fbpx

Informatieveiligheid is meer dan alleen techniek

Lars Ploeg, Information Security (Business) Consultant bij Ordina, gaat in deze blog in op de verschillende aspecten van informatieveiligheid. Als Integraal Veiligheidskundige wil hij bewustzijn creëren over het onderwerp met als boodschap dat informatieveiligheid meer behelst dan alleen technische componenten.

Door het blootleggen van kwetsbaarheden en dreigingen door kwaadwillenden is de urgentie van informatieveiligheid in hoog tempo gestegen. Met informatieveiligheid wordt in dit kader gerefereerd aan informatiebeveiliging en privacy. Regelmatig verschijnen in de media voorbeelden van informatieveiligheidsvraagstukken, zoals recent in januari het datalek van patiënteninformatie bij de GGD. Dit kan zeer ernstige gevolgen hebben voor de maatschappij en het vertrouwen in de vitale infrastructuur. Omdat persoonsgegevens op straat zijn komen te liggen, is de kans op identiteitsfraude en daarmee op bredere criminaliteit, aanzienlijk gestegen.

Om ons beter te beschermen tegen kwaadwillenden is de afgelopen decennia gewerkt aan normen en wet- en regelgeving, zoals de AVG, BIO en ISO 27001. Deze normen en wetten vormen de kaders waarbinnen maatregelen getroffen worden tegen aanvallers. Het procesmatig bedrijven van informatieveiligheid en de verbijzondering risicomanagement zijn de gereedschappen om de risico’s inzichtelijk te maken en beheersbaar te houden.

Om tot een integrale aanpak te komen van informatieveiligheidsvraagstukken hanteert Ordina het zogeheten TOP-model. In dit model komen de volgende aspecten aan bod:

  • Techniek
  • Organisatie
  • Personeel

Techniek

De techniek is onlosmakelijk verbonden aan informatieveiligheid, want vrijwel alles is tegenwoordig digitaal. Niet alleen e-mail en Excel-sheets, maar ook het elektronisch patiëntendossier (EPD), de snelheidsboetes en de aankoopgeschiedenis. Bij organisaties worden systemen, bedrijfsprocessen en gegevens digitaal bewaard, beheerd, gemonitord en verwerkt.

In het kader van veiligheid worden de systemen, bedrijfsprocessen en gegevens geclassificeerd op basis van de aspecten beschikbaarheid, integriteit en vertrouwelijkheid (BIV) voordat maatregelen worden genomen. Deze classificatie is het fundament van de Business Impact Analyse (BIA). De informatie- en procesclassificatie vormen input voor het risicomanagementproces en leiden tot een gewogen risicoanalyse op basis waarvan gepaste maatregelen worden getroffen.

Beschikbaarheid beschrijft de mate waarin informatie op het juiste moment toegankelijk is en kan worden gebruikt. Integriteit betreft in hoeverre de informatie correct, volledig, geldig en authentiek is. Als laatste heeft vertrouwelijkheid alles te maken met ongeoorloofde toegang tot informatie.

Vanuit het risicomanagementproces wordt bepaald welke maatregelen nodig zijn op technisch vlak. Ordina richt zich binnen de technische component van het TOP-model op de infrastructuur, applicaties en devices. Ordina onderzoekt daarbij de robuustheid van het IT-landschap en netwerken.

Binnen de dienstverlening van Ordina wordt een drietal solutions onderscheiden; Cyber strategy & maturity, Cyberdetection & response en Cyber testing & reporting.  Elke solution heeft zijn eigen specifieke focus binnen het security werkveld. Zo kunnen wij vanuit Cyber testing & reporting uw cyberweerbaarheid testen door middel van pentesten, real live aanvallen en code reviews. Maar Ordina kan ook met behulp van Intrusion Detection en managed securityservices vanuit Cyberdetection & response, uw volledige IT-omgeving monitoren op kwetsbaarheden.

Tevens vragen toenemende veiligheidsrisico’s én strenge wet- en regelgeving om een proactieve én continue aanpak op cybersecurity & compliance. Ordina’s solution for cyber strategy & maturity verhoogt de veiligheid en weerbaarheid van klanten met een integrale aanpak, waarbij informatiebeveiliging en kwaliteitseisen geborgd zijn vanuit techniek, organisatorische vraagstukken en personele aspecten. Dat doet Ordina in multidisciplinaire teams waarin verschillende expertises zijn gebundeld.

Organisatie

Informatieveiligheid gaat niet alleen om de techniek, maar is van toepassing op de gehele organisatie en heeft daarom in vrijwel alle gevallen ook te maken met organisatievraagstukken. De organisatorische component van het TOP-model kijkt onder andere naar governance, risk en compliance.

Vaak beginnen organisatievraagstukken bij het agenderen van het security-vraagstuk. Het senior management moet de behoefte voelen om van informatieveiligheid een strategisch punt op de agenda te maken. Dit fungeert vaak als startpunt voor het informatieveiligheidsbeleid van een organisatie. In dit beleidsdocument staan afspraken, procedures, protocollen en verantwoordelijkheden beschreven die betrekking hebben op de veiligheidsaspecten van de informatievoorziening. Zo kan bijvoorbeeld in het beleid vastgelegd worden dat computers uitgelogd moeten zijn als personeel de werkplek verlaat of dat binnen de organisatie gewerkt wordt met een ‘clean-desk policy’.

Daarnaast is het van belang dat het informatieveiligheidsbeleid ook daadwerkelijk wordt uitgevoerd. Dat kan betekenen dat een organisatie haar gehele organisatiecultuur en werkwijze moet aanpassen. Maar in sommige gevallen kan de uitvoering van het beleid vormgegeven worden door kleinere veranderingen, zoals awareness trainingen, Verklaring Omtrent Gedrag (VOG), toegangseisen, formele goedkeuringsprocessen en projectmanagementmethodieken. Daarbij speelt het menselijke aspect ook een rol, maar daarover meer in de volgende paragraaf.

Personeel

De uitvoering van het informatieveiligheidsbeleid ligt voor een groot deel bij het personeel. Daarom is het van groot belang dat het menselijke aspect ook wordt meegewogen bij het thema informatieveiligheid. Datalekken, privacy-schendingen of identiteitsfraude zijn in meerderheid van de gevallen het gevolg van onveilig handelen door medewerkers.

De veiligheidsketen bij informatieveiligheid is net zo sterk als de zwakste schakel. Zoals aangegeven is in veel gevallen het personeel de grootste risicofactor. Om te voorkomen dat incidenten plaatsvinden is het van belang bij het personeel bewustzijn te creëren. Ordina ondersteunt organisaties door medewerkers te leren wat de risico’s zijn, hoe deze risico’s te herkennen en hoe daar in het vervolg mee om te gegaan. Tevens creëert Ordina duidelijke security-kaders en leren we de medewerkers hoe zij veilig kunnen werken.

Vanuit de TOP-methode van Ordina zijn vrijwel alle aspecten van informatieveiligheid aan bod gekomen. Eén essentieel aspect als het gaat om de beveiliging van de informatievoorziening ontbreekt echter nog, namelijk fysieke beveiliging. In de volgende paragraaf ga ik nader in op het fysieke aspect van informatieveiligheid.

Fysiek

Kwaadwillenden die een organisatie pijn willen doen, kiezen vaak de digitale route, en wel via het internet. Dat is voor een dader de veiligste en makkelijkste manier om een organisatie aan te vallen. Uit het verleden blijkt echter dat de digitale route niet de enige route is die je kunt bewandelen. Om een voorbeeld te geven: in het kader van risicomanagement is het algemeen bekend dat het internet een risico vormt voor de beveiliging van je informatievoorziening. Als een bepaalde asset dusdanig belangrijk is voor een organisatie of een bepaalde asset extreem gevoelige informatie bevat, zal deze niet verbonden zijn met het internet. In dit voorbeeld moet een aanvaller dan de fysieke route kiezen om bijvoorbeeld kwaadaardige software op een informatiedrager te installeren. Om dit soort situaties te voorkomen, is het dus in het kader van de veiligheidsketen van belang dat de fysieke beveiliging ook op orde is.   

Om de informatievoorziening fysiek te beveiligen, wordt binnen het veiligheidslandschap gesproken over fysieke beveiligingsmaatregelen. Om fysieke beveiligingsmaatregelen op een gestructureerde wijze weer te geven, onderscheiden we de volgende maatregelen (OBE):

  • Organisatorische maatregelen
  • Bouwkundige maatregelen
  • Elektronische maatregelen

Organisatorische maatregelen sluiten aan bij de vorige paragrafen over organisatie en personeel. Deze fysieke maatregelen zijn eigenlijk de fysieke uitwerking van beleid, protocollen en verantwoordelijkheden. De fysieke uitwerking kan bijvoorbeeld betekenen dat er controlerondes uitgevoerd worden voor het afsluiten van ramen en deuren, maar ook goed sleutelbeheer, registratie van goederen/personen en het opbergen van waardevolle spullen in een kluis zijn geen overbodige maatregelen.

Bouwkundige maatregelen kunnen zowel binnen als buiten een pand zijn uitwerking vinden. In eerste instantie worden buiten het pand vaak bouwkundige maatregelen getroffen om het zo onaantrekkelijk mogelijk te maken om binnen te dringen. Als het heel moeilijk is kiezen aanvallers eerder voor een plek waar ze makkelijker binnen kunnen komen. Mocht de aanvaller toch de gok wagen om het pand te betreden, zijn er natuurlijk ook beveiligingsmaatregelen in het pand om hem of haar tegen te houden. Bouwkundige maatregelen zijn bijvoorbeeld een hoog hek, SKG-keurmerk sloten, kwalitatief goede kozijnen en deuren, het inbouwen van een kluis en het aanbrengen van compartimenten. De bouw van compartimenten kan tevens een positieve bijdrage leveren aan brandbestrijding.

Als laatste zijn elektronische maatregelen ook van essentieel belang. Waar vroeger nog sleutels gebruikt werden om deuren te openen, zijn deze nu verruild voor passen, druppels of tokens. Dat sluit aan bij de gedachte dat de technologische ontwikkeling ons dagelijks leven de afgelopen decennia flink veranderd heeft. Ook binnen de fysieke beveiligingsmaatregelen wordt gebruikgemaakt van technologie. Een aantal voorbeelden van elektronische maatregelen zijn: alarmsystemen, licht- en geluidsignalen, detectoren, sensoren, camera’s en een elektronisch toegangscontrolesysteem.

Uit bovenstaande wordt duidelijk dat informatieveiligheid veel meer is dan alleen techniek. Binnen het thema Informatieveiligheid kennen we offline en online gegevensdragers en een gehele keten aan gebruikers en beheerders. Daarom is dit een thema dat de gehele organisatie bezig moet houden. In een keten of ketting is het systeem immers net zo sterk als de zwakste schakel. Het is dus van essentieel belang dat organisaties rekeninghouden met een veel breder spectrum aan veranderingen om informatieveiligheid op een juiste manier vorm te geven. Vaak gaat dit gepaard met een verandering in organisatiecultuur, managementvormen, fysieke omgeving en bewustzijn over veiligheid.

De consultants van Ordina ondersteunen u graag in vraagstukken rondom informatieveiligheid. Mocht u interesse hebben, neem dan contact met mij op via: lars.ploeg@ordina.nl