WHITE PAPER Informatiebeveiliging WHITE PAPER: INFORMATIEBEVEILIGING Introductie Het managen van de veiligheid van de informatie in uw organisatie omvat een scala onderwerpen. Deze ‘whitepaper’ heeft tot doel een kort overzicht te geven van de belangrijkste concepten, om zo meer inzicht te geven in wat van belang is om de informatie in uw organisatie op een bewuste manier, zo goed mogelijk te beschermen. Door een goede, geïntegreerde inrichting van de informatiebeveiliging wordt een onderneming geholpen op een flexibele, kostenbewuste manier klanten beter te bedienen. Centraal bij elk vraagstuk over informatiebeveiliging staan de vragen: ‘wat probeert de organisatie precies te beveiligen?’ en ‘waartegen moet het beveiligd worden?’ Een antwoord op de eerste vraag is noodzakelijk omdat dit inzicht nodig is om zodoende te bepalen welke maatregelen van toepassing KUNNEN zijn.. De tweede vraag is het startpunt van het onderzoek ‘hoe gaan we deze informatie beveiligen?’ waarmee de organisatie de beveiliging gaat inrichten met één of meerdere maatregelen. De afweging die elke keer gemaakt moet worden is of de kosten van de maatregel opwegen tegen de veronderstelde baten. Dat is niet altijd even eenvoudig aangezien sommige kosten, zoals bijvoorbeeld imagoschade bij openbaarmaking, lastig te kwantificeren zijn. Eén ding is zeker: 100% veiligheid bestaat niet. Dit gegeven ontslaat een onderneming er echter niet van de vertrouwelijkheid, integriteit en beschikbaarheid van informatie op een effectieve en voor de onderneming gezonde, acceptabele manier in te richten. Door een goede, geïntegreerde inrichting van de informatiebeveiliging wordt een onderneming geholpen op een flexibele, kostenbewuste manier klanten beter te bedienen. Doordat de juiste informatie op de juiste plek, op het juiste moment beschikbaar is kan een onderneming beter inspelen op de markt en onnodige risico’s www.prodaptconsulting.com | 2 voorkomen. Dat is de kracht van een goed informatiebeveiligingsbeleid. Governance Governance van informatiebeveiliging bestaat uit het leiderschap, de organisatiestructuur en alle processen die de veiligheid van informatie waarborgen. Essentieel zijn hierbij de strategische afstemming met de doelstellingen van de onderneming, het beheersen van risico’s tot een niveau wat past bij de risicobereidheid van de onderneming en het rapporteren over de effectiviteit van de genomen maatregelen. Door informatiebeveiliging middels een programma in de bestaande governance structuur te verankeren zorgt de onderneming er voor dat maatregelen niet gezien worden als een verplichting die van buitenaf is opgelegd. Ook wordt hiermee voorkomen dat het slechts als een eenmalige actie gezien wordt waarna kan worden overgegaan tot de orde van de dag. Het is essentieel voor het slagen van het informatiebeveiligingsbeleid dat verantwoording over informatieveiligheid wordt afgelegd op alle niveaus van een organisatie. Dit kan alleen door informatiebeveiliging onderdeel te maken van de doelstellingen van alle individuele bedrijfsonderdelen. WHITE PAPER: INFORMATIEBEVEILIGING Risicomanagement en compliance Om risico’s te managen en zeker te zijn dat de juiste maatregelen op correcte wijze geïmplementeerd worden is een degelijk raamwerk van processen en verantwoordelijkheden noodzakelijk. Hiervoor zijn diverse standaarden beschikbaar zoals ISO 27000 series (voorheen ISO/IEC 17799), NIST 800 series en SOx. De overeenkomst tussen deze raamwerken is de Plan, Do, Check, Act (PDCA) cyclus. Deze cyclus zit ook in het proces voor het managen van risicos, zie figuur 1. laag tot catastrofaal materialiseert. als het risico Tevens wordt er in deze analyse een frequentie van zelden tot heel vaak aan het risico gehangen. Hieruit is een matrix te maken (figuur 2) waaruit duidelijk wordt welke informatiemiddelen van belang zijn voor de organisatie en met welke urgentie behandeld moeten worden. Figuur 2 Classificatiematrix voor informatie Requirements vaststellen Figuur 1 Risico management proces (ISO 31000) Informatiebeveiliging is een iteratief proces Informatiebeveiliging is een iteratief proces waarbij er altijd gekeken wordt of genomen maatregelen nog wel actueel zijn en er geen nieuwe risico’s geïntroduceerd zijn als de onderneming van richting is veranderd of wanneer de omgeving verandert. Dit proces bestaat uit een aantal stappen die tezamen het risico management en compliance proces vormen. Informatie classificatie Classificatie van informatiemiddelen is het proces waarbij er een inventarisatie gemaakt wordt van alle relevante informatiehouders en deze voorzien worden van een klasse van gevoeligheid. Hierbij wordt gekeken naar de impact op de organisatie in categorieën van Uiteraard zijn de requirements van een organisatie leidend voor het definiëren van het veiligheidsniveau. Het is tenslotte de lijnorganisatie, de eigenaar van de data, die de risicobereidheid definieert waaraan het veiligheidsbeleid onderworpen is. Tevens kan het zijn dat bij organisaties vanuit juridisch oogpunt bepaalde informatie altijd versleuteld opgeslagen en getransporteerd moet worden om ongewilde openbaarmaking uit te sluiten. Dit komt vaak voor bij gegevens over klanten. Meer specifiek: wanneer klanten consumenten zijn zal er vanuit de Wbp (wet bescherming persoonsgegevens) eisen aan opslag en verwerken gesteld worden. Het is aan de lijnorganisatie om te bepalen hoe aan deze eisen voldaan moet worden. www.prodaptconsulting.com | 3 WHITE PAPER: INFORMATIEBEVEILIGING Maatregelen vaststellen Monitoring en rapportage Als eenmaal helder is vastgelegd om welke informatie het gaat en hoe gevoelig deze informatie is, kan worden vastgesteld welke maatregelen genomen kunnen worden om de geconstateerde risico’s te verkleinen tot een voor de onderneming acceptabel niveau. Dat kan op vier manieren. Tot slot gaat een organisatie het iteratieve proces van monitoring in richten. Hierbij moet worden gekeken of de genomen maatregelen (nog steeds) effectief zijn en of er wellicht nieuwe risico’s ontstaan zijn. Het is wezenlijk voor het hele proces om uitzonderingen (non-compliance), die tijdens het monitoren gevonden zijn, te rapporteren aan senior management. Hiermee wordt geborgd dat gevonden afwijkingen adequaat gemanaged worden en kan er handelend opgetreden worden voordat een risico realiteit wordt. Er kan gekozen worden om de activiteit te beëindigen. Hiermee stopt de blootstelling aan het risico. Natuurlijk stopt hiermee ook de voordelen van de activiteit. Dat kan echter wel noodzakelijk zijn als uit de inventarisatie blijkt dat de impact op de organisatie van dit risico gewoonweg te groot is. Het risico kan ook overgedragen worden. Hierbij sluit de organisatie bijvoorbeeld een verzekering af tegen dat specifieke risico. Bij overdracht wordt het eigenlijke risico niet overgedragen. Slechts de impact van dat risico wordt afgedekt. Lastig te kwantificeren risico’s, zoals imagoschade, laten zich dus moeilijk overdragen. Het meest zal er echter gekozen worden om mitigerende maatregelen te nemen. Dit zijn maatregelen (scheiding van functies, toegangscontrole, toepassen van encryptie etc.) die het risico terugbrengen naar een acceptabel niveau. Tot slot kan een organisatie het gevonden risico ook accepteren. Dit gebeurt als de kosten van mitigerende maatregelen gewoonweg te hoog zijn en het proces waarbij het risico ontstaat kritiek is voor het functioneren van de organisatie. Het is belangrijk om bij het ontwerpen van maatregelen het gehele proces end-to-end te beschouwen en om de maatregelen in de integrale samenhang te beoordelen. Alleen op deze wijze wordt voorkomen dat teveel maatregelen dezelfde risico’s afdekken. www.prodaptconsulting.com | 4 Programma ontwikkeling en management Nadat de maatregelen zijn vastgesteld en de monitoring is gedefinieerd kan het informatiebeveiligings-programma worden gedefinieerd. Het is belangrijk om de uitvoerende organisatie te betrekken bij dit programma. De informatiebeveiliging moet namelijk ondersteunend zijn aan de bedrijfsprocessen. Dat kan alleen maar als de proceseigenaren de wensen en eisen vormgeven die betrekking hebben op de informatieveiligheid van hun eigen proces. Tevens heeft het programma resources nodig van de lijnorganisatie om tot uitvoering te komen. Daarvoor moet duidelijk zijn wat de voordelen zijn voor de proceseigenaar zodat deze de gewenste resources ter beschikking wil stellen. Een onderdeel van het programma is natuurlijk het verhogen van de bewustwording met betrekking tot informatiebeveiliging bij de medewerkers. Hiervoor moeten ‘awareness’ trainingen opgezet worden. Hierbij is het goed om deze toe te spitsen op de betreffende WHITE PAPER: INFORMATIEBEVEILIGING medewerker(s). Het gebruik van materiaal dat relevant is voor de afdeling is daarbij handig. Vaak wordt een generieke training opgezet waarin plichtmatig bepaalde onderwerpen behandeld worden (clean desk, complexe wachtwoorden, uitlenen toegangspassen etc.). Hierdoor haakt de gemiddelde medewerker af en wordt de organisatie per saldo onveiliger in plaats van veiliger. In dit programma behoort ook gekeken te worden naar de wijze waarop informatieveiligheid opgenomen kan worden in de dagelijkse gang van zaken. Gedacht moet worden aan het toevoegen van expliciete veiligheidseisen in het ontwikkelproces, het changemanagement proces maar ook het uitvoerende proces (hoe worden klanten geïdentificeerd die gegevens willen aanpassen etc.). Incident Management ALS een risico realiteit wordt, dan moet de organisatie op een adequate manier reageren op de ontstane situatie. Incident management is het sluitstuk van het informatiebeveiligingsvraagstuk. Het is bij incident management namelijk de intentie om de organisatie zo in te richten dat, zelfs ALS een risico realiteit wordt, de organisatie op een adequate manier reageert op de ontstane situatie. Incident management bereid zich voor, identificeert en reageert op incidenten om de schade ervan te beheersen en te minimaliseren. Tevens zorgt incident management voor de capaciteit tot forensisch onderzoek en heeft het tot taak om het bedrijfsproces zo snel en effectief mogelijk te herstellen. Het is de verantwoordelijkheid van het incident management team om het incident response plan op te stellen en te onderhouden. In dit plan staat het gehele incident proces (Figuur 3) gedetailleerd beschreven. Figuur 3 Incident management proces De voorbereiding op een incident bestaat uit het vastleggen van een actieplan per incidenttype, een communicatieplan voor communicatie met alle belanghebbenden inclusief een escalatiematrix, het ontwerpen van rapportage criteria voor rapportage naar senior management, een proces om het incident response team (of computer emergency response team – vaak CERT) te activeren, het vastleggen van een veilige locatie waar vanuit de reactie gecoördineerd kan worden en tot slot zorgen voor de benodigde apparatuur ter ondersteuning van het incident response team. Het beschermen tegen incidenten bestaat uit het analyseren van systemen en netwerken op kwetsbaarheden en deze snel en gecontroleerd verhelpen. Ook is het regelmatig scannen op kwetsbaarheden in systemen van belang om zo een goed en gestructureerd patchbeleid toe te passen. Het detecteren van incidenten bestaat uit het actief, al dan niet geautomatiseerd, monitoren van systemen en netwerken om zodoende aanvallen zo snel mogelijk op te sporen. Hier kan men denken aan de inzet van Intrusion Detection of Intrusion Prevention systemen (IDS/IPS) of DDoS detectie en mitigatie systemen. Ook het analyseren van relevante logging uit netwerken met behulp van log management systemen is waardevol om te bepalen hoe groot de impact is van een incident. www.prodaptconsulting.com | 5 WHITE PAPER: INFORMATIEBEVEILIGING Een SIEM (Security Information and Event Management) systeem helpt bij het correleren van diverse events en een betere inschatting te maken van de prioriteit bij één of meerdere incidenten. Triage bestaat uit het evalueren van actieve incidenten om zodoende te bepalen welke maatregelen in welke volgorde dienen te worden uitgevoerd om de schade zoveel mogelijk te beperken. Reageren betreft het uitvoeren van de maatregelen die een incident beëindigen en zodoende de normale staat van de operatie te herstellen. Elk van deze elementen is kritiek voor een effectieve reactie op een incident. Het is dus ook de verantwoordelijkheid van de informatiebeveiligings-functionaris om elke van deze onderdelen een bewuste plaats te geven in de organisatie. En te zorgen dat dit plan levend gehouden wordt door middel van oefenen met alle betrokken partijen. Tot slot Door het inrichten van een effectief informatiebeveiligingsbeleid zal een organisatie in staat zijn om de juiste risico’s af te dekken met de juiste maatregelen. Met ‘de juiste maatregelen’ worden maatregelen bedoelt die zowel in proportie staan tot het risico dat de organisatie loopt alsook qua kosten in verhouding staan tot de opbrengsten voor de organisatie. Ervaring Prodapt Consulting met Security Prodapt Consulting heeft uiteraard een security team waarin veiligheidszaken van zowel de eigen onderneming alsook onze klanten behandeld worden. Tevens helpt Prodapt Consulting diverse klanten op het gebied van informatiebeveiliging. www.prodaptconsulting.com | 6 Bij KPN bijvoorbeeld heeft Prodapt Consulting een bijdrage geleverd aan de inrichting van de processen rond het Security Operations Center (SOC) en het KPN-CERT. Prodapt Consultants in Security: ervaren, deskundig, flexibel Prodapt Consulting heeft meerdere, gekwalificeerde medewerkers in dienst, deze zijn zowel ISACA CISM als ISC2 CISSP opgeleid. Ze zijn betrokken geweest bij implementaties van security organisaties binnen diverse telecom operators en hebben ervaring in het verbeteren van processen en organisatie in het security werkveld. Aanvullende informatie over onze referenties en kennisgebieden is beschikbaar op onze website www.prodaptconsulting.com. Op verzoek kunnen referenties, white papers en CV’s van onze medewerkers worden verstrekt. Contact Details Europa Prodapt Consulting B.V. De Bruyn Kopsstraat 14 2288 ED Rijswijk Z-H The Netherlands Telefoon: +31 70 414 0722 Adriaan van Donk Mobiel : +31 6 5335 4335 E-mail : [email protected] Ben van Leliveld Mobiel : +31 6 5335 4337 E-mail : [email protected] Paul Termijn Mobiel : E-mail : +31 6 3010 9117 [email protected] www.prodaptconsulting.com