Veel mensen hebben deze dagen last van een zomergriepje. De overlast wordt meestal veroorzaakt door een bacterie of een virus of een ander micro-organisme. Vaak wordt de barbecue als boosdoener aangewezen. Of zwemmen in vies water. Meestal is het griepje na een paar dagen weer over, soms duurt het langer. Het is vervelend en je kunt er niet veel aan doen.
PC’s zijn ook bevattelijk. Een half jaar geleden hadden veel PC’s last van Melissa en Back Orifice. De afgelopen maanden zijn er een heleboel nieuwe virussen, wormen en Trojaanse Paarden bij gekomen. ExploreZip veroorzaakte wereldwijd aanzienlijke overlast. Back Orifice kreeg een intelligente opvolger, Back Orifice 2000 (BO2K). De schrik zat er goed in. Alleen al de aankondiging van de aankondiging van BO2K haalde de voorpagina’s van onze dagbladen. Tenslotte was er PrettyPark, in de digitale pers omschreven als een gevaarlijk Frans wormachtig e-mailvirus met Trojaanse eigenschappen en een eigen IRC-kanaal. Angstaanjagend, maar tot op heden niet in Nederland gesignaleerd.
Deskundigen vrezen dat we nooit meer van het digitale ongedierte af zullen komen. Gelukkig zijn er goede bestrijdingsmiddelen in de handel. Deze middelen zijn over het algemeen redelijk effectief, maar zijn beperkt houdbaar en moeten tenminste één keer per maand worden ververst. Daarnaast moet u ze met de nodige zorg inzetten, omdat het middel soms erger is dan de kwaal. Een voorbeeld. Sommige virusscanners zijn zo krachtig dat ze doordringen tot de ‘boot sector’ van uw harde schijf. Gebruikt u een encryptiepakket waarbij op die plaats encryptiesleutels worden opgeslagen, dan loopt u het risico dat de virusscanner uw sleutels uitroeit en uw gegevens voorgoed onbereikbaar maakt.
Virusbestrijding is maar een klein onderdeel van alles wat je moet doen om je informatiesystemen tegen onheil te beschermen. Informatiebeveiliging begint inmiddels zo’n breed werkterrein te worden dat een integrale aanpak de moeite loont. De bekende Code voor Informatiebeveiliging, ook bekend als British Standard 7799, bewijst hierbij goede diensten. De Code is net als de bekende beheerstandaard Itil (Information Technology Infrastructure Library) een ‘best practice’. Beide zijn gebaseerd op de praktische ervaring van een groot aantal toonaangevende organisaties. Onderzoek wijst uit dat inmiddels ruim 10 procent van alle bedrijven en instellingen in Nederland de Code gebruikt als basis voor de informatiebeveiliging. De meeste organisaties die de Code niet gebruiken, blijken niet te weten dat hij bestaat. Bij deze rechtgezet. De Code wordt uitgegeven door het Nederlands Normalisatie-instituut. In Engeland is inmiddels een nieuwe versie verschenen; de Nederlandse zal niet lang op zich laten wachten.
De Code is een vrij droge opsomming van maatregelen. Dit in tegenstelling tot Itil, dat helemaal volgens de procesbenadering is opgezet. Groot was de vreugde in beveiligingsland toen dit voorjaar het Itil-proces Security Management uitkwam. En nog groter was de vreugde toen bleek dat Security Management grotendeels gebaseerd was op de Code voor Informatiebeveiliging. Itil Security Management is een bijzonder proces. Het probeert zoveel mogelijk beveiligingsmaatregelen uit te besteden aan andere processen. Beveiliging wordt op die manier zoveel mogelijk geïntegreerd in het dagelijkse werk van de IT-organisatie.
Dat betekent niet dat u met Itil Security Management automatisch een middeltje voor de bestrijding van digitale zomergriepjes in huis heeft. Itil Security Management beschrijft in grote lijnen wat je moet doen, en hoe. Maar welk ongedierte je precies moet bestrijden en welke middeltjes je daarbij moet gebruiken, wordt er niet bij verteld. Dat is logisch voor een standaard die langer mee moet gaan dan vandaag. Maar het is niet genoeg voor de gemiddelde systeembeheerder. Hij is immers degene die alle systemen maandelijks een nieuwe griepprik moet geven. Dit blijkt in de praktijk een hele opgave. Niet alleen omdat er zoveel verschillende systemen zijn, maar ook omdat je als systeembeheerder niet altijd precies weet welke systemen er zijn, laat staan waar die zijn. Elke epidemioloog kan je vertellen dat je voor een succesvol inentingsprogramma ook een goede patiëntenregistratie moet hebben. Dat geldt ook voor computers. Met andere woorden: Security Management kán niet zonder Configuration Management. Dat zeg ik! Configuration Management!
