Categorie: Geen categorie

Aanvullende instructies en geheimhoudinsverklaring

  door

Na ons uitstapje van gisteren, waarbij we het artikel van Computable nog even onder de aandacht brachten, gaan we vandaag weer door met onze uitgebreide vragenlijst op het gebied van informatiebeveiliging. We zijn daarbij aanbeland bij het onderwerp dat ingaat op aanvullende instructies en geheimhoudingsverklaringen.

De vraag die hierbij hoort is:
Zijn er voor medewerkers die veel met vertrouwelijke informatie te maken krijgen aanvullende instructies opgesteld waaronder een geheimhoudingsverklaring?

Over de vertrouwelijke informatie en de omgang daarmee hebben we het vorige week ook al gehad. Toch is het belangrijk om te onderkennen dat we een basisinstructie moeten hebben voor mensen die zelden in contact komen met vertrouwelijke informatie. Zij moeten snel overzicht hebben in wat er van hen verwacht wordt.

Maar voor die medewerkers die vaker in contact komen met vertrouwelijke informatie kan het wenselijk zijn om uitgebreidere instructies ter beschikking te stellen. Uiteraard hierbij weer de gedachte dat het gaat om kennis, houding en gedrag. Alleen papiereninstructies zijn dus slechts de eerste stap, we moeten ervoor zorgen dat de houding en het gedrag daarop aangepast wordt.

Niet de instructies over de schutting gooien dus, maar met de medewerkers in gesprek gaan. Hen toelichten wat vertrouwelijke informatie is, welke mogelijke schade er kan ontstaan na een incident, waarom we dat zo graag willen voorkomen en wat hun rol daarbij is. Daarop aansluitend moeten we ze natuurlijk ook de middelen geven om het veilig werken mogelijk te maken.

Schrijven we bijvoorbeeld voor dat vertrouwelijke informatie op een versleutelde USB-stick mag worden opgeslagen. Dan moeten we ze die stick ook ter beschikking stellen. En dan niet een stick met 64mb, maar een die een beetje moderner is, zodat we ook echt informatie kwijt kunnen.

Train de medewerkers die veel in contact komen met vertrouwelijke informatie en leg hen uit waarom we daar nu eigenlijk zo moeilijk over doen. Betrokkenheid en verantwoordelijkheid creëren, dat is het advies.

Zo, de medewerkers weten nu wat er van hen verwacht mag worden en theoretisch houden ze zich daar allemaal ook nog aan. Onze informatie komt niet meer op straat…toch?

Maar we hebben nu een goede band met die medewerker, wij betalen zijn salaris en daarvoor mogen we wat terug verwachten. Maar wat als de concurrent besluit een mooie transfersom te willen betalen voor de medewerker? Vertrekt onze informatie dan ook naar de concurrent? Hopelijk hebben we, juridisch correcte, geheimhoudinsverklaringen en staat de handtekening van de medewerker daar ook nog onder.

Op papier zal hij of zij de informatie dus niet verder verspreiden, dat mag immers niet. Maar, vertrouwen is goed, controle is beter. Bij uitdiensttreding bedanken we de medewerker voor gedane zaken maar we wijzen hem ook nog even op de geheimhoudingsverklaring. Wederom theoretisch prima, maar nu moeten we ook nog controleren of de informatie niet op een onverklaarbare wijze ons netwerk verlaat.

Willen we dat een geheimhoudingsverklaring ook echt zin heeft dan moeten we de informatie monitoren. Voor de digitale informatie is dat met allerlei technische middelen tegenwoordig goed in te richten (onderschat het niet, want het is zeker geen makkelijke opgave). Maar de kennis die in het hoofd van de medewerker zit is moeilijker geheim te houden. Misschien moeten we wel concluderen dat we alleen maar kunnen hopen dat de echt geheime informatie geheim blijft…dan helpt het als we op een prettige manier afscheid nemen van de medewerker.

Een groot risico bij reorganisaties is dat de geheimhoudingsverklaringen aan alle kanten geschonden worden. De medewerker is gefrustreerd en de informatie verlaat aan alle kanten de organisatie. Uitdaging daarbij is dat digitale informatie niet weg is als het gelekt is. Er kan immers een kopie gemaakt zijn. Diefstal van een laptop zullen we nog wel ontdekken (toch?), diefstal van informatie is al een stuk ingewikkelder.

Ik wil je zeker niet ontmoedigen, want we moeten er zeker goed naar kijken, maar we moeten ook realistisch blijven en accepteren dat hier risico’s zijn die we echt niet allemaal af kunnen dekken.

Informatiebeveiliging: ‘compliant’ of ‘in control’

  door

Vorige week is mijn artikel geplaatst op Computable. Kleine moeite natuurlijk om dat bericht hier te herhalen.

Verbeteringen kunnen we, net als vele andere zaken, sturen op de drie algemeen bekend veronderstelde elementen van de duivelsdriehoek (geld, tijd of kwaliteit). Een waarheid die bij veel van ons wel op het netvlies staat. Hoe graag we dat misschien ook willen geloven, vormt informatiebeveiliging daar geen uitzondering op.

Inmiddels zijn we allemaal druk bezig met ‘compliant’ worden of toch liever het ‘in control’ raken op dit gebied. Houden we daarbij de elementen van de duivelsdriehoek (geld, tijd of kwaliteit) niet in de gaten, dan kan dat leiden tot frustraties en onbegrip.

Blijkens alle incidenten zien we dat de invoering van informatiebeveiliging nog niet altijd het gewenste effect heeft. We kunnen daarvoor gelukkig teruggrijpen op veel ‘lessons learned’ van bijvoorbeeld project- en kwaliteitsmanagement, wat ik je zeker aan wil raden. Maar daarnaast spelen nog andere facetten een rol zoals de dagelijkse gang van zaken, de scope en het doel van informatiebeveiliging, het risicogedrag van de organisatie, de inbedding van informatiebeveiliging in die organisatie maar juist ook de sturing er op.

Wat willen we?

Bij het opstarten van nieuwe informatiebeveiligingsprojecten vergeten we nog wel eens expliciet te maken of we ‘compliant’ of toch liever ‘in control’ willen zijn? Willen we een technische beveiligingsmaatregel implementeren of continuïteitsrisico’s afdekken? Dit is van belang omdat het een onderdeel van de business case zou moeten zijn en de sturing van informatiebeveiliging hier een afgeleide van is.

Het is natuurlijk heel verklaarbaar om te sturen op geld of tijd, omdat die goed ‘smart’ te maken zijn (iets mag X kosten en/of moet op tijdstip Y afgerond zijn). De vraag die rijst is of het verstandig is om bij de invoering of verbetering informatiebeveiliging te sturen op geld of tijd. Het is immers een kwaliteitsaspect waar we continu aandacht aan moeten besteden en dat we met behulp van regelkringen, zoals Deming, continu verbeteren. Een groot nadeel is natuurlijk dat kwaliteit, en daarmee informatiebeveiliging, veel minder makkelijk ‘smart’ te maken is. Kwaliteit is, volgens ISO 8402, immers ‘het geheel van eigenschappen en kenmerken van een product of dienst dat van belang is voor het voldoen aan vastgestelde of vanzelfsprekende behoeften’.

Over het algemeen geldt dat wanneer we ervoor kiezen om te sturen op ‘geld’ de doorlooptijd zal toenemen en de kwaliteit zal afnemen (het mag best wat langer duren en de kwaliteit mag best wat lager zijn als het budget maar niet wordt overschreden). Kiezen we er echter voor om te sturen op ’tijd’, dan zullen de kosten toenemen terwijl de kwaliteit afneemt (het mag best wat meer kosten en de kwaliteit mag best wat minder zijn, als het maar op tijd af is). Als laatste kunnen we sturen op ‘kwaliteit’. In dat geval zullen over het algemeen zowel de doorlooptijd als de kosten toenemen (het mag best wat langer duren en wat meer kosten, als het maar aan de kwaliteitscriteria voldoet).

De kunst is nu juist om het, voor de organisatie specifieke, optimum te vinden in geld, tijd en kwaliteit. Daarbij moeten keuzes gemaakt worden over welke kwaliteit wenselijk is binnen welke tijd en tegen welke kosten en welke compromissen we daarvoor dan bereid zijn om te sluiten.

In de praktijk zien we dat veelal gekozen wordt voor het sturen op ‘geld’ (ook al wordt er nog wel eens wat anders gezegd). Kiezen we daar niet voor, dan is de volgende keuze al snel sturen op ’tijd’. Een combinatie van sturen op geld en tijd is misschien nog wel de meest voorkomende combinatie in de praktijk. “Het moet morgen af zijn en mag niets kosten”; of iets genuanceerder, klinkt je vast bekend in de oren. Bij een dergelijke sturing komt de kwaliteit al snel onder druk te staan en die druk neemt alleen maar toe als de budgeten minder en de deadlines strakker zijn.

Wijs en verstandig

Dit geschreven hebbende en met in het achterhoofd dat informatiebeveiliging een kwaliteitsaspect is, komen we terug bij de vraag of het wijs en verstandig is om informatiebeveiliging te sturen op geld en/of tijd. Zouden we niet beter kunnen sturen op de kwaliteit ervan? Hoewel het antwoord op de vraag misschien volmondig ‘ja’ lijkt, ligt dat toch wat weerbarstiger. We moeten kijken naar de ondersteunende rol van informatiebeveiliging binnen de organisatie.

Laten we eerst nog even kort ingaan op de gevolgen van het sturen van beveiliging op andere aspecten dan kwaliteit. Sturen we op geld dan blijkt dat er veelal onvoldoende budget beschikbaar is waardoor het niet realistisch is dat er tijdig een, volgens onze normen, goede beveiliging wordt afgeleverd. We zullen onacceptabele risico’s blijven lopen. Sturen we daarentegen op tijd dan zijn de deadlines meestal te strak waardoor het niet realistisch is om binnen het beschikbare budget een bepaalde mate van beveiliging te leveren die aan onze eisen voldoet. Ook in dit geval blijven we onacceptabele risico’s lopen. Gaan we echter sturen op kwaliteit, wat dat dan ook moge zijn, van de beveiligingsmaatregel, dan zullen we zien dat het meer geld en tijd in beslag zal nemen om de beveiligingsmaatregel daadwerkelijk goed te implementeren. Daarentegen neemt de kans enorm toe dat we het onderkende risico ook daadwerkelijk afdekken. De keuze over wat een onacceptabel risico is, is echter veelal niet aan ons als beveiligers, maar aan het management. Wel is het onze verantwoordelijkheid om ze op de mogelijke gevolgen te wijzen. Of anders gezegd: het besluit over het compromis dat we bereid zijn te sluiten voor de variabelen geld, tijd en kwaliteit ligt bij het management.

De keuze om te kiezen voor een bepaald stuurelement hangt dus erg af van de vraag waarom de organisatie eigenlijk aan informatiebeveiliging doet en wat we daarbij onder kwalitatief goede beveiliging verstaan. Willen we ‘compliant’ zijn dan kunnen we inderdaad (of misschien zelfs wel beter) sturen op geld en/of tijd waarbij het voor de buitenwereld lijkt of we het goed voor elkaar hebben maar we in de praktijk accepteren dat we risico’s lopen. Willen we echter ‘in control’ zijn en de operationele risico’s die onze bedrijfsprocessen kunnen bedreigen echt beheersen, dan kunnen we wellicht beter sturen op de kwaliteit. De kunst is om het optimum te vinden waarbij ‘geld’, ’tijd’ en informatiebeveiliging in evenwicht zijn binnen het compromis van het management.
Voordat je aan je volgende informatiebeveiligingsklus begint, is het misschien een goed idee om jezelf en je opdrachtgever nog even de vraag te stellen wat het doel eigenlijk is: willen we ‘compliant’ zijn of toch liever ‘in control’? Dat scheelt een berg frustratie en miscommunicatie en de kans dat de resultaten als een succes worden gezien neemt toe.

Is duidelijk wat het doel van informatiebeveiliging is, dan heb je de volgende twee keuzes. Of er wordt gestuurd op het juiste sturingselement en je kunt aan de slag. Of je moet de opdrachtgever teleurstellen en de opdracht terug geven…tenzij hij of zij natuurlijk bereid is alsnog voor het best passende sturingselement te kiezen. En dat hoeft dus niet altijd ‘kwaliteit’ te zijn als de bijbehorende risico’s maar worden begrepen.

De kwaliteit van informatiebeveiliging: ‘compliant’ of ‘in control’…ook dat is een keuze.

Hier kun je het origineel vinden.

Omgang met vertrouwelijke informatie

  door

De voorschriften voor informatie en vertrouwelijke informatie zijn opgesteld. Hopelijk hebben we het aantal velletjes papier kunnen minimaliseren zodat het allemaal nog goed leesbaar (en begrijpelijk) blijft voor degene die er echt mee moeten werken: de medewerkers.

Kunst is nu om deze voorschriften in te voeren, de bijbehorende vraag is niet voor niets:
Is bij de medewerkers duidelijk welke informatie als vertrouwelijk behandeld dient te worden?

Het lijkt misschien een simpele vraag maar het antwoord is toch wat lastiger. Enerzijds moeten de voorschriften er dus zijn, anderzijds moeten de voorschriften ook nog bij de medewerkers bekend zijn. Zijn ze bij de medewerkers bekend dan moeten ze ook nog duidelijk zijn en moeten we er vervolgens nog voor proberen te zorgen dat er gewerkt wordt conform deze voorschriften. Kennis, houding en gedrag, succes ga er maar aan staan.

De voorschriften plaatsen we natuurlijk op onze intranetomgeving en nieuwe medewerkers krijgen een afschrift zodra ze in dienst treden. En klaar is Kees. Theoretisch zouden de medewerkers nu inderdaad de kennis moeten kunnen hebben. Je leest al uit de zin hoe voorzichtig die geformuleerd is. Een nieuwe medewerker krijgt de eerste paar dagen zoveel informatie over zich heen dat dit voorschrift er even bij in is geschoten. De medewerker die op het intranet kijkt verzuipt ook letterlijk in alle informatie waardoor de kans erg klein is dat hij bij ons voorschrift terecht komt.

Medewerkers die actief zoeken op de classificatie van vertrouwelijke gegevens kunnen de voorschriften waarschijnlijk nog wel vinden. De rest van de organisatie weet niet van het bestaan af. Helaas, we kunnen denken dat dat anders is, maar dat is niet het geval. Weet jij wat voor informatie er allemaal beschikbaar is op het intranet van je organisatie? Kleine kans dat je alle informatie al eens gelezen hebt. Grotere kans dat je de informatie hebt gelezen die voor jou interessant is…en beveiligingsonderwerpen horen daar voor de meeste medewerkers nu eenmaal niet bij.

De beveiligingsbewustzijnsprogramma’s kunnen zeker van invloed zijn op de bekendheid met de regels en voorschriften. Maar dan wel goede programma’s die zich richten op kennis, houding en gedrag. Een poster aan de wand volstaat niet en de sociaal wenselijke nulmetingen brengen ook vaak niet veel helderheid.

Begrijp me niet verkeerd, ik ben zeker geen tegenstander van bewustzijnsprogramma’s, maar in vind het wel weggegooid geld als we voor meer dan 100.000 euro aan posters, e-learningen, etc. spenderen als het niet echt bijdraagt aan de verbetering van de beveiliging. Het bewustzijnsprogramma moet onderdeel zijn van een groter geheel, het moet onderdeel zijn van de beveiligingscultuur. Een dergelijke cultuur bereiken is vele malen moeilijker, kost jaren continue inspanning en is dan ook nog een afgeleide van de totale organisatiecultuur (waar we vanuit beveiliging weinig invloed op hebben in de praktijk).

Een cultuur verander je niet, de mensen in de organisatie maken een cultuur. Door de mensen (door de jaren heen) te veranderen, verandert uiteindelijk de cultuur. Zoals ik al schreef: succes, ga er maar aan staan. Moeten we het dan maar niet proberen? Nee, natuurlijk niet, we moeten er juist ons stinkende best voor doen zodat we er over een aantal jaren de vruchten van plukken. Beginnen we er nu niet aan dan wordt de drempel alleen maar hoger en zal het er wel nooit meer van komen om de organisatie beveiligingsbewust te maken.

Voorschriften voor vertrouwelijke informatie

  door

Gaan we het nu alweer over voorschriften voor informatie hebben? Ehm, juist, inderdaad. De nuance zit hem nu in het feit dat het hier over vertrouwelijke informatie gaat. We willen immers niet dat onze informatie op straat komt, maar we willen al helemaal niet dat onze vertrouwelijke informatie daar belandt.

De vraag:
Zijn er voorschriften opgesteld ter bescherming van vertrouwelijke informatie tegen onbevoegde kennisneming, verlies en/of beschadiging?

Het interessante bij deze vraag is dat gegevens afzonderlijk niet vertrouwelijk hoeven te zijn, maar dat als we ze samen brengen ze dat in eens wel weer zijn. Vergelijk het met je inlognaam en wachtwoord. Afzonderlijk van elkaar kun je er niet zoveel mee (ja, ja, ik weet het met illegale activiteiten kun je alsnog erg ver komen, maar dat gaat voor nu te ver). Brengen we ze echter samen dan zijn we ineens een stap verder. Als je weet dat mijn inlognaam “pietje1234” is dan is dat een feit. Weet je aan de andere kant dat mijn wachtwoord “Welkom01” is dan heb je wederom een feit te pakken. Ken je beide en weet je dat ik via Hotmail mail dan is het een koud kunstje om namens mij in te loggen.

Ik wil je overigens nergens toe aansporen. De gegevens zijn natuurlijk fictief…maar excuses voor alle Pietjes en voor alle mensen die Welkom01 als wachtwoord gebruiken.

Dezelfde parallel geldt voor de gegevens in veel van onze databases. De afzonderlijke gegevens zeggen misschien niet zoveel, maar de combinatie van meerdere gegevens kan ineens vertrouwelijk zijn. Juist daarom willen we extra inzoomen op de voorschriften voor vertrouwelijke informatie.

Natuurlijk willen we gemeld hebben als niet vertrouwelijke informatie in verkeerde handen terecht is gekomen of als we die op het dak van onze auto hebben achtergelaten voordat we wegreden (geloof me, het gebeurt vaker dan je denkt). Maar misschien moeten we wel andere stappen ondernemen als blijkt dat het hier om vertrouwelijke informatie ging.

Een issue daarbij is dat medewerkers er, in enkele gevallen, niet bij gebaat zijn om het te melden. Stel je voor, straks volgen er sancties. Nee, we beschouwen de informatie als verloren en maken gewoon een nieuw printje. Natuurlijk kunnen we bepalen om sancties op te leggen bij dergelijke incidenten. We geven de medewerker een veeg uit de pan en in het ergste geval nemen we afscheid van elkaar. Dat is toch een beetje de put dempen als het kalf verdronken is. Beter is het om te proberen de schade te beperken. Analyseer wat er gebeurt is en of we de informatie wellicht nog terug kunnen krijgen zonder dat ons imago kleerscheuren oploopt.

Lukt dat niet omdat we de informatie echt uit het oog zijn verloren, dan zullen we met de billen bloot moeten. We kunnen natuurlijk met ons voltallig personeel gaan zitten duimen, in de hoop dat de informatie niet ineens in de krant belandt…maar dat kan destructief zijn voor ons imago en is dus erg risicovol. Aan de andere kant, als we onze verantwoordelijkheid nemen en de klant informeren dat we zijn gegevens rond hebben laten slingeren, dan weten we zeker dat we in de krant komen.

Een lastig besluit en in heel veel gevallen een besluit dat we niet vanuit beveiliging moeten nemen. Nee, we informeren de juiste managementlagen en komen misschien zelfs met het crisisteam bij elkaar om het vervolg te bepalen. Geen leuke situatie natuurlijk, maar wel van groot belang. Dergelijke incidenten willen we niet onder onze beveiligingspet houden, daar is ons petje te klein voor.

Vertrouwelijke informatie verdient dus wat extra aandacht…en laat dat “wat” eigenlijk maar weg. We moeten zowel preventief, detectief, correctief als repressief extra nadenken over de impact van die informatie. Doen we dat niet dan staan we vast en zeker binnenkort in de krant…en negatieve berichten zijn ook reclame, maar of we daar op zitten te wachten is de vraag.

Het classificeren van informatie

  door

Heb ik overigens al eens geschreven hoe goed ik het vind dat je mijn blog nog steeds leest? Nee, oh, mijn excuses…mijn complimenten en hartelijke dank. Ik kan me natuurlijk voorstellen dat het wat mensen wit om de neus wordt als ze sommige onderwerpen lezen. Maar bedenk, het is nooit de bedoeling om angst aan te jagen, maar wel om je bewust te maken…bewust van de risico’s. Onderkennen we de risico’s dan kunnen we er wat aan doen en komen we niet voor nare verrassingen te staan.

En nu, hop, snel naar de volgende vraag in het rijtje:
Zijn er richtlijnen voor het classificeren van informatie?

Bij het classificeren (of rubriceren) van informatie denken we in ieder geval aan termen als: “intern gebruik”, “vertrouwelijk”, “geheim” of zelfs “staatsgeheim” (in allerlei classificaties). Deze termen richten zich met name op de exclusiviteit van de betreffende informatie.

De enige die die exclusiviteit goed kan bepalen is de medewerker die de gegevens vertaald naar informatie. Vindt hij of zij dat het geclassificeerd moet worden, dan moet dat vooral niet worden nagelaten (hoewel hier wat kanttekeningen bij te plaatsen zijn, want we moeten niet onnodig informatie classificeren om ze belangrijker te doen voorkomen dan ze echt is). Wel handig als er dan een voorschrift voor is hoe we classificeren. Zijn er standaarden te bedenken die bij voorbaat al een classificatie verdienen? Zoals klant- of financiële gegevens of strategische informatie over de koers die we gaan varen? Op welke wijze maken we duidelijk dat het om geclassificeerde informatie gaat? Boven aan de pagina of toch liever boven en onderaan de pagina? En welke classificaties mogen we intern gebruiken? Vrij praktisch allemaal.

Hebben we de richtlijnen voor de exclusiviteit van de informatie in het voorschrift opgenomen (wat in de praktijk al best vaak gebeurt overigens) dan kunnen we ook nog kijken naar die aspecten die in de praktijk in dit soort voorschriften nog onderbelicht zijn, namelijk de beschikbaarheid en integriteit van de informatie.

Of, kort samengevat, hoe kritisch is de informatie voor het voortbestaan van de organisatie. Hoe lang kunnen we doordraaien als de informatie tijdelijk niet beschikbaar is en hoe erg is het als die informatie voor altijd verloren gaat? Welke processen komen dan piepend en krakend tot stilstand? Hebben we daar voldoende zicht op, dan draagt dat zeker bij aan de juiste omgang met informatie.

Vervolgens kunnen we nog kijken naar de integriteit. Hoe erg is het als de gegevens niet helemaal betrouwbaar zijn? Moeten we de gegevens echt voor 100% op feiten zijn gebaseerd of mogen we ook beslissingen nemen als we niet helemaal zeker weten hoe betrouwbaar die informatie is?

Persoonlijk vind ik het, bijvoorbeeld, een prettige gedachte als een arts over integere informatie kan beschikken voordat hij aan zijn operatie begint. Voor je het weet begint hij in het verkeerde been te zagen. “Meneer, de meniscus in uw linkerknie is succesvol geopereerd” wil je liever niet horen als je sterft van de pijn in je rechterbeen.

Kortom: bij classificatie van gegevens beginnen we eerst goed te kijken naar de exclusiviteit, maar daarna willen we graag doordenken over de beschikbaarheid en integriteit van de informatie. Doen we dat op de juiste manier en weten we de medewerkers daar ook nog vertrouwd mee te maken dan zijn we een aardige stap op weg naar een juist niveau van informatiebeveiliging.

Controle van de voorschriften

  door

Gisteren hebben we hard gewerkt aan het opstellen van voorschriften voor de bescherming van voor ons kostbare informatie. Vertrouwen was leuk, maar controle is beter en de papierentijgers willen we al helemaal voorkomen. Daarom moeten we goed kijken naar wat er met de informatie gebeurt.

De logische vraag die daarbij hoort, is:
Wordt er gecontroleerd of de voorschriften ter bescherming van informatie tegen onbevoegde kennisneming, verlies en/of beschadiging worden nageleefd?

In de vraag hebben we het over drie onderwerpen, namelijk kennisname, verlies of beschadiging. In meer bekende termen voor informatiebeveiliging hebben we het dan over exclusiviteit, beschikbaarheid en integriteit.

Oftewel: is de juiste informatie die we nodig hebben beschikbaar op het juiste moment en voor de juiste persoon. Dat is niet iets wat we eenmalig vast kunnen stellen en waar we nooit meer naar om hoeven te kijken.

Het kan best zijn dat een medewerker de informatie in zijn huidige functie nodig heeft om zijn werk te kunnen doen. Maar ja, of je nu wilt of niet, de kans is aanwezig dat een medewerker promotie maakt. Hij is, bijvoorbeeld, nu geen beheerder meer maar teamleiders van alle beheerders. Chapeau, goed gedaan. Maar daarmee hoeft hij dus niet meer bij alle gegevens te kunnen waar hij eerst wel bij kon. Nee, zijn profiel moet opnieuw worden bekeken en zijn informatiebehoefte moet opnieuw worden vastgesteld.

Op papier allemaal niet zo ingewikkeld, in de praktijk toch een stuk weerbarstiger. Hoe vaak zien we niet dat medewerkers die inmiddels 30 jaar voor dezelfde baas werken overal bij kunnen? Er zijn wel steeds nieuwe informatiebehoeften bij gekomen, maar de rechten die hij niet meer nodig heeft zijn hem nooit afgenomen.

Daarbij kunnen we natuurlijk kijken wat hij bewust met de informatie doet. Kijkt hij er nog wel eens naar, kopieert hij ze niet toevallig en heeft hij ze wel eens doorgestuurd naar de Telegraaf? Voor het merendeel van de medewerkers zal dit wel meevallen…maar ja, hoeveel mollen zitten er bij jou in de organisatie?

Naast bewust handelen is er ook nog zoiets als onbewuste fouten. De medewerker vindt zelf dat hij de informatie niet meer nodig heeft en denkt zijn C-schijf eens lekker op te schonen door alles te verwijderen. Ctrl+Alt+Delete en we beginnen weer met een schone lei. Helaas waren we even vergeten dat deze informatie nooit verder is gekomen dan de C-schijf. De medewerker heeft er geen last van als het verwijderd wordt, hij gebruikt ze immers toch niet meer. Maar hoe zit het met zijn opvolger? Moet die de informatie niet overgedragen krijgen? Of moet hij maar helemaal opnieuw beginnen met informatie verzamelen?

Oké, opslagruimte kost tegenwoordig niets meer, dus we bewaren alles wat los en vast zit. Uiteraard moeten we niet alles tot in lengte van dagen bewaren, dat is nergens voor nodig. Maar we moeten wel bewust omgaan met de toegang tot de informatie en het verwijderen van die informatie. Doen we dat op de verkeerde manier dan hebben we geen last van “information overload” maar eerder van “information shortage”. Geen van beide zijn een prettig idee, tenminste, als je het mij vraagt.

Voorschriften ter bescherming van informatie

  door

De afgelopen tijd hebben we het met name gehad over het beschermen van de digitale informatie en informatievoorziening. Informatiebeveiliging wordt nogal eens gelijkgesteld aan alles wat in bits en bytes is uit te drukken.

Maar als je kijkt naar het begrip “informatie” dan omvat dat natuurlijk net zo goed de analoge of niet digitale informatie. De vraag van vandaag wordt dan ook:
Zijn er (algemene) voorschriften opgesteld ter bescherming van informatie tegen onbevoegde kennisneming, verlies en/of beschadiging?

Voor veel, zo niet alle, organisaties is informatie van groot belang voor het voortbestaan. Maar dan moeten we informatie wel in de breedste vorm bekijken. De klantinformatie, de financiële gegevens, de strategie, de procesbeschrijvingen en ga zo nog maar even door. Allemaal informatie die er aan bijdraagt dat we als organisatie kunnen blijven draaien.

Informatiebeveiliging wordt al vaak gelijk gesteld aan digitale informatie maar ook aan de exclusiviteit daarvan. Hoe vaak horen we niet dat informatiebeveiliging voor een betreffende organisatie niet van belang is omdat ze toch geen geheime gegevens hebben?

Natuurlijk moeten we kijken naar de exclusiviteit van informatie, we willen immers niet dat de informatie zomaar op straat ligt of dat onze concurrenten daar vrij in kunnen kijken. Maar ook de beschikbaarheid en integriteit van die informatie moeten we meewegen.

We willen wel dat de kritische informatie er is op het moment dat we die nodig hebben (beschikbaarheid) en willen dan ook nog eens over de juiste gegevens beschikken (integriteit). Dat geldt echt niet alleen voor de vertrouwelijke of geheime gegevens. Op het moment dat de belastinginspecteur aan de deur klopt willen we toch wel graag beschikken over onze financiële gegevens. Gebruiken we de verkeerde gegevens dan kan ons dat duur komen te staan…we betalen dan teveel belasting of we krijgen achteraf de claim aan onze broek.

Maar denk je ook eens in wat je doet als de klantinformatie verdwenen is of niet meer klopt. Hoe weten we dan welke klanten we al geleverd hebben en wie er nog moet betalen? Beetje slordig als we spullen niet leveren omdat de informatie verdwenen is of als we de geleverde spullen niet in rekening brengen, toch? Beide gevallen kost onze organisatie direct omzet…om het over het imago nog maar niet te hebben.

Natuurlijk hebben we veel van die informatie digitaal beschikbaar. Als het goed is maken we back-ups en die testen we ook nog regelmatig (toch?). Maar hoeveel informatie staat er alleen maar op papier? Hoeveel informatie zit er in de hoofden van de medewerkers?

Hier komt het verschil tussen gegevens en informatie om de hoek kijken. Het kan best zijn dat we de gegevens allemaal digitaal hebben maar dat een medewerker daar de informatie van maakt. Hij of zij weet waar de gegevens te vinden zijn en hoe ze gebruikt kunnen worden. Een groot gevaar om dat alleen maar bij een persoon in het hoofd te laten zitten.

En we willen het wederom weer niet te cryptisch maken, dus een concreet en simpel voorbeeld: stel dat we een mooie database hebben opgebouwd met al onze klantgegevens daarin. We weten exact wie onze klanten zijn, wat ze zoal kopen en wanneer ze mogelijk weer wat nieuws aan zullen schaffen. Deze database beveiligen we natuurlijk met een wachtwoord, want niet iedereen mag de gegevens zien. Wat doen we nu als de beheerder van de database besluit om te vertrekken naar een andere organisatie? Laat hij dan het wachtwoord achter? Kunnen we er dan nog wel bij? Hoe weten we nu zeker dat hij de gegevens niet kopieert en meeneemt naar de concurrent? En zo kunnen we nog wel meer vraagtekens plaatsen.

We zullen dus (algemene) voorschriften op moeten stellen ter bescherming van informatie tegen onbevoegde kennisneming, verlies en/of beschadiging. Het zijn immers de medewerkers die dergelijke gegevens benaderen om er informatie van te maken. Organisatorisch is dat allemaal goed te regelen, maar hoe zorgen we ervoor dat het ook allemaal echt werkt? Vertrouwen is goed, controle is beter en op papierentijgers zit niemand te wachten.

De informatie is te kostbaar om er niet over na te denken, of het nu digitaal of niet digitaal is doet er eigenlijk niet zo toe. Hopelijk weet jij waar de kritische informatie is en hoe die beveiligd is. We willen niet in de krant lezen dat jouw organisatie gegevens is verloren, toch?

Beveiligingsincidenten: melden, vastleggen, analyseren en rapporteren

  door

Vallen we niet in herhaling, zul je zeggen? Voor een deel wel, maar we gaan het hier met name hebben over de verzameling incidenten. Die we, in een eerder stadium gemeld hebben gekregen, die we hebben vastgelegd, die we analyseren en die we vervolgens ook nog eens aan het management rapporteren.

De vraag die we stellen is:
Worden de beveiligingsincidenten gemeld, vastgelegd, geanalyseerd en gerapporteerd?

Het melden van beveiligingsincidenten hebben we eerder al aangehaald. Ik ga er voor het gemak vanuit dat we deze meldingen ook registeren (ja, ik weet het, aannames zijn levensgevaarlijk). Incidenten kunnen losstaand zijn maar kunnen ook onderdeel van een groter probleem zijn. De kunst is nu om door al die verschillende incidenten heen te kijken en de verbanden te leggen tussen meerdere incidenten.

Als dat lukt kunnen we nog meer op zoek naar de echte oorzaken van een probleem. Ook hierbij geldt weer dat een eenmalig incident iets totaal anders kan zijn dan een bundeling van beveiligingsincidenten. Daarom analyseren we op een hoger abstractieniveau wat er zoal gemeld en gebeurd is. Kunnen we daar lijnen in ontdekken dan kunnen we ook structurele oplossingen aandragen.

Stel dat we veel meldingen krijgen van geblokkeerde accounts van een specifieke afdeling. Dat kan toeval zijn, maar het kan ook zo zijn dat meerdere mensen al jaren onder hetzelfde account werken. Persoonlijke accounts zijn in de praktijk groepsaccount geworden. Later zullen we dus niet meer na kunnen gaan welk individu een bepaalde actie heeft gepleegd, maar ook beschikken we zeer waarschijnlijk niet over voldoende licenties wat weer tot boetes kan leiden.

We raken hier met beveiliging het vakgebied van “business intelligence”. Beide ingewikkelde vakgebieden maar als we ze goed in weten te regelen kan dat enorme synergetische voordelen opleveren. De BI-specialist ontwikkeld de methoden om grote aantallen gegevens te analyseren en wij gaan met de uitkomsten van die analyses bedenken welke mogelijke beveiligingsissues daaraan kleven.

Uiteraard maken we ook aan het management inzichtelijk wat er zoal gebeurt. We rapporteren niet de afzonderlijke incidenten (tenzij ze echt noemenswaardig zijn natuurlijk), maar rapporteren de trends en de uitkomsten van de analyses. Zo wordt het management betrokken maar niet lastig gevallen met allerlei technische details (waar ze of geen interesse in of geen verstand van hebben). We zetten beveiliging op de kaart en tonen onze meerwaarde aan voor het bereiken van de doelstellingen van de organisatie. En hoe mooi die doelstellingen vaak ook omschreven zijn, ze komen bijna altijd op het volgende neer: verhoging van omzet (of optimale inzet van budget voor non-profits), verlaging van kosten en bescherming van imago.

Actieve monitoring van het netwerk

  door

Zo, de illegale software is ontdekt en we kijken goed of er geen nieuwe software bijkomt die we liever niet over ons netwerk hebben. Als we dan toch allerlei monitoring tools inzetten dan kunnen we dat net zo goed wat breder inzetten, toch?

De vraag:
Wordt het gebruik van de systemen en het netwerk actief gemonitord?

We willen graag weten wat er op ons netwerk gebeurt. Niet alleen voor beveiliging trouwens, maar ook om een optimale inzet van middelen te kunnen bewerkstelligen. Zo zien we maar weer dat beveiliging niet iets los of exotisch is. Nee, het maakt onderdeel uit van een groter geheel.

Weten we wat er op ons netwerk gebeurt dan kunnen we tijdig bijsturen en kunnen we tijdig bijvoorbeeld de capaciteit verhogen als dat nodig is. Ook daarbij gaan we natuurlijk weer eerst op zoek naar de oorzaken. Een mooi praktijkvoorbeeld hierbij is het geval waarbij een organisatie besloot om websites als Youtube, Hyves en LinkedIn dicht te zetten omdat het bandbreedte opslokte.

Altijd een mogelijkheid om sites dicht te zetten natuurlijk maar de vraag is of je commerciële en marketingafdeling niet dankbaar gebruik maken van de nieuwe mogelijkheden die geboden worden. Het dichtzetten van dergelijke sites kan tot verlies van klanten leiden…en we zijn op aarde om onze klanten te helpen, toch?

Nee, bij een nadere analyse bleek dat er de afgelopen 10 jaar niet zoveel aan bandbreedte bij was gekomen. Met web 1.0 was dat allemaal niet zo’n probleem, maar met filmpjes en interactieve netwerksites ontstond er toch een tekort.

Als we tijdig hadden gemonitord dan zagen we dit probleem natuurlijk allang aankomen en hadden we op tijd onze capaciteit uit kunnen breiden. Nu moeten er investeringen gedaan worden waarbij de Raad van Bestuur alleen maar voor dat soort bedragen mag tekenen. Een gemiste kans, maar ook een lesson learned…tenminste, als we vanaf nu wel gaan monitoren natuurlijk.

Richten we actieve monitoring in dan kunnen we incidenten in een aantal gevallen voorkomen. We zien dat de capaciteit minder en minder wordt en kunnen bedenken dat een server binnen niet al te lange tijd uit de lucht gaat. Daar gaan we natuurlijk niet op wachten…nee, we installeren bijvoorbeeld een nieuwe voeding zodat hij weer even mee kan. Daarnaast geldt dat als we weten wat er onder normale omstandigheden op ons netwerk gebeurt we afwijkingen sneller zullen ontdekken.

We zien dat er vreemde zaken gebeuren of raar verkeer voorbij komt. Daar kunnen we wat aan doen. We kunnen tot de conclusie komen dat een segment getroffen is door een virus. Als we wachten is straks het hele netwerk een puinhoop. We kunnen ook ingrijpen en dat segment loskoppelen om verdere schade te voorkomen.

Actieve monitoring doen we dus niet alleen om beveiligingsredenen maar ook om redenen als capaciteit en beschikbaarheid van het netwerk. Doen we dat op een goede manier dan merkt de klant niet eens dat er zich bijna een incident voordeed.

Kwaadaardige software

  door

De titel zegt het al, we gaan vandaag in op kwaadaardige software. De vaste lezers weten inmiddels wel dat ik geen techneut ben, dus verwacht hier geen opsomming van de laatste virussen en malicious software want daar heb ik geen zicht op. Trouwens, als deze virussen en software zich voordoen dan zijn we eigenlijk al te laat, we hebben de boot gemist en kunnen we alleen nog maar rennen om alles in de lucht te houden.

Nee, de vraag van vandaag:
Zijn er maatregelen getroffen tegen, de installatie van, kwaadaardige software?

Allereerst kunnen we natuurlijk hele bomen opzetten over wat we onder kwaadaardige software verstaan. Zijn dat virussen, trojan horses, wormen of weet ik hoe ze het allemaal noemen tegenwoordig? Die maken er vast onderdeel van uit. Maar hoe gaan we om met software die op zich legitiem is maar waarvoor we niet over de juiste rechten beschikken? Juist, de “illegale” software (ik weet het, de software is legaal alleen ons gebruik is niet legaal en ook dat zal juridisch wel niet kloppen).

Natuurlijk installeren we allerlei anti-virus pakketten en zorgen we ervoor dat we weten wat er zoal op ons netwerk gebeurt. Maar weten we ook over welke licenties we beschikken en of er niet meer installaties zijn dan licenties? Op zich weinig kwaadaardigs aan maar het kan ons wel op een boete komen te staan. Wat mij betreft zou je dergelijke voorvallen ook moeten detecteren.

Terug naar de vraag: hebben we maatregelen getroffen om installatie van kwaadaardige software te voorkomen? We kunnen hierbij direct denken aan technische maatregelen die er zeker onderdeel vanuit maken. Maar we moeten hierbij ook kijken naar de procedurele en organisatorische maatregelen.

Waarom zou iemand software willen installeren op het netwerk? Waarschijnlijk omdat hij functionaliteiten tekort komt om het werk goed te doen. Het aanvragen van een nieuwe applicatie is inmiddels zo ingewikkeld geworden dat de medewerker op zoek gaat naar zijn eigen oplossing. Een download is snel gemaakt en de installatie kost ook niet meer dan 3x op “ok” drukken. En hup, hij kan er mee aan de slag. Niet wetende dat er onderwater allerlei informatie de organisatie verlaat.

Allereerst moeten we de medewerker natuurlijk vertellen dat dit gedrag niet wenselijk is, daar helpt beveiligingsbewustzijn zeker bij. Maar direct daarna moeten we er ook voor zorgen dat hij op een makkelijke wijze zijn werk kan doen. Heeft hij een applicatie of functionaliteit nodig dan moeten we hem daarbij helpen.

Ik schrijf wel “we”, maar ik bedoel hier niet per definitie de security manager mee, nee, eerder de organisatie als geheel. De security manager kan, na het ontdekken van een installatie van kwaadaardige software, uiteraard wel analyseren wat de echte reden was en daar vervolgens een structurele oplossing voor adviseren. Allemaal leuk en aardig voor die medewerker die het onbewust heeft gedaan, die moeten we op een goede manier helpen en ondersteunen.

Dan houden we nog de medewerkers over die bewust, willens en wetens, software installeren om de boel plat te leggen of om informatie te stelen. Ook die medewerker moeten we helpen…maar op een andere manier. We helpen hem zijn spullen in een doos te doen en wijzen hem nog eenmaal waar de uitgang van het gebouw is.

Kortom: ook bij het ontdekken van kwaadaardige software (wat we er ook onder mogen verstaan) moeten we analyseren wat de oorzaak daarvan is of kan zijn. Weten we die oorzaak dan adviseren we structurele oplossingen om de oorzaken weg te nemen…oh ja, en de gevolgen deinstalleren we natuurlijk ook direct even.