In dit drieluik positioneer ik een open en publieke methode die informatiebeveiliging toepast als ondersteuning van de business en niet als een beveiliging die juist de zakelijke kansen blokkeert. In het eerste deel schetste ik de huidige status die informatiebeveiliging vaak bij bedrijven heeft. In het tweede deel beschreef ik de zienswijze en methodiek die hierin verlichting kan brengen en in dit derde een laatste deel beschrijf ik een case waarin deze zienswijze een belangrijke rol speelt.
Ik heb nagedacht over welke case ik hier moest beschrijven. Dat kan een hoogdravend enterprise-brede green field-implementatie zijn waar slechts een enkeling ooit mee te maken krijgt. Ik heb besloten dat niet te doen. In plaats daarvan heb ik gekozen voor een vereenvoudigde beschrijving van een opvolging van een incident dat goed bij iedereen in de organisatie zou kunnen voorkomen. Ik neem daarbij het risico dat de lezer de schouders optrekt en het afdoet als gewoon logisch nadenken. Hou dan één vraag in het hoofd: waarom komt het probleem zoals hierna beschreven zo vaak voor? Ja, de oplossing is logisch nadenken, maar zonder leidraad in de vorm van een methodiek gaat de natuur van veel informatiebeveiligers z'n eigen gang.
Een voorbeeld: Het probleem en de standaard (threat based) oplossing.
Ik schets kort de situatie. Er is bij een bedrijf een usb-stick met de gehele klantendatabase verloren. Het is niet duidelijk of de stick in verkeerde handen is gekomen maar áls dat gebeurt, dan zou dat zeer schadelijk zijn voor de organisatie. De directie krijgt er lucht van, schrikt en sommeert de ict-afdeling dat er snel een oplossing moet komen zodat dit niet weer gebeurt.
De gewoonlijke actie
De ict-organisatie denkt goed na, weegt af of het mogelijk is om usb-sticks te verbieden. Dat zou erg veel weerstand oproepen bij gebruikers dus dat is geen goed plan. Ze kijkt grondig naar de mogelijkheden van beveiliging van de usb-sticks en ziet in encryptie wel een goede oplossing. Men selecteert een product, evalueert de gebruiksvriendelijkheid en besluit dat er mee te leven is. De technologie wordt aangeschaft, getest, uitgerold en in gebruik genomen. Geen eenvoudig project maar het was duidelijk een businessgedreven beslissing om dit te doen, dus ict geeft het project serieuze aandacht. Er was voor de kosten van de aanschaf van de beveiligingshulpmiddelen extra budget toegekend aan ict, maar het was ook een flinke onvoorziene extra belasting voor beheer en de helpdesk. De gebruikers klaagden over het onhandige gebruik. In de praktijk bleek bij een toetsing ook nog dat een onrustbarend percentage van de medewerkers de beveiliging wist te omzeilen.
Dit is voor de meesten van ons geen vreemde situatie. Een verre van ideale oplossing die te veel kost, onvriendelijk is voor de gebruikers en uiteindelijk niet veel meer dan een veronderstelde veiligheid geeft. We moeten bij het verhaal ook nog een kritische kanttekening plaatsen. Het is de business die riep dat het probleem opgelost moest worden, maar daarmee was de keuze voor de encryptie-oplossing zeker niet businessgedreven. Die was voornamelijk technologie gedreven.
De bedrijfsgerichte analyse
Nu zal ik beschrijven hoe de SABSA-denkwijze en -methodiek tot een andere oplossing komt. Een holistische kijk met als resultaat dat het risico beter is afgemeten aan de risicobehoefte en de kosten verminderd zijn. Aan het eind van de beschrijving klinkt het zo logisch dat je je eigenlijk niet voor kunt stellen dat het in de praktijk meestal anders gaat.
De uitgebreide werkwijze van SABSA vraagt ons gewoonlijk eerst eens op businessniveau te onderzoeken wat de businessdoelstellingen zijn. Op basis daarvan vinden we de businessdrivers en hun informatie-eisen. Een set hulpmiddelen is daarvoor beschikbaar. Die informatie samen vormt uiteindelijk de securityarchitectuur voor onze organisatie waar mensen, processen en middelen binnen moeten vallen. De SABSA-methodiek voert ons van daaruit door elke laag van de organisatie en processen om te borgen en te documenteren dat die samenhang in architectuur er overal is en blijft. Dat gaan we in deze case allemaal niet doen, want daar krijg je vaak niet de gelegenheid voor. Daarmee laat ik wel een mooie meerwaarde van SABSA onderbelicht, maar denk dat deze écht praktische situatie vaker voorkomt.
In ons geval stel ik dat we incidentgedreven moeten werken, dus passen we een subset van SABSA toe. We hebben het probleem van de usb-stick, dat is ons startpunt. Omdat we nu niet aan te top kunnen beginnen, gaan we rondom ons probleem schillen verkennen met als doel om een steeds bredere kijk op het probleem te krijgen. Een holistische kijk of die in ieder geval zo ver mogelijk te benaderen. SABSA helpt ons de juiste vragen te stellen bij de juiste mensen. In werkelijkheid zijn het mogelijk enkele interviews, maar vanwege de beperkte ruimte in dit artikel vat ik ze samen in drie vragen en antwoorden:
– Waarom heeft de buitendienstmedewerker klantinformatie nodig? Omdat hij de klant optimaal van dienst wil zijn.
– Waarom wil hij dat? Omdat z'n baas hem dat zegt.
– Waarom zegt z'n baas dat? Omdat het in de bedrijfsdoelstelling is opgenomen om het hoogst te scoren in klantvriendelijkheid in de markt.
Daar zijn we aangeland bij een serieuze businesseis. SABSA begeleidt ons verder in ons interview en zo komt de volgende informatie-eis boven tafel: 'Klantinformatie is altijd beschikbaar voor onze medewerkers bij contact met de klant.'
Nu gaan we een analyse doen waarom de bedreiging bestaat:
– Waarom heeft de medewerker de informatie op een usb-stick staan? Omdat dat de enige manier is dat hij de klantinformatie kan benaderen als hij onderweg is.
– Waarom kan dat niet via een umts-verbinding en een webinterface? Omdat van het klantensysteem geen webinterface is geïnstalleerd.
– Waarom heeft het klantinformatiesysteem geen webinterface? Omdat dat niet in de eisen stond.
– Waarom stond het niet in de eisen? Uit kostenoverwegingen was dat eruit gelaten.
– Waarom was die keuze zo gemaakt? Er was toen nog maar een enkele buitendienstmedewerker en die kenden de enkele klanten door en door.
We vinden op deze manier dus uit dat de tijd de gekozen oplossing heeft ingehaald. Daardoor is er een verschil ontstaan tussen de businessdoelstellingen en de beschikbare technische oplossingen. Een praktische uitweg was het gebruik van de usb-stick om een kopie van de klantendatabase bij je te hebben. Dat zorgt voor deze bedreiging.
Diezelfde tijd heeft waarschijnlijk ook de beslissing ingehaald om geen webinterface aan te schaffen. SABSA legt de vinger op de zere plek en dwingt een gedocumenteerde afweging en beslissing af of de standaard webinterface niet een beter alternatief is dan de usb-stick met de encryptie en de risico's.
Dit zijn niet de typische vragen van een informatiebeveiliger, dat moge duidelijk zijn. De bedrijfsgerichte analyse met de SABSA-methodiek bouwt een meer holistisch beeld van de situatie. Daardoor zien we de samenhang, daardoor kunnen we besluiten nemen die voor de organisatie een stuk verstandiger zijn. Als we die holistische kijk niet najagen blijf je kijken naar de beveiliging van de usb-stick. En dat gebeurt vaak, dat weten we maar al te goed.
Oplossing volgend uit SABSA-analyse
Door deze oplossing kan nu elke medewerker onderweg bij alle geheel up-to-date klantinformatie, zonder de risico's of zorgen dat de hele database op straat komt te liggen. Maar ook zonder de kosten van de encryptie, zonder de verminderde gebruiksvriendelijkheid én zonder beheer en supportkosten van een encryptie-oplossing. Naast de mogelijke kostenbesparing wordt betere (niet veronderstelde maar werkelijke) beveiliging hier juist als beter werkbaar ervaren.
Er zijn in dit voorbeeld een aantal waardevolle toevoegingen van SABSA te herkennen:
– De organisatie veilig maar tegelijk flexibel en efficiënt houden.
– Informatiebeveiliging die niet terug te voeren is tot businesseisen is overbodig.
– Knelpunten rond informatiebeveiliging kunnen duidelijk teruggevoerd worden tot het punt van de oorzaak.
– De automatische reactie om te verbergen, te verbieden en te blokkeren is verdwenen.
– Compliance-eisen en de bedrijfsvoering beiden ondersteunen.
– Elke beslissing op het gebied van informatieveiligheid is gedocumenteerd en te traceren tot een businesseis.
– Van elke businesseis zijn de voorzieningen voor informatieveiligheid gedocumenteerd en traceerbaar.
– Samenhang in informatierisicobeheersing brengen.
– De architectuurbenadering van SABSA laat alle ruimte aan bestaande standaarden en voegt samenhang en in informatierisicobeheersing toe.
Afsluitend
Hiermee sluit ik dit drieluik van SABSA af. In deel 1 hebben we de schets van de huidige situatie op het gebied van informatiebeveiliging gelezen, in deel 2 de beschrijving van SABSA en in deel 3 een incidentgedreven voorbeeld.
De eerste reacties die ik van conceptlezers kreeg was verbazing over de logica in het gedachtengoed. Dit is toch geen 'rocket science'? Nee en ja. Als je het zo leest is het eenvoudig (en dat is ook de kracht!), maar om deze zienswijze met succes door te voeren, zeker bedrijfsbreed, moet je een architectuur neerzetten samen met een gedegen methodiek die in de praktijk gevormd is. Ook moeten er hulpmiddelen worden aangereikt waardoor niet iedereen opnieuw het wiel hoeft uit te vinden. Dat is wat SABSA biedt.
Het PvIB heeft onlangs een serie masterclasses SABSA georganiseerd, die werden erg druk bezocht en met bijonder hoog gewaardeerd door de bezoekers. Ook de SABSA Foundation-cursussen werden uitermate goed ontangen. Ik denk dat daarmee een signaal gegeven is dat de beroepsgroep toe is aan het imago van businessgedreven informatiebeveiliging.
Het einde van het imagotijdperk van beperken, blokkeren en afsluiten.
Frisse kijk op een stoffig onderwerp, eindelijk gaan we de goede kant op met informatie risico management. Ben zeer benieuwd naar het vervolg!!
Het mooie van deze benadering is dat er nu eindelijk gedacht wordt vanuit de business die eigenlijk geen weet wil hebben van allerlei technologie. De eenvoud zal veel mensen meer aanspreken dan de opeenstapeling van high-end oplossingen. Complimenten!
Het gaat vooral om de mindset. Daar is SABSA op zich niet voor nodig. Je moet oppassen dat je niet heel erg sterk gaat focussen op SABSA, als wondermiddel. Immers: “a fool with a tool is still a fool”. SABSA met al z’n lagen en elementen is redelijk complex, waar je je aardig in kunt verliezen, terwijl je eigenlijke drijfveer – zoals je aangeeft – de business moet zijn. Combineer de businessgedrevenheid met “keep it simple”!!
Veel simplere en goedkopere alternatief:
1. Het gebruik van mobiele data dragers (zoals USB sticks, DVD, cdroms) binnen je bedrijf verbieden.
2. Iedereen werken op een “netwerk-computer” (zonder cd-rom, dvd, usb of andere “data-gaten”).
3. Full “data access” control op systeembeheerders nivo
Wat security betreft geld altijd de wet van Murphy:
“Als de mogelijk bestaat dat er iets fout KAN gaan, dan ZAL dat ooit gaan gebeuren”.
Dus beat Murhpy en maak datalekkage onmogelijk in het ontwerp van je systeem. Dan hoeft je niet “te SABSA-dweilen” achteraf. Keep It Stupid Simple
Dank Johan, Olivier, informatierisico op businesslevel is soms zo angstwekkend simpel dat ik zelfs vragen krijg van het management “of dit nou alles is”.
Rein, de tool kan van mij ook graag het raam uit als we de visie begrijpen en beleven, dat lijkt mij een prima streven!
RV geeft mij het signaal dat de uitleg niet bij iedereen landt. Dank daarvoor.
Leuk artikel, alledrie eigenlijk. De reactie van RV hierboven is tekenend voor iemand die zelf onderdeel van het probleem is: zolang je niet onderkent dat het verbieden van gebruiksmogelijkheden alleen maar averechts werkt omdat gebruikers toch wel een manier vinden om data te transporteren (vaak zelfs met de hulp van van beheerders!), werk je onveiligheid juist in de hand. Want als de directeur zegt dat hij die data op een stick nodig heeft, dan krijgt hij die gewoon. Het verwijzen naar de Wet van Murphy is een veelgebruikt excuus om niet te hoeven nadenken over procedures. Die wet gaat in de praktijk gewoon niet op als je je best hebt gedaan om risico’s in te perken. En ‘full access control voor systeembeheerders’ helpt niet als de systeembeheerders onderdeel van het risico zijn.
SABSA is voor veel bedrijven waarschijnlijk wel een vrij zware tool, maar net als bij ITIL geldt dat praktisch denken dan een prima filter vormt aan de hand waarvan je gestaag naar een hoger veiligheidsniveau kunt werken. Vooropgesteld dat het wordt gedragen en gestimuleerd door het management natuurlijk; in mijn ervaring stranden verbeterprojecten vaak doordat het management zelf niet doordrongen is van de ernst EN de impact die dit op hun eigen gedrag moet hebben.