Hoewel beveiliging voor elke onderneming een standaard onderdeel zou moeten zijn van de hele bedrijfsstructuur en -cultuur, is het dat zelden. Meestal komt de organisatie niet verder dan de inzet van technologische oplossingen, en ontbreken centraal beleid, voldoende controlemechanismen en expliciete verantwoordelijkheden. Beveiliging mag geen zaak van de ict-afdeling zijn, maar moet op bedrijfsniveau worden aangestuurd door een beveiligingsmanager. Voor het opzetten van een certificeerbaar systeem voor beveiligingsmanagement kan hij de op de ISO 17799-standaard gebaseerde Code voor Informatiebeveiliging gebruiken.
De zorgsector De ISO 17799-standaard fungeert ook als basis voor andere kwaliteits- en beveiligingsstandaarden voor specifieke marktsegmenten. Voor de zorg is sinds kort de NEN 7510-norm beschikbaar, ontwikkeld door de Normcommissie Informatiebeveiliging in de Zorg (Ibiz) van het NEN. Deze norm besteedt veel aandacht aan enerzijds de kwaliteit van de zorgverlening, die gemakkelijke en snelle toegang tot informatie vereist, en anderzijds de bescherming van de privacy van patiënten. De NEN spreekt van het spanningsveld tussen de noodzaak van beschikbaarheid van gegevens en die van privacybescherming, en het vinden van een goed evenwicht tussen die beschikbaarheid en exclusiviteit. Bovendien gaat het om zoveel mensen, instellingen, instanties en verschillende soorten gegevens dat informatiebeveiliging in de zorgsector een complexe aangelegenheid is. Waar de ENV 12924-norm zich beperkt tot de bescherming van gevoelige gegevens opgeslagen en verwerkt door computersystemen, bestrijkt de NEN 7510-norm alle data in de hele organisatie. Het resultaat moet een omgeving zijn waarin voor alle processen de risico’s en beveiligingsmaatregelen zijn gespecificeerd, en controlemechanismen zijn opgezet. Behalve de normen zelf is er ook een implementatieplan beschikbaar, en uitgewerkte voorbeelden voor de huisartspraktijk, de praktijk voor fysiotherapie, het algemeen ziekenhuis, de psychiatrische instelling, de thuiszorg, het streeklaboratorium en de regionale netwerkorganisatie. Op dit moment wordt de laatste hand gelegd aan de definitieve NEN 7510-standaard. De tweede fase van het project omvat het organiseren van de uitrol. Inmiddels werkt ook de ISO zelf aan een 17799-norm specifiek voor de gezondheidszorg. Daarbij wordt in ieder geval gekeken naar de Amerikaanse wetgeving hiervoor (Health Insurance Portability and Accountability Act, Hipaa). |
In de meeste gevallen blijken de eigen mensen echter verantwoordelijk voor de problemen. Het gaat dan niet alleen om moedwillige inbraak en vernieling, maar vooral ook om laksheid, onwetendheid en gebrek aan tijd en prioriteit, vaak veroorzaakt door onwerkbaarheid en gebruiksonvriendelijkheid van de technologie die ons moet beschermen. Overbekend zijn de wachtwoorden die in agenda’s staan en op monitoren worden geplakt, eenvoudigweg omdat het er te veel zijn. Net zo bekend is kwetsbaarheid van het aannemen en afscheid nemen van werknemers, met alle rituelen rond wachtwoorden, toegangspasjes, laptops en toegang op afstand. Anderen kunnen misbruik maken van de gaten die op deze manier in de beveiliging vallen.
Wantoestanden
Met de beveiligingstechnologie zelf blijken we meestal behoorlijk uit de voeten te kunnen. De inbedding daarvan in de organisatie, veiligheidsbeleid ontwikkelen, afspraken maken en personeel opvoeden blijkt veel lastiger te zijn. Eigenlijk zou beveiliging voor elke onderneming onderdeel moeten zijn van de hele bedrijfsstructuur en -cultuur, maar het is dat in de praktijk zelden. Meestal komen organisaties dan ook niet veel verder dan die technologische oplossingen en wat daar direct aan vast zit. De rest is meestal te vrijblijvend doordat geen goede controlemechanismen zijn geïmplementeerd.
Beveiliging mag dan ook geen zaak van de ict-afdeling zijn. Wat dat betreft zijn systeem- en netwerkbeheerders zelf net zo gemakzuchtig als de gebruikers die ze verafschuwen. Bij een van de grote Nederlandse multinationals had de afdeling die de ict-infrastructuur van het bedrijf onder haar hoede had een paar jaar terug zo veel wachtwoorden voor de routers, switches, firewalls, Unix-systemen en noem maar op, dat ze alles in één groot bestand heeft gezet. Dat heeft ze vervolgens met een eenvoudig encryptieprogramma en één wachtwoord beschikbaar gemaakt voor alle medewerkers.
Dit soort wantoestanden zijn alleen te voorkomen als beveiliging voldoende prioriteit heeft, en er voldoende druk op de ketel staat om die aandacht vast te houden. Een lichtpuntje is dat de technologie ons steeds meer te hulp komt. Steeds meer zaken die nu nog veel aandacht vragen van de organisatie worden in technologie gevangen. Systemen die ons leven de komende tijd wat dat betreft gemakkelijker zullen maken, richten zich bijvoorbeeld op sso (single sign-on), centraal gebruikersbeheer op basis van directoryservices en ldap (light-weight directory access protocol), functiegebaseerd beveiligingsbeleid, identiteitsmanagement en drm (digital rights management).
In kaart brengen
Hoewel de technologie langzaam maar gestaag naar een hoger niveau kruipt, zijn de mogelijkheden ervan beperkt. Alle grotere bedrijven zouden een beveiligingsmanager moeten aanstellen die zich specifiek bezighoudt met de veiligheid van de onderneming. Juist omdat beveiliging elk onderdeel van een bedrijf raakt, is men er op lokaal niveau overal wel mee bezig, maar ontbreekt het daardoor gek genoeg regelmatig ook aan iemand die de beveiliging centraal aanstuurt en daarvoor verantwoordelijk is. Die moet samen met het management de veiligheidsrisico’s, de mogelijkheden en de kosten tegen elkaar afwegen en het resultaat omzetten in beleid. Vervolgens moet hij zorgen dat dit in de hele organisatie wordt doorgevoerd en dat er controlemechanismen worden opgezet.
Beveiliging is daarmee een bedrijfsaangelegenheid geworden. Dit betekent dat budgetten moeten worden verantwoord in roi-berekeningen (return on investment). De opbrengsten van een beveiligingsbeleid zijn echter alleen te meten in risico’s, schade en statistische kansen. Risico-analyses en ‘assessments’ zijn de juiste gereedschappen om deze parameters in kaart te brengen.
Eisen
Wie bang is dat hij voor zijn organisatie alles van de grond af moet opbouwen, kan gerust zijn. De ISO 17799-standaard bevat een uitgebreid overzicht van ‘best practices’ voor de invoering en het onderhoud van informatiebeveiliging voor de hele organisatie. In de tien secties van het eerste deel worden de zaken rond personeel, organisatie, beleid, classificatie en controle van middelen, fysieke beveiliging, omgeving, communicatie, werkzaamheden, toegangscontrole, systeemontwikkeling en -onderhoud, en bedrijfscontinuïteit op een rijtje gezet. In het tweede deel staan de eisen voor certificering. Op die manier valt niet alleen een omgeving te creëren waarin bepaalde waarborgen voor beveiliging gelden, maar kunnen deze ook fungeren als middel om je te onderscheiden van de concurrentie.
Standaarden BS 7799 Security Zone http://www.thewindow.to/bs7799/ ISO 17799 http://www.17799.com ISO 17799 toolkit http://www.iso17799-made-easy.com ISO 17799 service- en softwaredirectory http://www.iso17799software.com Cobra risico-analyse en -management http://www.riskworld.net Computer security policy directory http://www.computer-security-policies.com Rusecure information security policies http://www.information-security-policies.com Interactive security manual http://www.security-manual.com ISO 17799 community portal http://www.17799.com Schema voor certificatie van informatiebeveiliging op basis van BS 7799-2 http://www.ecp.nl/publications/SchemaBS7799-2v2.pdf NEN: Norm voor informatiebeveiliging in de zorg http://www.nen.nl/nl/act/spec/ibiz/ http://Informatiebeveiliging.nl http://www.informatiebeveiliging.nl |
In Nederland is een vertaling van de internationale standaard door ECP.NL vastgelegd in de Code voor Informatiebeveiliging. Het ‘Centraal College van Deskundigen’ beheert deze. De standaard zelf is verkrijgbaar bij het Nederlands Normalisatie Instituut NEN.
Zelf te doen
Hoewel het complete traject tot aan certificering een kostbare aangelegenheid is, zijn de eerste stappen betaalbaar. De ISO 17799 Toolkit is een prima startpunt voor iedereen die in zijn organisatie met informatiebeveiliging aan de slag wil gaan. Deze kit bevat naast de standaarden zelf een overzicht met honderden beleidslijnen, een presentatie voor het management, een bedrijfscontinuïteit- en ‘herstel na rampen’-planningkit, een netwerkauditingkit, een vragenlijst voor analyse van de impact op de bedrijfsactiviteiten en de route voor het certificeringtraject.
Voor hulp bij de implementatie kunnen organisaties terecht bij de grote zakelijke dienstverleners en systeemintegrators. De hele toolkit is zo opgezet dat de behoefte aan dure beveiligingsadviseurs minimaal is. De ISO 17799-standaard heeft expliciet tot doel de hele beveiliging inzichtelijk te maken zonder daarvoor gespecialiseerde kennis op te bouwen of in te huren. Het meeste moet dan ook goed zelf te doen zijn. Het inbouwen van controlemechanismen op processen en in de organisatie maakt bovendien niet alleen het eigen beveiligingsmanagement eenvoudiger, maar ook audits sneller en dus goedkoper uitvoerbaar.
De meest gebruikte tool bij dit alles is Cobra Risk Consultant, een pc-programma voor analyse van lekken en risico’s. Daarmee worden bedreigingen en kwetsbaarheden geïnventariseerd, de risico’s en gevolgen voor de onderneming ingeschat, en aanbevelingen gedaan om die risico’s te beperken. Een evaluatieversie is van internet te downloaden en vijftien dagen uit te proberen.
Wie uiteindelijk besluit de ISO 17799-certificering te willen behalen, kan daarvoor terecht bij Kpmg en de Kema. Het certificaat is drie jaar geldig en moet elk jaar geverifieerd worden. In Nederland zijn inmiddels enkele tientallen organisaties gecertificeerd, waaronder CAK-bz, Consul Risk Management, het ministerie van Verkeer en Waterstaat, Origin, Shell en Urenco. Op de site van ECP.NL is een gedetailleerd overzicht van het hele traject te vinden.< BR>