-03-2008 09:31:35
strekt zich uit over alle producten, diensten,
kunnen voor hun deelgebied deelbeleid
ernstige gevolgen kan hebben voor het
materialen, medewerkers en vestigingen
opstellen dat dan in overeenstemming moet
voortbestaan van de organisatie. Het kan
van de organisatie. Het heeft betrekking
zijn met het integraal beveiligingsbeleid.
direct invloed hebben op de aandelenkoers,
op alle aspecten van de bedrijfsprocessen
Omdat zij hiërarchisch veelal niet onder de
maar een incident kan bijvoorbeeld ook
van de organisatie (en de koppelvlakken
CISO zullen vallen (zij hebben immers meer
het zo zorgvuldig opgebouwde imago in
met betrekking tot de klanten) om de
taken dan beveiliging) moeten zij daar waar
één klap tenietdoen. Door incidenten
continuïteit van de bedrijfsvoering te
het informatie- of fysieke beveiliging betreft
kunnen bedrijfsprocessen stilvallen,
kunnen waarborgen. De kritieke processen,
functioneel verantwoording afleggen aan
kunnen mensenlevens in gevaar worden
die per organisatie verschillen, verdienen
de CISO.
gebracht, kan omzet worden misgelopen
hierbij de hoogste prioriteit daarom moeten
of kunnen klanten schadeclaims indienen.
we allereerst maatregelen implementeren
De CISO, de informatiemanager
Beveiliging is niet (langer) een technische
voor die informatiesystemen en die kritische
en de facilitair manager zullen de
uitdaging, maar een bedrijfskundig aspect
ruimtes die de kritische bedrijfsprocessen
beveiligingsmaatregelen onderling af
dat een structurele aanpak verdient en
ondersteunen. We kunnen natuurlijk allerlei
moeten stemmen om een optimale set van
dat afgestemd moet zijn op de kritische
mooie theorieën ontwikkelen en ideeën
beveiligingsmaatregelen te garanderen.
processen van de organisatie.
op operationeel niveau maatregelen te
De rechterlijke macht kan in deze structuur
Niet alle incidenten kunnen voorkomen
implementeren waarmee we daadwerkelijk
worden ingevuld door interne controleurs,
worden, maar de kans dat een incident zich
beter beveiligd zijn. Om de risico’s die
kwaliteitsmedewerkers of interne auditors.
voordoet kan wel verkleind worden door,
de continuïteit van de bedrijfsvoering in
Zij toetsen de integrale beveiliging aan de
naast allerlei technische maatregelen,
gevaar kunnen brengen beheersbaar te
informatiebeveiligingsplannen, de fysieke
ook te zorgen voor een samenhangend
maken, moet de juiste combinatie van
beveiligingsplannen en/of de eisen die door
pakket procedurele, organisatorische,
technische, procedurele, organisatorische,
de directie zijn vastgelegd in het integraal
bouwkundige en elektronische maatregelen.
bouwkundige en elektronische maatregelen
beveiligingsbeleid.
Als een incident zich dan toch voordoet,
bedenken, maar uiteindelijk gaat het erom
geïmplementeerd worden. Een integraal
is het te hopen dat de organisatie een
beveiligingsbeleid dat afgestemd is
De directie ontvangt haar rapportages vanuit
incidentresponse team heeft ingericht en
op het bedrijfsbeleid, de missie en de
drie kanalen, namelijk van de CISO die
een business continuity en disaster recovery
doelstellingen van de organisatie vormt
verantwoording aflegt over zijn uitgevoerde
plan heeft opgesteld om de schade te
hierbij het vertrekpunt.
beveiligingswerkzaamheden. Ook ontvangt
beperken.
de directie de rapportages uit de lijn- of Beleggen van verantwoordelijkheden
staforganisatie (waar de informatiemanager
Conclusie
De zogenaamde trias politica kan gebruikt
en de facilitair manager onder vallen).
Kortom; de begrippen informatiebeveiliging
worden om de belegging van taken,
Daarnaast ontvangt de directie de
en fysieke beveiliging kunnen niet meer
bevoegdheden en verantwoordelijkheden toe
rapportages van de rechterlijke macht,
los benaderd worden. Ze komen samen in
te lichten. Hierbij worden de zogenaamde
die eventuele afwijkingen rapporteert.
het begrip integrale beveiliging dat een
wetgevende, uitvoerende en rechterlijke
Op deze wijze is de directie altijd op de
bedrijfskundige uitdaging is die gebaseerd
macht onderscheiden.
hoogte van de status van de integrale
is op risicomanagement en waarvoor de
beveiliging binnen de organisatie en kan zij
coördinatie en eindverantwoordelijkheid
Op voldoende hoog niveau binnen de
verantwoording afleggen aan de Raad van
op voldoende hoog niveau binnen de
organisatie kan een Chief Information
Bestuur of aan externe controle organen. Op
organisatie moeten worden opgepakt.
Security Officer (CISO) worden aangewezen
deze wijze wordt de bekende Demming circle
Het vereist een top-downbenadering die
die verantwoordelijk wordt gesteld
ingericht en in feite is dit het begin van het
zichtbare steun geniet van het management,
voor de wetgevende macht binnen de
Information Security Management System
daarbij steeds kijkend naar de kritieke
organisatie. Hier wordt het integraal
uit ISO27000.
bedrijfsprocessen voor de organisatie.
de directie wordt vastgesteld) en hij/zij
Incidenten
Met dit model zijn niet alle ontwikkelde
vormt het overkoepelende orgaan aan
Honderd procent beveiligen is een
theorieën en best practices in één klap
wie de uitvoerende macht functioneel
onmogelijke of in ieder geval een
ongedaan gemaakt, in tegenstelling:
verantwoording aflegt.
erg kostbare zaak. Door beveiliging
deze theorieën en best practices zijn
De uitvoerende macht die hierbij
op een integrale wijze, gebaseerd op
goed bruikbaar, ze worden met dit model
onderscheiden wordt, is de
risicomanagement, aan te pakken
juist bijeengebracht. De vraag of iedere
informatiemanager die verantwoordelijk
kunnen de onderkende risico’s met
organisatie nu aan de integrale beveiliging
is voor het uitvoering geven aan de
minder kosten worden afgedekt. Er zullen
moet, kan met een volmondig “ja” worden
informatiebeveiliging en de facilitair
minder incidenten plaatsvinden en als ze
beantwoord, mits de organisatie de
manager die verantwoordelijk is voor het
plaatsvinden, kunnen ze tijdig worden
continuïteit van de organisatie zeker wil
uitvoeren van de fysieke beveiliging. Zij
ontdekt. Dit is belangrijk omdat een incident
stellen.
beveiligingsbeleid opgesteld (dat door
Informatiebeveiliging april 2008 • • • • • •
IB 2 2008.indd 15
15
18-03-2008 09:31:36