EDP-AUDIT OPLEIDING - VRIJE UNIVERSITEIT AMSTERDAM
Security awareness actor definition Onderzoek naar de wijze waarop actoren gedefinieerd kunnen worden ten behoeve van een security awareness programma Ferry Eshuis & Marcel Dusink 30/09/2011
Security awareness programma’s worden doorgaans niet gespecificeerd naar gebruikersgroepen(actoren). In dit onderzoek wordt een voorstel gedaan voor een risico gebaseerde methodiek om deze actoren te benoemen en met behulp van een casestudie bij de Gemeente Groningen onderzocht of deze methodiek een awareness programma van input kan voorzien.
Security awareness actor definition
EDP Audit opleiding VU Amsterdam
Voorwoord
Dit onderzoek is uitgevoerd als afrondende fase aan de EDP-Audit opleiding van de Vrije Universiteit in Amsterdam. We hopen dat dit onderzoek een denkrichting geeft hoe om te gaan met het bewustzijn van informatiebeveiliging in organisaties en hoe het bewustzijn van medewerkers kan worden verhoogd. Graag willen we de volgende betrokkenen bedanken:
De heren John van Enst en Michel Wekema van de Gemeente Groningen voor het ter beschikking stellen van de gemeentelijke organisatie voor het onderzoek. Dr. Marcel Spruit voor zijn initiële visie als aanzet voor het onderzoek. Drs. Erik Rutkens RE en drs. Tonne Mulder RE voor hun inzichten in informatiebeveiliging en bewustzijn. De docenten van de EDP-Audit opleiding Vrije Universiteit Amsterdam voor het ‘voor’-werk leidend tot deze scriptie. En natuurlijk dr. René Matthijsse voor zijn begeleiding bij de opzet en uitvoering van het onderzoek en de scriptie.
1 Versie 1.0
Security awareness actor definition
EDP Audit opleiding VU Amsterdam
Inhoudsopgave Managementsamenvatting ......................................................................................................................... 4 Hoofdstuk 1. Aanleiding............................................................................................................................... 6 1.1 Probleemstelling..................................................................................................................................7 1.2 Onderzoek aanpak ..............................................................................................................................7 1.3 Reikwijdte van veldonderzoek ......................................................................................................8 1.4 Structuur van de scriptie..................................................................................................................8 Hoofdstuk 2. Informatiebeveiliging ........................................................................................................ 9 2.1 Definitie en het belang van informatiebeveiliging.................................................................9 2.2 Proces van informatiebeveiliging.............................................................................................11 2.3 Relatie met IT Audit.........................................................................................................................12 2.4 Informatiebeveiliging vanuit een veranderkundig perspectief ....................................16 Hoofdstuk 3 Security Awareness ...........................................................................................................18 3.1 Definitie ................................................................................................................................................18 3.2 Belang van bewustzijn voor informatiebeveiliging............................................................19 3.3 Van bewustzijn naar gedrag.........................................................................................................21 3.4 Security awareness programma’s .............................................................................................23 3.5 Totstandkoming van een awarenss programma.................................................................24 Hoofdstuk 4 Actoren ...................................................................................................................................25 4.1 Definitie ................................................................................................................................................25 4.2 Belang van actoren ..........................................................................................................................25 4.3. Actoren in onderzoek naar informatiebeveiliging.............................................................26 Hoofdstuk 5 Risico gebaseerde methodiek........................................................................................29 5.1 Risicoanalyse......................................................................................................................................29 5.2 Risico gebaseerde actordefinitie................................................................................................31 5.2.1 Benoemen van informatieobjecten en betrouwbaarheidsaspecten...................31 5.2.2 Benoemen van interne en externe risico’s ....................................................................31 5.2.3 Koppelen van afdelingen en rollen met informatieobjecten en bedreigingen32 5.2.5 De methode als stappenplan ...............................................................................................33 5.3 Een vergelijking met andere methodieken............................................................................34 Hoofdstuk 6 Empirisch onderzoek........................................................................................................35 6.1 Vooronderzoek..................................................................................................................................35 6.2 Situatie Gemeente Groningen......................................................................................................35 6.3 Onderzoek bij de Gemeente Groningen ..................................................................................36 6.4 Uitvoering van het onderzoek.....................................................................................................37 6.4.1 Toetsing van risico gebaseerde methodiek...................................................................37 6.4.2 Resultaten van het onderzoek............................................................................................38 2 Versie 1.0
Security awareness actor definition
EDP Audit opleiding VU Amsterdam
6.4.3 Resultaten samengevat..........................................................................................................41 Hoofdstuk 7 Conclusies en aanbevelingen.........................................................................................42 7.1 Conclusies............................................................................................................................................42 7.2 Aanbevelingen ...................................................................................................................................42 7.3 Aanbevelingen voor vervolgonderzoek ..................................................................................43 Hoofdstuk 8 Onderzoeksvraag en beantwoording.........................................................................44 Bijlage A Literatuurlijst ..............................................................................................................................46 Bijlage B Vragenlijst bij empirisch onderzoek..................................................................................48 Bijlage C Gespreksverslagen ....................................................................................................................50
3 Versie 1.0
Security awareness actor definition
EDP Audit opleiding VU Amsterdam
Managementsamenvatting Informatiebeveiligingsbewustzijn speelt een cruciale rol in de beveiligingsproblematiek. De laatste jaren hebben veel organisaties initiatieven ontplooid om dit bewustzijn te verbeteren onder andere door het opzetten van security awareness programma’s (ook wel awareness programma’s of (informatie-) beveiligingsprogramma’s). Dergelijke programma’s hebben vaak maar een marginaal effect, doordat deze slechts in beperkte mate worden toegespitst op de specifieke taken en verantwoordelijkheden van de gebruikers. Een security awareness programma is maatwerk en dient gedifferentieerd te worden voor specifieke gebruikers (groepen). Begin 2010 is een artikel verschenen van Dr. Marcel Spruit, genaamd “Informatiebeveiliging en bewustzijn: Organisatiefouten vaak oorzaak van menselijk falen”. In dit artikel stelt Spruit, om bovengenoemde problematiek het hoofd te bieden een aanpak voor om, op basis van gedrag, medewerkers in te delen om vervolgens tot een groependefinitie te komen. Vervolgens kan deze groependefinitie worden gehanteerd voor een security awareness programma. Voor deze scriptie hebben we getracht deze stelling te beproeven. Echter zijn we tijdens vooronderzoek tot de conclusie gekomen dat het voor een externe lastig is om bekend te raken met het gedrag van een medewerker. Vervolgens is het idee ontstaan om op een andere wijze tot de groependefinitie (deze noemen wij vervolgens ‘actor definitie’) te komen, namelijk door middel van een risicoanalyse. Dit heeft geleid tot de volgende centrale onderzoeksvraag: “Kan een risico gebaseerde methodiek worden toegepast om actoren te selecteren voor een security awareness programma?” Om deze onderzoeksvraag te beantwoorden hebben wij een risico gebaseerde methodiek ontwikkeld en deze in de praktijk middels een casestudie bij de Gemeente Groningen, dienst ROEZ, getoetst. Uit de resultaten van ons onderzoek blijkt dat de methodiek toegepast kan worden om actoren te definiëren, om relevante informatieobjecten aan deze actoren te koppelen, de dreiging hiervoor te benoemen en om gewenste betrouwbaarheidseisen per informatieobject te benoemen. De methodiek biedt houvast voor het management om tot deze inzichten te komen en het management kan op basis van deze informatie een vervolg stap maken in het opzetten van een security awareness programma. Uit de antwoorden op de onderzoeksvragen kan geconcludeerd worden dat: 1. Security awareness programma’s belangrijk zijn omdat de programma’s zich richten op het verbeteren van het bewustzijn van medewerkers en daarmee het menselijk handelen. Dit heeft als gevolg dat het niveau van informatiebeveiliging wordt verbeterd. 2. Door actoren te definiëren de communicatie van het programma specifiek kan worden gericht op een specifieke groep. Hierbij wordt de kans vergroot dat het bericht aankomt.
4 Versie 1.0
Security awareness actor definition
EDP Audit opleiding VU Amsterdam
3. De risico gebaseerde methodiek een geschikte methodiek is omdat het relevante informatie uit de organisatie neemt, deze omvormt en filtert tot een overzicht van actoren, informatieobjecten, dreigingen en betrouwbaarheidsaspecten. De logische vervolgstap voor organisaties is het daadwerkelijk opzetten van dergelijke programma’s. Voor een succesvolle en effectieve uitvoer van security awareness programma’s moeten organisaties voldoende commitment creëren bij directie en management. Tevens concluderen wij dat dergelijke security awareness programma’s gestructureerd aan dienen te worden gepakt, mede door het opstellen van een verbeterplan, een plan van aanpak en communicatieplan.
5 Versie 1.0
Security awareness actor definition
EDP Audit opleiding VU Amsterdam
Hoofdstuk 1. Aanleiding Een organisatie omvat vele informatieobjecten en informatiestromen. Deze bewegen zich voort van medewerker tot medewerker, medewer afdeling tot afdeling,, naar binnen en van buiten de organisatie.. Voor veel organisaties is een deel van deze informatie het meest belangrijke eigendom van de organisatie. Zo kunnen contractgegevens of een geheim recept van levensbelang zijn voor een organisatie. o Informatie nformatie wordt beveiligd door een stelsel van protocollen, procedures, soft soft- en hardware.. Deze organisatorische organisator en technische maatregelen hebben één overeenkomst; op enig moment beïnvloedt een gebruiker er de maatregel. Door dit menselijk handelen is het mogelijk dat de medewerker een gehele set aan maatregelen te niet doet en dat daarmee de beveiliging van dat specifieke informatieobject vervalt. Zo wordt de kans dat een externe belanghebbende toegang krijgt tot de informatie, vele malen groter. Gesteld kan worden dat menselijk menseli handelen in de beveiligingsproblematiek van groot belang is en dat hier voldoende aandacht aan moet worden besteed. Deze aandacht is de afgelopen jaren sterk in opkomst onder de noemer informatiebeveiligingsbewustzijn, ook oo wel bekend als security awareness of awareness reness (deze drie termen zullen gehanteerd worden in de scriptie). scriptie) Vanuit een hoger niveau van bewustzijn van informatiebeveiliging tracht men om het menselijk handelen in IT kwesties te verbeteren en zo het niveau van informatiebeveiliging te verhogen verhogen. Om dit betere bewustzijn te creëren, creëren organiseren bedrijven vaak organisatie brede programma’s waarin het et onderwerp aan de orde komt. Maar in beperkte mate worden deze programma’s toegespitst op de specifieke taken en verantwoordelijkheden van de gebruikers. Figuur 1 toont de richting van het onderzoek in relatie tot andere componenten die het niveau van informatiebeveiliging beïnvloeden.
Code voor Informatiebeveiliging Organisatorische & Technische maatregelen Niveau van Informatiebeveiliging
CobIT
ITIL
Menselijk gedrag
Bewustzijn
Bewustzijn programma's
Figuur 1 Componenten informatiebeveiliging
6 Versie 1.0
Security awareness actor definition
EDP Audit opleiding VU Amsterdam
Begin 2010 is een artikel verschenen van Dr. Marcel Spruit, genaamd “Informatiebeveiliging en bewustzijn: Organisatiefouten vaak oorzaak van menselijk falen”. In dit artikel stelt Spruit, om bovengenoemde problematiek het hoofd te bieden, een aanpak voor om, op basis van gedrag, medewerkers in te delen om vervolgens tot een groependefinitie te komen. Vervolgens kan deze groependefinitie worden gehanteerd voor een awareness programma. Voor deze scriptie hebben we getracht deze stelling te beproeven en zijn we tijdens vooronderzoek tot de conclusie gekomen dat het voor een externe lastig is om bekend te raken met het gedrag van een medewerker. Vervolgens is het idee ontstaan om op een andere wijze tot de groependefinitie (deze noemen wij vervolgens ‘actor definitie’) te komen, namelijk door middel van een risicoanalyse. Hierbij wordt gebruik gemaakt van toegankelijkere informatie, namelijk:
De informatieobjecten van een organisatie en het vereiste niveau van beveiliging; De interne en externe dreigingen; Functioneel en logisch gescheiden onderdelen van de organisatie (afdelingen, functies, rollen, etc.); Eerdere beveiligingsinstructies.
1.1 Probleemstelling Voor de scriptie hanteren we de volgende probleemstelling: ‘Kan een risico gebaseerde methodiek worden toegepast om actoren te selecteren voor een security awareness programma?’ Om deze vraag te beantwoorden stellen we de volgende deelvragen: 1. Waarom zijn awareness programma’s van belang? 2. Waarom dienen actoren geselecteerd te worden voor een awareness programma? 3. Is een risico gebaseerde methodiek hiervoor een geschikte methode?
1.2 Onderzoek aanpak Om bovenstaande vragen te beantwoorden hebben we besloten om de stelling te toetsen aan de hand van literatuur en empirisch onderzoek. Door de voorgestelde risico gebaseerde methodiek in de praktijk toe te passen en de resultaten te onderzoeken hopen we inzicht te krijgen in de werking van de methodiek en de bruikbaarheid van de resultaten. De casestudie vindt plaats bij de Gemeente Groningen, dienst ROEZ. ROEZ bevindt zich te midden in een veranderingstraject van security awareness, waardoor het onderzoek mogelijk waardevolle, direct toepasbare informatie voor de gemeente oplevert.
7 Versie 1.0
Security awareness actor definition
EDP Audit opleiding VU Amsterdam
1.3 Reikwijdte van veldonderzoek Het onderzoek beperkt zich tot de dienst ROEZ en de afdelingen die resultaten opleveren. In totaal bevat de dienst 21 afdelingen, hiervan hebben 4 afdelingen bereid kunnen vinden om te participeren in ons onderzoek. Gezien de omvang van de bruikbare respons zijn wij van mening dat dit geen afbraak doet aan de casestudie.
1.4 Structuur van de scriptie Als opbouw voor de scriptie hanteren we in de hoofdstukken 2, 3 en 4 eerst de theorie. Hierin onderzoeken we de basisbegrippen informatiebeveiliging, bewustzijn, actoren en risico gebaseerde aanpak. In hoofdstuk 5 beschrijven we ons voorstel voor een risico gebaseerde actor definitie. Vervolgens gaan we in hoofdstuk 6 over naar het onderzoek, aan de hand van een beschrijving van de onderzoek aanpak, de resultaten, conclusies en aanbevelingen. In hoofdstuk 7 formuleren we de conclusies en aanbevelingen. We eindigen het onderzoek in hoofdstuk 8 waar we de onderzoeksvraag en deelvragen beantwoorden. In de bijlagen is de literatuurlijst (bijlage A), de vragenlijsten voor het empirisch onderzoek (bijlage B) en de voorbereidende gespreksverslagen opgenomen (bijlage C).
8 Versie 1.0
Security awareness actor definition
EDP Audit opleiding VU Amsterdam
Hoofdstuk 2. Informatiebeveiliging 2.1 Definitie en het belang van informatiebeveiliging Informatie is van cruciaal belang voor organisaties. Er zijn amper processen te bedenken die kunnen worden uitgevoerd zonder enige uitwisseling van informatie. Besturing van processen gaat immers altijd op basis van (management) informatie (Hintzbergen, Smulders en Baars 2008). In een organisatie is allerlei informatie aanwezig zoals informatie over personeel, cliënten, producten, financiën en onderzoekresultaten (Spruit, 2004). Al deze informatie wordt verwerkt, opgeslagen en getransporteerd in informatiesystemen (Stair & Reynolds, 1999) Informatiesystemen zijn echter vatbaar voor vele verschillende bedreigingen (Spruit, 2003). Deze bedreigingen kunnen onderverdeeld worden naar de aspecten van betrouwbaarheid (Beschikbaarheid, Integriteit en Vertrouwelijkheid) die ze negatief beïnvloeden (Overbeek, Lindgreen en Spruit, 2005). De volgende bedreigingen kunnen onderscheiden worden: Menselijke bedreigingen: -
Onopzettelijk foutief handelen, door gebruikers, beheerders, gasten, of extern personeel; Misbruik en criminaliteit zoals, diefstal, inbraak, hacking, sabotage, of fraude.
Niet menselijke bedreigingen: -
Invloed van buitenaf, zoals aardbeving, storm, bliksem, wateroverlast of brand; De indirecte schade, zoals verstoring van bedrijfsprocessen, het overtreden van wetten en imagoschade.
De gevolgen van deze bedreigingen kunnen financieel van aard zijn, maar kunnen ook betrekking hebben op klantenverlies, imagoschade of erger (Spruit, 2004). Voor zorginstellingen is het waarborgen van de privacy van patiëntengegevens van cruciaal belang. Verkeerde medische behandelingen (als gevolg van verkeerde patiëntengegevens), die het nieuws halen, kunnen het vertrouwen in de betreffende zorginstelling schaden of zelfs de hele medische sector. Door het treffen van beveiligingsmaatregelen is het mogelijk om de gelopen risico’s te verkleinen. Om inzicht te krijgen in de aard en de grootte van risico’s, alsmede in de kosten en de effectiviteit van beveiligingsmaatregelen kunnen organisaties gebruik maken van een risico analyse (Overbeek, Lindgreen en Spruit, 2005). Het treffen van beveiligingsmaatregelen wordt ook wel aangeduid als informatiebeveiliging.
9 Versie 1.0
Security awareness actor definition
EDP Audit opleiding VU Amsterdam
Er zijn verschillende definities van informatiebeveiliging beschikbaar. Overbeek, Lindgreen en Spruit (2005) geven de volgende definitie. “Informatiebeveiliging is het treffen en onderhouden van een samenhangend pakket maatregelen om de betrouwbaarheid (beschikbaarheid, integriteit en vertrouwelijkheid) van de informatievoorziening te waarborgen”. Aanvullend stellen ze; “Betrouwbaarheid van de informatievoorziening geeft de mate aan waarin een organisatie zich kan verlaten op die informatievoorziening. De informatievoorziening omvat apparatuur, programmatuur, opgeslagen gegevens, procedures en mensen”. De ISO 27002 (2007), beter bekent als de code voor informatiebeveiliging, hanteert een gehele paragraaf als definitie. Voor ons doeleinde is de derde alinea is bruikbaar: “Informatiebeveiliging is de bescherming van informatie tegen een breed scala bedreigingen om bedrijf continuïteit te waarborgen, bedrijfsrisico’s te minimaliseren en investeringsrendementen en bedrijfskansen zo groot mogelijk te maken”. Beide definities in ogenschouw genomen, kan worden gesteld dat ze aardig van elkaar verschillen en eigenlijk een aanvulling op elkaar zijn. Hierbij moet informatievoorziening als proces uit de eerste definitie gelijk worden gesteld aan informatie als object in de tweede definitie. Door beide definities te combineren komen we uit op: ‘Informatiebeveiliging is het treffen en onderhouden van maatregelen om de betrouwbaarheid van informatie en de informatievoorziening en daarmee bedrijfscontinuïteit te waarborgen, bedrijfsrisico’s te minimaliseren en investeringsrendementen en bedrijfskansen zo groot mogelijk te maken.’ Deze definitie hanteren we voor deze scriptie.
10 Versie 1.0
Security awareness actor definition
EDP Audit opleiding VU Amsterdam
2.2 Proces van informatiebeveiliging Informatiebeveiliging kan beschouwd worden als een iteratief proces (Overbeek, Lindgreen en Spruit, 2005). Binnen dit proces zijn een zestal processen te onderkennen (zie figuur 3). 1. Het proces start met het formuleren van beleid ten aanzien van informatiebeveiliging en het inrichten van de organisatie die verantwoordelijk is voor informatiebeveiliging. 2. Vervolgens worden onacceptabele risico’s opgespoord en wordt gezocht naar maatregelen die deze risico’s kunnen reduceren. 3. Na het inventariseren van de risico, wordt een set aan beveiligingsmaatregelen geselecteerd; 4. De geselecteerde beveiligingsmaatregelen worden geïmplementeerd. 5. Naleving van de geïmplementeerde beveiligingsmaatregelen wordt bewaakt; 6. Het effect dat bereikt wordt met de getroffen maatregelen wordt vervolgens geëvalueerd. Om te kunnen waarborgen dat een adequaat niveau van informatiebeveiliging gehandhaafd blijft, dient het proces van informatiebeveiliging steeds weer doorlopen te worden. Figuur 2 geeft een grafische weergave van het proces.
1. Beleid & organisatie
6. Evaluatie
2. Informatie
5. Bewaking
3. Selectie
4. Implementatie
Figuur 2: Proces van informatiebeveiliging
11 Versie 1.0
Security awareness actor definition
EDP Audit opleiding VU Amsterdam
Om tot een goede inrichting van informatiebeveiliging te komen is het de verantwoordelijkheid van het management om een adequaat informatiebeveiligingsbeleid en de daaruit voortvloeiende informatiebeveiligingsplan op te stellen, uit te dragen en te onderhouden (Stap 1). De selectie van beveiligingsmaatregelen, doorgaans gebaseerd op een risico analyse (stap 3) en de implementatie hiervan (stap 4), worden beïnvloed door het informatiebeveiligingsbeleid. Overbeek, Lindgreen en Spruit (2005) voegen hieraan toe dat het beïnvloeden van gedrag (motivatie) van medewerkers noodzakelijk is om ervoor te zorgen dat iedereen die betrokken is bij informatiebeveiliging zich ook voegt naar de geldende afspraken en procedures. Gedrag van medewerkers heeft invloed op de naleving van geïmplementeerde beveiligingsmaatregelen (Stap 5). In hoofdstuk 3 zullen wij nader ingaan op bewustzijn van informatiebeveiliging en de invloed hiervan op menselijk gedrag.
2.3 Relatie met IT Audit Het vakgebied van IT-auditing is begin jaren zeventig voortgekomen uit de Accountancy, doordat de accountant in toenemende mate te maken kreeg met financiële systemen die in hoge mate geautomatiseerd waren (Overbeek, Lindgreen en Spruit, 2005). In 1992 werd de Nederlandse Orde van Register EDP-Auditors (NOREA) opgericht. Het doel van EDP-auditors was om een uitspraak te kunnen doen over de betrouwbaarheid van de geautomatiseerde administratieve omgeving in het kader van de jaarrekeningcontrole. De naam EDP-auditor is later door de NOREA veranderd in ITauditor, omdat de term EDP-auditor op enig moment gedateerd was. Als wij bekijken wat de term Auditing in het algemeen inhoudt hanteert Kocks (2003) de volgende definitie:“ Auditing is het vakgebied dat zich bezig houdt met het, op grond van onderzoek (audit) door een deskundige (auditor), beoordelen van één of meerdere (audit)objecten in relatie tot (toetsings)normen en het weergeven van de uitkomsten van het onderzoek in de vorm van een oordeel aan de opdrachtgever en/of (via de opdrachtgever) aan derden”. Bij IT Auditing is er dus sprake van een onderzoek en een oordeel, die specifiek betrekking hebben op een specifiek onderwerp, het audit object . Het audit object van de IT-auditor zijn de informatiesystemen of onderdelen hiervan (Overbeek, Lindgreen en Spruit, 2005). Vanuit het vakgebied van IT auditing zijn diverse definities van IT auditing. Moonen (1991) definieert IT auditing als: “het vakgebied dat zich bezighoudt met het beoordelen van de kwaliteit van informatievoorziening in een omgeving waar sprake is van het gebruik van informatietechnologie en van elektronische gegevensverwerking”. Kocks (1991) hanteert de volgende definitie: “EDP-auditing is het vakgebied dat zich bezighoudt met het beoordelen alsmede het (richtinggevend) adviseren met betrekking 12 Versie 1.0
Security awareness actor definition
EDP Audit opleiding VU Amsterdam
tot kwaliteit aspecten van objecten in een omgeving waar gebruik wordt gemaakt van automatisering/ informatietechnologie”. In de definitie van Moonen staat het beoordelen centraal, terwijl Kocks in zijn definitie ook het geven van zinvolle adviezen ter verbetering centraal stelt. In het NOREA-geschrift nr. 1/1998) worden de domeinen beschreven van het werkterrein van de IT-Auditor (zie figuur 3). De verschillende audit domeinen duiden op een werkterrein dat verder voert dan het ondersteunen van de accountant, en juist is gericht op het management van organisaties (Fijneman, 2006).
Informatie strategie
Operat.
IT Management
IT ondersteuning
Jaarrekening controle Processystemen
Informatiesystemen
Technische systemen
Figuur 3 Werkterrein van de IT Auditor
Wij zien dat informatiebeveiliging een vaste positie krijgt in een toenemende aantal organisaties (Neys, 2003). Algemeen aanvaardbare beveiligingstandaarden zoals COBIT en de Code van Informatiebeveiliging (ISO 27000-serie) hebben de afgelopen jaren een bijdrage geleverd aan de structurele wijze waarop organisaties hun informatiebeveiliging inrichten. Ook best-practices zoals ITIL (IT Security Management) hebben hierin een bijdrage geleverd. Echter, veel organisaties worden zich in toenemende mate bewust van het feit dat technische en organisatorische maatregelen niet garant staan voor een voldoende mate van beveiliging. Het niveau van security awareness (en hiermee menselijk gedrag) is van essentieel belang om het noodzakelijk niveau van informatiebeveiliging te bereiken (Neys, 2003; de Vries en Dolfsma, 2007; Spruit, 2010). Wanneer het niveau van bewustzijn onvoldoende is binnen een organisatie, zullen beheersmaatregelen in de
13 Versie 1.0
Security awareness actor definition
EDP Audit opleiding VU Amsterdam
uitvoering tekort schieten, waardoor de risico’s die de beheersmaatregel beoogd af te dekken, niet worden gemitigeerd. De laatste jaren hebben veel organisaties initiatieven ontplooid om security awareness te verbeteren onder andere door het opzetten van bewustzijnscampagnes (zie ook hoofdstuk 3). Organisaties weten echter vaak niet hoe een awareness programma opgestart dient te worden waardoor dergelijke programma’s vaak maar een marginaal effect hebben (de Vries en Dolfsman, 2007; Spruit, 2010). Bewustzijn campagnes worden daarnaast in beperkte mate toegespitst op de specifieke taken en verantwoordelijkheden van de gebruikers. Wij stellen dan ook een risico gebaseerde aanpak voor om tot een actordefinitie te komen, die relevant is voor bewustwording campagnes.
Code voor Informatiebeveiliging Organisatorische & Technische maatregelen Niveau van Informatiebeveiliging
CobIT
ITIL
Menselijk gedrag
Bewustzijn
Bewustzijn programma's
Figuur 4 Niveau van informatiebeveiliging, gebaseerd op Neys (2003), de Vries en Dolfsma (2007) en Spruit (2010).
Door het toenemende belang en complexiteit van IT, krijgen topmanagement van organisaties meer behoefte krijgen aan instrumenten om het proces van risico management naar behoren te kunnen uitvoeren(Overbeek, Lindgreen en Spruit, 2005). . Onderdeel van dit instrumentarium is een onafhankelijk en deskundige oordeelsvorming. Dit betekent dat ook voor beveiligings-vraagstukken beroep wordt gedaan op de IT-auditor. Als we kijken naar de domeinen van het werkterrein van de IT auditor zien wij dat de IT auditor zicht ook bezig houdt met IT strategie / IT management vraagstukken. Risico management en dan specifiek informatiebeveiliging kan hieronder worden geschaard.
14 Versie 1.0
Security awareness actor definition
EDP Audit opleiding VU Amsterdam
Rol van de IT-Auditor
Risk Based Methodiek
Actoren definitie
Bewustzijn
Bewustzijn programma's
Figuur 5 Risk Based methodiek
De risico gebaseerde methodiek kan door de IT Auditor gehanteerd worden, in het geval dat een organisatie die initiatieven ontplooid om security awareness te verbeteren, behoefte heeft aan een onafhankelijk en deskundige oordeelvorming. De methodiek kan vervolgens: als een (toetsings) normenkader fungeren, waarmee de IT-Auditor tot een doelmatig audit resultaat kan komen; gebaseerd zijn op richtlijnen uit de Code voor Informatiebeveiliging. Een beveiligings-standaard die veelal door de IT-Auditor gehanteerd wordt; dienen als toets voor de IT-Auditor gangbare kwaliteitsaspecten zoals Betrouwbaarheid, Integriteit en Vertrouwelijkheid. Hiermee kan de IT-Auditor de kwaliteit van het audit object beoordelen; bijdragen aan de vaktechniek van IT Auditing. Voornamelijk op het werkgebied van IT-auditing, waarbij de ‘softe’ kant van informatiebeveiliging het object van audit is.
15 Versie 1.0
Security awareness actor definition
EDP Audit opleiding VU Amsterdam
2.4 Informatiebeveiliging vanuit een veranderkundig perspectief Om een beter beeld te vormen van de probleemstelling is het nuttig om deze vanuit een andere invalshoek te bekijken. Omdat het uiteindelijk doel is om de organisatie te veranderen om zo een hoger niveau van beveiliging te realiseren, gebruiken we de veranderkunde om naar informatiebeveiliging te kijken. Zoals aangegeven stellen we een methodiek voor die het mogelijk maakt om actoren in een organisatie te benoemen. Hierdoor moet het mogelijk zijn om een security awareness programma verbeterd toe te passen in de praktijk. Dit moet een hogere awareness creëren, waardoor de regels, richtlijnen beter worden gevolgd en een beter begrip ontstaat van de problematiek. Dit moet uiteindelijk leiden tot minder beveiligingsincidenten. Risicomanagement is een onderwerp dat veelvuldig in de veranderkunde voorkomt, meestal gevolgd door de aanzet van de verandering. Vele modellen zijn opgesteld ter ondersteuning van deze stappen, waarbij een veel gebruikte die van Kleijn en Rorink (2005) is. In hun boek ‘verandermanagement’ stellen ze, met behulp van vele modellen van andere schrijvers, een integrale benadering voor door het uitvoeren van de volgende stappen: 1. 2. 3. 4. 5. 6.
Ontwikkel een integrale aanpak; Voer een externe analyse uit; Voer een interne analyse uit; Bepaal de veranderstrategie; Beschrijf de SOLL situatie; Beschrijf de veranderaanpak en voer deze uit.
Ontwikkel een integrale aanpak Door de omgeving van de organisatie juist in kaart te brengen kunnen alle aspecten worden benoemd die van belang zijn in de verandering. Denk hierbij aan de omgeving (demografisch, economisch, technologisch, etc.), de input en output en de organisatie. Voer een externe analyse uit Een externe analyse start meestal met een onderzoek naar de trendmatige ontwikkelingen in de algemene omgeving. Daarna onderzoekt men de directe omgeving van de onderneming. Achtereenvolgens wordt in kaart gebracht: 1. Ontwikkelingen in de algemene omgeving; 2. Ontwikkelingen in de directe en marktomgeving; 3. Concurrenten en de felheid van concurrentie. De externe analyse resulteert in een beschrijving van de kansen en bedreigingen voor de organisatie op korte en middellange termijn.
16 Versie 1.0
Security awareness actor definition
EDP Audit opleiding VU Amsterdam
Voer een interne analyse uit De interne diagnose richt zich op de functies van de organisatie. In dit model van de organisatie hanteert men vier hoofdfuncties: 1. 2. 3. 4.
Marketing, afnemers & markten; Organisatiestructuur en –cultuur; Interne processen en innovatief vermogen; Financiën.
De vier hoofdfuncties van de organisatie worden ieder op zich en in samenhang onderzocht. De interne analyse resulteert in het vaststellen van de zogenaamde ISTsituatie, de huidige stand van zaken, door het beschrijven van de sterktes en zwaktes van de organisatie. Bepaal de verander strategie Uit een confrontatie van kansen en bedreigingen met sterktes en zwaktes kunnen strategische opties geformuleerd worden. Vervolgens wordt de definitieve strategie bepaald en vormt de input voor het construeren van de gewenste (SOLL) situatie van de organisatie. Beschrijf de SOLL-situatie Dezelfde organisatiefuncties als in de interne analyse zijn nu ook weer onderwerp van analyse. De uitkomst van die analyse moet aangeven hoe de organisatie er moet uitzien om de nieuwe strategie te kunnen uitvoeren. Men kan nu gaan ontwerpen; het bepalen van de factoren die van essentieel belang zijn om succesvol te kunnen opereren. Beschrijf de veranderaanpak en voer deze uit Vervolgens bepaalt men de veranderaanpak (bij een ontwikkelingsgerichte verandering) en/of het veranderplan (bij een geplande verandering). In een veranderplan wordt beschreven hoe de veranderstrategie wordt uitgevoerd. Na het verandertraject wil men zekerheid of de gewenste situatie of effecten ook daadwerkelijk gerealiseerd zijn. Dat stelt men vast door een evaluatie van de veranderactiviteiten. Op basis van dit model kan gesteld worden dat het nuttig is om een methodiek toe te passen om actoren, protocollen en risico’s goed op elkaar te laten aansluiten. Op deze wijze:
worden medewerkers door de methodiek (bestaande o.a. uit een vragenlijst) bekend met de urgentie voor het veranderen; worden medewerkers betrokken in het besluit van het implementeren van beveiligingsbeleid; wordt voorkomen dat medewerkers extra of onnodig werk verrichten; raken medewerkers bekend met de visie op de informatiebeveiliging van de organisatie.
17 Versie 1.0
Security awareness actor definition
EDP Audit opleiding VU Amsterdam
Hoofdstuk 3 Security Awareness 3.1 Definitie Een definitie van security awareness die veelvuldig in de literatuur terug komt is opgesteld door het Information Security Forum (2002). Zij stellen (vertaald va vanuit het Engels): “Security awareness is de mate waarin elke medewerker onderkent:
wat het belang is van informatiebeveiliging; in welke mate het van belang is voor de organisatie; wat hun eigen taken en verantwoordelijkheden zijn;
en hiernaar handelt”. De Vries en Dolfsma (2007) hanteren een andere definitie, namelijk: “Security awareness is de mate waarin een persoon (veelal een manager of iemand anders die invloed heeft op het implementeren van beveiligingsmaatregelen) of een organisatie maatregelen heeftt getroffen”. De eerste definitie geeft meer inzicht in de verschillende aspecten van bewustzijn anders dan “ernaar handelen” zoals gesteld in de tweede definitie. Daarnaast zijn we van mening dat bewustzijn niet alleen het treffen van maatregelen is, maar ook het tonen van gedrag. Om die reden hanteren we de eerste definitie voor deze scriptie. Neys (2003) geeft in Figuur 6 nog verdere inzicht in de onderlinge relatie tussen de maatregelen en het tonen van gedrag.
Figuur 6 Bewustzijn volgens Neys (2003) (200
18 Versie 1.0
Security awareness actor definition
EDP Audit opleiding VU Amsterdam
3.2 Belang van bewustzijn voor informatiebeveiliging Security awareness bestaat in grote lijnen uit de maatregelen van beveiligen en het ernaar handelen, aangevuld met inzicht over het belang. Overbeek, Lindgreen en Spruit (2005) hebben hierover een model opgesteld, zie figuur 7.
Figuur 7 Menselijke bijdrage aan niveau van informatiebeveiliging
Het model heeft onder andere weer welke gevolgen het niveau van informatiebeveiliging heeft voor het aantal incidenten en mogelijk te lijden schade. Aannemelijk kan worden gemaakt dat incidenten plaats vinden die het bestaan van een organisatie bedreigen en daarmee het belang verduidelijken. Neem hierbij als voorbeeld een geheim recept uit de inleiding: 1 2 3 4 5 6
7
Technische maatregelen bepalen het niveau van informatiebeveiliging (logische – en fysieke toegangsbeveiliging); Organisatorische maatregelen bepalen het niveau van informatiebeveiliging (periodiek herzien van toegangsmatrices); Menselijk handelen bepaald het niveau van informatiebeveiliging (gedegen herzien van toegangsmatrices); Dit leidt tot een specifiek niveau van beveiliging; De organisatie heeft een interne verwachting van de risico’s (Hoe graag willen externen het recept?); Hieruit volgt een specifiek beveiligingsrisico op basis van de kans op verstoring (van de beveiliging van het recept) samen met de mate van kwetsbaarheid van het recept maal de potentiële schade (wat gebeurd er als het recept bekend wordt bij externen); Waaruit een meetbaar beveiligingsrisico volgt, namelijk het aantal incidenten (geen) maal de daadwerkelijk geleden schade (geen).
19 Versie 1.0
Security awareness actor definition
EDP Audit opleiding VU Amsterdam
Het model beperkt zich in het duiden van verhoudingen tussen technische technische- en organisatorische maatregelen ten aanzien van menselijk handelen. Het model geeft alleen aan dat er enige invloed is op het niveau niveau van informatiebeveiliging. Hoewel niet de doelstelling van het onderzoek zijn we van mening dat er verschillende illende onderlinge verhoudingen zijn en komen tot figuur 8.
Figuur 8 Menselijke bijdrage in ontwerp en uitvoering
In het model hebben we nu de menselijke bijdragen uitgesplitst in ontwerp en uitvoering, Op enig moment zullen de technischetechnische en organisatorische maatregelen worden ontworpen. Het is denkbaar dat niet alle of de juiste maatregelen worden geïmplementeerd. Daarnaast worden de technischetechnische en organisatorische maatregelen juist uitgevoerd door medewerkers (denk hierbij aan het vergeten een hekwerk af te sluiten en niet uitvoeren van periodieke surveillance), surveillance), waardoor wederom extra risico ontstaat. Er zijn ook technische maatregelen maatr denkbaar die niet naderhand beïnvloed kunnen worden door menselijk handelen en daarmee direct invloed hebben op het niveau van informatiebeveiliging.
20 Versie 1.0
Security awareness actor definition
EDP Audit opleiding VU Amsterdam
3.3 Van bewustzijn naar gedrag De definitie zoals beschreven in de paragraaf hiervoor geeft ons wederom een tweedeling zoals weergegeven in Figuur 4. Enerzijds zijn er de technische en organisatorische maatregelen (het belang van informatiebeveiliging voor de organisatie en de inrichting ervan (taken en verantwoordelijkheden)) en anderzijds de wijze waarop de medewerker ernaar handelt. Het handelen van een medewerkers (lees: gedrag) wordt in de literatuur omtrent informatiebeveiliging vaak beschreven aan de hand van het model van Clark (1997). Het model van Clark beschrijft het gedrag van medewerkers op de werkplek en binnen welke grenzen medewerkers opereren. Zoals aangegeven in figuur 9 worden de volgende grenzen benoemd: 1. Grens van economisch falen. Deze grens is het management die medewerkers aansturen om te opereren binnen gestelde tijdslijnen en binnen budget ten behoeve van efficiëntie. Indien de grens overschreden wordt, staat de efficiency ter discussie en daarmee de werkplek van de medewerker. 2. Grens van onacceptabele werkdruk. Medewerkers kiezen doorgaans niet voor een overschot aan werk. Hierdoor blijven ze weg van de grens van onacceptabele werkdruk. 3. Grens bepaald door regels. Door de druk vanuit het economisch falen en onacceptabele werkdruk zal de medewerker het minder nauw nemen met de regels en kan er gekozen worden om de grens te overschrijven bepaald door de regels. De medewerker vindt dit een acceptabele keuze omdat er nog een informele grens bestaat, namelijk: 4. Grens bepaald door cultuur. De grens wordt bepaald omdat medewerkers de psychische en sociale omgeving toetsen met wat nog acceptabel is. Elke medewerker voert deze toetsing individueel uit. Zo ontstaat een gebied tussen de formele- en informele regelgeving waarin het acceptabel is om regels te overtreden.
21 Versie 1.0
Security awareness actor definition
EDP Audit opleiding VU Amsterdam
Figuur 9 Model van Clark
Het model van Clark geeft een interessant inzicht van een situatie si tuatie waarin medewerkers bewuste(!) keuzes maken om regels te overtreden (en daarmee specifiek gedrag te vertonen). Als we kijken naar de definitie, dan wordt de grens van het economisch falen en de grens van onacceptabele werkdruk vertegenwoordig door de taken en verantwoordelijkheden van de medewerker. Het belang van informatiebeveiliging en het belang voor de organisatie wordt vertegenwoordigd door doo r de grens bepaald door regels, de grens bepaald door cultuur en het tussenliggende gebied. Immers als het belang elang groter is, zullen de regels rege strenger zijn en zal de cultuur van de organisatie minder overtredingen accepteren. accepteren Het tussenliggendee gebied zal kleiner zijn en het geheel zal zich meer naar rechts verschuiven.
22 Versie 1.0
Security awareness actor definition
EDP Audit opleiding VU Amsterdam
3.4 Security awareness programma’s In de voorgaande paragrafen van hoofdstuk 3 is een definitie van informatiebeveiliging-bewustzijn beschreven, het belang ervan en de relatie tussen bewustzijn en gedrag. Voor organisaties is het een logisch gevolg om dit gedrag te beïnvloeden aan de hand van een awareness programma. Een definitie van een programma om het bewustzijn van medewerkers ten aanzien van informatiebeveiliging te verhogen wordt beschreven door Wilson en Hash (NIST, 2003) (vertaald). “Een succesvol IT beveiliginsprogramma bestaat uit: 1. Ontwikkelen van een informatiebeveiligingsbeleid dat een weergave geeft van de bedrijfsdoelstellingen, minus de bijbehorende risico’s; 2. Informeren van gebruikers van diens verantwoordelijkheden ten aanzien van informatiebeveiliging zoals beschreven staat in de taakomschrijvingen van de organisatie; 3. Ontwikkeling van een proces om de progressie van de medewerkers en het programma te evalueren.” In bovengenoemde definitie geeft punt 2 de feitelijke doelstelling van een programma weer, het informeren van gebruikers van hun verantwoordelijkheden ten aanzien van informatiebeveiliging. Wij willen daaraan toevoegen dat gebruikers niet alleen geïnformeerd dienen te worden, maar ook betrokken moeten worden bij het proces van informatiebeveiliging door ze het eigenaarschap voor hun systemen en gegevens te laten ervaren. Deze punten kunnen onder ‘verantwoordelijkheid’ van de gebruiker worden geplaatst.
23 Versie 1.0
Security awareness actor definition
EDP Audit opleiding VU Amsterdam
3.5 Totstandkoming van een awarenss programma Om medewerkers te informeren rondom diens verantwoordelijkheden kheden dient ee een awareness programma te worden ontwikkeld. De literatuur geeft hiervoor vele voorbeelden die in meer en mindere mate op elkaar lijken. NIST (2003) stelt een viertal stappen voor, namelijk: 1. 2. 3. 4.
Awareness and training trai program design; Awareness and training program prog development Program implementation; Post-implementation. implementation.
Aanvullend heeft het et ISF(2002) op basis van gelijke stappen een framework opgesteld, zie figuur 10.
Figuur 10 ISF-Framework – Process for effective security awareness, awareness 2002
In beide gevallen n is het duidelijk dat eerst het doel gesteld moet worden, voordat wordt ontwikkeld, geïmplementeerd en geëvalueerd. Opvallend is dat in beide frameworks geen actor definitie als zodanig wordt beschreven. NIST (2003) beschrijft het publiek voor wie een security awarenessprogramma wordt geschreven en ISF(2002) geeft aan dat in de ‘security messages’ (bijvoorbeeld: bescherm je wachtwoord) aan dient worden te geven, voor wie dit van toepassing is. Voor elk beveiligingsbericht wordt feitelijk een mini actordefinitie actordefi toegepast, al hoewel dit niet als zodanig wordt beschreven.
24 Versie 1.0
Security awareness actor definition
EDP Audit opleiding VU Amsterdam
Hoofdstuk 4 Actoren 4.1 Definitie Vanuit de literatuur rondom security awareness is er geen eenduidige definitie van actoren. De definitie van een actoren is echter eenvoudig op te stellen. De WissemaGroep (2010) doet dit in haar woordenlijst als volgt: “Actoren - individuen, groepen en organisaties, zowel binnen als buiten de organisatie, die bewust of onbewust, met of zonder opzet, invloed uitoefenen op de koers en het functioneren van de organisatie.” Omdat deze definitie een relatie legt met het menselijk handelen, hanteren we deze definitie voor de scriptie.
4.2 Belang van actoren Zoals in hoofdstuk 3 beschreven, zetten organisaties awareness programma’s op om het bewustzijnsniveau van medewerkers te verbeteren. In de praktijk blijkt dat dergelijke programma’s vaak maar een marginaal effect hebben, doordat deze programma’s in beperkte mate zijn toegespitst op specifieke taken en verantwoordelijkheden van gebruikers (De Vries en Dolfsman, 2007; Spruit, 2010). Het is daarom van belang dat awareness programma’s worden gedifferentieerd voor medewerkers toegespitst naar relevantie voor hun functie, bijbehorende verantwoordelijkheden en vaardigheden (Essers, 2008) We kunnen stellen dat het definiëren van actoren, op basis van specifieke taken en verantwoordelijkheden, van essentieel belang is om awareness programma’s te differentiëren en hiermee de effecten van awareness programma’s te vergroten voor organisaties. Dit onderzoek geeft dan ook antwoord op de vraag of een risico gebaseerde methodiek toegepast kan worden om tot een actoren definitie te komen relevant voor awareness programma’s. De onderzoeksopzet voor deze risico gebaseerde methodiek wordt in hoofdstuk 6 nader toegelicht.
25 Versie 1.0
Security awareness actor definition
EDP Audit opleiding VU Amsterdam
4.3. Actoren in onderzoek naar informatiebeveiliging In verschillende artikelen en onderzoeken naar informatiebeveiliging zijn al bewust of onbewust actoren genoemd. Hierbij is niet een risico gebaseerde methodiek toegepast. Een overzicht van de genoemde actoren per artikel of onderzoek: Artikel/ Onderzoek Informatie beveiliging en bewustzijn (Spruit, 2010)
Een serious game voor informatie beveiliging (Spruit, 2009)
Actoren
Scope
Beschrijving artikel / onderzoek
Generiek
Spruit stelt in dit artikel dat menselijk gedrag aan de basis ligt van beveiligingsincidenten. Vanuit dit menselijk gedrag komt Spruit tot een groep actoren, resp. medewerkers, booswichten en managers.
Security Awareness in de praktijk (Jaber, 2007)
Effectiviteit verhoging in Bewust wordings programma’s (Van Noord & Debats, 2007)
Medewerkers Booswichten Managers
Management team Automatiserings groep Security Manager Externe consultancy groep Nieuwe medewerkers (goede start) Functioneel applicatie beheerders (vergaande rechten) Management (voorbeeld functie)
Senior Management ICT Medewerker Lijn management Gewone
Voor elke actor stelt Spruit een aanpak voor om genoemde problematiek het hoofd te bieden. Hypothetis De information security game is che ontwikkeld om de menselijkeorganisatie organisatorische component van t.b.v. een informatiebeveiliging inzichtelijker te serious maken. game voor informatie De game speelt zich af in een hypothetische beveiliging organisatie, waarbij verschillende actoren . zijn benoemd om de bedrijfssituatie zo realistisch mogelijk te simuleren. Grote Jaber stelt in dit artikel dat financiële gedragsverandering van medewerkers dienstverle alleen kan worden bereikt door het ner uitvoeren van bewustwordingscampagnes. Bij het uitvoeren van bewustwordingscampagnes dient rekening gehouden te worden met specifieke doelgroepen, die een groter kennis- en bewustzijnsniveau nodig hebben om hun werkzaamheden juist uit te voeren.
Generiek
Zo zijn het management, functioneel applicatie beheerders en nieuwe medewerkers groepen die op verschillende manieren extra aandacht verdienen. In dit artikel stellen de auteurs een pragmatisch vijfstappenplan voor waarmee beveiligingsbewustzijn effectief kan worden verbeterd. Aanvullend stellen zij voor dat organisaties in staat zijn concrete gedragsverandering bij hun medewerkers 26
Versie 1.0
Security awareness actor definition
EDP Audit opleiding VU Amsterdam
gebruiker
Beware! Security Awareness voor retailbanking NL (Essers, 2008)
Managers Professionals Technicians and associate professionals Clerical support workers Service and sales workers Elementary occupations
te realiseren op het gebied van informatiebeveiliging door concrete, naar doelgroep gespecificeerde doelen te stellen, de juiste randvoorwaarden in te vullen en binnen deze randvoorwaarden doelgroep specifieke maatregelen uit te voeren.
Retail banking Nederland
Enkele voorbeelden van belangrijke doelgroepen die de auteurs onderscheiden zijn Senior management, ICT Medewerker, lijn management en de gewone gebruiker. In dit scriptieonderzoek wordt een programma voorgesteld om security awareness binnen Retailbanking uiteen te zetten. Dit programma dient toegespitst te worden op verschillende doelgroepen. Om tot een eenduidige doelgroepaanduiding te komen, heeft de auteur gebruik gemaakt van de lijst met standaardfuncties zoals deze is uitgebracht door het International Standard Classification of Occupation (ISCO). Door deze doelgroepen te koppelen aan verantwoordelijkheden die gelden voor de specifieke doelgroep ten aanzien van security awareness binnen de organisatie, is een uiteindelijk indeling gemaakt van 3 doelgroepen, waar het programma toegespitst dient te worden.
LLC. Principles of Effective Security Awareness (SA) Communicatio n. (Melissa Guenther, 2004)
Hoger Management Midden Management Medewerkers
Generiek
De doelgroep aanduidingen zijn generiek en toepasbaar op organisaties in de Retailbanking. In dit artikel worden randvoorwaarden benoemd voor een effectieve security awareness communicatie. Voor een effectief communicatieproces zijn op verschillende niveaus binnen een organisatie actoren benoemd, die in het communicatieproces een belangrijke rol spelen. De auteur maakt hierbij onderscheid tussen het hoger management, midden management en medewerkers.
Tabel 1 Eerder gedefinieerde actoren in artikelen
27 Versie 1.0
Security awareness actor definition
EDP Audit opleiding VU Amsterdam
Op basis van de uitgevoerde onderzoeken is het mogelijk om tot een generieke indeling te komen. Duidelijk wordt dat indien de scope van het onderzoek duidelijk wordt, er concrete functies worden benoemd. Gesteld kan worden dan het definiëren van actoren een proces is dat per organisatie uitgevoerd moet worden.
28 Versie 1.0
Security awareness actor definition
EDP Audit opleiding VU Amsterdam
Hoofdstuk 5 Risico gebaseerde methodiek 5.1 Risicoanalyse Zoals beschreven in de onderzoeksvraag moeten kwaliteitscriteria gesteld worden aan de methodiek. Omdat de methodiek verschillende stappen bevatten waarbij risico’s worden geanalyseerd, kan de methodiek worden geclassificeerd als een risicoanalyse. Hierdoor kunnen de kwaliteitsaspecten van een risicoanalyse worden toegepast. Een definitie van een risicoanalyse volgens Overbeek, Lindgreen en Spruit (2005): “Risicoanalyse is een methode die informatie oplevert, waarmee management in staat wordt gesteld te beslissen welke risico’s, of welke combinatie van risico’s teruggedrongen kunnen worden.” In grote lijnen bestaan er vier typen risicoanalyses, namelijk de quickscan, de baselinescan, de kwalitatieve- en kwantitatieve risicoanalyse. Bij de quickscan en de baselinescan wordt gebruik gemaakt van normen gebaseerd op extern opgestelde vragenlijsten of een eigen set normen. Dit beperkt diepgang of is niet eenvoudig toepasbaar voor andere organisaties. De kwalitatieve- en kwantitatieve risicoanalyse hebben een meer procesmatige aanpak, waarbij eerst gekeken wordt naar de systemen, de onderliggende processen, de relevante objecten en diens betrouwbaarheidseisen en de daarbij behorende risico’s en maatregelen. Door de procesmatigheid kan de methodiek beter op elke individuele organisatie of afdeling worden afgestemd. We gebruiken de kwalitatieve risicoanalyse als kapstok voor onze methodiek voor actor definitie. Zoals aangegeven is de kwalitatieve risicoanalyse niet gestandaardiseerd, maar toegepast op de organisatie en diens objecten. Voor de te analyseren objecten worden schattingen gemaakt van de gelopen risico’s. De schatting wordt gebaseerd op de schade die zal optreden als een bedreiging tot uiting komt. Er komen geen precieze waarden uit de bedreiging, maar het geeft wel een duidelijke richting en impact van de verschillende risico’s en de onderlinge verhouding onderling. Een kwalitatieve risicoanalyse doorloopt doorgaans de volgende stappen (Overbeek, Lindgreen en Spruit, 2005):
1
de afhankelijkheidsanalyse Beschrijf informatiesysteem Inventariseer en beschrijf processen Bepaal het belang van ieder proces Relateer informatiesysteem aan processen Definieer betrouwbaarheidseisen (BIV)
29 Versie 1.0
Security awareness actor definition
EDP Audit opleiding VU Amsterdam
2
de configuratieanalyse Inventariseer en beschrijf informatieobjecten en relaties Bepaald betrouwbaarheidseisen per informatieobject
3
de kwetsbaarheidsanalyse Bepaal kwetsbaarheid per informatieobject Bepaal benodigde beveiliging per informatieobject
4
de maatregelanalyse Zoek maatregelen per informatieobject Kies maatregelen voor alle informatieobjecten geclusterd naar informatiesysteem Vergelijk gekozen set maatregelen met referentielijst maatregelen
Uiteindelijk levert de kwalitatieve risicoanalyse een selectie en implementatie van risico’s en maatregelen per informatieobject, per informatiesysteem geclassificeerd in beschikbaarheid, integriteit en vertrouwelijkheid gerelateerd aan de onderliggende bedrijfsprocessen. Op basis van deze werkwijze stellen wij een methodiek voor actordefinitie voor.
30 Versie 1.0
Security awareness actor definition
EDP Audit opleiding VU Amsterdam
5.2 Risico gebaseerde actordefinitie Voor een kwalitatieve risicoanalyse is veel informatie benodigd vanuit de organisatie. Als we de term ‘informatiebeveiligingsbewustzijn’ opsplitsen, komen we uit op informatie, beveiliging en bewustzijn. Als we kijken welke informatie beschikbaar is in een organisatie, opgedeeld naar deze drie elementen, kunnen we het volgende benoemen.
5.2.1 Benoemen van informatieobjecten en betrouwbaarheidsaspecten Elke organisatie heeft een veelvoud van informatieobjecten die te benoemen zijn. Elk object heeft verschillende eisen aan veiligheid. Deze eisen kunnen worden ingedeeld in beschikbaarheid, integriteit en vertrouwelijkheid. Door de primaire processen te doorlopen en te analyseren welke informatieobjecten door gebruikers worden gehanteerd kan een beeld worden gevormd van de essentiële informatieobjecten van een organisatie. Daarnaast moeten de informatieobjecten ook ‘bottom-up’ worden benoemd, vanuit de gebruiker in het geval ze zelfstandig informatieobjecten creëren. Door elk informatieobject te classificeren volgens de BIV indeling kan het object accuraat worden gedefinieerd. Als voorbeeld kan bij een gemiddeld productiebedrijf als belangrijke informatieobjecten worden gedefinieerd:
Informatieobject Productiemethodiek en kostprijsberekening Klantgegevens Personeelsgegevens Notulen
B I V X X X X
X X X X
Tabel 2 Informatieobjecten en betrouwbaarheidsaspecten
5.2.2 Benoemen van interne en externe risico’s De term ‘beveiliging’ wijst ons op de noodzaak van het onderzoek naar bewustzijn. Waar moet tegen worden beveiligd en welke dreigingen bestaan voor de organisatie ten aanzien van de informatieobjecten. De dreiging is een actie c.q. incident. De actie wordt uitgevoerd door een individu of individuen. Door te personifiëren, kan makkelijker een relatie worden gelegd met het informatieobject. Zo worden externe bedreigingen uitgevoerd door concurrenten, speciale belangengroepen of criminelen. Maar dit kunnen ook interne groeperingen of individuen zijn, die baat hebben, of domweg nieuwsgierig zijn naar informatie waar ze niet voor bevoegd zijn kennis van te hebben of wijzigingen aan te brengen. Door per informatieobject de bedreiging te benoemen wordt deze inzichtelijk. In het voorbeeld van het productiebedrijf:
31 Versie 1.0
Security awareness actor definition
EDP Audit opleiding VU Amsterdam
Informatieobject Productiemethodiek en kostprijsberekening Klantgegevens Personeelsgegevens
B I V Bedreigingen X X X Concurrenten, belangengroeperingen X X Concurrenten, criminelen X X Interne organisatie, Concurrenten X Interne organisatie, concurrenten
Notulen
Tabel 3 Objecten aangevuld met dreigingen
5.2.3 Koppelen van afdelingen en rollen met informatieobjecten en bedreigingen Bewustzijn richt ons op de menselijke factor van de analyse. Zoals door Spruit is aangegeven ligt bewustzijn aan de basis van het uiteindelijke gedrag van de medewerker. Om een groep te definiëren, moet van te voren dit gedrag worden gemeten. Dit is lastig te bewerkstelligen. Wij zijn van mening dat andere factoren ook in enige mate het gedrag voorspellen van medewerkers. Met name de positie in de organisatie en de rol die de medewerker is toebedeeld zijn voorspellende variabelen. Deze informatie is redelijk toegankelijk voor de start van een onderzoek. Door het opstellen van een organogram en daarin de rollen van de organisatie te benoemen kan een koppeling worden gemaakt met de informatieobjecten en bedreigingen. Een nog veel accurate bron is een autorisatieschema. Vaak zijn deze te complex om vlot te ontcijferen om tot de gegevens te komen. Deze geven ook doorgaans een te zeer detailbeeld om werkzaam te zijn. Door zelf de koppeling te leggen (tussen de afdelingen en rollen met de informatieobjecten en bedreigingen) kan dit relatief eenvoudig tot specifieke groepen leiden. In het voorbeeld van het productiebedrijf leidt dit tot de volgende analyse:
Informatieobject
B I
Productiemethodiek en kostprijsberekening Klantgegevens
X
X X
Concurrenten, belangengroeperingen
X
X
Concurrenten, criminelen Interne organisatie, Concurrenten Interne organisatie, Concurrenten
Personeelsgegevens Notulen
V Bedreigingen
X X X
Rol / Organisatieonderdeel Productiemanagement, Financiële directie Afdeling Inkoop & Verkoop Afdeling Personeelszaken Secretaris / Secretariaat
Tabel 4 Objecten met dreigingen en afdelingen
5.2.4 Overige beschikbare informatie Er zijn meerdere onderwerpen te bedenken die beschikbaar zijn in de organisatie om tot de juiste actoren te komen. Zo kan ook vanuit de techniek (de informatiesystemen) een methodiek worden opgesteld. Hierbij kan men de technische systemen leidend laten zijn om tot actoren te komen. Het is zo ook denkbaar om de financiële stromen als 32 Versie 1.0
Security awareness actor definition
EDP Audit opleiding VU Amsterdam
basis te nemen voor de analyse. We zijn bewust dat de genoemde drie elementen niet volledig onderbouwd kunnen worden, maar zijn van mening dat ze een logische grondslag bezitten, in enige mate delen van andere objecten behelzen en daarmee een degelijke eerste poging omvatten.
5.2.5 De methode als stappenplan Op basis van de elementen kan een stappenplan worden geformuleerd. 1. Benoem de belangrijkste informatieobjecten vanuit een gebruikers’ perspectief 2. Classificeer elk object op basis van de kenmerken van BIV. 3. Benoem alle afdelingen en rollen van de organisatie (bijvoorbeeld in de vorm van een organogram). 4. Bepaald de meest risicovolle externe bedreigingen. 5. Bepaal de meest risicovolle interne bedreigingen. 6. Geef de relatie aan tussen de dreiging en het informatieobject. 7. Bepaal de relatie tussen de rollen en afdelingen en de informatieobjecten en diens bedreigingen. 8. Bepaal welke opleidingen en instructies door de organisatie reeds zijn aangeboden.
33 Versie 1.0
Security awareness actor definition
EDP Audit opleiding VU Amsterdam
5.3 Een vergelijking met andere methodieken In de literatuur is één andere methodiek beschikbaar voor het definiëren van actoren, namelijk van ENISA (2006), deze hebben ze opgesteld in hun ‘A User’s Guide: How to raise Information Security Awareness’. Zij stellen het volgende stappenplan voor: 1. 2. 3. 4. 5.
Voor wie is het bewustwordingsprogramma bedoeld? Wat is de informatiebehoefte? Wat is het kennisniveau van de groepen? Hoe moet worden gecommuniceerd? Welk effect heeft de cultuur op de groep?
In vergelijking met de door ons voorgestelde methodiek kan worden gesteld dat deze methodiek minder detaillistisch is opgesteld en beperkt klant specifiek is. Classificeren we deze methodiek als risicoanalyse, dan is dit de QuickScan. Als we onze methodiek vergelijken met een kwantitatieve risicoanalyse, dan komt deze in grote lijnen overeen, met uitzondering van de afhankelijkheidsanalyse. Hierin worden de primaire processen en ondersteunende informatie-systemen in kaart gebracht. We zijn van mening dat deze stap overgeslagen dient te worden en wel om de volgende redenen:
Bij een kwantitatieve risicoanalyse moeten alle informatieobjecten uit de informatiesystemen in kaart worden gebracht, ook diegene waar gebruikers niet mee in aanraking komen. Deze extra informatieobjecten willen we buiten beschouwing laten. Er zijn informatieobjecten die door gebruikers zelf worden gecreëerd. Door te beredeneren vanuit de informatiesystemen komen deze objecten niet aanbod. Deze willen we niet buiten beschouwing laten.
De door ons voorgestelde methodiek is opgesteld op basis van het toepassen van goede eigenschappen van de verschillende vormen van risicoanalyses en deze te centreren rondom de gebruiker. In vergelijking met de andere methodieken en risicoanalyses zijn we van mening dat we hiermee een werkbare en logische methodiek hebben opgesteld die toepassing in de praktijk waard is.
34 Versie 1.0
Security awareness actor definition
EDP Audit opleiding VU Amsterdam
Hoofdstuk 6 Empirisch onderzoek 6.1 Vooronderzoek Zoals beschreven in onze aanleiding is ons onderzoek opgezet naar aanleiding van een artikel van Dr. Marcel Spruit. Hierin beschrijft hij een actor definitiemethode op basis van gedrag. Omdat we de problematiek rondom het inzicht krijgen in- en het meten van- gedrag van medewerkers voorstelden hebben we exploratieve interviews rondom dit onderwerp afgenomen. We hebben getracht een breed spectrum aan zienswijzen op dit onderwerp te verkrijgen. Hiervoor hebben we vooraanstaande specialisten benaderd die werkzaam zijn bij verschillende organisaties in het werkveld van informatiebeveiliging. Om een visie te krijgen vanuit de theorie hebben wij een interview gehouden met Dr. Marcel Spruit zelf (schrijver van het originele artikel). Om het perspectief te krijgen vanuit de branche hebben we een interview gehouden drs. Erik Rutkens RE, bestuurslid van het Platform voor Informatiebeveiliging (PvIB) en directeur Insite Advies B.V. En om een beeld te krijgen van de praktijk hebben we gesproken met drs. Tonne Mulder RE, director Information Risk Management bij PWC. In deze interviews hebben wij de verschillende invalshoeken voor informatiebeveiliging, beveiligingsprogramma’s en mogelijke onderzoekslijnen kunnen bespreken. Hieruit hebben we de in dit hoofdstuk beschreven methode kunnen destilleren. Voor een gedetailleerd beeld van deze interviews verwijzen we naar de gespreksverslagen in Bijlage C.
6.2 Situatie Gemeente Groningen Eind 2010 is de Gemeente Groningen gestart met een security awareness campagne. Eerder hebben enkele incidenten plaats gevonden waardoor de noodzaak voor het bewustzijn van beveiliging groter werd. De gemeente heeft besloten om de start van de campagne grondig aan te pakken. Een externe partij is gevraagd om een mysteryguest onderzoek uit te laten voeren bij alle gebouwen van alle diensten van de gemeente. Vervolgens is gevraagd de onderzoeksresultaten te presenteren, waarbij eerst het bewustzijn van het management van informatiebeveiliging is getoetst. Deze resultaten zijn in een film gemonteerd en samen met de resultaten van het onderzoek gepresenteerd. Aanvullend heeft de gemeente ten aanzien van een 5-tal generieke maatregelen een informerende film gemaakt. Hierin worden medewerkers van de gemeente de volgende instructies gegeven:
een wachtwoord is persoonlijk en mag niet gedeeld worden; sluiten de computer af bij het verlaten van de ruimte; ga zorgvuldig om met gevoelige informatie; spreek onbekende personen aan op de gang; meldt opvallende zaken bij de afdeling CIO.
35 Versie 1.0
Security awareness actor definition
EDP Audit opleiding VU Amsterdam
6.3 Onderzoek bij de Gemeente Groningen De dienst ROEZ heeft een actieve houding aangenomen op basis van de resultaten van het onderzoek. Met informatiebeveiliger John van Enst zijn mogelijke activiteiten besproken en zo ook de voorgestelde methodiek om bekend te raken met de actoren van de gemeente.
Dienst ROEZ
Algemeen
Directiestaf
Communicatie
Personeel & Organisatie
Ruimtelijke Ontwikkeling
Projectontwikkeling
Stadsbeheer
Dienstverlening & control
Beleidsontwikkeling
Projectmanagement
Stedelijkbeheer
Planning, Bedrijfsvoering en Informatie
Verkeer en vervoer
Vastgoedontwikkeling
Wijkbeheer
Financiële Informatie en Administratie
Wonen en monumenten
Ruimtelijke plannen
Bouw- en woningtoezicht
Documentaire Informatie Voorziening
Stadsdeelcoördinatie
Ingenieursbureau Gemeente Groningen
Juridische Zaken
Facilitaire Zaken
Economische Zaken
Geo-Informatie
Figuur 11 Afdelingen dienst ROEZ, Gemeente Groningen
36 Versie 1.0
Security awareness actor definition
EDP Audit opleiding VU Amsterdam
6.4 Uitvoering van het onderzoek In dit hoofdstuk wordt ingegaan op de praktische uitvoering en de resultaten van het onderzoek. Het doel van het case onderzoek is het toetsen of de risico gebaseerde methodiek voor actordefinitie in de praktijk toegepast kan worden door een organisatie. 6.4.1 Toetsing van risico gebaseerde methodiek In paragraaf 5.2. is een stappenplan geformuleerd om de risico gebaseerde methodiek te toetsen in de praktijk. De belangrijkste stappen zijn: 1. het benoemen van de belangrijkste informatieobjecten vanuit een gebruikers’ perspectief, geclassificeerd op basis van de kenmerken van BIV 2. het bepalen van de meest risicovolle interne en externe; 3. het leggen van een relatie tussen de dreiging en het informatieobject; 4. het leggen van een relatie tussen de rollen en afdelingen en de informatieobjecten en diens bedreigingen. Resultaten van bovengenoemde stappen dienen vastgelegd te worden in onderstaande tabellen. Informatieobject
B I
V
Tabel 5 Informatieobjecten en betrouwbaarheidsaspecten
Informatieobject
B I
V Bedreigingen
Tabel 6 Objecten aangevuld met dreigingen
Informatieobject
B I V Bedreigingen
Rol / Organisatieonderdeel
Tabel 7 Objecten met dreigingen en afdelingen
37 Versie 1.0
Security awareness actor definition
EDP Audit opleiding VU Amsterdam
Voor de praktische toepassing van het onderzoek is besloten om op basis van de methodiek een vragenlijst op te stellen in de vorm van een template en gevraagd is aan de hoofden van de afdelingen van de dienst ROEZ deze in vullen (zie bijlage B voor vragenlijst). Op basis van de ingevulde vragenlijsten is gekeken naar welke type informatie hieruit naar voren komt en of deze informatie bruikbaar is voor de gemeente en of de informatie daadwerkelijk waardevolle informatie bevat ten aanzien van het toekennen actoren.
6.4.2 Resultaten van het onderzoek Van de 21 verstuurde templates, zijn 4 templates (19%) geretourneerd in de periode van april en juli 2011. Deze respons-rate is gebruikelijk bij risicogeoriënteerde onderzoeken (Geujen, Rebers, Hensen, 2007). De resultaten volgen hieronder per afdeling.
Afdeling PBI-Team & Organisatie (Planning, Bedrijfsvoering en Informatie) Belangrijkste informatieobjecten: Personeelsgegevens Betrouwbaarheidsaspecten: Integriteit en vertrouwelijkheid Interne dreigingen: Schenden van de vertrouwelijkheid van een personeelsdossier Externe dreigingen: Geen andere dreigingen anders dan ‘algemene dreigingen’ voor de Gemeente Groningen. Relatie dreiging informatieobject: De vertrouwelijkheid van één of meerdere personeelsdossiers kan worden geschonden door onbevoegde inzage door collega’s. Functies in relatie tot het informatieobject: Personeelsfunctionaris PBI-Team & Organisatie
Afdeling VGO (Vastgoedontwikkeling) Belangrijkste informatieobjecten: Personeelsdossiers, Contract- en onderhandel informatie, Financiële administratie, Vastgoedregistratie en contractbeheergegevens.
38 Versie 1.0
Security awareness actor definition
EDP Audit opleiding VU Amsterdam
Betrouwbaarheidsaspecten: Persoonsgegevens Contract- en onderhandelingsinfo Financiële informatie Vastgoedregistratie (database GER) Contractbeheer, contractenbank/GER
Beschikbaarheid Integriteit X X
Vertrouwelijkheid X X
X X
X
X X (strategisch)
X
X
X
Tabel 8 Betrouwbaarheidsaspecten afdeling VGO
Interne dreigingen: In beperkte mate collega’s door het onvrijwillig lekken van informatie. Externe dreigingen: Derden die belang hebben bij ontwikkelingsinformatie, Derden die uit zijn op persoonlijke spullen, digitale inbraak door hackers, fraude. Relatie dreiging informatieobject: Het openbaren of delen van persoonlijke informatie, Ondermijnen van de gemeentelijke functie door bekend zijn met contract, onderhandeling- en financiële informatie, (te)vroeg bekend zijn met informatie kan politieke gevolgen hebben. Functies in relatie tot het informatieobject: Afdelingshoofden, teamleiders, secretariaat, applicatiebeheer/ CIO, medewerkers VGO.
Afdeling DIV (Documentaire Informatie Voorziening) Belangrijkste informatieobjecten: Digitale archieven en analoge archieven van de dienst ROEZ. Betrouwbaarheidsaspecten: Beschikbaarheid, integriteit en vertrouwelijkheid Interne dreigingen: Geen. De archieven zijn vrij toegankelijk voor de medewerkers van de dienst ROEZ. Externe dreigingen: Schenden van één van de betrouwbaarheidsaspecten door schoonmakers, monteurs, etc, omwille de mogelijk politiek gevoelige gegevens. Daarnaast wordt digitale informatie niet altijd voldoende afgeschermd en is het onduidelijk of digitale dragers (USB, E-mail) vertrouwelijke informatie bevat. Relatie dreiging informatieobject: De dossiers worden niet altijd in afgesloten ruimten/kasten opgeborgen en de archiefruimte is onvoldoende beveiligd. Functies in relatie tot het informatieobject: Alle archiefmedewerkers (Afdelingshoofd DIV, Senioren DIV, Specialisten DIV en medewerkers DIV).
39 Versie 1.0
Security awareness actor definition
EDP Audit opleiding VU Amsterdam
Afdeling PBI-I (Planning, Bedrijfsvoering en Informatie) Belangrijkste informatieobjecten: Persoonlijke verbruiksgegevens, contractinformatie. Betrouwbaarheidsaspecten: Integriteit en Vertrouwelijkheid. Interne dreigingen: Schenden van de vertrouwelijkheid door collega’s Externe dreigingen: Externen door voorkennis rondom contractinformatie. Relatie dreiging informatieobject: Collega’s zijn nieuwsgierig naar verbruiksgegevens van andere collega’s en externen zijn geïnteresseerd in contractinformatie (van bijvoorbeeld mobile telefonie) Functies in relatie tot het informatieobject: Personeelsfunctionaris, CIO & en Imedewerkers.
40 Versie 1.0
Security awareness actor definition
EDP Audit opleiding VU Amsterdam
6.4.3 Resultaten samengevat In totaal zijn er 10 verschillende informatieobjecten genoemd, er zijn 3 verschillende interne dreigingen benoemd, er zijn 8 externe dreigingen benoemd. Voor alle dreigingen (intern en extern) is men in staat geweest om de relatie te beschrijven met het betreffende informatieobject en zijn 14 verschillende functies benoemd ten aanzien van de objecten en diens dreigingen. Tabel 9 biedt inzicht in de onderlinge relaties. # Informatieobject 1 Analoge en digitale archiefbestanddelen van de documentaire informatievoorziening
B I V Dreiging X X X De documentatie is vrij beschikbaar voor alle ambtenaren, derhalve is er geen interne dreiging. Extern worden algeheel externen, bezoekers, schoonmakers, en monteurs genoemd als dreigingen. X X Schenden van de vertrouwelijkheid door nieuwsgierige collega’s.
2
Personeelsgegevens
3
Contract en onderhandelingsinformatie
X
X
4
Financiële informatie
X
X
5
Vastgoedregistratie (database GER)
X
X X
6
Contractenbeheer en de contractenbank (database GER).
X
X X
7
Persoonlijke verbruiksinformatie Contractinformatie mobiele telefonie
8
De beschikbaarheid en het schenden van de vertrouwelijkheid door nieuwsgierige derden. De beschikbaarheid en het schenden van de vertrouwelijkheid door nieuwsgierige derden. Externe dreigingen in de vorm van hackers.
X X
Het contractenbeheer en de contractenbank bevat informatieve die ook voor de medewerkers van de gemeente interessant zijn. Nieuwsgierige collega’s
X X
Externen
Functie Afdelingshoofd DIV, Senioren DIV, Specialisten DIV, Medewerkers DIV.
Personeelsfun ctionaris Management van de afdeling Alle medewerkers van de afdeling Vastgoedontwikkeling Alle medewerkers van de afdeling Vastgoedontwikk eling Medewerkers IT Applicatiebeh eer Chief Information Officer Afdelingshoofd
Personeelsfunctio naris CIO, Imedewerkers,
Tabel 9 Relatie informatieobject, dreiging en functie
41 Versie 1.0
Security awareness actor definition
EDP Audit opleiding VU Amsterdam
Hoofdstuk 7 Conclusies en aanbevelingen 7.1 Conclusies In de probleemstelling hebben we onszelf de vraag gesteld: “Kan een risico gebaseerde methodiek worden toegepast om actoren te selecteren voor een security awareness programma?”. In de voorgaande hoofdstukken hebben de risico gebaseerde methodiek beschreven en deze toegepast middels een case studie bij de Gemeente Groningen. Uit de resultaten blijkt dat de methodiek toegepast kan worden om actoren te definiëren, om relevante informatieobjecten aan deze actoren te koppelen, de dreiging hiervoor te benoemen en om gewenste betrouwbaarheidseisen per informatieobject te benoemen. De methodiek biedt houvast voor het management om tot deze inzichten te komen en het management kan op basis van deze informatie een vervolg stap maken in het opzetten van een security awareness programma.
7.2 Aanbevelingen Middels dit onderzoek hebben wij aangetoond dat de voorgestelde methodiek toegepast kan worden voor het benoemen van actoren relevant voor awareness programma’s. De logische vervolgstap voor organisaties is het daadwerkelijk opzetten van dergelijke programma’s. Voor een succesvolle en effectieve uitvoer van awareness programma’s dienen organisaties een aantal stappen te doorlopen. Wij adviseren organisaties om de volgende stappen te doorlopen bij de ontwikkeling van een awareness programma: 1. Creëer commitment. Zorg voor voldoende communicatie en participatie van directie en management. Het management is mogelijk de belangrijkste factor in het realiseren van gedragsverandering. Daarnaast zal een actieve houding van het management het gevoel bij medewerkers versterken dat het onderwerp informatiebeveiliging werkelijk belangrijk wordt gevonden. 2. Stel op basis van de resultaten van de risico gebaseerde methodiek het huidige kennis- en bewustzijnsniveau per actor vast. 3. Evalueer per actor de verschillen tussen het huidige en gewenste kennis- en bewustzijnsniveau 4. Stel een verbeterplan op. Dit plan moet zijn gebaseerd op een heldere strategie, waarin per actor maatregelen worden vastgesteld om het gewenste kennis- en bewustzijnsniveau te bereiken. 5. Voer het awareness programma uit. Het is aan te bevelen om dit te doen op basis van een plan van aanpak en communicatieplan; 6. Evalueer de uitkomsten van het awareness programma en stel vast of het programma de gewenste effecten heeft opgeleverd.
42 Versie 1.0
Security awareness actor definition
EDP Audit opleiding VU Amsterdam
7.3 Aanbevelingen voor vervolgonderzoek Tijdens de uitvoering van het onderzoek zijn er verschillende vragen bij ons opgekomen die niet binnen scope van het onderzoek te passen waren, maar wel goede uitgangspunten geven voor vervolgonderzoek. Deze worden hieronder weergegeven:
In dit onderzoek wordt een voorstel gedaan voor een risico gebaseerde actordefinitie. In welke mate is deze aanpak geschikt voor gebruik bij het ontwikkelen van een serious game voor beveiligingsbewustzijn? Beveiligingsdocumentatie varieert qua abstractieniveau van strategisch tot operationeel. Zijn er verschillende abstractieniveaus nuttig voor verschillende actoren? Welke wijze van communicatie is geschikt per actor en is het selecteren van een communicatiemethodiek een geschikte toegevoegde waarde voor het risico gebaseerde model?
43 Versie 1.0
Security awareness actor definition
EDP Audit opleiding VU Amsterdam
Hoofdstuk 8 Onderzoeksvraag en beantwoording In dit hoofdstuk wordt de centrale vraagstelling van dit onderzoek beantwoord. De centrale vraagstelling van dit onderzoek is: “Kan een risico gebaseerde methodiek worden toegepast om actoren te selecteren voor een security awareness programma?” Om de centrale vraagstelling van dit onderzoek te beantwoorden hebben wij eerst een aantal deelvragen beantwoord op basis van literatuurstudie. Wij hebben voor dit onderzoek de volgende deelvragen geformuleerd: 1. Waarom zijn awareness programma’s van belang? 2. Waarom dienen actoren geselecteerd te worden voor een awareness programma? 3. Is een risico gebaseerde methodiek hiervoor een geschikte methode? 1. In de literatuur over informatiebeveiligingsbewustzijn wordt het toenemende belang van awareness programma’s voor het verbeteren van het bewustzijn van medewerkers en daarmee het menselijk handelen onderkend. Gesteld wordt dat het niveau van informatiebeveiliging hierdoor verbeterd wordt. 2. In de literatuur wordt er echter ook met een kritische blik gekeken naar de toepassing van awareness programma’s door organisaties. Zo wordt gesteld dat awareness programma’s doorgaans een enkele (de medewerkers) of een beperkte doelgroep (management / medewerkers / experts) hanteren. Omdat de communicatie van het programma bedoeld is voor iedereen, kunnen medewerkers zich niet persoonlijk aangesproken voelen. Er kan aandacht wordt gevestigd op zaken die de medewerker allang weet, of juist niet hoeft te weten. De doelstelling van een programma kan hiermee te niet worden gedaan. Door actoren te definiëren kan de communicatie van het programma specifiek worden gericht op een specifieke groep. Hierbij verhoogd men de kans dat het bericht aankomt. 3. In verschillende artikelen en onderzoeken naar informatiebeveiligingsbewustzijn zijn al bewust of onbewust actoren genoemd. Hierbij is niet een risico gebaseerde methodiek toegepast. Een risico gebaseerde methodiek is een geschikte methodiek , omdat het relevante informatie uit de organisatie neemt, deze omvormt en filtert tot een overzicht van actoren, informatieobjecten, dreigingen en betrouwbaarheidsaspecten. Op basis van de deelvragen komen we bij de centrale vraagstelling. Wij hebben de centrale vraagstelling beantwoord door middel van een case onderzoek bij gemeente Groningen. Wij hebben de risico gebaseerde methodiek in de praktijk getoetst. Voor de praktische toepassing van het onderzoek is besloten om op basis van de methodiek een vragenlijst op te stellen. Op basis van de ingevulde vragenlijsten is gekeken naar welke type informatie hieruit naar voren komt en of deze informatie bruikbaar is voor de gemeente en of de informatie daadwerkelijk waardevolle informatie bevat ten aanzien van het toekennen van actoren.
44 Versie 1.0
Security awareness actor definition
EDP Audit opleiding VU Amsterdam
Uit de resultaten van ons onderzoek blijkt dat de methodiek toegepast kan worden om actoren te definiëren, om relevante informatieobjecten aan deze actoren te koppelen, de dreiging hiervoor te benoemen en om gewenste betrouwbaarheidseisen per informatieobject te benoemen. De methodiek biedt daarnaast houvast voor het management om tot deze inzichten te komen en het management kan op basis van deze informatie een vervolg stap maken in het opzetten van een security awareness programma.
45 Versie 1.0
Security awareness actor definition
EDP Audit opleiding VU Amsterdam
Bijlage A Literatuurlijst
Code voor Informatiebeveiliging NEN-ISO/IEC 27002:2007, 2007
Clark, S. Violations as a source of project risk, The international Journal of Project & Business Risk management, Vol 1, Issue 2, 155-167, 1997
De Vries, dr. ir. R. en Dolfsma, R. CISSP, Het meten van informatiebeveiligingsbewustzijn, Informatiebeveiliging juni 2007
ENISA, A User’s Guide: How to raise Information Security Awareness. European Network and Information Security Agency , 2006
Essers, J.A. Beware! Security Awareness voor retailbanking NL, 2008
Geujen, Rebers & Hensen, Rapportage 0-meting publieksonderzoek risicobeleving en informatiebehoefte Regio Gelderland Midden, 2007
Guenther, M, LLC.Principles of Effective Security Awareness (SA) Communication, 2004
Hintzbergen, K. Smulders, A. Baars, H. Basiskennis beveiligen van informatie druk 1, 2008
Information Security Forum, 2002
IT-auditing aangeduid, NOREA-geschrift nr. 1/1998
Jaber, N.B. Security Awareness in de praktijk, 2007
Klein, H. & Rorink, F. Verandermanagement: een plan van aanpak voor integrale organisatieverandering en innovatie, 2005
Kocks, H.C., EDP-auditing teneinde … of zwart schaap met vijf poten, inaugurele rede, Rotterdam, 1991
Moonen, H.B., Kwaliteitsnormen bij EDP-auditing: een kritische beschouwing, inaugurele rede, Tilburg, 1991
Neys, Drs. C. IT-ers, Regels & Security Awareness, 2003
Overbeek, Lindgreen en Spruit, Informatiebeveiliging onder controle. [2e druk, 2005 46 Versie 1.0
Security awareness actor definition
EDP Audit opleiding VU Amsterdam
Prof. Dr. R.G.A. Fijneman, RE RA, IT-auditor is meer dan controleur van informatietechnologie; Acountanscontrole , januari / februari 2006
Spruit, Dr. M. Waardevol maakt kwetsbaar: het belang van informatiebeveiliging, The Hague University, The Hague, 2004
Spruit, Dr. M. Een serious game voor informatiebeveiliging, 2009
Spruit, Dr. M. Informatiebeveiliging en bewustzijn. De IT-Auditor, nr. 1, 2010
Stair, R.M. and Reynolds, G.W. Principles of Information Systems, 4th ed. Course Technology, Cambridge, 1999
Van Noord & Debats. Effectiviteitsverhoging in bewustwordingsprogramma’s, 2007
Wilson, M. en Harsh, J. NIST, Special Publication 800.50. Building an Information Technology Security Awareness and Training Program, 2003
WissemaGroep website, www.wissemagroup.nl/woordenlijst.htm, 2010
47 Versie 1.0
Security awareness actor definition
EDP Audit opleiding VU Amsterdam
Bijlage B Vragenlijst bij empirisch onderzoek Inleiding Benoem hier de volgende punten: wat zijn de primaire processen van de afdeling?; met welke waardevolle informatie wordt omgegaan?; wat zijn hierbij de grootste gro bedreigingen?; welke functies van de afdelingen komen hierbij in aanraking? Wat is in het verleden reeds aan opleiding en overige activiteiten uitgevoerd? Risico’s Voor onze afdeling zien wij de volgende risico’s: (plot de risico’s o.b.v. het nummer in onderstaand diagram).
1 3
2
Speerpunten De volgende speerpunten zijn voor onze afdeling van belang: Activiteiten in 2011 De volgende activiteiten en willen we in 2011 ontplooien: Bovengenoemde analyse is gebaseerd op de risicoanalyse, opgenomen opgenomen in bijlage 1.
48 Versie 1.0
Security awareness actor definition
EDP Audit opleiding VU Amsterdam
Bijlage 1. Risicoanalyse Wat zijn de belangrijkste informatieobjecten van de afdeling? Een informatieobject is een afgebakende set informatie dat gebruikt wordt in een bedrijfsproces. De processen zijn dan ook een goede leidraad. De personeelsgegevens zijn een voorbeeld van een informatieobject. 1. 2. 3. Bepaal de belangrijkste aspecten van elk informatieobject. Elk object kan worden geclassificeerd in beschikbaarheid (wat is het belang dat de informatie direct beschikbaar is?), integriteit (juist en volledig) en vertrouwelijkheid (wie mag het inzien). Beschikbaar Integer Vertrouwelijk 1. 2. 3. Wat zijn de belangrijkste interne en externe dreigingen? Interne en externe dreigingen zijn (a) partijen en (b) de activiteiten die ze uitvoeren met een specifiek belang. 1. 2. 3. Benoem de dreiging in relatie tot het informatieobject 1. 2. 3. Benoem de functies in relatie tot het informatieobject 1. 2. 3. Breng alle onderlinge relaties in kaart. Breng de onderlinge relaties in kaart. Indien een object meerdere dreigingen en functies kent, gebruik dan meerdere regels. Informatieobject B I V Dreiging Functie/Rol 1. 2. 3. 4. 5. 6.
49 Versie 1.0
Security awareness actor definition
EDP Audit opleiding VU Amsterdam
Bijlage C Gespreksverslagen Gespreksverslag Auteur bronartikel, tevens Lector informatiebeveiliging aan de Haagse Hogeschool Gesprek met Marcel Dusink en Ferry Eshuis 14-7-2010 De volgende vragen zijn gesteld in het interview. Deze zijn niet volgordelijk behandeld. Ten behoeve van de leesbaarheid volgt dit verslag het gesprek. 1 Door incidenten gaan organisaties over het algemeen zwaardere maatregelen treffen. Hoe is uw ervaring rondom deze stelling in de praktijk? 2 Welke volwassenheidsniveaus van informatiebeveiliging vindt u doorgaans in organisaties? 3 Hoe kijkt u aan tegen de drie genoemde doelgroepen? 4 Hoe kwam u op de voorgestelde maatregelen? 5 Wat vindt u van de aanpak om een normenkader op te stellen en deze te toetsen? 6 Welk advies wilt u ons nog verder meegeven? Perceptie en attitude Beveiligingsmaatregelen worden opgesteld door het management en beveiligingspecialisten en zijn gericht op de ‘booswichten’ , ‘de normale medewerker’ en het management zelf. De mate waarin beveiligingsmaatregelen worden getroffen is afhankelijk van de perceptie en de attitude van het management en de beveiligingspecialisten ten aanzien van informatiebeveiliging. Op managementniveau wordt informatiebeveiliging vaak niet gezien als onderdeel van de bedrijfsvoering. Doordat informatiebeveiliging onvoldoende aandacht krijgt van het management is de risicoperceptie van het management vaak niet juist. Wanneer daarnaast geen (of onvolledige of onjuiste) risico analyses worden uitgevoerd ontstaat het gevaar dat er onvoldoende of verkeerde beveiligingsmaatregelen worden getroffen. In de praktijk worden risico’s door een verkeerde risicoperceptie van het management vaak onderschat. Beveiligingspecialisten hebben vaak de neiging om risico’s te overschatten. Beveiligingsspecialisten benaderen de risico’s namelijk vanuit een ander perspectief, namelijk het operationele proces. Het risico van een virusaanval op het netwerk wordt bijvoorbeeld hoger geschat door de beveiligingsspecialist dan door het management. Een veel voor komend probleem in de praktijk is dat het management onvoldoende inzicht heeft op de werkvloer en andersom. Er zou veel meer wisselwerking moeten 50 Versie 1.0
Security awareness actor definition
EDP Audit opleiding VU Amsterdam
zijn tussen beide lagen, waardoor betere risico inschattingen gemaakt zouden kunnen worden. De houding (attitude) van het management en beveiligingsspecialisten bepaalt de mate van wat men over heeft voor informatiebeveiliging. Bij het management heerst vaak de gedachte “waarom investeringen doen voor iets wat in de toekomst mogelijk nooit zal voordoen?”. Daarnaast worden kosten voor informatiebeveiliging vaak door het management overschat. Beveiligingspecialisten zijn primair gericht op de beveiliging van het operationele proces. Vanuit de gedachte om alles “dicht te timmeren” worden vaak teveel beveiligingsmaatregelen getroffen door de beveiligingspecialist. De kosten worden hierbij vaak onderschat. Binnen een organisatie is er altijd sprake van één van onderstaande scenario’s (In Figuur 1 wordt dit nog eens geïllustreerd): 1. Er is een gebrek aan Informatiebeveiligingsmaatregelen door o.a. invloed managers. Risico’s worden vaak onderschat door het management. 2. Er is sprake van een overkill aan Informatiebeveiligingsmaatregelen maatregelen (niet geïnitieerd door managers, maar door beveiligingsspecialisten). Leidt tot hoge kosten en medewerkers worden te veel belemmerd in hun werk. 3. Alleen noodzakelijk maatregelen worden getroffen, en er worden geen onnodige kosten gemaakt voor overbodige maatregelen. Reactieve houding van het management In de praktijk komt het vaak voor dat organisaties geen preventieve beveiligingsmaatregelen treffen. De organisatie wacht af totdat zich in een incident voordoet en neemt uit paniek dan een ‘overkill’ aan beveiligingsmaatregelen. Er is hier dan sprake van overreactie van het management. Er worden veel overbodige maatregelen genomen, waardoor onnodige kosten worden gemaakt. Belangrijk is dat een organisatie alleen de noodzakelijke maatregelen neemt. Een organisatie zou zich daarom meer moeten richten op structureel terugkerende incidenten en hiervoor de noodzakelijke preventieve maatregelen te treffen. Draagvlak creëren voor regels en richtlijnen is lastig Het creëren van draagvlak voor het implementeren van beveiligingsmaatregelen is in de praktijk erg lastig. Vaak worden door organisaties regels en richtlijnen opgesteld die niet ‘natuurlijk’ zijn. De regels passen dan niet bij de situatie en worden door de medewerker gezien als overbodig. Een ‘overkill’ aan regels en richtlijnen zorgt ervoor dat medewerkers deze gaan omzeilen, doordat zij teveel belemmerd worden in hun werk. Daarnaast zorgen nieuwe regels en richtlijnen er vaak voor dat routine /gewoontes worden doorbroken en dat medewerkers ‘verworven’ rechten moet opgeven.
51 Versie 1.0
Security awareness actor definition
EDP Audit opleiding VU Amsterdam
Volwassenheidsniveaus van informatiebeveiliging in organisaties Het volwassenheidniveau van informatiebeveiliging binnen organisaties verschilt per type organisatie en wordt beïnvloed door de organisatiecultuur en contingentie factoren (bedrijfsdoelstelling, omgeving, technologie). Aanpak om een normenkader op te stellen en deze te toetsen. Het normenkader zal zeker een nuttig instrument zijn om het niveau van informatiebeveiligingsbewustzijn bij organisaties te verbeteren. Echter, zal het toetsen van het normenkader in de praktijk een bewerkelijk en tijdrovend proces gaan worden. In feite voer je dan een volledige audit uit bij een organisatie. Het is te adviseren om de toepasbaarheid van het normenkader te toetsen in plaats van het normenkader zelf. De conclusie van het onderzoek zou dan kunnen zijn dat het normenkader bruikbaar is voor een IT auditor om het niveau van informatiebeveiligingsbewustzijn te meten. De ISO 27001 – Management of Information Security kan gebruikt worden als leidraad om aspecten van informatiebeveiligingsbewustzijn te destilleren. Hierbij dient wel in ogenschouw genomen te worden dat de ISO 27001 geen ‘harde’ normen beschrijft voor informatiebeveiilgingsbewustzijn. Bij het opstellen van het normenkader dient goed nagedacht te worden over wat nou een eis is ( “Gij zult…..of Gij zult nagedacht hebben over…”). Om het bereik van het onderzoek te beperken is het aan te raden om het normenkader specifiek werkbaar te maken voor het MKB. Hierbij zou een kanttekening gemaakt kunnen worden dat het voor lokale vestigingen van grote organisaties bruikbaar zou kunnen zijn. Het normenkader is wellicht het meest interessant voor organisaties in de publieke sector (zorginstellingen, overheid, onderwijs). Voor het toetsen van de toepasbaarheid van het normenkader is het belangrijk dat met de juiste functionarissen wordt gesproken. Het is aan te raden om met ten minste een functionaris van het lijnmanagement te spreken en een beveiligofficier (indien aangewezen)of een directeur van de operationele dienst.
52 Versie 1.0
Security awareness actor definition
EDP Audit opleiding VU Amsterdam
1: Gebrek aan IB maatregelen door o.a. invloed managers. Risico’s worden vaak onderschat door het management. 2: Overkill aan IB maatregelen (niet geïnitieerd door managers, maar door beveiligingsspecialisten). Leidt tot hoge kosten en medewerkers worden te veel belemmerd in hun werk. 3: Alleen noodzakelijk maatregelen worden getroffen, en er worden geen onnodige kosten gemaakt voor overbodige maatregelen.
53 Versie 1.0
Security awareness actor definition
EDP Audit opleiding VU Amsterdam
Gespreksverslag Lid van Bestuur Platform voor Informatiebeveiliging, tevens Directeur Insite Advies B.V. Gesprek met Ferry Eshuis en Marcel Dusink 26-7-2010 De volgende vragen zijn gesteld in het interview. Deze zijn niet volgordelijk behandeld. Ten behoeve van de leesbaarheid volgt dit verslag het gesprek. 1 Door incidenten gaan organisaties over het algemeen zwaardere maatregelen treffen. Hoe is uw ervaring rondom deze stelling in de praktijk? 2 Welke volwassenheidsniveaus van informatiebeveiliging vindt u doorgaans in organisaties? 3 Hoe kijkt u aan tegen de drie genoemde doelgroepen? 4 Wat vindt u van de door Spruit voorgestelde maatregelen? 5 Wat vindt u van de aanpak om een normenkader op te stellen en deze te toetsen? 6 Welk advies wilt u ons nog verder meegeven? De stelling van het regelen van zwaardere maatregelen bij incidenten kan ik niet volledig onderschrijven. Er zijn voldoende bedrijven die niet in de verdediging ‘schieten’. Dit is gerelateerd aan de overschatting of onderschatting van risico’s door het management. Het standpunt van het management is hierbij ook gerelateerd aan welke doelgroepen ze voor ogen hebben. De drie genoemde doelgroepen in het artikel van Marcel Spruit zijn een keuze. Men kan indenken dat het model van De Caluwé ook een mogelijkheid biedt tot indeling). De mogelijkheid bestaat dat met de driedeling te klakkeloos maatregelen worden ingezet. De belastingdienst heeft bijvoorbeeld een specifieke informatiebeveiligingsarchitectuur opgezet. Hierbij houden ze rekening met hoog en laagopgeleide professionals van de organisatie en wordt onderscheidt gemaakt van 4 à 5 specialismen. Het is denkbaar dat de indeling toegespitst wordt op de organisatie. Voor het artikel is het vanuit een wetenschappelijke visie begrijpelijk dat een indeling is gekozen.
Model van Prof. Dr. Leon de Caluwé 54 Versie 1.0
Security awareness actor definition
EDP Audit opleiding VU Amsterdam
Het veranderen van gedrag is de verandering van de houding van de medewerkers. Hiervoor moet tweeledige communicatie voor bestaan, anders is het niet duidelijk of instructies rondom informatiebeveiliging tot een volledig begrip leiden. Daarnaast moeten de instructies ook mandaat krijgen door de instructies veelvuldig uit te dragen. Een voorbeeld hiervan is een instructie handboek met een onderdeel ‘Hoe gaan we om met Informatie beveiliging’. Een andere mogelijkheid is om bijvoorbeeld vide instructies aan medewerkers voor te leggen. Bij (organisatie X) is een programma gestart om inzicht te krijgen in de huidige status per groep. Hierbij zijn verschillende verantwoordelijkheidsgebieden vastgesteld. Op basis hiervan is men tot een juiste opzet voor een toekomstplan gekomen. Het idee van een normenkader is niet nieuw. Meerdere organisaties houden zich bezig met informtiebeveiligingsbewustzijn. Infosecure is een dergelijke organisatie. Ze maken (voor zover bekend) onderscheid tussen medewerkers en management. Doorgaans hebben deze normenkaders meer de vorm van vragenlijsten. De zijn minder ‘hard’ dan een normenkader. Daarbij worden deze ook specifiek ingezet bij grote organisaties en worden de vragenlijsten hier op aangepast. Een generiek normenkader heeft nut. Zeker als deze ook voor kleinere organisaties toegepast kunnen worden. In deze organisaties krijgt informatiebeveiliging (en het bewustzijn van de organisatie hiervan) een beperkte rol. Het kunnen meten en een uitspraak doen over de staat van IB en bewustzijn levert toegevoegde waarde. Qua richting van het normenkader zou de vraag: ‘Hoe kan je kennis vergroten rondom IB en hiermee ook direct het gedrag aanpassen’ van toepassing kunnen zijn. Vaak zien medewerkers nut en noodzaak niet in van informatiebeveilgingsmaatregelen. Men zit in de gewoonten en de waan van de dag. Men doet vaak dingen zonder dat men weet waarom men het doet. (“Dat doen we altijd zo”, “Er is nog nooit wat gebeurd”). Maatregelen ten aanzien van informatiebeveiliging moeten dicht bij de gewoontes van de organisatie liggen. De kans dat men zich conformeert aan de nieuwe gang van zaken wordt hierdoor vergroot. Het management draagt een grote verantwoordelijkheid ten aanzien van het gedrag van medewerkers. Afhankelijk van de leiderschapsstijl moet bepaald worden op welke manier het gedrag beïnvloed kan worden. Het is van belang om informatiebeveiliging in je plan en controle cyclus op te nemen (plan, do, check, act). De ING bank heeft een onderzoek gedaan naar de aard van beveiligingsincidenten. Ze concludeerden dat projecten aan de basis liggen van de meeste beveiligingsincidenten. Enerzijds worden nieuwe werkwijzen geïntroduceerd in de organisatie. Hierbij is niet altijd te zien welke hiaten in een beveiliging worden gecreëerd. Anderzijds geniet informatiebeveiliging een te beperkte rol in projecten waar bijvoorbeeld een informatiesysteem wordt geïmplementeerd. Nolan Norton heeft onderzoek gedaan naar volwassenheid in organisatie. Ze concludeerden dat volwassenheid moet passen bij je organisatie. Je moet niet 55 Versie 1.0
Security awareness actor definition
EDP Audit opleiding VU Amsterdam
klakkeloos streven naar het hoogste haalbare volwassenheidsniveau. Het zal interessant zijn om kennis te nemen van dat onderzoek.
56 Versie 1.0
Security awareness actor definition
EDP Audit opleiding VU Amsterdam
Gespreksverslag Director informatiebeveiliging bij PwC N.V. Gesprek met Ferry Eshuis en Marcel Dusink 25-6-2010 In onderstaand verslag staan de vragen gevolgd door de antwoorden. De antwoorden zijn een samenvatting van het gesprek. 1 Door incidenten gaan organisaties over het algemeen zwaardere maatregelen treffen. Hoe is uw ervaring rondom deze stelling in de praktijk? In principe is het een begrijpelijke reactie op incidenten, maar het is afhankelijk van het type organisatie, wat de daadwerkelijke respons is. Doorgaans zijn twee reacties veelvoorkomend: of men verbetert de beveiliging of men ontwikkelt een bewustzijnscampagne. De keuze is afhankelijk van het type incidenten, dat voorkomen en de bedrijfsprocessen van de organisatie. 2 Welke volwassenheidsniveaus van informatiebeveiliging vindt u doorgaands in organisaties? Veranderen van volwassenheid is een organisatieverandering, het is een organisatiechange proces. De organisatie bevat de objecten die beveiligd moeten worden en de processen die van toepassing zijn op deze objecten. Er moet gezocht worden naar een goede balans tussen effectieve maatregelen en overmatige bureaucratie. Dit bepaald feitelijk het gewenste volwassenheidsniveau van de organisatie. Een onderdeel van het volwassenheid van de organisatie is de cultuur van de organisatie. Amerikaanse bedrijven werken veel met pasjes die men zichtbaar moet dragen. Iedereen volgt deze instructie feilloos op als onderdeel van de bedrijfsinstructies. Dat is iets wat je minder snel doorgevoerd krijgt in Nederlandse organisaties. De cultuur is hier anders. Informatiebeveiliging moet onderdeel worden van je dagelijkse werkzaamheden. Hiervoor heb je ook voorbeeld functies nodig. Informatiebeveiliging begint bij de Raad van Bestuur. 3 Hoe kijkt u aan tegen de drie genoemde doelgroepen? De genoemde doelgroepen zijn de relevante doelgroepen. Voornamelijk het management is van groot belang. Hierin zijn meerdere niveaus te distingeren. De raad van bestuur is ook bezig om risico’s te mitigeren. Zodoende ook informatiebeveiligingsrisico’s. Het midden en hoger management is ook van essentieel belang bij informatiebeveiliging. 4 Wat vindt u van de door Spruit voorgestelde maatregelen? De maatregelen zijn logisch en voor de handliggend. Vooral de nadruk van Spruit op het management is een goede ontwikkeling. Maatregelen werken doorgaans als afspraken na worden gekomen. Medewerkers worden niet automatisch gecorrigeerd als men iets fout doen. Dit zou door collega’s moeten gebeuren. Cultuur komt hier wederom bij kijken. Een degelijk risico analyse kan pas worden uitgevoerd door management als men kan voorstellen wat er op de werkvloer gebeurt. In een normenkader voor 57 Versie 1.0
Security awareness actor definition
EDP Audit opleiding VU Amsterdam
informatiebeveiligingsbewustzijn zou dan ook een risicoanalyse moeten worden opgenomen. 5 Wat vindt u van de aanpak om een normenkader op te stellen en deze te toetsen? Het normenkader zal zeker een nuttig instrument zijn om het niveau van informatiebeveiligingsbewustzijn te verbeteren. De moeilijkheid zal zitten in het meten van bewustzijn. Dit is een ongrijpbaar onderwerp en hierdoor waarschijnlijk zeer moeilijk om objectief te toetsen. Het onderwerp ligt meer in de sociologie en psychologie dan in de bedrijfswetenschappen of informatica. Ga op zoek naar informatie binnen deze vakgebieden en kijk hoe bewustzijn of soortgelijke onderwerpen worden gemeten. Ook willen jullie volwassenheidsniveau ’s toetsen. Het COBIT normenkader heeft een goede methodiek voor volwassenheidmeting. Men doet er goed aan om het voorbeeld van Cobit te volgen en de volwassenheidsmeting toe te passen in de informatiebeveiliging. 6 Welke vraag zou u aan de auteur stellen? De heer Marcel Spruit is lector informatiebeveiliging aan de Haagse hogeschool. Ongetwijfeld is hij betrokken geweest bij de invulling van informatiebeveiliging van zijn eigen instelling. Hoe is informatiebeveiliging georganiseerd en welke specifieke indeling heeft hij gekozen? 7 Wat wilt u verder nog kwijt? Een goed voorbeeld voor een normenkader waar informatiebeveiligingsbewustzijn aan de orde komt, is het normenkader van het Information Security Forum (ISF).
58 Versie 1.0