Hackers vormen een grote bedreiging voor de Rotterdamse haven. Criminelen proberen in te breken in computersystemen om de goederenstroom in beheer te krijgen. Niet vanuit een professionele bijdrage, maar voor illegalen praktijken. Grappenmakers proberen op afstand bruggen te openen of te sluiten. Onbemande kranen op de Maasvlakte lijken ook een leuk aandachtsgebied om te kijken of je die kan hacken. Maar wat kunnen de bedrijven hieraan doen?
Het belang van informatiebeveiliging wordt steeds groter. Steeds vaker worden we met (ict-) dreigingen geconfronteerd. Kijk maar naar de overige berichtgeving int de media de laatste dagen; hackers die het rapport van de onderzoek raad MH17 probeerden te hacken of dat een kwart van de middelgrote bedrijven in Nederland regelmatig last heeft van cyberaanvallen en dat door een autorisatiefout een politiemedewerker toegang had tot geheime informatie.
Bedrijven moeten ervoor zorgen dat de bedrijfsgegevens goed en veilig beheerd worden. Informatiebeveiliging moet voorkomen dat onze economisch kritische bedrijfsinformatie in vreemde handen komt. Bovendien moeten we garanties bieden over de betrouwbaarheid en de beschikbaarheid van onze bedrijfsinformatie. Bedrijven/overheden zouden zich dus moeten certificeren op ISO27001 informatiebeveiliging, in combinatie met een informatiebeveiligingsplan.
Wat is ISO27001?
ISO 27001 is een ISO standaard voor informatiebeveiliging. In 2013 is een nieuwe versie uitgekomen en tevens in het Nederlands vertaald. De structuur is volledig gewijzigd en komt nu overeen met de nieuw te verwachten ISO-9001, de ISO-14001 et cetera. Deze internationale norm is van toepassing op alle typen organisaties. De norm specificeert eisen voor het vaststellen, implementeren, uitvoeren, controleren, beoordelen, bijhouden en verbeteren van een gedocumenteerd Information Security Management System (ISMS) in het kader van de algemene bedrijfsrisico’s voor de organisatie.
De norm specificeert eisen voor de implementatie van beveiligingsmaatregelen die zijn aangepast aan de behoeften van afzonderlijke organisaties of delen daarvan. Het ISMS is ontworpen om de keuze van adequate en proportionele beveiligingsmaatregelen die de informatie beschermen en vertrouwen bieden aan belanghebbenden te waarborgen.
De eisen in deze internationale norm zijn algemeen en bedoeld om van toepassing te zijn voor alle organisaties, ongeacht type, omvang of aard.
Risico inzicht in bedrijfsprocessen
Informatiebeveiliging, de veiligheid van (bedrijfs)informatie, is sterk afhankelijk van het inzicht dat we hebben in onze bedrijfsprocessen en de risico’s die er op hoog, midden en laag niveau worden geconstateerd. Hiervoor dienen dus over de (kritische) bedrijfsprocessen een risico analyse te worden uitgevoerd.
Bij een risicoanalyse is het doel om met een gestructureerde methode het risiconiveau van proces en systeem te bepalen. De meetlat hierbij is ISO27001. Tijdens de risicoanalyse worden de drie pijlers (beschikbaarheid, integriteit en vertrouwelijkheid) van het desbetreffende bedrijf onder de loep genomen door middel van twee sessies. Tijdens de eerste sessie wordt er gekeken vanuit de uitvoering en wordt er op deze onderdelen gedetailleerd gekeken naar specifieke risico’s als het proces en/of systeem niet doet wat er van verwacht wordt. De tweede sessie staat in het teken van de daadwerkelijke bedreigingen en kwetsbaarheden en de echte kans dat dit kan gebeuren en wat de impact is als dit gebeurd. Als beide sessies zijn uitgevoerd rolt er een rapport uit met daarin het ingeschatte risico en de daarbij behorende te nemen maatregelen.
Voorbeelden:
– Beschikbaarheid:
Stel het systeem valt uit en is X tijd niet benaderbaar. Wat zou hiervan de consequentie zijn voor het bedrijf zelf en stakeholder(s)?
– Vertrouwelijkheid:
Stel dat een ongeautoriseerde medewerker met een uitgeleend/gestolen personeelspasje inzicht krijgt waar de container met drugs zich bevind of de ‘ pick-order’ kan wijzigen om de douane controle te ontlopen? Hoe erg is dat?
– Integriteit:
Stel dat er een structurele fout in de database zit waardoor de informatie niet meer correct is. Wat zijn dan de gevolgen?
Inzicht in de risico’s
Als we zicht hebben van de risico’s kunnen we maatregelen nemen om de risico’s te beheersen. De maatregelen dienen dan getoetst te worden aan het informatiebeveiligingsbeleidsplan van de directie en de maatregelen volgend uit de ISO 27001 norm.
Deze standaard bepaalt dus welke risico’s en welke maatregelen aanvaardbaar zijn en waar de organisatie naar toe moet werken om de kwaliteit van informatiebeveiliging van de organisatie te verbeteren. Het directieteam, verantwoordelijk voor informatiebeveiliging, zal managers moeten aansporen om invulling te geven aan de nodige maatregelen.
Plan, Do Check en Act
Na het nemen van de maatregelen dient de kwaliteit ervan periodiek gecontroleerd te worden en waar nodig aangepast. De inrichting van het kwaliteitssysteem, het zogenaamde Information Security Management System (ISMS), alle beschreven maatregelen, eisen en procedures worden opgeslagen in een speciaal hiervoor ontwikkelde systeem: het Information Security Management System (ISMS). Daarin staan ook alle documenten en bijbehorende rollen en verantwoordelijkheden van medewerkers.
Dit klinkt als een flinke klus. Dat is het ook. Je zal als directie een informatiebeveiligingsplan moeten maken en een project/programma hiervoor moeten opzetten. Het is ook een verandering van de organisatie in het nieuwe werken door de organisatie bewust te maken dat informatiebeveiliging bittere noodzaak is. Na het project van opzet, bestaan en implementatie zal de organisatie zich continue moeten verbeteren (Plan, Do, Check en Act) om het gewenste ISO27001 informatiebeveiligingniveau te kunnen handhaven. Constante aandacht in een veranderomgeving blijft dus nodig. Alhoewel het een flinke klus is levert het ook vele voordelen op (zie kader).
Wat is de winst van ISO27001?
Met de ISO-certificering kunnen organisatie aantonen dat:
– De procedures en processen rondom informatiebeveiliging in control zijn;
– Dat organisaties inzicht hebben in de risico’s over hun bedrijfsprocessen;
– Dat organisaties de risico’s met maatregelen kunnen beheersen tot een aanvaardbaar risico;
– Dat de processen en werkwijzen gestandaardiseerd zijn;
– Dat de bedrijfsproducten, activiteiten en diensten van hoge kwaliteit zijn;
– Dat de organisatie zich continu verbeterd;
– Dat zij een betrouwbare partij zijn voor klanten en stakeholders;
Check.
Ben daarom ook begonnen aan het traject om voor het einde van het jaar ons primaire product met organisatie te certificeren.
Aardige reminder John.
Wat kunnen bedrijven er aan doen? Als kenner en ‘ingewijde’ van de Rotterdamse Haven? Gewoon al die havenwerkers eruit. Ik heb niets tegen havenwerkers maar daar moet je eigenlijk iets anders mee. Rotterdamse folklore.
Dan het volgende John.
Ze moeten in de Rotterdamse have gewoon eens beginnen met een eenvoudig en sluitend passysteem. Koppel gezicht, ID, truck aan een lading. Niets ingewikkelds, ze hebben de basis daar al lang liggen. Dan het volgende John, hier komtie. ‘Flikker BYOD’ de haven uit! Als er één groot gapend beveiligingsgat in de Rotterdamse haven is dan is het dat wel.
Hebben we dan alles bedenk ik me hier? Nee John. Er schiet me een kleinigheid te binnen. Haven koninkjes en Baronnen. Misschien weet je dat niet, maar we hebben er nog steeds een legertje van rond lopen. Bij de gemeente Rotterdam, in de havens van de vierhavenstraat en de Eurpoorten, allemaal mensen met een eigen koninkrijkje en nog steeds niet ontmanteld.
En laat ik je een klein geheimpje verklappen John. Ik ken best wel wat havenbedrijven en bedrijfjes gelardeerd met allemaal ISO en weet ik veel op auto en container. Maar weet je John, al die grote en kleine jongens die staan op de zaterdag gewoon bij Schmid hun vis te halen, en als je daar nou eens tussen gaat staan een ochtendje, dan weet je dat dat ISO bij menigeen in Rotterdam staat voor…..
ISdatzO?
Wanneer organisaties met de huidige standaard ICT software werken zijn de volgende items naar mijn mening niet realiseerbaar:
– De procedures en processen rondom informatiebeveiliging in control zijn;
– Dat organisaties inzicht hebben in de risico’s over hun bedrijfsprocessen;
– Dat organisaties de risico’s met maatregelen kunnen beheersen tot een aanvaardbaar risico;
Zolang we geen intrinsiek veilige software maken zullen deze organisaties als de het dus zonder ICT moeten doen als ze aan de ISO27001 norm willen voldoen…
Rene heeft een lang verhaal maar zegt eigenlijk dat je gecertificeerde betonnen zwemvesten hebt die aan alle regels voldoen maar de getuigen van een ramp laat zinken als een baksteen. Is er nog iemand die de ‘onderste steen’ boven wil hebben?
@ wie roept mij, John Roos
Ieder zijn ‘woordkeus/grap’ maar ook jou beschrijving kan ik iets in vinden.
Ik bekijk het vanuit een andere hoek.
De universele wetmatigheden, waar IT, ICT, de disciplines van beiden aan onderworpen zijn, is lineair.
In verschillende reactie, reflectie, white paper blijf ik stellen dat elke stap in en met IT/ICT 100% voorspelbaar is.
Mensen zijn dat doorgaans niet, hebben ook geen enkele notie van die wetmatigheden. Menig professional werkend in de IT heeft er geen enkele notie van. Menig IT professional, heeft er ook geen notie van, maar krijgt daar dagelijks gewoon mee te maken.
De processen door mensen in en rond IT/ICT bedacht en geïmplementeerd, staan dus met grote regelmaat haaks op die wetmatigheden, wat dan weer de nodige problemen/stagnatie/spanning/frustratie blijft oproepen. En dat alles omdat men er a: niet van op de hoogte is en b: men er stelselmatig tegen handelt.
Als ik gewoon kan stellen dat elke stap in en met IT/ICT een volkomen voorspelbare stap is, dan zeg ik tegelijkertijd dat wanneer je zoiets stelt als … ‘lean’ onderdeel uit wil laten maken van je processen, lees hier eenvoudig de commerciële versie van ‘domweg’ vallen en op staan, of wel ‘Kaizen’, dan past dat niet naast iets lineairs als IT/ICT. Dat geld ook voor scrum en agile.
Je kunt certificering bedenken tot je een ons weegt, daarmee maak je je IT/ICT kwalitatief niet per definitie beter mee. Dat doe je door iedereen ‘eindelijk eens’, op gelijk niveau te brengen en uit te leggen hoe IT werkt en hoe er mee om te gaan. En dat betekend net zoveel als heel veel heilige huisjes plat walsen want degenen die dat stelselmatig tegenhouden en torpederen zijn zeer eigengereide mensen met andere objectieven.
Maar weet je, ik stel het nog maar weer eens,
1. Als je voor een opdrachtgever werkt heeft die RECHT op alle informatie en voortgang.
En als je die vertelt dat IT/ICT volkomen voorspelbaar, bepaalbaar en berekenbaar is, dan kijkt die je knap onnozel aan is mijn ervaring.
2. Niemand hoeft het van mij aan te nemen maar….. ik hoef dan ook al die rekeningen van inhuur en mishaps te betalen.
Rene,
Je motivatie kan wel wat beter hoor.
Maandag ‘mag’ ik weer een het werk (loondienst).
Maar toch is mijn motivatie (volgens mijn werkgever) bovengemiddeld.
Tevens hebben ‘wij’ (globaal 20 jaar) nog nooit 1 issue gehad qua beveiliging, ondanks onze open ‘cultuur’…
“Hoe zou u het doen als het uw bedrijf was”, is onze standaard vraag die we stellen aan elkaar. Helaas beslis ik daar over, moeilijk, maar toch interessant.
Wellicht lopen we (qua afdeling en beveiliging) voor?
Kom op! René je kunt beter…
De mooiste zin van het hele artikel:
…De laatste: Dat zij een betrouwbare partij zijn voor klanten en stakeholders.
Kan me niet heugen ooit zo gelachen te hebben…
Stakeholders zijn ‘mieren’ en klanten (intern – extern) moet je vergaren / verdienen / hebben / vertrouwen (verkrijgen).
Iso wat? – betrouwbaar, welke onbetrouwbare partij gaat daar dan over…?
Geeft niets, ’t komt uit de VS dus zal het allemaal wel meevallen.
Wij (ik) doen er in ieder geval niets mee.
V&D, kijk is waar zij nu zijn – “Dat zij een betrouwbare partij zijn voor klanten en stakeholders zijn”, laat me niet lach-euh! (!!!)
Iemand nog een Hot Dog?
Rene,
Dick van Elk vat het veel korter samen, misschien moet je even kijken naar Amerikaanse Incident Cost Analysis and Modeling Program (ICAMP) uit de vorige eeuw en waarvan er ondertussen vele varianten te vinden zijn met de Return on Security Investment (ROSI) concepten. Gordon & Loeb constateerden in 2002 namelijk al dat intrinsiek veilige software een economische onmogelijkheid is.
@ Jasper
Het is maar net wat sterker werkt naar de klant toe. Wat ik vaak zie is dat het vaak een ‘salespitch’ is icm die de klant doet besluiten om met iemand in zee te gaan maar het vreemde daarbij is vaak wel dat het doel van de vraag/opdracht steeds minder a: toevoegende waarde is en b: besparingen. Beiden volgens mij je objectief als het gaat om implementeren. Mijn stelling laat ik daarom graag in tact. Als ik geen toevoegende waarde heb voor mijn klant, laat ik hem mij niet betalen. Maar als de klant, en dat gebeurd m.i. veel te vaak, teveel betaald en dat dan ook doet, is dat een keus. T’is maar hoe je het wil bezien.
@wie roept mij
Beste …., wat mij telkens weer verbaasd is dat al die publicaties vaak zo ver van de werking van IT zelf af staat. Sec staat IT voor mij synoniem aan een vehikel dat besparingen bewerkstelligd door automatiseren. Dus al die publicaties over modellen, terminologieën zoals ROI, ROSI, HUMPF, scrum agile en humptidum zullen me allemaal wel. IT gebruik je voor 1 ding. WINST! Of dit nu in tijdswinst is of de winst van ‘niet uitgeven’, of de winst van toename in productiviteit, is mij dan om het even.
Als ik met een eenvoudige uitleg, hoe IT in essentie werkt, waarom je daar op eenzelfde, generieke wijze, als klant en IT professional mee om zou moeten gaan, het doel dat je jezelf daarbij stelt, ben je meteen bezig met de essentie van IT. Besparen. Niet eerst enorm budget uitgeven voor om het even welk trucje of zienswijze maar meteen aan de slag met … IT.
Uiteraard laat ik ieder haar/zijn visie en mening maar zoals je wellicht leest is dat niet altijd de mijne. En dan weer wat ik vaker stel, ik vind het hardstikke prima, ik hoef namelijk al die rekeningen niet te betalen.
My 2c. bit ;O)