informatiebeveiliging: wat mag u ervan verwachten?
advertisement
Paul Overbeek en Edo Roos Lindgreen De implementatie van informatiebeveiliging verloopt in praktijk vaak moeizaam. Hoe komt dat? En hoe kom je van beleid naar maatregelen? Veel organisaties hebben een stafafdeling voor INFORMATIEBEVEILIGING: WAT MAG U ERVAN VERWACHTEN? De groeiende afhankelijkheid van informatie en informatiesystemen zorgt dat ook het belang van informatiebeveiliging toeneemt. Veel organisaties hebben daarom een stafafdeling of functionaris voor informatiebeveiliging. Er bestaat nog geen eenduidig beeld van wat de beste organisatievorm is. In de praktijk variëren de inrichting en organisatie van deze afdelingen sterk. Dat is maar ten dele afhankelijk van de cultuur van het bedrijf of het belang van de informatie. Bij een bank of verzekeraar is zo’n afdeling enkele tientallen personen groot. Tussen ministeries zijn de verschillen groot. Soms is er een bescheiden afdeling, soms ligt het onderwerp letterlijk op het bordje van anderhalve medewerker. En natuurlijk zijn er nog veel bedrij- 50 informatiebeveiliging. Wat kan je daar eigenlijk van verwachten? Een ‘missing link’ in informatiebeveiliging is de invulling van het tactisch niveau. ven die informatiebeveiliging ‘wegmoffelen’ in het takenpakket van de controller of bij de ICTafdeling onderbrengen. Waardoor worden die grote verschillen verklaard? Hoeveel informatiebeveiliging is genoeg of passend? Die vraag is pas te beantwoorden als het takenpakket duidelijk is. En wanneer duidelijk is wie die taken gaat uitvoeren. En wat mag van de functie informatiebeveiliging worden verwacht in de uitvoering van die taken? Eerst beschrijven we kort het meest gehanteerde organisatiemodel voor informatiebeveiliging. Daarna geven we aan welke taken door de functie informatiebeveiliging kunnen worden uitgevoerd. Voor de beschrijving gaan we uit van grotere, hiërarchisch ingerichte organisa- MANAGEMENT & INFORMATIE 2002/1 INFORMATIEBEVEILIGING ties. In het slotwoord komen we nog terug op andere organisatievormen. Strategisch niveau Tactisch niveau MANAGEN VAN RISICO’S Iedere organisatie wil verantwoord om gaan met de risico’s. Door het inrichten van een proces voor risicomanagement worden de risico’s inzichtelijk en beheersbaar gemaakt. Maatregelen zorgen er voor dat de risico’s worden ingeperkt tot een aanvaardbaar niveau. Het is meestal niet nodig of mogelijk risico’s volledig uit te sluiten. Het nemen van risico’s hoort nu eenmaal bij ondernemen. Risicomanagement kent vele facetten. Naast de externe risico’s van het ondernemen, zijn er bijvoorbeeld personele, materiële en financiële risico’s. En dan zijn er ook nog de risico’s verbonden aan informatie. Risicomanagement van informatie, ofwel informatiebeveiliging, is dus een normaal onderdeel van integraal risicomanagement. Onder de noemer informatiebeveiliging wordt procesmatig een stelsel beveiligingsmaatregelen ingevoerd en in stand gehouden. Controle en bijsturing zijn noodzakelijk om te voorkomen dat maatregelen aan effectiviteit verliezen. Ook voor informatiebeveiliging geldt: stilstand is achteruitgang. De term ‘beveiligingsmaatregel’ is dan ook enigszins misleidend. Het suggereert dat de beveiligingsproblematiek kan worden opgelost door eenmalig ingrijpen, waar in feite voortdurende aandacht en zorg vereist zijn. ‘Beveiligingsproces’ is om die reden een betere benaming. Informatiebeveiliging is dus een proces waarbinnen een heel scala aan maatregelen, of liever processen, te vinden zijn. Deze processen bevinden zich op alle niveaus in de organisatie, en komen in de top van de organisatie bij elkaar. Het kenmerkende van een proces is dat de activiteiten met elkaar samenhangen. Ook bekend als de cyclus: Plan – Do – Check – Act, in figuur 1 aangegeven met de ronddraaiende pijltjes. Het hoger management van een organisatie geeft richting aan de doelstellingen en de uitvoering van de beveiligingsprocessen. Bovendien zal dit MANAGEMENT & INFORMATIE 2002/1 Operationeel niveau Figuur 1: Informatiebeveiliging als stelsel van processen op strategisch, tactisch en operationeel niveau management zicht willen houden op de kwaliteit van de beveiligingsprocessen. Deze informatiebeveiligingsprocessen worden gebruikelijk ingedeeld volgens het model van figuur 1. Het strategische niveau zorgt voor het beleid voor informatiebeveiliging en de organisatie van de beveiligingsfunctie. Op het operationeel niveau leidt dit tot activiteiten en maatregelen. Daartussen bevindt zich op het tactisch niveau de functie informatiebeveiliging, die zorgt voor de vertaling van beleid naar maatregelen en activiteiten op operationeel niveau. Het beleid spreekt zich in algemene termen uit over de te bereiken situatie: de doelstellingen. De procesinrichting wordt gedefinieerd, inclusief de organisatievorm. Verantwoordelijkheden voor diverse beveiligingsaspecten worden toegewezen aan functies of functionarissen. Vele vormen zijn mogelijk. Als voorbeeld: veelal wordt onderscheid gemaakt in functies met verantwoordelijkheid voor het corporate risk management (directie), voor fysieke beveiliging (facilitair), voor financiële risico’s (controlling), voor personele beveiliging (personeelszaken), voor informatiebeveiliging (functie informatiebeveiliging), ICT-beveiliging (automatisering), toezicht (internal audit) en uiteraard de specifieke risico’s binnen de processen. Een directielid is portefeuillehouder voor het proces van corporate risk management. Deze laat zich hierin ondersteunen door een risk management comité. Binnen het proces risk management wordt ervoor gezorgd dat ook de beveiliging procesmatig wordt ingericht. Er wordt voor beveiliging een organisatievorm in het leven geroepen zoals een security forum. Binnen 51 dit forum wordt de samenhang tussen de verschillende functies bewaakt, en zal ook gesproken worden over de staat van de beveiliging en de impact van wijzigingen in het dreigingenbeeld. Behalve uitspraken over de doelstellingen, en het inrichten van de organisatiestructuur, zou het beleid zich kunnen uitspreken over de wijze waarop het beleid wordt vertaald naar operationele maatregelen. Ofwel: de doelstellingen formuleren voor de functie Informatiebeveiliging. Het Voorschrift Informatiebeveiliging Rijksdienst zegt bijvoorbeeld: er zij risicoanalyse. De praktijk is echter dat er geen of nauwelijks aanwijzingen worden meegegeven. Van de functie informatiebeveiliging wordt verwacht dat ze zelfsturend is, of op zijn minst zelf met voorstellen komt. Dat vraagt dus om een zekere professionaliteit binnen deze functie. De lastige situatie doet zich voor dat je juist in de fase van de opzet van de inrichting van informatiebeveiliging, een ervaren professional nodig hebt. En wellicht maar tijdelijk, misschien in een coachende rol. Over de inrichting van de functie wordt vandaag de dag zelden goed nagedacht. Dit legt de basis voor een verwachtingskloof. Dit leidt ook tot de genoemde grote diversiteit aan invullingen van deze functie. En dit leidt bovendien tot ongewenste, heftige, golfbewegingen rond de invulling van de functie. Een ‘sterke’ functie Informatiebeveiliging zal meer taken naar zich toetrekken, en een steeds zwaardere stempel op de organisatie drukken. Dit zwaardere stempel gaat op een gegeven moment knellen. Er ontstaat weerstand in de organisatie, en de ‘sterke’ functie wordt gesplitst, gereorganiseerd, gerationaliseerd of anderszins gemutileerd met als resultaat dat er weinig slagkracht meer resteert. Een zwakke functie zal zwak blijven, totdat een externe partij aan de bel trekt (rekenkamer, externe auditor, toezichthouder) of de noodzaak tot versterking blijkt uit een zwaarwegend incident. Duidelijkheid over wat de functie informatiebeveiliging de organisatie moet bieden is dus gewenst. Genoeg reden om het takenpakket nader onder de loep te nemen. DE FUNCTIE INFORMATIEBEVEILIGING Figuur 2 toont informatiebeveiliging op het tactisch niveau. Over informatiebeveiliging moeten voor een goed resultaat vaak organisatiebrede afspraken worden gemaakt. De functie informatiebeveiliging zorgt daarom voor: Algemene hulpmiddelen, in de vorm van methoden, technieken, raamwerken, enzovoorts, die op operationeel niveau worden ingezet; Afstemming met functies die aan beveiliging gerelateerde taken uitvoeren; Procesaanjaging: een functie informatiebeveiliging kan en moet ook een aanjagende en participerende rol hebben in de daadwerkelijke implementatie; Interne organisatie binnen de functie Informatiebeveiliging zelf. Aangezien het niet altijd praktisch is weinig voorkomende en/of specialistische taken op Strategie Tactiek Operationeel Directie Informatie beveiliging Afdeling A Overige staf Afdeling B Afdeling C Figuur 2: Invulling van het tactisch niveau 52 MANAGEMENT & INFORMATIE 2002/1 INFORMATIEBEVEILIGING operationeel niveau uit te laten voeren, is het goed voorstelbaar dat de functie informatiebeveiliging bovendien een aantal gespecialiseerde beveiligingsdiensten uitvoert. Hieronder wordt geschetst wat deze aspecten precies inhouden. DE ‘TOOLKIT’ VOOR INFORMATIEBEVEILIGING De functie informatiebeveiliging zorgt voor methoden, technieken en richtlijnen voor de vertaling van het beleid naar operationele maatregelen. Een deel van deze ‘toolkit’ is voor iedere organisatie specifiek. Maar een groot gedeelte van deze toolkit bestaat uit algemene hulpmiddelen, die op maat zijn gesneden voor de organisatie, ‘standaard maatwerk’. Wat voor soort hulpmiddelen moeten er centraal worden aangeboden? In de eerste plaats zijn dat de hulpmiddelen en ondersteuning die helpen bij de verdere detaillering of interpretatie van het beleid. Het zou éigenlijk niet de bedoeling moeten zijn dat de werkvloer in het duister tast over de praktische interpretatie van het beleid. Toch is dat wel vaak het geval. Beleid is nu eenmaal zelden te formuleren als een Ikeaconstructiegids. In de tweede plaats worden natuurlijk die hulpmiddelen aangeboden die noodzakelijkerwijs organisatiebreed worden ingezet. Om consistentie te verzorgen, omdat anders een onevenwichtige implementatie ontstaat, of om de noodzakelijke samenhang tussen de maatregelen te garanderen. Deze hulpmiddelen tezamen vormen de ‘toolkit’ voor informatiebeveiliging. Deze toolkit bevat tenminste de volgende hulpmiddelen. Basisniveau voor informatiebeveiliging. Dit is de verzameling beveiligingsmaatregelen die door de gehele organisatie, overal wordt geïmplementeerd. Deze set wordt ook wel de baseline genoemd. Deze maatregelen vormen samen een gemeenschappelijk basisniveau voor beveiliging. Deze maatregelen worden altijd geïmple- MANAGEMENT & INFORMATIE 2002/1 menteerd. Een goed vertrekpunt voor het basisniveau is de Code voor Informatiebeveiliging (ISO 17799/BS 7799), (zie tabel 1 op de volgende bladzijde). De functie informatiebeveiliging zorgt er voor dat er een basisniveau wordt vastgesteld en onderhouden, jaagt het proces aan dat tot implementatie leidt, en monitort de voortgang. Informatiebeveiliging, of het gebrek daaraan, is nu eenmaal een ‘sexy’ onderwerp dat al snel aandacht van de media krijgt Risicoanalyse. Risicoanalyse zorgt er voor dat er inzicht is in de beveiligingsbehoeften en -eisen. Het belang voor de organisatieprocessen staat hierbij voorop. Een risicoanalyse geeft de eisen voor vertrouwelijkheid, betrouwbaarheid van de informatie (integriteit) en beschikbaarheid. Ook kunnen eisen voortkomen uit wetten en regelgeving, zoals de privacywet, de wet computercriminaliteit, of het eerbiedigen of beschermen van het intellectueel eigendom (denk aan licenties). Voor de overheid is bijvoorbeeld het Voorschrift Informatiebeveiliging Rijksdienst van toepassing. De tweede stap in een risicoanalyse is de inschatting van de relevante dreigingen, nu of in de toekomst. De selectie van maatregelen vindt plaats op basis van deze analyses. Er worden complete stammenoorlogen gevoerd over de beste manier voor het uitvoeren van een risicoanalyse. Er leiden echter vele wegen naar Rome, het gaat tenslotte om de betrouwbaarheid van het verkregen inzicht en het resultaat. Is het noodzakelijk dat er precies één methode voor risicoanalyse in een organisatie is? Nee, maar het is wel praktischer. Er zijn wél afspraken nodig over in welke gevallen een risicoanalyse nodig is, wanneer een quick scan, en wanneer geen risicoanalyse nodig is maar het basisniveau voor beveiliging voldoende is. De functie informatiebeveiliging biedt de methode(n) aan voor risicoanalyse. Ze zou ook kunnen helpen bij de uitvoering. Dit omdat veelal specifieke deskundigheid en ervaring rond risicoanalyse nodig is, en ook om de resultaten van analyses beter vergelijkbaar te maken. 53 Beleid voor informatiebeveiliging Doelstellingen voor informatiebeveiliging vastleggen in termen van de bedrijfsbelangen. Het beleid wordt goedgekeurd en uitgedragen door het management. Het halen van de doelstellingen wordt aangestuurd en gecontroleerd. Organisatie van informatiebeveiliging Inrichten van de organisatie met beveiligingsfuncties, taken en verantwoordelijkheden, coördinatie, rapportagelijnen en autorisatieprocessen. Verantwoordelijkheid voor afspraken met derden over informatiebeveiliging worden vastgelegd. Classificatie en beheer van bedrijfsmiddelen Weten wat je in huis hebt door inzicht in de aanwezige bedrijfsmiddelen en hun verantwoordelijke ‘eigenaar’. Gebruik van classificatieschema’s voor informatie en systemen koppelt het belang van informatie en andere middelen aan specifieke beveiligingsmaatregelen. Beveiligingseisen ten aanzien van personeel Succesvolle informatiebeveiliging begint bij de medewerkers zelf. Daarvoor is nodig: training, security awareness, veilig gedrag op de werkvloer, aannamebeleid en functioneringsbeoordeling. Personeel moet weten waar beveiligingsincidenten moeten worden gemeld. Fysieke beveiliging en beveiliging van de omgeving Beveiliging van en in de infrastructuur vereist onder andere toegangscontrole bij de poort, fysieke beveiliging van computerruimten, decentrale computers en mobiele apparatuur. Toegang tot rondslingerende papieren wordt voorkomen met een clear desk policy. De continuïteit van de stroomvoorziening en datacommunicatie vraagt aandacht. Tevens zijn richtlijnen nodig voor middelen als organizers, mobiele telefoons, diskettes, tapes en documentatie. Beheer van communicatie en bedieningsprocessen Een goede organisatie van het IT-beheer kan de kans op fouten sterk verminderen. Dit vereist vastgelegde beheersprocedures, beheer van de technische beveiliging en verantwoordelijkheden voor dit beheer. Andere maatregelen zijn: antivirus-maatregelen, incidentafhandeling en -rapportage, beveiliging bij uitwisseling van gegevens met derden zoals E-mail, EDI. Een vaste methodiek, bijvoorbeeld ITIL Security Management, geeft steun. Toegangsbeveiliging De toegang tot informatie en IT-middelen wordt op bedrijfsmatige overwegingen gebaseerd. Dit vraagt een autorisatieproces voor toegang tot informatie en IT-middelen. De uitgegeven autorisaties worden procesmatig onderhouden, bewaakt en eventueel weer ingetrokken. Ontwikkeling en onderhoud van systemen Vroegtijdige aandacht voor de gewenste beveiligingsfunctionaliteit in nieuwe software, en veilige ontwikkelen onderhoudsmethoden leiden ‘zeker’ tot veilige systemen, die ook veilig blijven (change management). Continuïteits-management Een calamiteit hoeft nog geen ramp te worden indien vooraf is nagedacht over de eisen aan continuïteit en er een proces is voor continuïteitsborging inclusief calamiteitenopvang, rampenplannen en (geoefende) uitwijk. Naleving Door middel van auditing en controle wordt zichtbaar gemaakt of volgens de afspraken wordt gewerkt. Ook is er aandacht voor de naleving van wettelijke en contractuele voorschriften. Tabel 1: De 10 hoofdcategorieën voor beveiliging 54 Richtlijnen voor nieuwe systemen en andere wijzigingen. Deze richtlijnen beschrijven de wijze waarop beveiligingseisen aan de nieuwbouw of wijziging worden gesteld, de partners die betrokken zijn bij de verandering, de wijze waarop maatregelen worden vastgesteld en het proces voor change management dat wordt doorlopen. Raamwerken voor beveiligingsplannen. Dit zijn de algemene hulpmiddelen voor het opstellen van beveiligingsplannen. Deze plannen worden meestal alleen opgesteld voor die gevallen waarin ook een risicoanalyse moet worden uitgevoerd. De plannen zijn ook gebaseerd op de resultaten van risicoanalyse. Awareness campagnes. Succesvolle informatiebeveiliging staat of valt met de betrokkenheid van de medewerkers. Om het personeel alert en betrokken te houden, wordt het beveiligingsbewustzijn organisatiebreed gestimuleerd. Self assessment materiaal. Op basis van self assessments (eigen beoordelingen) kan men in de organisatie zelf een analyse maken van hun risico’s en hun compliance met de richtlijnen. Met een handige terugkoppeling van self assessment resultaten ontstaat bovendien een bedrijfsbreed inzicht. Incident management. Afspraken over het melden en afhandelen van allerlei typen beveiligingsincidenten. Derde partijen, uitbesteding, contracten. Afspraken over de wijze waarop beveiligingsafspraken met derde partijen (partners, klanten/leveranciers, service providers) worden gemaakt. Deze afspraken kunnen bijvoorbeeld worden vastgelegd in Service Level Agreements (SLA’s) of in contracten. Goeie afspraken zijn altijd nodig in het geval van externe koppelingen. De contracten zelf worden op advies van Juridische Zaken vastgesteld. Dit overzicht geldt voor vrijwel alle organisaties. Aanvullingen op deze ‘toolkit’ zijn natuurlijk goed mogelijk. Denk hierbij aan raamwerken voor omgang met privacy-gevoelige informatie, afspraken over het onderhouden van toegangsrechten en bijvoorbeeld afspraken MANAGEMENT & INFORMATIE 2002/1 INFORMATIEBEVEILIGING over interne en externe communicatie over beveiliging. Dit laatste wordt steeds belangrijker. Informatiebeveiliging, of het gebrek daaraan, is nu eenmaal een ‘sexy’ onderwerp dat al snel aandacht van de media krijgt. Dan kunt u beter uw one-liners klaar hebben liggen. Want tijd voor nuance is er meestal niet. De term ‘beveiligingsmaatregel’ is enigszins misleidend AFSTEMMING EN COÖRDINATIE Beveiliging is een veelzijdig onderwerp. Samenwerking van verschillende functies is nodig om tot een goed en evenwichtig resultaat te komen. Op het gebied van risico management en beveiliging in het algemeen wordt samengewerkt in het reeds genoemde risk management comité en het security forum, zie figuur 3. Het risk management comité richt zich daarbij op de strategie. Risico management is veel breder dan alleen beveiliging, en gaat vooral in op de risico’s in de bedrijfsvoering. De portefeuillehouder voor risico management trekt dit overleg. Met name de procesverantwoordelijken, dus de lijnmanagers, zijn in dit overleg actief. De strategie wordt in dit overleggremium bepaald. Het security forum zorgt er voor dat de strategische richtlijnen van het Risk Management Comité, voor zover relevant voor beveiliging, consistent kunnen worden geïmplementeerd door de staven en afdelingen. Dit overleg heeft een duidelijk mandaat nodig. Bínnen de funcStrategie Tactiek Operationeel Risk Management Comité Security Forum Staven en afdelingen Figuur 3: Afstemming en coördinatie MANAGEMENT & INFORMATIE 2002/1 tionele verantwoordelijkheden van de deelnemers kunnen in het overleg uiteraard de noodzakelijke beslissingen worden genomen. Búiten de verantwoordelijkheden van de deelnemers zal het mandaat wellicht beperkt zijn tot het uitbrengen van advies aan de directie. Tussen de volgende functies is afstemming over beveiliging nodig. Participatie in het security forum, permanent of op ‘oproep’-basis, ligt dus voor de hand: Portefeuillehouder Corporate Risk Management of vertegenwoordiger vanuit het Risk Management Comité: borgt de implementatie van het beleid en functioneert als linking pin tussen het tactisch en het strategisch niveau. Mocht de, zonder twijfel, drukbezette portefeuillehouder zelf niet kunnen participeren, dan is een goede keuze de functionaris informatiebeveiliging zelf deel te laten nemen in het Risk Management Comité. Facilitaire zaken: is verantwoordelijk voor de implementatie van de eisen rond fysieke beveiliging van terreinen, gebouwen en ruimten. Is veelal ook verantwoordelijk voor toegangspasjes, beheer van sleutels, aan- en afvoer van goederen/bedrijfsmiddelen, ontruimings- en continuïteitsplannen, enzovoorts. Personeelszaken: is verantwoordelijk voor de implementatie van de eisen rond personele beveiliging, inclusief het verifiëren van de betrouwbaarheid van het personeel bij aanname (variërend van het natrekken van referenties en diploma’s tot echte screening met antecedentenonderzoek), bewaking van opleidingsniveaus, opname van beveiligingstaken in functieprofielen, geheimhoudingsverklaringen, enzovoorts. Informatiebeveiliging: verantwoordelijk voor alle gemeenschappelijke aspecten rond informatiebeveiliging, zoals besproken in de vorige paragraaf. Automatisering: verantwoordelijk voor de implementatie van de eisen rond technische beveiliging in de algemene IT-infrastructuur en in de applicaties zelf. Juridische zaken: adviseert in contractaangelegenheden. Auditing: mogelijk is ook auditing in het tactisch overleg betrokken. Dit om zeker te stellen dat audit goed is geïnformeerd en de auditactiviteiten trefzeker kan inrichten. 55 PROCESAANJAGING De feitelijke implementatie van beveiligingsmaatregelen is de taak is van de (staf)afdelingen zelf. Dat neemt niet weg dat binnen de functie informatiebeveiliging veel kennis en ervaring aanwezig is die het implementatieproces kunnen versnellen. De methoden en technieken zijn immers ook afkomstig van Informatiebeveiliging. Ten tweede zal actieve betrokkenheid bij het gebruik van de methoden en technieken een beter inzicht geven in de praktische bruikbaarheid ervan. Ten derde ontstaat hierdoor inzicht in de voortgang, zonder als politieagent op te hoeven treden. INTERNE ORGANISATIE Ook bij de functie informatiebeveiliging is organisatie van taken, verantwoordelijkheden en bevoegdheden nodig. Gelijk voor iedere functie, is ook hiervoor een organisatiestructuur nodig. Meer dan bij andere functies is het daarbij van belang concrete voortgang te boeken en deze zichtbaar te maken. De baten-kant van informatiebeveiliging is immers moeilijk meetbaar in euros. Verbeteringsactiviteiten worden vastgelegd in meerjaren- en jaarplannen. Ook wordt een korte-termijnplanning aangehouden, waarin voldoende flexibiliteit is opgenomen om in te spelen op acute behoeften, incidenten en veranderingen in de omgeving. ken die hiervoor in aanmerking komen zijn afhankelijk van het soort organisatie. Enkele voorbeelden zijn: uitvoeren risicoanalyse, opstellen beveiligingsplannen, fraudedetectie en -preventie, uitvoeren awareness campagnes, uitvoeren taken op cryptografisch gebied, en autorisatiebeheer. Deze diensten worden dus uit praktische overwegingen centraal aangeboden. TOT SLOT In dit artikel is impliciet uitgegaan van grotere, hiërarchische organisatievormen. Bij kleinere organisaties zijn de functies natuurlijk hetzelfde, maar compacter georganiseerd. In gedistribueerde organisaties met min of meer zelfstandige bedrijfsonderdelen zal de organisatievorm voor de functie Informatiebeveiliging die van moeder- en dochterbedrijven volgen. Hoeveel informatiebeveiliging is genoeg? De eerste stap in iedere discussie over de invulling van de functie informatiebeveiliging is inzicht te bieden in de daar uit te voeren taken. Vervolgstappen zijn dan de bepaling van de formatie, en de zwaarte van de individuele functies. Op deze wijze is de noodzakelijke, meer duurzame, invulling van informatiebeveiliging eenvoudig te realiseren. Referenties De volgende bronnen zijn gebruikt: Code of Practice for Information Security Management (BS7799:1999)/Code voor Informatiebeveiliging (2000) – uitgave NEC/Nederlands Normalisatie Instituut te Delft Informatiebeveiliging onder controle, ISBN 90-4300-2895. GESPECIALISEERDE BEVEILIGINGSDIENSTEN Beveiligingsbewustzijn bij gegevensbescherming, ISBN 90-2672247-8 Informatiebeveiliging 2e druk, ISBN 90-72194-57-8 Informatiebeveiliging Jaarboek 2002 – 2003 (nog te verschijnen) Het is niet praktisch om weinig gebruikte expertise binnen de afdelingen zelf op te bouwen. Ook voor zeer gespecialiseerde activiteiten is veelal geen plaats. Het is een reële mogelijkheid dit soort taken als service aan te bieden vanuit de functie informatiebeveiliging. Als een soort servicecenter voor informatiebeveiliging. De ta- 56 Over de auteurs Dr. ir. Paul Overbeek RE en dr. Edo Roos Lindgreen RE zijn resp. senior manager en partner bij KPMG Information Risk Management. Roos Lindgreen is bovendien docent IT & Auditing aan de Universiteit van Amsterdam. MANAGEMENT & INFORMATIE 2002/1
