De 10 stappen van informatiebeveiliging – Deel 2: Prioriteiten & Kwetsbaarheden
Zie hier:
– Deel 1: Doel & Inventaris
– Deel 2: Prioriteiten & Kwetsbaarheden
– Deel 3: Bedreigingen & Risico’s
– Deel 4: Beveiliging & Afdwingen
– Deel 5: Evalueren & Compliancy
Stap 3: Prioriteiten
3.1. Het pand
Het beleid schrijft voor dat er alleen persoonsgebonden toegang tot ruimtes (of kasten in die ruimtes) is. Er is dus verschil in het soort ruimte en de ene ruimte is belangrijker dan de andere. In het voorbeeld heeft de veiligheid van de documenten in de kluis prioriteit boven documenten in de archiefruimte, en deze hebben weer prioriteit boven de documenten die elders in het pand aanwezig zijn.
Stel dat de receptionist na een korte afwezigheid constateert dat een onbevoegd persoon is gepasseerd en zich ergens in het pand moet bevinden. Waarheen moeten de bewakers als eerste worden gestuurd? Of een ander voorbeeld: Als de stroom in alle ruimten is uitgevallen en het noodaggregaat slaat aan, welke ruimten moeten dan in ieder geval van stroom worden voorzien?
3.2. Het netwerk
Ook de ICT-systemen hebben prioriteiten ten opzichte van elkaar. Ze zijn ondersteunend voor bepaalde werkzaamheden en die werkzaamheden zijn in min of meerdere mate belangrijk voor de business. Het kan een zuiver financiële afweging zijn welke systemen voorrang krijgen als alles uitvalt. Als het om een industrieel bedrijf gaat, zal de fabriek in elk geval moeten kunnen functioneren. In een ziekenhuis zijn de medische systemen natuurlijk letterlijk vitaal. Gaat het om een dienstverlener? Dan is de bereikbaarheid voor de cliënten wellicht het belangrijkste.
Als niet wordt gekozen welke systemen het belangrijkst zijn voor de business, is de kans groot dat bij calamiteiten de ICT-afdeling het eerst in actie komt bij de manager die het hardst roept. Dan kan het zomaar zijn dat de laptop van die manager eerder werkt dan die belangrijke robot in de fabriek.
Het indelen van systemen in prioriteiten kan onderdeel uitmaken van een organisatiebrede Business Impact Analyse (BIA). Belangijk is wel dat dit niet een eenmalige actie is: ICT-systemen komen en gaan vaak elke dag, en moeten dus bijna continu op prioriteit kunnen worden ingedeeld.
Stap 4: Kwetsbaarheden
4.1. Het pand
Nu wij de prioriteiten op een rijtje hebben, kan er aan het risicoprofiel van de onderneming worden gewerkt. De eerste stap in dit proces is het in kaart brengen van de kwetsbaarheden. Het pand in het voorbeeld heeft verschillende ruimtes en de documenten worden op verschillende manieren en op verschillende plaatsen opgeborgen. Die plaatsen zijn voor verschillende mensen toegankelijk. Uit de voorgaande inventarisatie worden de mogelijke kwetsbaarheden gehaald.
Neem bijvoorbeeld het aantal deuren dat toegang geeft tot het archief. Welk systeem hebben we aangebracht om de deur te beveiligen? Kunnen medewerkers dezelfde toegangspas voor verschillende ruimtes gebruiken?
Omdat er zich op de toegangspas bijvoorbeeld geen pasfoto bevindt, kan deze aan derden worden uitgeleend. Ook al is het elektronische pasjessysteem een erkende beveiligingsmethode, het kan in bepaalde situaties toch kwetsbaarheden hebben.
Het is dus belangrijk om, net als bij de plattegrond, ook de kwetsbaarheden regelmatig te analyseren en na te gaan op welk soort en aantal ruimten die kwetsbaarheden betrekking hebben.
4.2. Het netwerk
Computersystemen zitten vol met kwetsbaarheden, waardoor zij niet altijd voldoen aan het vastgestelde beleid. Als het beleid bepaalt dat onbevoegden geen gebruik mogen maken van de systemen, dan is een kwetsbaarheid bijvoorbeeld dat een medewerker zijn of haar wachtwoord verliest. Of dat de medewerker eenzelfde, zeer eenvoudig te achterhalen wachtwoord gebruikt – mensen kiezen immers vaak voor gebruikersgemak, hetzelfde wachtwoord voor allerlei verschillende diensten, zowel zakelijk als privé.
Er kan dan wel een goed beleid zijn voor zakelijk gebruik, maar als de werknemer op een andere website, of bij een webshop, hetzelfde password gebruikt, dan levert dat ook een gevaar op voor de beveiliging van uw organisatie.
Ook kan een medewerker thuis werken aan een document dat is meegenomen op een USB-stick. Door het thuisgebruik kan er een virus op de sitck komen te staan die vervolgens op het interne systeem voor schade zorgt.
In het volgende deel van deze artikelenreeks gaan we kijken naar bedreigingen en risico’s.
Deze artikelenreeks wordt u aangeboden door DearBytes, adviseur in beveiliging van IT-systemen en kostbare informatie. Al 10 jaar helpen zij als All-Round Security Specialist hun relaties met informatiebeveiliging. Niet alleen met uitgebreide theoretische kennis, maar juist met praktische oplossingen voor bedrijven en organisaties. De tekst is geschreven door Erik Remmelzwaal, algemeen directeur van DearBytes.
Meer weten over risicomanagement? Ga naar www.dearbytes.nl/dear360