Sinds de Franse revolutie wordt de Montesquieu’s Trias Politica gebruikt binnen politiek Den Haag. Echter zijn wetgevende, uitvoerende en rechtelijke macht kunnen ook goed geplot worden op de drie belangrijkste aspecten binnen informatiebeveiliging, namelijk GRC, IAM & SIEM. Net zoals de politiek niet goed werkt zonder dit principe, geldt dit ook voor informatiebeveiliging.
Onze democratische samenleving is gebaseerd op de concepten uit de Trias Politica. De Trias Politica zorgt voor een scheiding der machten, waardoor de macht niet door één instantie kan worden uitgevoerd. Het systeem bestaat uit drie machten:
– de rechterlijke macht, waaronder rechters en officieren van justitie;
– de wetgevende macht, de Eerste Kamer der Staten-Generaal, de Tweede Kamer der Staten-Generaal en de regering samen, en;
– de uitvoerende macht, de koning en zijn ministers met hun ambtenaren.
De Trias Politica werkt alleen wanneer de macht afdoende verdeeld is over de drie machten. Hierdoor wordt, in de politieke Westerse wereld, een dictatuur gezien als iets onwenselijks, omdat deze drie machten samenkomen in één instantie.
De Informatiebeveiliging Trias Politica (ITP)
Net zoals het onwenselijk is om een samenleving te hebben zonder Trias Politica, is het ook onwenselijk om informatiebeveiliging in te richten zonder de aanwezigheid van de drie machten. Ook binnen informatiebeveiliging is er sprake van een rechterlijke, wetgevende en uitvoerende macht. We noemen dit de Informatiebeveiliging Trias Politica (ITP).
In de politieke wereld maakt de wetgevende macht, in de vorm van het parlement, wetten waaraan wij ons dienen te houden. In de wereld van de informatiebeveiliging maakt een afdeling verantwoordelijk voor governance, risk en compliance (grc) de ‘security wetten’. En wel in de vorm van beleid, processen en procedures. Een belangrijk deel van deze wetten gaat over wie toegang mag krijgen tot welke gegevens. Hier draait het immers om binnen informatiebeveiliging. Waar het opstellen van ‘echte wetten’ wordt gedreven door maatschappelijke interesses en belangen, wetten uit omringende belangen en de stand van de techniek, worden ‘security wetten’ opgesteld aan de hand van de eisen vanuit interne en externe toezichthouders, de risk appetite van de organisatie, best practices en uiteraard ook de stand van de techniek.
Net zoals in de echte wereld is het opstellen van wetten alleen niet voldoende. Wetten verliezen hun waarde wanneer zij niet afgedwongen kunnen worden. Het afdwingen wordt binnen ITP uitgevoerd door identity & access management (iam). Identity management identificeert het ‘wie’, Access management regelt ‘toegang tot’. Met een correct ingevoerd iam-systeem worden het beleid, de processen en procedures geborgd en afgedwongen.
Echter, zoals we allemaal weten, niet iedereen houdt zich aan de regels. Daarom is de rechterlijke macht noodzakelijk. Een rechter oordeelt of iemand een wet heeft overtreden en dient de strafmaat te stellen. Binnen informatiebeveiliging spreken we over Security Information & Event Monitoring (SIEM). SIEM stelt vast of iemand zich niet aan de ‘security wetten’ houdt en velt hier een oordeel over. Zij analyseert en correleert beveiligingsgebeurtenissen welke gegenereerd worden door applicaties en infrastructuur in het it-landschap van een organisatie. Hierdoor worden in een vroeg stadium mogelijke overtredingen (beveiligingsincidenten) geïdentificeerd. Dit stelt organisaties in staat om zeer snel te kunnen acteren. Hierdoor kunnen de effecten van een overtreding van de ‘security wetten’, met als resultaat bijvoorbeeld een datalek, worden voorkomen of beperkt.
De ITP in praktijk
Dat de Trias Politica in praktijk belangrijk is, blijkt wel uit het voorbeeld van het elektronische patiëntendossier. Dit onderwerp houdt de gemoederen binnen de samenleving nog altijd bezig. Dat komt voor een groot deel doordat niet alle delen van de Trias Politica adequaat zijn ingevoerd. Allereerst is het voor de maatschappij onduidelijk wie, wanneer welke toegang krijgt tot medische gegevens. Dit is een perfect voorbeeld van onduidelijkheid rondom beleid, processen en procedures (grc). Deze onduidelijkheid leidt er tevens toe dat dit beleid niet afdoende kan worden afgedwongen, met andere woorden, Iam kan nooit effectief worden ingericht. Zo kunnen bijvoorbeeld ongeautoriseerde personen mogelijk toegang krijgen tot medische gegevens door de onveilige manier waarop artsen hun bevoegdheden kunnen overdragen aan andere medewerkers.
Tot slot leidt dit tot het niet goed kunnen inrichten van SIEM, omdat SIEM geen onderscheid kan maken tussen activiteiten van geautoriseerde en niet-geautoriseerde gebruikers. Hierdoor is het vrijwel onmogelijk voor een organisatie om relevante beveiligingsgebeurtenissen te definiëren. Dit leidt er onder andere toe dat het niet mogelijk is om te controleren of het werkelijk een zorgverlener of arts is die toegang verkrijgt tot een medisch dossier.
En hoe voer ik de ITP nu goed in?
Er zijn nog weinig organisaties waar de ITP, oftewel de combinatie van grc, iam en SIEM, goed en volledig geïmplementeerd is. Het vraagt immers ook veel van de organisatie om dit resultaat te bereiken. Daarnaast is de hoeveelheid en diepgang van de benodigde maatregelen voor ITP afhankelijk van de hoeveelheid en gevoeligheid van gegevens die een organisatie heeft. Ook zullen organisaties met een groter maatschappelijk belang meer behoefte hebben aan een vergaande implementatie van ITP. Het invoeren van ITP begint dan ook met het opstellen van een risico analyse.
Het resultaat van de risico analyse geeft inzicht welk van de drie aspecten van de ITP de meeste aandacht behoeft. Dit vormt de basis voor het stappenplan voor een correcte implementatie van de Informatiebeveiliging Trias Politica.
Jurgen Schot, senior consultant IT Security, Risk & Compliance, en Diederik Hammer, it-security consultant, beiden bij Capgemini
Trias politica is een theoretische exercitie die in de praktijk iets weerbarstiger is en de scheiding der machten toch niet zo ideaal is als zij zou moeten zijn.
Het is geen geheim dat zorgpersoneel vaak elkaars wachtwoorden weten omdat dit praktisch is. Dan zul je daar ook rekening mee moeten houden en zorgen dat die mensen praktisch kunnen werken en toch ze hun eigen toegang gebruiken. Technisch moet dat mogelijk zijn alleen is de vraag of men bereid is daar voor te investeren.
Was het niet handiger geweest aan te sluiten bij de ‘Trias Informatica’ en de ‘Trias Automatica’?