Informatiebeveiliging begint bij de beveiliging van de basis ict-infrastructuur: de netwerken en computersystemen. Hiermee bent je er echter nog lang niet. Beveiliging omvat een groot aantal andere aspecten: technisch, organisatorisch, fysiek en procedureel. Het is dan ook uitermate belangrijk om een goed beveiligingsbeleid te creëren omdat het werkelijk bijdraagt tot één van de basispeilers van bijna elke onderneming. Een minimum is nodig om tot goede werking te komen en aangezien ict ook aan de basis ligt van elke onderneming, zullen we ons ook eventjes focussen op het ict-beveiligingsbeleid. Dit beleid valt meestal op te delen in serversecurity, netwerksecurity, cliëntsecurity, DMZ-gatewaysecurity en e-mail-/internetveiligheid.
Ik zet eventjes een aantal kernpunten op een rijtje:
– Gebruikersgemak en informatiebeveiliging zijn twee kampen die elkaar bestrijden en mogelijk zelf tegenstrijdig zijn. In de praktijk volgt vaak een compromis.
– Informatiebeveiliging vormt meestal het sluitstuk op de begroting. Bij projecten is het vaak geen integraal onderdeel. Beveiliging is veelal niet zichtbaar, complex en heeft een stevig prijskaartje.
– De kracht van de beveiliging zit in de kracht van de zwakste schakels.
– Informatiebeveiliging wordt gelaagd opgezet. Een van de belangrijkste lagen is de fysieke gebouwbeveiliging met een passende toegangscontrole. Tegenwoordig hoeft men het gebouw niet meer in om bij de informatiesystemen te komen.
– Vertrouwen is de slechtste basis voor beveiliging en veiligheid.
– Beveiliging heeft een sterk operationeel component. Men dient continu alert te zijn. Internet is een grote informatiepot voor het verkrijgen van actuele hackerinformatie en de opzet van georganiseerde aanvallen.
– Een aanval vanuit de organisatie heeft het meeste succes en hier wordt in relatie tot externe aanvallen nog onvoldoende aandacht aan gegeven.
– Een ander probleem bij informatiebeveiliging is de awareness erbij, ook dit wordt nog steeds verwaarloosd in de meeste bedrijven.
Serversecurity beschrijft een standaard waaraan elke server moet voldoen voordat deze operationeel geplaatst wordt. Het beschrijft de local security policy, de algeheel correcte configuratie maar ook de lokale hardening van de systemen. Het testen van een server kan handmatig gedaan worden, maar dat leidt vaak tot het vergeten of tot het uiteindelijk niet uitvoeren ervan. Er zijn echter goede remote audit tools om dit te doen. Belangrijk is dat we ook regelmatig rapporten hierbij kunnen opvragen. En hoe zit het met de updates of patches? Ook hierin moet het bedrijf via het beleid een duidelijke stelling aannemen.
Bij netwerksecurity worden alle componenten beschreven. Meestal denkt men dan alleen aan de firewall, maar er is natuurlijk veel meer. Verscheidene securityfabrikanten hebben ook nog interne IDS/IPS-systemen die op bepaalde strategische punten kunnen worden ingezet en geconfigureerd. Ook deze configuraties en plaatsing in het netwerk is iets wat duidelijk beschreven zou moeten worden in het beleid. Dus firewall, switches, IPS/IDS-systemen maar ook componenten als scanner/printers en proxyserverconfiguraties moeten beschreven worden.
Clientsecurity beschrijft waaraan een pc moet voldoen voordat hij gebruikt kan worden. Het gaat in feite over een beschrijving van de policy's, maar ook of de client wel in het netwerk mag indien de beveiliging goed zit. Verscheidene securityfabrikanten hebben dan dan ook Cisco NAC- of een MS NAP-compatibiliteit waarmee het één en het ander kan verzekerd worden, maar velen gebruiken nog niet eens deze mogelijkheid, laat staan dat er zelfs nog werkstations of portables zijn waar zelfs geen enkele antimalware-bescherming op geïnstalleerd staat. Endpoint security staat en valt tegenwoordig met het al dan niet toelaten van usb-sticks en dergelijke. Het is niet voor niets dat Conficker nog steeds op verscheidene netwerken ronddwaalt, net omdat men vergeten is het achterpoortje, met andere woorden de usb-toegang, te vergrendelen. Meerdere malen hebben we al geconstateerd dat dit tot een groot risico op het netwerk leidt.
Een ander probleem met antimalwarepakketten is fine-tuning: onderzoek bij enkele Amerikaanse bedrijven heeft aangetoond dat dit geen evidente zaak is en dat je zeker de standaard instellingen moet laten nakijken door een specialist. Infeite zou de beschrijving van een groot gedeelte van de client security policy moeten af te leiden zijn uit de instellingen van het antimalwarepakket en de bijgeleverde administration tool. In feite is deze administration tool min of meer het kloppend hart en de bron van het totale beveiligingsbeleid en wat mij betreft het minimum dat een bedrijf goed afgewerkt zou moeten hebben. Het probleem is echter dat zelfs hier al een heleboel bedrijven falen, zelfs als het maar om wat documentatie gaat hierover. Hier zitten we wederom met het probleem van de updates of patches, ook hierin moet het bedrijf via het beleid een duidelijke stelling aannemen. Dan praten we niet alleen over het patchen van het OS maar ook het installeren van nieuwere versies van bijvoorbeeld een Adobe Acrobat Reader of de Flash-speler die het laatste jaar uitgegroeid zijn tot de nummer één van kwetsbare pakketten. Patch je deze niet en heb je geen goed beveiliging op je gateways bijvoorbeeld, dan ben je een vogel voor de kat.
Je DMZ is de toegang tot je netwerk en alleen gescheiden door een firewall, maar telkens weer zien we dat het DMZ ook meteen een groot risico is. DMZ-servers die door de firewall toegestaan worden om LDAP-queries te doen zodat gebruikers maar één wachtwoord hoeven te onthouden. Dat zijn dus compleet open deuren voor kwaadwillenden. Gatewaybeveiliging is echter traditioneel iets wat bij een heleboel bedrijven tamelijk goed wordt aangepakt. Ik zie zelf nog veel bedrijven die nog altijd gokken op een ijzersterke beveiliging hierop, maar totaal vergeten dat er bij de werkposten (lees: vooral notebooks) nog grote gaten zitten. De malware komt dan wel langs dit achterpoortje binnengewandeld en slaagt er zelfs nog in om aan de haal te gaan met bepaalde kritische gegevens.
Vergeet ook zeker niet het surf- en e-mailgedrag aan banden te leggen. Mogen je gebruikers zomaar alle internetsites bezoeken en/of alle e-mail openen? Heb je dit ingeregeld op je proxy en/of je e-mailserver? Heel vaak lopen we dan achter de feiten aan. We kunnen simpelweg niet op elk moment van de dag weten wat wel en wat niet gevaarlijk is. In een goed beleid kunnen we gebruikers bewust maken van het gevaar van hun gedrag. Gebruikers zijn ook meestal de zwakke schakel. Het is een reden te meer om vooral op dit punt dieper in te gaan. Security awareness wordt gewoonweg overal onderschat. Er zijn natuurlijk altijd uitzonderingen, maar uit mijn eigen ervaring kan ik je meegeven dat dit in veel gevallen een groot probleem is. Zijn er nog bedrijven die op regelmatige basis hun personeel tips geven in verband met veiligheid? Inderdaad, in de bank- en verzekeringswereld zie je dat gebeuren en soms bij een multinational, maar daar stopt het echter meestal.
Natuurlijk is het niet altijd makkelijk om een goed beveiligingsbeleid op te stellen. Wat zijn nu de belangrijkste punten waaraan je moet voldoen om een goed beveiligingsbeleid te hebben?
– Het volledige management moet het beleid dragen. Je hebt niets aan een beleid als er geen sancties tegenover staan. Wat vaak als sanctie goed werkt is een aangetekende brief aan de gebruiker die zich niet volgens de regels gedraagt en een aantekening in zijn/haar dossier. Indien het dan een periodieke beoordeling kan beïnvloeden, dan werkt het heel erg goed.
– Je medewerkers moeten op de hoogte zijn van het beleid en dit regelmatig kunnen inzien. Plaats het op het intranet, maar stuur het ook aan alle medewerkers.
– Stel het niet zelf op. Vaak mis je dan zaken en dat leidt tot nog ergere gevolgen. Het geeft een vals gevoel van veiligheid. Huur een gespecialiseerde consultant in die het beleid voor je ontwerpt of tenminste meedenkt.
– Selecteer in je bedrijf een vertrouwenspersoon met een functie op HR of P&O en een medewerker van ict die je primair verantwoordelijk maakt voor een correcte naleving.
– Koop een auditing tool, kijk na of je security- of antimalwarepakket misschien al een ver doorgedreven monitoring- en auditing-functionaliteit heeft, waarschijnlijk kan je dat reeds als basis hiervoor gebruiken.
We moeten ook opletten dat het beleid niet faalt. Kenmerkend voor de meeste vormen van beleid is dat het de doelstellingen bepaalt. Daar zit altijd een stuk gevoel in, zo van 'we gaan die kant op, doen iets en daarmee en bereiken we dat en dat'. En zo ontvouwt zich het vertrouwde landschap van regels, methodieken, systemen en processen waar ict al jaren in grossiert en waarin verdacht weinig verandert. De gemiddelde organisatie beperkt het beveiligingsbeleid tot een korte samenvatting van een aantal regels. Kort en helder raden de specialisten aan, anders zou niemand het lezen, laat staan ernaar handelen. Ondanks dat het beleid kort is, is het helemaal niet helder, wordt het niet gelezen en wordt er al helemaal niet naar gehandeld.
Voor de gemiddelde bestuurder is aan dit alles weinig eer te behalen. Met een beleid dat nauwgezet voorgeschreven is (zoals door ISO), dat in de praktijk leidt tot nog meer kansarme discussies en projecten zonder aantoonbaar nut dan je normaal al hebt, kun je je niet profileren. Het is een verplicht nummer: inwisselbaar, ongeïnspireerd en zonder draagvlak. Dat zijn de symptomen van de échte ziekte: het beleid is niet geïntegreerd met de rest van het beleid, waarmee het alleen in naam beleid is. Het is dan ook verbazingwekkend als je een manager tegenkomt die zich er bij betrokken voelt… Zodra er een groot incident is, stort het kaartenhuis in elkaar. Verbazing en verwarring bij de top, want alle nodige stappen zijn toch gezet? 'Het kan toch niet zo zijn dat we dit niet geregeld hebben? We hebben zoveel jaren álles gedaan en niet op geld gekeken!'
De gangbare aanpak is al in 1989 beschreven door Fites en via RFC2196 in alle handboeken beland. Het uitgangspunt is dat je assets (data, systemen, applicaties) classificeert en dan bepaalt wat er mee mis kan gaan. Je kiest vervolgens de meest waarschijnlijke scenario's. Daar baseer je je maatregelen en beleid op. Dit klinkt als een goed uitgangspunt, maar dat is het niet altijd. Hoe weet je als schrijver van een document of als beheerder van een systeem wat een ander daarmee kan? Voor veel beheerders is een systeem veilig omdat het achter een firewall staat en er voor een hacker niets belangrijks op staat. Dus hoeven ze alleen spyware en virussen tegen te houden. Maar is dat zo? Hetzelfde geldt voor bestanden; wat voor een normale gebruiker slechts data zijn, kan voor een aanvaller informatie zijn. Wie zegt dat een aanvaller uit is op wat je zélf belangrijk vindt? Hoe goed kun je denken als een hacker, spion of spammer? Nooit goed genoeg is het echte antwoord. Dat zou het uitgangspunt moeten zijn. Belangrijk voor het opzetten van een goed beveiligingsbeleid is om je continu zeer goed te laten informeren wat er de laatste tijd fout kan lopen en vooral hoe dit evolueert. Spijtig genoeg zie je dat net op dit gebied onze maatschappij faalt. Mensen die verantwoordelijk zijn voor het opstellen van een beleid komen soms amper nog naar security gerelateerde workshops, updates of presentaties omdat ze zogezegd toch alle kennis hebben. Ze volgen alles toch wel degelijk op het internet, is het niet?
Kijk voor een security scan om dit in kaart te brengen eens op security-scan.classity.nl. Deze helpen hier in korte tijd inzicht in te geven.