De beveiliging van bedrijfs-ict heeft richtlijnen nodig. Kwetsbaarheden kunnen op basis van een aantal eenvoudige stappen worden doorgelicht. Daarbij kan het bedrijfsleven veel leren van ITIL (Information Technology Infrastructure Library). De door ict service management gebruikte verzameling van best practices, kan in aangepaste vorm zeer nuttig zijn voor het borgen van ict-beveiligingsprocessen. Het is tijd voor ITIL voor security.
Over deze blogger
Don Smith is een toonaangevende informatiebeveiligingsdeskundige die aan het hoofd staat van het security-team van Dell EMEA. Zijn nauwe band met de “Counter Threat Unit” van Dell SecureWorks geeft hem een ongeëvenaard inzicht in verschillende vormen van bedreigingen. Dit vertaalt zich in effectieve tegenmaatregelen en veiligheidsstrategieën. Don deelt zijn expertise als spreker op conferenties op regeringsniveau en op bijeenkomsten over security wereldwijd. Hij werkt sinds zo’n 20 jaar in de IT-industrie en is sinds zes jaar werkzaam bij Dell SecureWorks. In 2005 was Don bij dns een van de architecten bij de ontwikkeling van de identity management en managed security portfolio. Toen SecureWorks dns in 2009 overnam werd hij verantwoordelijk voor de security-strategie voor EMEA en na de overname van SecureWorks door Dell is hij in deze rol gebleven.
De implementatie van ITIL in de organisatieprocessen is vergelijkbaar met de ISO 9000-certificering in de niet-IT-branche. Hierbij worden alle bedrijfsonderdelen gerangschikt in een hiërarchie wat betreft bevoegdheden en verantwoordelijkheden. Ict-beslissers en -managers zijn, als het op security aankomt, vaak vooral gefocust op de technologie. Vooral bij de inrichting van security zou de nadruk juist meer op beleid moeten liggen. Beveiliging begint namelijk bij een pragmatische kijk op security. Het is allereerst van belang dat IT- managers helder hebben waar de grootste uitdagingen op het gebied van security voor hun organisatie liggen. Om dat te begrijpen moet eerst in kaart worden gebracht wat de kern is van de bedrijfsactiviteiten. Vervolgens wordt bepaald waar de belangrijkste bedrijfsmiddelen, meestal data, zich bevinden en hoe die het beste beveiligd kunnen worden. Breng het management bij elkaar en benoem wat de belangrijkste bedrijfsdata zijn. Stel daarbij vragen als: ‘Wat zijn onze kroonjuwelen op het gebied van bedrijfsgegevens? Waar bevinden die zich? Wat kost het als we bepaalde data zouden verliezen door diefstal? Enzovoort.
Kwetsbaarheden in zicht krijgen
Vervolgens kan gekeken worden welke data publiekelijk kan worden gedeeld, welke data vertrouwelijk is, voor welke data restricties gelden voor bepaalde gebruikers enzovoort. Daarna wordt bekeken waar die bedrijfsgevoelige data is. Daarbij draait het om vragen als: op welke apparatuur staat die data? Is de infrastructuur in orde? Is de software up to date? Op welke platformen is de data beschikbaar en dus kwetsbaar? Zo krijgt uw organisatie inzicht in de kwetsbaarheden van de beveiliging. Dat maakt de weg vrij voor bijvoorbeeld technische keuzes en de inrichting van security. Voordat bedrijven zich gaan buigen over die technische invulling is het dus belangrijk om heel pragmatisch naar security te kijken en dat proces op te delen in stappen.
Veel bedrijven zijn op het gebied van ict-beheer bekend met ITIL. Dat staat voor een reeks van praktijkoplossingen (best practices) voor het inrichten van ict-beheerprocessen. Zouden we die bron voor ict service management vertalen naar security, dan ontstaat een krachtig referentiekader van modellen, concepten en processen die de pragmatische inrichting van security verbeteren. Zou u ITIL vertalen naar security-beleid dan ontstaat een model waarin bijvoorbeeld procedures zijn geborgd voor event-management, asset-management, gebruikers- en threat-management, incident response-management enzovoort. Ik wil hier geen onuitputtelijke opsomming geven, maar het doel is om inzichtelijk te maken hoe u die aanpak van security beleidsmatig kunt inrichten. ITIL voor security betekent dat u op basis van een aantal vaste stappen en procedures uw security-beleid vorm geeft.
Eindgebruikers
De inrichting van security is één, maar de uitvoering is natuurlijk de volgende stap. Daarbij valt me op dat ict-beslissers en managers die over security gaan zich vaak te weinig richten op bewustwording onder eindgebruikers. Daar kan training ook een belangrijke rol spelen. Het loont bijvoorbeeld om bepaalde spelregels vast te leggen in security-beleid. Gebruikers denken bijvoorbeeld nog steeds dat email betrouwbaar is. Maar in feite is het een van de meest onbetrouwbare systemen binnen de beveiligingsketen geworden. Bedenk hoe u voor uw organisatie die kwetsbaarheden kunt verminderen door een vertaling van ITIL naar security-beleid.
