Vaak krijg ik de vraag van bedrijven wat ze moeten doen om veilig te zijn voor de buitenwereld, maar ook voor de interne medewerkers. De gesprekken gaan dan vaak over Firewalls, antivirus, anti malware en dergelijke. Dat is wel goed allemaal, maar het meest belangrijke word dan vaak vergeten.
Om echt veilig te zijn moet er gestart worden met een beveiligingsbeleid. Binnen het bedrijf waar ik voor werk, DeltaISIS hebben we mensen getraind in het begeleiden en maken van een op maat gemaakt beveiligingsbeleid.
Maar wat is nu een beveiligingsbeleid? Een goed beveiligingsbeleid beschrijft een aantal punten.
- Server security
- Netwerk security
- Cliënt security
- DMZ security
- Email en Internet beleid
Server security
Server security beschrijft een standaard waaraan elke server moet voldoen voordat deze operationeel geplaatst word. Het beschrijft de local security policy, inrichtingsspecificaties maar ook de local hardening.
Het testen van een server kan handmatig gedaan worden, maar dat leid vaak tot vergeten, of nog erger, niet doen. Er zijn echter goede tools om dit te doen. Altiris heeft een oplossing genaamd Altiris security expressions en Audit express. Met behulp van deze software is het niet alleen mogelijk om een server te scannen voordat hij live gaat, maar ook om op wekelijkse of maandelijkse basis te scannen. De rapportages die dan ontstaan kunnen vervolgens als KPI ( Key performance Indicator) gebruikt worden.
Netwerk security
Bij netwerk security worden alle componenten beschreven. Meestal denkt men dan alleen aan de firewall, maar er is natuurlijk veel meer.Denk eens aan subnetting! Door het gebruik van subnetting op grotere netwerken word het netwerk als het ware verdeelt in meerdere netwerken.
Ontstaat er een calamiteit op een segment door een Trojan Horse of een virus dan word de rest niet te snel besmet. Het beschrijft de firewall, de switches, maar ook componenten als scanner/printers, Proxy servers en patchpunt beveiliging.
Client security
Client security beschrijft waaraan een pc moet voldoen voordat hij gebruikt kan worden. De policy's moeten geladen zijn. De proxy moet gezet worden. Maar ook of de client wel in het netwerk mag.
Voor vaste pc's is dit niet al te ingewikkeld. Met behulp van Altiris security Expressions kunnen deze ook gescand worden. Maar vaak wil je continu weten of een pc wel voldoet. Zeker bij laptops die niet continu in het netwerk geplaatst zijn is dit vaak moeilijk. Ook hiervoor is er een oplossing. Met behulp van Symantec SEP 7 ( Security Endpoint Protection) monitort een agent continu een pc.
Op het moment dat de pc besmet raakt of niet voldoet dan sluit SEP de pc af van het netwerk en kan het virus zich niet verder verspreiden. Geïntegreerd in SEP 7 zit dan ook nog eens een heel mooie oplossing waarmee actief een WIFI of Bluetooth poort gemonitord word. Je wilt natuurlijk niet dat als een gebruiker op je secure netwerk is ingelogd deze de WIFI poort aan heeft staan en daarom via een Peer to Peer connectie je netwerk kompleet open zet. Meerdere malen hebben we al geconstateerd dat dit tot een groot risico op je netwerk leidt.
DMZ Security
Je DMZ is de toegang tot je netwerk, en alleen gescheiden door een firewall. Maar telkens weer zien we dat het DMZ ook meteen een groot risico is. DMZ servers die door de firewall toegestaan word om LDAP queries te doen zodat gebruikers maar 1 wachtwoord hoeven te onthouden. Dat zijn dus compleet open deuren voor kwaadwillende.
E-mail- en internetbeleid
Mogen je gebruikers zomaar alle Internet sites bezoeken en/of alle e-mail openen? Heb je dit ingeregeld op je proxy en/of je email server? Heel vaak lopen we dan achter de feiten aan. We kunnen simpelweg niet op elk moment van de dag weten wat wel en wat niet gevaarlijk is. In een goed beleid kunnen we gebruikers bewust maken van het gevaar van hun gedrag.
Het simpelweg blokkeren van alles waar het woord SEX in voorkomt lijkt een goede maatregel, maar je klant in Sussex die net een gigantische order heeft geplaatst word er niet blij van. En je baas ook niet want de order blijft steken in je email of firewall.
Beveiligingsbeleid
Wat zijn de belangrijkste punten waaraan je moet voldoen om een goed beveiligingsbeleid te hebben?
-
Het volledige management moet het beleid dragen. Je hebt niets aan een beleid als er geen sancties tegenover staan. Wat vaak als sanctie goed werkt is een aangetekende brief aan de gebruiker die zich niet volgens de regels gedraagt, en een aantekening in zijn/haar dossier. Indien het dan een periodieke beoordeling kan beïnvloeden, dan werkt het heel erg goed.
-
Je medewerkers moeten op de hoogte zijn van het beleid en dit regelmatig kunnen inzien. Plaats het op het intranet. Maar stuur het ook aan alle medewerkers.
-
Stel het NIET zelf op. Vaak over zie je dan zaken, en dat leid tot nog ergere gevolgen. Het geeft een vals gevoel van veiligheid. Huur een gespecialiseerde consultant in die het beleid voor je ontwerpt. Mensen van DeltaISIS zien vaak een falend beveiligingsbeleid en moeten het dan goed maken. En dan blijkt dat er cruciale zaken over het hoofd zijn gezien.
-
Selecteer in je bedrijf een vertrouwens persoon met een functie op HR of P&O, en een medewerker van ICT die je primair verantwoordelijk maakt voor een correcte naleving.
-
Koop geen monitor tools, maar selecteer een tool die in jouw omgeving niet alleen monitort, maar ook gebruikt kan worden voor auditing. Onder het motto voorkomen is beter dan genezen.
Maar vooral! Begin met een goed advies van een partij als DeltaISIS die de basis uitzet en als leidraad dient voor een juiste en correcte implementatie van je eigen bedrijfs security beleid.
Op zich goed natuurlijk om te beginnen met een security beleid, alleen moeten daar natuurlijk wel de correcte zaken in staan. Met subnetten bereik je namelijk weinig op security gebied. Het idee van subnetten is dat je broadcast-domeinen verkleint en IP-adressen kunt besparen, maar op beveiligingsgebied schiet je er maar weinig mee op. Als het goed is staat er namelijk altijd een router die de routes naar de betreffende subnetten weet, anders is er in het geheel geen communicatie tussen de verschillende subnetten mogelijk. Dat lijkt me niet handig. Als je dan op netwerkgebied iets van beveiliging wilt invoeren zul je toch eerder moeten denken aan access-lists (vergelijkbaar met de functie die een firewall vervult), VLANs en/of port security. Verder zijn er nog heel veel zaken die ontbreken in bovenstaand verhaal, maar ik ga ervan uit dat het niet de bedoeling was om een complete opsomming te maken van alles dat in het beveiligingsbeleid moet worden benoemd. Het belangrijkst is natuurlijk wel dat ook de gebruikers hun steentje bijdragen aan het security beleid. Daarom zou elke nieuwe medewerker sowieso een soort verklaring moeten ondertekenen dat hij zich houdt aan het gestelde security beleid. Daar moeten dan ook simpele dingen in staan zoals dat van iedere gebruiker wordt verwacht dat hij verantwoord met zijn wachtwoorden omgaat (dus niet op briefjes onder je monitor etc.), alleen werkgerelateerde en expliciet toegestane sites bezoekt en geen ongeauthoriseerde software op zijn pc/laptop installeert.
Beveiligingsbeleid is niet een enkel document wat op het infranet staat en wat iedere medewerker moet ondertekenen. Beveiligingsbeleid hoort gepresenteerd te worden als een overzichtelijke structuur van documenten, die ieder een specifiek onderwerp hebben, zoals de genoemde gebieden en te passen binnen de bedrijfscultuur.Heel belangrijk is een korte verklaring van de directie dat zij het belang deze beleidsdocumenten onderschrijven, want daarmee krijgt het gehele beleid inhoudelijke waarde. Zonder zo’n verklaring zijn het maar mooie loze woorden.
Bij het vaststellen van beveiligingsbeleid moet voorkomen worden dat beleid technisch ingevuld wordt. In dat laatste geval zal het beleid weinig “tijd bestendig” zijn. Een duidelijke structurering van “beleid” is de volgende opdeling. Algemeen beleid (general policies – hierin wordt door het management de missie en doelen m.b.t. beveiliging vastgesteld), Functioneel beleid (Functional policies – hierin worden algemene beveiligingsrichtlijnen vastgesteld) en tenslotte zijn er de Standaards, baselines, procedures, en guidelines. Al deze zaken representeren het beleid en zorgen voor een consistente beveiliging. Het grootste probleem met beleid is dat te snel technische keuzes als beleid worden benoemd. Een voorbeeld hiervan is de DMZ uit het hoofdartikel. Een DMZ is niet meer dan een vorm van segmentering of hooguit een meerlaagsverdediging, maar er zijn andere vormen. Het beleid moet de segmentering regelen (bijv. de scheiding van data en user interface in verschillende segmenten) niet de technische implementatie.