Prodapt Consulting - Whitepaper - Informatiebeveiliging

advertisement
WHITE PAPER
Informatiebeveiliging
WHITE PAPER: INFORMATIEBEVEILIGING
Introductie
Het managen van de veiligheid van de
informatie in uw organisatie omvat een scala
onderwerpen. Deze ‘whitepaper’ heeft tot
doel een kort overzicht te geven van de
belangrijkste concepten, om zo meer inzicht
te geven in wat van belang is om de
informatie in uw organisatie op een bewuste
manier, zo goed mogelijk te beschermen.
Door een goede,
geïntegreerde
inrichting
van
de
informatiebeveiliging
wordt een onderneming geholpen op
een
flexibele,
kostenbewuste
manier klanten beter
te bedienen.
Centraal
bij
elk
vraagstuk
over
informatiebeveiliging staan de vragen: ‘wat
probeert de organisatie precies te
beveiligen?’ en ‘waartegen moet het
beveiligd worden?’ Een antwoord op de
eerste vraag is noodzakelijk omdat dit inzicht
nodig is om zodoende te bepalen welke
maatregelen van toepassing KUNNEN zijn..
De tweede vraag is het startpunt van het
onderzoek ‘hoe gaan we deze informatie
beveiligen?’ waarmee de organisatie de
beveiliging gaat inrichten met één of
meerdere maatregelen.
De afweging die elke keer gemaakt moet
worden is of de kosten van de maatregel
opwegen tegen de veronderstelde baten.
Dat is niet altijd even eenvoudig aangezien
sommige kosten, zoals bijvoorbeeld
imagoschade bij openbaarmaking, lastig te
kwantificeren zijn.
Eén ding is zeker: 100% veiligheid bestaat
niet. Dit gegeven ontslaat een onderneming
er echter niet van de vertrouwelijkheid,
integriteit
en
beschikbaarheid
van
informatie op een effectieve en voor de
onderneming gezonde, acceptabele manier
in te richten.
Door een goede, geïntegreerde inrichting
van de informatiebeveiliging wordt een
onderneming geholpen op een flexibele,
kostenbewuste manier klanten beter te
bedienen. Doordat de juiste informatie op de
juiste plek, op het juiste moment
beschikbaar is kan een onderneming beter
inspelen op de markt en onnodige risico’s
www.prodaptconsulting.com | 2
voorkomen. Dat is de kracht van een goed
informatiebeveiligingsbeleid.
Governance
Governance
van
informatiebeveiliging
bestaat
uit
het
leiderschap,
de
organisatiestructuur en alle processen die de
veiligheid van informatie waarborgen.
Essentieel zijn hierbij de strategische
afstemming met de doelstellingen van de
onderneming, het beheersen van risico’s tot
een niveau wat past bij de risicobereidheid
van de onderneming en het rapporteren
over de effectiviteit van de genomen
maatregelen.
Door informatiebeveiliging middels een
programma in de bestaande governance
structuur te verankeren zorgt de
onderneming er voor dat maatregelen niet
gezien worden als een verplichting die van
buitenaf is opgelegd. Ook wordt hiermee
voorkomen dat het slechts als een eenmalige
actie gezien wordt waarna kan worden
overgegaan tot de orde van de dag.
Het is essentieel voor het slagen van het
informatiebeveiligingsbeleid dat verantwoording over informatieveiligheid wordt
afgelegd op alle niveaus van een organisatie.
Dit kan alleen door informatiebeveiliging
onderdeel te maken van de doelstellingen
van alle individuele bedrijfsonderdelen.
WHITE PAPER: INFORMATIEBEVEILIGING
Risicomanagement en
compliance
Om risico’s te managen en zeker te zijn dat
de juiste maatregelen op correcte wijze
geïmplementeerd worden is een degelijk
raamwerk van processen en verantwoordelijkheden noodzakelijk. Hiervoor zijn
diverse standaarden beschikbaar zoals ISO
27000 series (voorheen ISO/IEC 17799), NIST
800 series en SOx. De overeenkomst tussen
deze raamwerken is de Plan, Do, Check, Act
(PDCA) cyclus. Deze cyclus zit ook in het
proces voor het managen van risicos, zie
figuur 1.
laag tot catastrofaal
materialiseert.
als
het
risico
Tevens wordt er in deze analyse een
frequentie van zelden tot heel vaak aan het
risico gehangen. Hieruit is een matrix te
maken (figuur 2) waaruit duidelijk wordt
welke informatiemiddelen van belang zijn
voor de organisatie en met welke urgentie
behandeld moeten worden.
Figuur 2 Classificatiematrix voor informatie
Requirements vaststellen
Figuur 1 Risico management proces (ISO 31000)
Informatiebeveiliging
is een iteratief proces
Informatiebeveiliging is een iteratief proces
waarbij er altijd gekeken wordt of genomen
maatregelen nog wel actueel zijn en er geen
nieuwe risico’s geïntroduceerd zijn als de
onderneming van richting is veranderd of
wanneer de omgeving verandert.
Dit proces bestaat uit een aantal stappen die
tezamen het risico management en
compliance proces vormen.
Informatie classificatie
Classificatie van informatiemiddelen is het
proces waarbij er een inventarisatie gemaakt
wordt van alle relevante informatiehouders
en deze voorzien worden van een klasse van
gevoeligheid. Hierbij wordt gekeken naar de
impact op de organisatie in categorieën van
Uiteraard zijn de requirements van een
organisatie leidend voor het definiëren van
het veiligheidsniveau. Het is tenslotte de
lijnorganisatie, de eigenaar van de data, die
de risicobereidheid definieert waaraan het
veiligheidsbeleid onderworpen is.
Tevens kan het zijn dat bij organisaties vanuit
juridisch oogpunt bepaalde informatie altijd
versleuteld opgeslagen en getransporteerd
moet worden om ongewilde openbaarmaking uit te sluiten. Dit komt vaak voor
bij gegevens over klanten. Meer specifiek:
wanneer klanten consumenten zijn zal er
vanuit de Wbp (wet bescherming
persoonsgegevens) eisen aan opslag en
verwerken gesteld worden. Het is aan de
lijnorganisatie om te bepalen hoe aan deze
eisen voldaan moet worden.
www.prodaptconsulting.com | 3
WHITE PAPER: INFORMATIEBEVEILIGING
Maatregelen vaststellen
Monitoring en rapportage
Als eenmaal helder is vastgelegd om welke
informatie het gaat en hoe gevoelig deze
informatie is, kan worden vastgesteld welke
maatregelen genomen kunnen worden om
de geconstateerde risico’s te verkleinen tot
een voor de onderneming acceptabel
niveau. Dat kan op vier manieren.
Tot slot gaat een organisatie het iteratieve
proces van monitoring in richten. Hierbij
moet worden gekeken of de genomen
maatregelen (nog steeds) effectief zijn en of
er wellicht nieuwe risico’s ontstaan zijn. Het
is wezenlijk voor het hele proces om
uitzonderingen (non-compliance), die tijdens
het monitoren gevonden zijn, te rapporteren
aan senior management. Hiermee wordt
geborgd dat gevonden afwijkingen adequaat
gemanaged worden en kan er handelend
opgetreden worden voordat een risico
realiteit wordt.
Er kan gekozen worden om de activiteit te
beëindigen. Hiermee stopt de blootstelling
aan het risico. Natuurlijk stopt hiermee ook
de voordelen van de activiteit. Dat kan
echter wel noodzakelijk zijn als uit de
inventarisatie blijkt dat de impact op de
organisatie van dit risico gewoonweg te
groot is.
Het risico kan ook overgedragen worden.
Hierbij sluit de organisatie bijvoorbeeld een
verzekering af tegen dat specifieke risico. Bij
overdracht wordt het eigenlijke risico niet
overgedragen. Slechts de impact van dat
risico wordt afgedekt. Lastig te kwantificeren
risico’s, zoals imagoschade, laten zich dus
moeilijk overdragen.
Het meest zal er echter gekozen worden om
mitigerende maatregelen te nemen. Dit zijn
maatregelen (scheiding van functies,
toegangscontrole, toepassen van encryptie
etc.) die het risico terugbrengen naar een
acceptabel niveau.
Tot slot kan een organisatie het gevonden
risico ook accepteren. Dit gebeurt als de
kosten van mitigerende maatregelen
gewoonweg te hoog zijn en het proces
waarbij het risico ontstaat kritiek is voor het
functioneren van de organisatie.
Het is belangrijk om bij het ontwerpen van
maatregelen het gehele proces end-to-end
te beschouwen en om de maatregelen in de
integrale samenhang te beoordelen. Alleen
op deze wijze wordt voorkomen dat teveel
maatregelen dezelfde risico’s afdekken.
www.prodaptconsulting.com | 4
Programma
ontwikkeling en
management
Nadat de maatregelen zijn vastgesteld en de
monitoring is gedefinieerd kan het
informatiebeveiligings-programma worden
gedefinieerd.
Het is belangrijk om de uitvoerende
organisatie te betrekken bij dit programma.
De informatiebeveiliging moet namelijk
ondersteunend zijn aan de bedrijfsprocessen. Dat kan alleen maar als de
proceseigenaren de wensen en eisen
vormgeven die betrekking hebben op de
informatieveiligheid van hun eigen proces.
Tevens heeft het programma resources
nodig van de lijnorganisatie om tot
uitvoering te komen. Daarvoor moet
duidelijk zijn wat de voordelen zijn voor de
proceseigenaar zodat deze de gewenste
resources ter beschikking wil stellen.
Een onderdeel van het programma is
natuurlijk
het
verhogen
van
de
bewustwording
met
betrekking
tot
informatiebeveiliging bij de medewerkers.
Hiervoor moeten ‘awareness’ trainingen
opgezet worden. Hierbij is het goed om deze
toe te spitsen op de betreffende
WHITE PAPER: INFORMATIEBEVEILIGING
medewerker(s). Het gebruik van materiaal
dat relevant is voor de afdeling is daarbij
handig. Vaak wordt een generieke training
opgezet waarin plichtmatig bepaalde
onderwerpen behandeld worden (clean
desk, complexe wachtwoorden, uitlenen
toegangspassen etc.). Hierdoor haakt de
gemiddelde medewerker af en wordt de
organisatie per saldo onveiliger in plaats van
veiliger.
In dit programma behoort ook gekeken te
worden
naar
de
wijze
waarop
informatieveiligheid
opgenomen
kan
worden in de dagelijkse gang van zaken.
Gedacht moet worden aan het toevoegen
van
expliciete veiligheidseisen in het
ontwikkelproces, het changemanagement
proces maar ook het uitvoerende proces
(hoe worden klanten geïdentificeerd die
gegevens willen aanpassen etc.).
Incident Management
ALS
een
risico
realiteit wordt, dan
moet de organisatie
op een adequate
manier reageren op
de ontstane situatie.
Incident management is het sluitstuk van het
informatiebeveiligingsvraagstuk. Het is bij
incident management namelijk de intentie
om de organisatie zo in te richten dat, zelfs
ALS een risico realiteit wordt, de organisatie
op een adequate manier reageert op de
ontstane situatie. Incident management
bereid zich voor, identificeert en reageert op
incidenten om de schade ervan te beheersen
en te minimaliseren.
Tevens zorgt incident management voor de
capaciteit tot forensisch onderzoek en heeft
het tot taak om het bedrijfsproces zo snel en
effectief mogelijk te herstellen.
Het is de verantwoordelijkheid van het
incident management team om het incident
response plan op te stellen en te
onderhouden. In dit plan staat het gehele
incident proces (Figuur 3) gedetailleerd
beschreven.
Figuur 3 Incident management proces
De voorbereiding op een incident bestaat uit
het vastleggen van een actieplan per
incidenttype, een communicatieplan voor
communicatie met alle belanghebbenden
inclusief een escalatiematrix, het ontwerpen
van rapportage criteria voor rapportage naar
senior management, een proces om het
incident response team (of computer
emergency response team – vaak CERT) te
activeren, het vastleggen van een veilige
locatie waar vanuit de reactie gecoördineerd
kan worden en tot slot zorgen voor de
benodigde apparatuur ter ondersteuning
van het incident response team.
Het beschermen tegen incidenten bestaat
uit het analyseren van systemen en
netwerken op kwetsbaarheden en deze snel
en gecontroleerd verhelpen. Ook is het
regelmatig scannen op kwetsbaarheden in
systemen van belang om zo een goed en
gestructureerd patchbeleid toe te passen.
Het detecteren van incidenten bestaat uit
het actief, al dan niet geautomatiseerd,
monitoren van systemen en netwerken om
zodoende aanvallen zo snel mogelijk op te
sporen. Hier kan men denken aan de inzet
van Intrusion Detection of Intrusion
Prevention systemen (IDS/IPS) of DDoS
detectie en mitigatie systemen. Ook het
analyseren van relevante logging uit
netwerken met behulp van log management
systemen is waardevol om te bepalen hoe
groot de impact is van een incident.
www.prodaptconsulting.com | 5
WHITE PAPER: INFORMATIEBEVEILIGING
Een SIEM (Security Information and Event
Management) systeem helpt bij het
correleren van diverse events en een betere
inschatting te maken van de prioriteit bij één
of meerdere incidenten.
Triage bestaat uit het evalueren van actieve
incidenten om zodoende te bepalen welke
maatregelen in welke volgorde dienen te
worden uitgevoerd om de schade zoveel
mogelijk te beperken.
Reageren betreft het uitvoeren van de
maatregelen die een incident beëindigen en
zodoende de normale staat van de operatie
te herstellen.
Elk van deze elementen is kritiek voor een
effectieve reactie op een incident. Het is dus
ook de verantwoordelijkheid van de
informatiebeveiligings-functionaris om elke
van deze onderdelen een bewuste plaats te
geven in de organisatie. En te zorgen dat dit
plan levend gehouden wordt door middel
van oefenen met alle betrokken partijen.
Tot slot
Door het inrichten van een effectief
informatiebeveiligingsbeleid
zal
een
organisatie in staat zijn om de juiste risico’s
af te dekken met de juiste maatregelen. Met
‘de juiste maatregelen’ worden maatregelen
bedoelt die zowel in proportie staan tot het
risico dat de organisatie loopt alsook qua
kosten in verhouding staan tot de
opbrengsten voor de organisatie.
Ervaring Prodapt Consulting met Security
Prodapt Consulting heeft uiteraard een
security team waarin veiligheidszaken van
zowel de eigen onderneming alsook onze
klanten behandeld worden. Tevens helpt
Prodapt Consulting diverse klanten op het
gebied van informatiebeveiliging.
www.prodaptconsulting.com | 6
Bij KPN bijvoorbeeld heeft Prodapt
Consulting een bijdrage geleverd aan de
inrichting van de processen rond het Security
Operations Center (SOC) en het KPN-CERT.
Prodapt Consultants in Security: ervaren,
deskundig, flexibel
Prodapt Consulting heeft meerdere,
gekwalificeerde medewerkers in dienst,
deze zijn zowel ISACA CISM als ISC2 CISSP
opgeleid. Ze zijn betrokken geweest bij
implementaties van security organisaties
binnen diverse telecom operators en hebben
ervaring in het verbeteren van processen en
organisatie in het security werkveld.
Aanvullende
informatie
over
onze
referenties
en
kennisgebieden
is
beschikbaar
op
onze
website
www.prodaptconsulting.com. Op verzoek
kunnen referenties, white papers en CV’s
van onze medewerkers worden verstrekt.
Contact Details
Europa
Prodapt Consulting B.V.
De Bruyn Kopsstraat 14
2288 ED Rijswijk Z-H
The Netherlands
Telefoon:
+31 70 414 0722
Adriaan van Donk
Mobiel :
+31 6 5335 4335
E-mail :
[email protected]
Ben van Leliveld
Mobiel :
+31 6 5335 4337
E-mail :
[email protected]
Paul Termijn
Mobiel :
E-mail :
+31 6 3010 9117
[email protected]
www.prodaptconsulting.com
Download