De 10 stappen van informatiebeveiliging – Deel 1: Doel & Inventaris

Zie hier:
– Deel 1: Doel & Inventaris
– Deel 2: Prioriteiten & Kwetsbaarheden
– Deel 3: Bedreigingen & Risico’s
– Deel 4: Beveiliging & Afdwingen
– Deel 5: Evalueren & Compliancy

Informatietechnologie valt niet meer weg te denken uit het zakelijke en sociale verkeer. Met de toegenomen kracht, complexiteit en openheid van datastromen en middelen gaat echter ook kwetsbaarheid gepaard. DearBytes, adviseur in Werkbare Veiligheid, geeft 10 stappen om te komen tot een perfecte balans tussen functionaliteit en veiligheid. Het antwoord is niet te vinden in techniek alleen. Het gaat vooral ook om ‘beleid’ én een goede, werkbare toepassing van dat beleid.

Stap 1: Doel

1.1. Het pand
Stelt u zich voor dat u een nieuw bedrijfspand betrekt dat al helemaal ingericht is en waar uw bedrijfsdocumenten ook zullen worden opgeslagen. Tot uw niet geringe verbazing staan alle deuren en ramen permanent open. Iedereen kan in- en uit lopen en alles meenemen, zonder dat iemand ook maar iets in de gaten heeft. Klinkt belachelijk? Toch is dit de situatie die zich voordoet als het computernetwerk niet beveiligd is.

Terug naar het bedrijfspand. Voordat we deze bizarre situatie gaan oplossen, moet eerst duidelijk zijn wat we precies willen bereiken met beveiliging. Het doel is om alle documenten op een veilige manier op te bergen. Dit wordt schriftelijk vastgelegd, zodat iedereen weet wat er wordt verwacht in termen van beveiliging. Begin altijd de essentie te formuleren, waar in geval van onduidelijkheid op teruggevallen kan worden. Zoals op het water de eerste regel “Goed Zeemanschap” is. De eerste beleidsregels: Alleen bevoegden mogen het pand betreden en de belangrijkste documenten worden opgeborgen in een kluis die in de archiefruimte staat. Op zich voor de hand liggende regels, maar wat betekenen ze in de praktijk?

Een voorbeeld: Alle medewerkers zijn bevoegd om het pand in te gaan en zij worden van onbevoegden gescheiden door een elektronische toegangspas. Slechts een paar medewerkers krijgen toegang tot de archiefruimte. De kluis is alleen toegankelijk voor de directie. Bezoekers, klanten of leveranciers krijgen een tijdelijke toegangspas tot de gebouwen of bepaalde ruimtes. Alle gebruikers worden in groepen ingedeeld, zodat toegangsmogelijkheden op functieprofiel kunnen worden gesorteerd. Kortom, niemand kan het pand in of uit zonder dat dit geregistreerd wordt. De eerste stappen zijn op papier gezet. Persoonsgebonden toegang tot ruimtes in het gebouw waar de documenten worden opgeslagen.

Helder, gaan we regelen!

1.2. Het netwerk
In de vergelijking met het bedrijfspand stellen de verschillende computers in het netwerk de verschillende ruimtes in het bedrijfspand voor. Veel computers kunnen door alle medewerkers gebruikt worden en een aantal alleen door een beperkte groep. En wat er op die computers gedaan kan worden of welke programma’s er gebruikt kunnen worden, is afhankelijk van het functieprofiel.

In het geval van het bedrijfspand lijkt het grootste deel van de beleidsbepalingen volstrekt logisch en dat komt omdat de voorbeelden zeer tastbaar zijn. Bij het netwerk- en de informatiebeveiliging zijn de verschillende regels misschien minder tastbaar – maar vaak net zo goed volstrekt logisch. Zo logisch zelfs, dat u bepaalde basiswaarden als vanzelfsprekend beschouwt, terwijl ze in de praktijk helemaal niet geregeld zijn.

De beveiliging van het netwerk valt of staat bij dit inzicht van urgentie en basale logica. Het bepalen van het beleid moet daarom worden geformuleerd en uitgedragen door het management van dat bedrijf zodat de ICT-afdeling een handleiding heeft. Want als de ICT-afdeling zelf moet bepalen dat een deur die altijd open heeft gestaan ineens op slot moet, botst de afdeling met collega’s die dit beleid ongedaan willen maken omdat zij het lastig vinden om altijd de sleutel bij zich te hebben.

Het maken van ICT-beleid is de eerste stap naar een beveiligde omgeving – dit is een dynamische exercitie en zal worden aangescherpt naarmate de volgende stappen worden ondernomen.

Stap 2: Inventaris

2.1. Het pand
De volgende stap: Wanneer het beleid bepaalt dat alleen bevoegden toegang hebben tot de bedrijfsruimten, dan moet in kaart worden gebracht welke ruimten beschikbaar zijn en hoe ze gebruikt worden. We hadden al besloten om een archiefruimte in te richten met daarin een kluis. Maar hoeveel deuren verschaffen toegang tot die ruimte? Meerdere deuren naar één ruimte levert gebruikersgemak op, maar ook meer risico dat er een deur blijft openstaan. Welke ruimten zijn er en wat is de functie daarvan?

Eigenlijk is er dus een plattegrond nodig om te zien waar de risico’s zich bevinden om daar gericht iets aan te kunnen doen. Vervolgens moet er geregeld worden dat die plattegrond ook wordt bijgewerkt als er uitbreidingen aan of verbouwingen in het pand plaatsvinden. Als er een nieuwe archiefruimte komt op een andere plaats moet dit worden meegenomen. De plattegrond blijft dus actueel!

2.2. Het netwerk
Ook bij het beveiligen van het computernetwerk is een actuele plattegrond vereist. In dit geval spreken we van de inventaris, of in het Engels “inventory”. In de inventaris staan alle systemen opgesomd die onderdeel uitmaken van het netwerk. En net als bij de bedrijfsruimten is dit niet alleen een lijst met systemen, maar is ook in kaart gebracht wat de functie is van al die systemen.

Is het een gewone computer of een laptop? Is het een server en zo ja, wat is de functie ervan? Of is het misschien zelfs een mobiele telefoon of een printer? Tegenwoordig wordt steeds meer apparatuur aangesloten op een netwerk en dit moet in beeld worden gebracht om een compleet beveiligingsbeleid te kunnen maken en uitvoeren. In de praktijk is zoiets fundamenteels als een up-to-date inventaris vaak helemaal niet beschikbaar. Er is geen actueel beeld van de systemen die onderdeel uitmaken van het netwerk, waardoor de beveiliging ervan dus al direct op losse schroeven komt te staan. Immers: als je niet weet wat je bezit, hoe kun je het dan beveiligen? Vraag gerust eens aan uw ICTafdeling of zij over een continu actuele inventaris beschikken. De kans is groot dat u schrikt.

In het volgende deel van deze artikelenreeks gaan we kijken naar het vaststellen van prioriteiten en risico’s bij informatiebeveiliging.

Deze artikelenreeks wordt u aangeboden door DearBytes, adviseur in beveiliging van IT-systemen en kostbare informatie. Al 10 jaar helpen zij als All-Round Security Specialist hun relaties met informatiebeveiliging. Niet alleen met uitgebreide theoretische kennis, maar juist met praktische oplossingen voor bedrijven en organisaties. De tekst is geschreven door Erik Remmelzwaal, algemeen directeur van DearBytes.