ITAG RESEARCH INSTITUTE
Informatiebeveiliging en de rol van IT en business
Hilde Van Brempt, Steven De Haes, Wim Van Grembergen Universiteit Antwerpen Management School
www.uams.be/itag
1/7www.uams.be/itag
Informatiebeveiliging en de rol van IT en business
2/7
Het belang van informatie en informatiebeveiliging
Het gebruik van de computer is niet meer weg te denken uit ons dagelijks leven en heeft zijn vaste stek gevonden op kantoor, op school en in de huiskamer. Tevens heeft het breed toegankelijk gebruik van Internet, de opgang van de mobiele toestelletjes (denk maar aan de GSM, pda, blackberry, …) en de draadloze technologieën ervoor gezorgd dat de toegang tot informatie eenvoudig, snel en betaalbaar is. Met deze trend, zijn spijtig genoeg ook de veiligheidsrisico’s toegenomen, want deze nieuwe mogelijkheden hebben de deur opengezet voor nieuwe problemen, zoals informatiediefstal, virussen, hacking en zelfs nieuwe vormen van georganiseerde misdaad. Snel en flexibel kunnen beschikken over betrouwbare informatie vormt een belangrijk onderdeel van het zakenleven; informatie is in vele gevallen de onderscheidende productiefactor en snel over de juiste gegevens kunnen beschikken is belangrijk om tijdig de juiste beslissingen te nemen en zo misschien een concurrentieel voordeel uit te lokken. De hoeveelheid aan informatie is met de jaren exponentieel gegroeid en de directe toekomst ziet er niet anders uit, integendeel, een recent rapport van IDC voorspelt dat in 2011 de digitale wereld (digital universe) tien keer groter zal zijn dan deze in 2006. Informatie is dus ontegensprekelijk een van de waardevolle bezittingen binnen het bedrijf. Ervoor zorgen dat deze informatie niet in verkeerde handen valt en voorkomen dat ze al dan niet bewust fout gebruikt wordt door zowel mensen binnen als buiten de organisatie, moet dan ook als prioritair worden behandeld. Een falend beleid rond informatiebeveiliging kan dan ook nefaste gevolgen hebben. Denk maar aan een bank, waarvan de klanten- en rekeninginformatie op het Internet terecht komen, een industrieel bedrijf dat
informatie over een nieuw product naar de concurrentie ziet gaan of
salarisinformatie van je werknemers die vrij circuleren binnen het bedrijf. Naar aanleiding van een aantal bedrijfsschandalen binnen deze context, zijn er strengere wetten en regelgevingen opgesteld om organisaties te verplichten strenger om te gaan met interne controle en zo een transparanter beleid te voeren. Een degelijk beleid rond informatie beveiliging, dat rekening houdt met de interne en externe regelgeving en dat er voor zorgt dat de informatiesystemen voldoende beveiligd zijn tegen aanvallen van hackers, virussen en terroristen, is dan ook noodzakelijk om de informatie en ook de reputatie van een bedrijf te beschermen.
Wat is informatiebeveiliging
Informatiebeveiliging behandelt alle beveiligingsaspecten van informatie in gesproken, geschreven, elektronisch of elk andere vorm. Informatiebeveiliging heeft als doel om deze informatie toegankelijk te maken voor zij die er recht op hebben en deze tevens te beschermen tegen verlies en ongeoorloofd toegang of wijzigingen. Samengevat kunnen we stellen dat deze doelstellingen bereikt zijn als : -
alle informatiesystemen beschikbaar zijn, ingezet kunnen worden wanneer ze nodig zijn en dat ze op een voldoende wijze een aanval kunnen weerstaan of snel kunnen herstellen van eventueel opgelopen fouten (beschikbaarheid)
www.uams.be/itag
2/7www.uams.be/itag
Informatiebeveiliging en de rol van IT en business
3/7
-
alle informatie enkel toegankelijk is voor zij die er recht op hebben (vertrouwelijkheid)
-
alle informatie beschermd is tegen ongeoorloofde wijzigingen of fouten zodat deze juist, volledig en geldig is en blijft (integriteit)
-
elke elektronische transactie of informatie-uitwisseling tussen bedrijven, klanten, leveranciers en partners volledig betrouwbaar is (betrouwbaarheid)
Uiteraard is de relatieve belangrijkheid van beschikbaarheid, vertrouwelijkheid, integriteit en betrouwbaarheid afhankelijk van het type informatie en de context waarbinnen het wordt gebruikt. Bijvoorbeeld de integriteit van managementinformatie is belangrijk voor die bedrijven die op deze informatie rekenen om strategische beslissingen te nemen, terwijl de integriteit van een online betalingstransactie zeer belangrijk is voor een thuisgebruiker bij een aankoop op het Internet. Een goed beheer rond informatiebeveiliging voorziet in een strategische aanpak zodat deze doelstellingen worden gehaald, de risico’s worden beheerd, de organisatorische hulpmiddelen correct worden ingezet, en de successen en mislukkingen opvolgt van het ganse informatiebeveiligingsprogramma.
Een belangrijke rol voor IT en business management
Informatiebeveiliging is zeker niet enkel de taak is van IT management, maar des te meer een belangrijke verantwoordelijkheid van de raad van bestuur en het hogere business management. Uiteraard wordt informatie in organisaties veelal beheerd en verwerkt in IT systemen, en IT management heeft een belangrijke verantwoordelijkheid om de beveiliging binnen en rond deze systemen te waarborgen. Anderzijds is het duidelijk dat informatie uiteindelijk een cruciale productiefactor blijft voor het bedrijf, die dus een duidelijke beveiligingsstrategie moet omvatten, opgesteld vanuit business management, en die tevens geïntegreerd moet worden in alle bestaande bedrijfsprocessen. Om tot een goed werkende informatiebeveiliging te komen is het dan ook belangrijk dat het business en IT management gezamenlijk een kader creëert waarbinnen een informatie beveiligingsprogramma vorm krijgt en opgevolgd kan worden. Een dergelijk kader bevat typisch de volgende elementen: -
een methodologie voor het beheer van beveiligingsrisico’s,
-
een duidelijke beveiligingsstrategie in functie van de IT en bedrijfsdoelstellingen,
-
een organisatie structuur waarin beveiliging expliciet een plaats krijgt,
-
een beveiligingsstrategie die duidelijk de voordelen in kaart brengt van informatiebeveiliging,
-
verwachtingen en doelstellingen die het bedrijf stelt mbt informatiebeveiliging,
-
een opvolgingsproces dat ervoor zorgt dat de afspraken en procedures rond informatiebeveiliging worden nageleefd,
-
een proces dat ervoor zorgt dat de feedback op een constructieve wijze worden opgenomen ter verbetering van het algemene informatie beveiligingsplan.
Binnen dit raamwerk moet het mogelijk zijn om een beveiligingsprogramma te ontwikkelen dat op een kosteffectieve manier de beveiligingsdoelstellingen van de organisatie kan ondersteunen en ervoor
www.uams.be/itag
3/7www.uams.be/itag
Informatiebeveiliging en de rol van IT en business
4/7
kan zorgen dat de risico’s op het schenden ervan tot een aanvaardbaar niveau kan terugbrengen. Een dergelijk beveiligingsprogramma moet er uiteindelijk voor zorgen dat informatie op een degelijke manier beschermd wordt, in overeenstemming met de waarde die het vertegenwoordigd voor het bedrijf.
Doelen en metrieken definiëren voor informatiebeveiliging
Het beveiligen van informatiesystemen moet ervoor zorgen dat de integriteit van de informatie bewaard blijft en dat de impact van beveiligingsincidenten wordt geminimaliseerd. Zoals eerder aangegeven is het opstellen van een informatie beveiligingsplan cruciaal. Het succes van een dergelijk beveiligingsplan kan pas gemeten worden als er duidelijke objectieven worden vooropgesteld samen met de bijbehorende metrieken voor deze doelstellingen. Doelstellingen en hun metrieken voor informatiebeveiling moeten op het niveau van business en IT worden gedefinieerd en hun onderlinge relatie moet duidelijk zijn. Op het business niveau vinden we binnen de context van informatie beveiliging typisch bedrijfsobjectieven terug als ‘Bewaar de goede reputatie van het bedrijf’, dat kan gemeten worden door ‘het aantal keer dat het bedrijf slechte pers heeft gehaald’. Op IT niveau is deze doelstelling verbonden met een doelstelling als ‘Zorg ervoor dat bedrijfskritische en vertrouwelijke informatie enkel toegankelijk is voor zij die er recht op hebben.’ wat o.a. kan gemeten worden door het aantal incidenten waarbij informatie in de verkeerde handen terecht komt. Op een nog lager, meer operationeel proces niveau zou dit dan weer vertaald kunnen worden in een proces doelstelling ‘Detecteer en herstel ongeoorloofde toegang tot informatie.’, gemeten door het aantal en type van ongeoorloofde toegang tot informatie. Figuur 1 visualiseert een dergelijke cascade van doelstellingen en metrieken. Figuur 1: Voorbeeld van doelstellingencascade Bedijfsdoelstelling: Bewaar de goede reputatie van het bedrijf. Gemeten door Aantal keer dat het bedrijf slechte pers heeft gehaald
IT doelstelling: Zorg ervoor dat bedrijfskritische en vertrouwelijke informatie enkel toegankelijk is voor zij die er recht op hebben. Gemeten door Aantal incidenten waarbij informatie in de verkeerde handen terecht komt.
Procesdoelstelling: Detecteer en herstel ongeoorloofde toegang tot informatie. Gemeten door Aantal en type van ongeoorloofde toegang tot informatie
www.uams.be/itag
4/7www.uams.be/itag
Informatiebeveiliging en de rol van IT en business
5/7
Hoe starten?
Eén van de beschikbare praktische raamwerken die een aantal duidelijke richtlijnen voor informatiebeveiliging aanreiken is COBIT (Control Objectives for Information and related technologies). COBIT brengt een aantal goede praktijken samen voor het beheer, de controle en de beveiliging van informatietechnologie in het algemeen.
Het is georganiseerd rond een logisch
raamwerk van 34 IT-processen, gegroepeerd in vier domeinen: ‘plan and organise’, ‘acquire and implement’, ‘deliver and support’ en ‘monitor and evaluate’. Deze zijn volledig in kaart gebracht aan de hand van een 200-tal gedetailleerde controleobjectieven, die o.a. procedures, beste praktijken, rollen en verantwoordelijkheden en audit richtlijnen bevatten. Hoewel één van deze 34 processen specifiek het thema van IT beveiliging in detail behandelt (Ensure Systems Security), komt het onderwerp ‘beveiliging’ binnen heel wat andere processen systematisch aan bod. Bijvoorbeeld binnen het proces ‘Educate and train users’ is een taak gedefinieerd rond het inlichten en opleiden van alle gebruikers m.b.t. het IT beveiligingsprogramma en binnen het proces ‘Manage Third-Party services’ worden de beveiligingaspecten toegelicht in de context van externe relaties. Andere veel vermeldde raamwerken in het informatiebeveiligingsdomein zijn “ISO 27000” en “The Standard of Good Practice for Information Security”. Beide raamwerken zijn zeer complementair aan COBIT en kunnen dus als een geheel gebruikt worden om een gepast informatiebeveiligingbeleid uit te bouwen.
Conclusie
Informatiebeveiliging behandelt alle beveiligingsaspecten van informatie (gesproken, geschreven, elektronisch of elk ander media) en heeft als doel om deze informatie toegankelijk te maken voor zij die er recht op hebben en deze tevens te beschermen tegen verlies en ongeoorloofd toegang of wijzigingen. Binnen dit informatiebeveiligingsbeleid speelt niet alleen IT maar des te meer business en executive management een belangrijke rol. Zij dienen het kader te creëren waarbinnen een informatiebeveiligingsprogramma vorm kan krijgen en opgevolgd worden via vooraf afgesproken doelstellingen metrieken. Om dit alles op te starten bieden concreten raamwerken zoals COBIT 4.1 en ISO 27000 een goed vertrekpunt.
www.uams.be/itag
5/7www.uams.be/itag
Informatiebeveiliging en de rol van IT en business
6/7
Enkele referenties -
IDC, The Diverse and Exploding Digital Universe, 2008
-
ITGI, COBIT 4.1, 2008, available online at www.itgi.org
-
ITGI,
Information security governance, Guidance for Boards of Directors and Executive
Management, 2nd Edition, 2006, available online at www.itgi.org -
Van Grembergen W., De Haes S., 2006, De nieuwe COBIT 4.1 als IT-governanceraamwerk, Wolter Kluwer Business, beschikbaar op www.monkey.be
-
ITAG
Research
Institute
(Information
Technology
www.uams.be/ITAG
www.uams.be/itag
6/7www.uams.be/itag
Alignment
and
Governance):
Informatiebeveiliging en de rol van IT en business
7/7
About UAMS UAMS (University Antwerp Management School) has the ambition to be a “learning partner in management”, by offering a broad range of training programmes for future and current managers in the business world, in public services and social-profit organizations. The priorities cover optimal quality control, interactive teaching methods, an emphasis on research-based knowledge and best practice, an international orientation and a continuous adaptation of our programmes to the needs of the market.
About ITAG The Information Technology Alignment and Governance (ITAG) Research Institute, was established in within UAMS to host applied research in the domains of IT Governance and business/IT alignment. The research centre is an initiative of Prof. dr. Wim Van Grembergen and dr. Steven De Haes. Both have research and practical experience in the IT Governance and Strategic Alignment domains. Recently, this team was reinforced by senior researcher Hilde Van Brempt. Contact UAMS - ITAG Research Institute Sint-Jacobsmarkt 9-13 B-2000 Antwerpen Belgium www.uams.be/itag
Wim Van Grembergen, Ph.D. is a professor at the Information Systems Management Department of the University of Antwerp and an executive professor at the University of Antwerp Management School. He is academic director of the Information Technology and Alignment (ITAG) Research Institute and has conducted research in the areas of IT governance, value management and performance management. Over the past years, he has been involved in research and development activities of several COBIT products. He can be contacted at
[email protected]. Steven De Haes, Ph.D. is responsible for the information systems management executive programs and research at the University of Antwerp Management School. He is managing director of the Information Technology and Alignment (ITAG) Research Institute and recently finalised a Ph.D. on IT governance and business/IT alignment. He has been involved in research and development activities of several COBIT products. He can be contacted at
[email protected].
Hilde Van Brempt is senior researcher at the University of Antwerp Management School (UAMS) since September 2005. She’s conducting research for the ITAG Research Institute and for ISACA, more specifically on business goals, IT goals, IT processes and their relationship. Hilde Van Brempt has seventeen years of enterprise business experience, holding different consulting, marketing and management positions in international high-technology companies. She can be contacted at
[email protected]
www.uams.be/itag
7/7www.uams.be/itag