Aanvullende maatregelen voor draagbare en verwijderbare media

Nu we gezien hebben dat de draagbare en verwijderbare media niet meer zijn weg te denken moeten we doorpakken naar de risico’s die dat met zich meebrengt. Hebben we die risico’s in kaart dan kunnen op basis daarvan besluiten er iets aan te doen of de risico’s gewoon te accepteren.

De volgende vraag is dan ook niet echt een verrassing:
Zijn er aanvullende maatregelen genomen om de informatie op draagbare en verwijderbare media te beschermen (encryptie, wisprocedures, kluis, etc.)?

Het is een gegeven dat er draagbare media zijn en dat er media door medewerkers in gebruik zijn die niet onder onze controle staan. Dat gegeven kunnen we accepteren maar dan lopen we enorme risico’s met onze informatie. We moeten deze risico’s inzichtelijk maken en aan het management voorleggen. Zij kunnen er vervolgens een oordeel over vellen.

Het gaat hier te ver om structureel alle bijbehorende risico’s in kaart te brengen. We pakken er een aantal uit en laten de rest over aan jouw eigen inbeeldingsvermogen. De vraag omvat al wat maatregelen waar uiteraard risico’s bijhoren: encryptie, wisprocedures en kluizen.

Het zal je niet verrassen dat encryptie met name bedoeld is om de exclusiviteit van de informatie te waarborgen. We willen niet dat iedereen zomaar bij de informatie kan als een medium verloren wordt. Te vaak hebben we al in het nieuws gehoord dat een USB-stick gevonden en bij een krant ingeleverd is.

De wisprocedures gaan ook in op exclusiviteit, maar ook bijvoorbeeld op de integriteit van de informatie. Waar is de meest actuele informatie beschikbaar? Nemen we beslissingen op basis van de juiste informatie of is de informatie inmiddels al lang achterhaald? Niet alle informatie hoeft voor eeuwig bewaard te worden, sommige informatie is na verloop van tijd echt niet meer nodig. Weggooien dus…of, begrijp me niet verkeerd: wissen dus en dan het liefst op een veilige manier.

De draagbare media verlaten ons gebouw. Maar waar worden deze opgeslagen? Liggen ze in de auto van een medewerker, zit het in een jaszak of ligt het thuis op de keukentafel? Als het om vertrouwelijke informatie gaat is het goed om na te gaan waar die mogelijk wordt opgeslagen. Een kluis kan een maatregel zijn om diefstal te bemoeilijken…maar er zijn natuurlijk ook andere maatregelen te bedenken.

Andere risico’s waar je aan kunt denken zijn de opslag en toegankelijkheid van de gegevens. Slaan medewerkers hun documenten op op de C-schijf van hun laptop of is deze informatie centraal beschikbaar? We willen wel dat we over de informatie kunnen beschikken als dat nodig is. Met het nieuwe werken zien we dat meer informatie lokaal wordt opgeslagen, hoe gaan we om met de back-up van die gegevens? Kunnen andere medewerkers ook bij die gegevens als onze medewerker lekker van zijn of haar vakantie geniet? Zomaar wat vragen om eens over na te denken. Ja maar wij werken met Sharepoint of op een andere manier “in the cloud”…prima, maar is alle relevante informatie daar ook opgeslagen dan?

Het probleem (of voor diegene die dat liever hebben: de uitdaging) is niet zozeer de draagbare media maar het feit dat de gegevens en informatie daarmee dus ook draagbaar worden. Ze zijn niet meer binnen de muren van ons gebouw aanwezig maar kunnen zich overal op de wereld bevinden. Een risico? Ja zeker. Moeten we daar tegen zijn? Nee, absoluut niet, dan worden we een 1.0 beveiliger en dat is wat we nu juist willen voorkomen, toch?

Controle van de voorschriften

Gisteren hebben we hard gewerkt aan het opstellen van voorschriften voor de bescherming van voor ons kostbare informatie. Vertrouwen was leuk, maar controle is beter en de papierentijgers willen we al helemaal voorkomen. Daarom moeten we goed kijken naar wat er met de informatie gebeurt.

De logische vraag die daarbij hoort, is:
Wordt er gecontroleerd of de voorschriften ter bescherming van informatie tegen onbevoegde kennisneming, verlies en/of beschadiging worden nageleefd?

In de vraag hebben we het over drie onderwerpen, namelijk kennisname, verlies of beschadiging. In meer bekende termen voor informatiebeveiliging hebben we het dan over exclusiviteit, beschikbaarheid en integriteit.

Oftewel: is de juiste informatie die we nodig hebben beschikbaar op het juiste moment en voor de juiste persoon. Dat is niet iets wat we eenmalig vast kunnen stellen en waar we nooit meer naar om hoeven te kijken.

Het kan best zijn dat een medewerker de informatie in zijn huidige functie nodig heeft om zijn werk te kunnen doen. Maar ja, of je nu wilt of niet, de kans is aanwezig dat een medewerker promotie maakt. Hij is, bijvoorbeeld, nu geen beheerder meer maar teamleiders van alle beheerders. Chapeau, goed gedaan. Maar daarmee hoeft hij dus niet meer bij alle gegevens te kunnen waar hij eerst wel bij kon. Nee, zijn profiel moet opnieuw worden bekeken en zijn informatiebehoefte moet opnieuw worden vastgesteld.

Op papier allemaal niet zo ingewikkeld, in de praktijk toch een stuk weerbarstiger. Hoe vaak zien we niet dat medewerkers die inmiddels 30 jaar voor dezelfde baas werken overal bij kunnen? Er zijn wel steeds nieuwe informatiebehoeften bij gekomen, maar de rechten die hij niet meer nodig heeft zijn hem nooit afgenomen.

Daarbij kunnen we natuurlijk kijken wat hij bewust met de informatie doet. Kijkt hij er nog wel eens naar, kopieert hij ze niet toevallig en heeft hij ze wel eens doorgestuurd naar de Telegraaf? Voor het merendeel van de medewerkers zal dit wel meevallen…maar ja, hoeveel mollen zitten er bij jou in de organisatie?

Naast bewust handelen is er ook nog zoiets als onbewuste fouten. De medewerker vindt zelf dat hij de informatie niet meer nodig heeft en denkt zijn C-schijf eens lekker op te schonen door alles te verwijderen. Ctrl+Alt+Delete en we beginnen weer met een schone lei. Helaas waren we even vergeten dat deze informatie nooit verder is gekomen dan de C-schijf. De medewerker heeft er geen last van als het verwijderd wordt, hij gebruikt ze immers toch niet meer. Maar hoe zit het met zijn opvolger? Moet die de informatie niet overgedragen krijgen? Of moet hij maar helemaal opnieuw beginnen met informatie verzamelen?

Oké, opslagruimte kost tegenwoordig niets meer, dus we bewaren alles wat los en vast zit. Uiteraard moeten we niet alles tot in lengte van dagen bewaren, dat is nergens voor nodig. Maar we moeten wel bewust omgaan met de toegang tot de informatie en het verwijderen van die informatie. Doen we dat op de verkeerde manier dan hebben we geen last van “information overload” maar eerder van “information shortage”. Geen van beide zijn een prettig idee, tenminste, als je het mij vraagt.

Voorschriften ter bescherming van informatie

De afgelopen tijd hebben we het met name gehad over het beschermen van de digitale informatie en informatievoorziening. Informatiebeveiliging wordt nogal eens gelijkgesteld aan alles wat in bits en bytes is uit te drukken.

Maar als je kijkt naar het begrip “informatie” dan omvat dat natuurlijk net zo goed de analoge of niet digitale informatie. De vraag van vandaag wordt dan ook:
Zijn er (algemene) voorschriften opgesteld ter bescherming van informatie tegen onbevoegde kennisneming, verlies en/of beschadiging?

Voor veel, zo niet alle, organisaties is informatie van groot belang voor het voortbestaan. Maar dan moeten we informatie wel in de breedste vorm bekijken. De klantinformatie, de financiële gegevens, de strategie, de procesbeschrijvingen en ga zo nog maar even door. Allemaal informatie die er aan bijdraagt dat we als organisatie kunnen blijven draaien.

Informatiebeveiliging wordt al vaak gelijk gesteld aan digitale informatie maar ook aan de exclusiviteit daarvan. Hoe vaak horen we niet dat informatiebeveiliging voor een betreffende organisatie niet van belang is omdat ze toch geen geheime gegevens hebben?

Natuurlijk moeten we kijken naar de exclusiviteit van informatie, we willen immers niet dat de informatie zomaar op straat ligt of dat onze concurrenten daar vrij in kunnen kijken. Maar ook de beschikbaarheid en integriteit van die informatie moeten we meewegen.

We willen wel dat de kritische informatie er is op het moment dat we die nodig hebben (beschikbaarheid) en willen dan ook nog eens over de juiste gegevens beschikken (integriteit). Dat geldt echt niet alleen voor de vertrouwelijke of geheime gegevens. Op het moment dat de belastinginspecteur aan de deur klopt willen we toch wel graag beschikken over onze financiële gegevens. Gebruiken we de verkeerde gegevens dan kan ons dat duur komen te staan…we betalen dan teveel belasting of we krijgen achteraf de claim aan onze broek.

Maar denk je ook eens in wat je doet als de klantinformatie verdwenen is of niet meer klopt. Hoe weten we dan welke klanten we al geleverd hebben en wie er nog moet betalen? Beetje slordig als we spullen niet leveren omdat de informatie verdwenen is of als we de geleverde spullen niet in rekening brengen, toch? Beide gevallen kost onze organisatie direct omzet…om het over het imago nog maar niet te hebben.

Natuurlijk hebben we veel van die informatie digitaal beschikbaar. Als het goed is maken we back-ups en die testen we ook nog regelmatig (toch?). Maar hoeveel informatie staat er alleen maar op papier? Hoeveel informatie zit er in de hoofden van de medewerkers?

Hier komt het verschil tussen gegevens en informatie om de hoek kijken. Het kan best zijn dat we de gegevens allemaal digitaal hebben maar dat een medewerker daar de informatie van maakt. Hij of zij weet waar de gegevens te vinden zijn en hoe ze gebruikt kunnen worden. Een groot gevaar om dat alleen maar bij een persoon in het hoofd te laten zitten.

En we willen het wederom weer niet te cryptisch maken, dus een concreet en simpel voorbeeld: stel dat we een mooie database hebben opgebouwd met al onze klantgegevens daarin. We weten exact wie onze klanten zijn, wat ze zoal kopen en wanneer ze mogelijk weer wat nieuws aan zullen schaffen. Deze database beveiligen we natuurlijk met een wachtwoord, want niet iedereen mag de gegevens zien. Wat doen we nu als de beheerder van de database besluit om te vertrekken naar een andere organisatie? Laat hij dan het wachtwoord achter? Kunnen we er dan nog wel bij? Hoe weten we nu zeker dat hij de gegevens niet kopieert en meeneemt naar de concurrent? En zo kunnen we nog wel meer vraagtekens plaatsen.

We zullen dus (algemene) voorschriften op moeten stellen ter bescherming van informatie tegen onbevoegde kennisneming, verlies en/of beschadiging. Het zijn immers de medewerkers die dergelijke gegevens benaderen om er informatie van te maken. Organisatorisch is dat allemaal goed te regelen, maar hoe zorgen we ervoor dat het ook allemaal echt werkt? Vertrouwen is goed, controle is beter en op papierentijgers zit niemand te wachten.

De informatie is te kostbaar om er niet over na te denken, of het nu digitaal of niet digitaal is doet er eigenlijk niet zo toe. Hopelijk weet jij waar de kritische informatie is en hoe die beveiligd is. We willen niet in de krant lezen dat jouw organisatie gegevens is verloren, toch?

Verantwoordelijkheid voor informatiesystemen

Zoals we inmiddels weten wordt voor de beveiliging van de bedrijfsprocessen gekeken naar de ondersteunende informatie, het materieel en het personeel. Voor de informatie wordt de digitale informatie in de informatiesystemen steeds belangrijker (soms overschatten we dat belang trouwens want wat is er mis met het schrijven van een brief, het plakken van een postzegel en het dichtlikken van een envelop als de email het niet meer doet?). En hoewel ik informatiesystemen graag breder zie dan alleen de digitale systemen (terugkomend op de geschreven brief…een postvak is in die zin ook onderdeel van een informatiesysteem) worden die digitale systemen belangrijker en belangrijker.

De vraag die we ons moeten gaan stellen is:
Zijn alle informatiesystemen toegewezen aan een verantwoordelijke?

Laten we maar direct onderkennen dat we de verantwoordelijkheid voor informatiesystemen echt niet alleen voor de beveiliging van dat systeem willen beleggen. Nee, beveiliging is nog steeds ondersteunend en er zijn andere redenen waarom we dat informatiesysteem in leven houden (althans: ik hoop dat die redenen er zijn want anders kunnen we ze beter uitzetten). Alleen al omdat het informatiesysteem een bijdrage levert aan het voortbestaan van de organisatie willen we dat het systeem zo goed mogelijk gemanaged wordt.

Als we dan toch al iemand aan hebben gewezen die verantwoordelijk is, dan is het nog een klein kunstje om hem of haar ook duidelijk te maken wat de taken, bevoegdheden en verantwoordelijkheden op het gebied van de beveiliging van dat informatiesysteem zijn. Op papier allemaal niet zo ingewikkeld maar laten we vooral die taken, bevoegdheden en verantwoordelijkheden niet zomaar over de schutting gooien.

Formeel is de verantwoordelijke ook verantwoordelijk voor de beveiliging, want beveiliging was immers een lijnverantwoordelijkheid. Maar laten we diegene daarin watertrappelen dan is de kans groot dat beveiliging het ondergeschoven kindje wordt. Nee, het is de taak van de security manager om de kaders te ontwikkelen, de formats, de standaarden, de richtlijnen en vooral ook om een luisterend oor te zijn voor de organisatie.

We kunnen het niet genoeg benadrukken: beveiliging moet het werken niet lastiger maken dan nodig, nee we moeten keuzes maken over het niveau van beveiliging…en die keuzes worden toch echt gemaakt door degene die we verantwoordelijk maken voor de informatiesystemen. Zijn wij het vanuit de beveiligingsoptiek het niet eens met de gemaakte keuzes dan gaan we eerst in overleg, leggen onze beweegredenen uit en laten eventueel een hoger echelon de definitieve hamerklap geven.

De kritische bedrijfsprocessen (en objecten)

Voor dat we verder gaan is het goed om even in te zoomen op de kritische bedrijfsprocessen en de kritische objecten. We moeten immers wel de juiste zaken beschermen omdat we anders alsnog uit het veld kunnen worden geslagen. Niet geheel verrassend is de volgende vraag dan ook:

Zijn de kritische bedrijfsprocessen (en bedrijfsobjecten) van de organisatie inzichtelijk?

Hanteren we een top-down benadering op het gebied van integrale beveiliging dan moeten we ook redeneren vanuit de kritische bedrijfsprocessen die zo zijn ingericht dat we de doelstellingen van de organisatie (in termen van winst of omzet) kunnen realiseren. Omdat we geen oneindig beveiligingsbudget voor handen hebben moeten we goed kijken naar de wijze waarop we het budget inzetten. Daarbij moeten we natuurlijk die zaken als eerste aanpakken die voor het voortbestaan van onze organisatie van groot belang zijn. Oh ja, nog even voor de zekerheid: we implementeren geen maatregelen maar kijken natuurlijk eerst naar de operationele risico’s.

Nogal logisch is het kritische bedrijfsproces het primaire proces, maar was het maar zo eenvoudig. Veel organisaties hebben meerdere primaire processen. Kortweg: de processen waar we ons geld mee verdienen. Maar ja, die processen staan niet op zich en worden weer ondersteund door de secundaire processen. Kortweg: de processen die ons geld kosten. Het kan dus best zijn dat een secundair proces van groot belang is voor het voortbestaan van onze organisatie. Daarom moeten we dus niet alleen kijken naar de primaire processen maar juist ook naar de secundaire.

We gaan het nog een stukje ingewikkelder maken, ben ik bang. Een proces op zicht is niets, dat is slechts de term die we ergens aan hangen (ja, ja procesdeskundigen zullen het misschien anders omschrijven, sorry in dat geval). Processen worden ondersteund door informatie (geautomatiseerd en niet geautomatiseerd), assets (of materieel) en personen. Je kunt er allerlei definities aan hangen maar dat is op zich niet zo van belang. Het gaat hier om de uitgangspunten.

Willen we dus de kritische bedrijfsprocessen beveiligen dan kijken we nu naar de primaire en secundaire processen maar ook naar de informatie, assets en het personeel dat voor de uitvoering van die processen van belang is.

Het klinkt misschien allemaal ingewikkeld en niet zozeer als een taak die de Security Manager uit moet voeren om zijn of haar werk te kunnen doen. Toch zou het theoretisch allemaal wel mee moeten vallen. Als het goed is zijn de kritische bedrijfsprocessen en ondersteunende middelen namelijk al inzichtelijk. Hoe bestuurt de directie anders de organisatie?

We hoeven hiervoor dus misschien niet eens zelf de kritische bedrijfsprocessen inzichtelijk te maken maar kunnen misschien wel gebruik maken van de gegevens die in het kader van kwaliteitsmanagement of IT al eens inzichtelijk zijn gemaakt. Voordat we dus deze lastige oefening zelf uit gaan voeren moeten we eerst even op zoek wat er allemaal al beschikbaar is.

In een volwassen organisatie is al veel beschikbaar en op basis daarvan kunnen we ook een volwassen aanpak van beveiliging inrichten. Is de organisatie in zijn totaliteit nog niet zo ver dan moeten we ook even goed beseffen dat de beveiliging wel aan moet sluiten bij de volwassenheid van de totale organisatie.

Kijken we naar bijvoorbeeld de Capability Maturity Modellen (CMM) en komen we met de gehele organisatie op level 2 uit, dan heeft het nu nog niet zoveel zin om de beveiliging op level 4 of 5 in te richten (als we dat al ooit willen en kunnen bereiken). Sluit aan bij het volwassenheidsniveau van de organisatie en groei daar mee mee. Dan zijn we geen vreemde eend in de bijt en begrijpt iedereen ook waar we mee bezig zijn en waarom we dat doen.

Vertrouwelijke faxen justitie verkeerd terechtgekomen

Een 75-jarige inwoner van Weert heeft naar eigen zeggen de afgelopen jaren bij herhaling faxen met vertrouwelijke informatie van justitie gekregen, die niet voor hem bestemd zijn. Daarin staan volgens de man privacygevoelige gegevens (bron).

We kunnen natuurlijk allerlei technische, ingewikkelde en dure beveiligingsoplossingen bedenken en implementeren, maar de mens is en blijft toch vaak de zwakste schakel. Even een nummertje verkeerd invoeren en de fax komt bij de verkeerde terecht.

Gelukkig een incident dat we niet vaak tegenkomen (denken we) en wat in de toekomst langzaam zal uitsterven. Wie stuurt er nog een fax (wees eerlijk, wanneer stuurde jij er voor het laatst één?) en wie heeft er nog een fax? Justitie heeft in dit geval natuurlijk pure pech, de kans dat je een fax verkeerd zendt, wordt steeds kleiner, er moet aan de andere kant maar net zo’n antiek apparaat hangen.

De vraag is natuurlijk met welke antieke instellingen Justitie nog zaken doet die niet over de email kunnen. Ben benieuwd, maar dat zal wel nooit duidelijk worden. Volgende keer toch maar gewoon email verzenden en dan wel eerst even checken of je de juiste adressen hebt ingevoerd.

Want als we terug gaan naar de basis dan is dit een risico dat steeds groter wordt. Meer en meer wordt er gecommuniceerd via de email, meer en meer berichten worden heen en weer gestuurd. De kans dat je een typefoutje maakt in een emailadres is groot en voor je het weet ligt heel je ziel en zaligheid op straat. Volgens mij mogen vertrouwelijke berichten binnen Justitie alleen gemaild worden als ze versleuteld zijn, dan wordt het risico al een stuk kleiner, maar blijkbaar geldt dit voor faxen (nog) niet.

Privegegevens beschikbaar door lek kopieermachines

Door een gebrek aan beveiliging van de harde schijf in kopieerapparaten is persoonlijke en financiele informatie gemakkelijk beschikbaar voor derden. Ook in Nederland kan dit zorgen voor problemen als identiteitsdiefstal en creditcardmisbruik (bron).

Een bekend probleem waarvoor binnen de branche al langere tijd gewaarschuwd wordt, tevergeefs in veel gevallen. Kopieerapparaten beschikken tegenwoordig over aan interne harde schijf (en vaak een netwerkverbinding) waardoor de kopieen digitaal opgeslagen worden. De beveiliging van deze harde schijven laat te wensen over waardoor de gegevens er gemakkelijk afgehaald kunnen worden.

Nu richt dit bericht zich op de harde schijven in de kopieerapparaten, maar onderschat de netwerkverbindingen ook niet. De leverancier heeft op afstand toegang tot het apparaat zodat hij bij een storing snel in kan grijpen, maar dat hij (wellicht) via deze verbinding ook op je netwerk kan komen is bij veel bedrijven nog niet bekend.

Natuurlijk moeten we de ontwikkelingen in de techniek niet, vanwege beveiligingsobstakels, tegen willen houden. Maar het zou leveranciers niet misstaan als ze bij de ontwikkeling van dergelijke apparaten toch even naar de beveiliging ervan kijken of minimaal de gebruikers ervan op de hoogte stellen van de beveiligingsrisico’s. Een algemeen gehoord excuus is dat met beveiligingsmaatregelen de apparatuur duurder wordt dan dat van de concurrent. Dat zou kunnen kloppen, maar is goedkoop niet duurkoop in dit geval? Moet de gebruiker geen keuze vrijheid worden geboden? Of een goedkope machine zonder beveiliging of een iets duurdere maar dan wel een waarbij de beveiliging goed geregeld is?

Zolang er nog veel onbegrip is over beveiliging en risico’s zal dit de spagaat zijn waarin we blijven zitten. Te vaak wordt alleen gekeken naar de kosten en niet naar de risico’s. Na een incident krabben we ons dan achter de oren en vragen we ons af hoe dit in hemelsnaam heeft kunnen gebeuren. Het antwoord daarop is vrij simpel: het beveiligings- en risicobewustzijn bij bedrijven is onder de maat…en geloof me je loopt nog veel meer en grotere risico’s dan alleen het lekken via kopieermachines. Hoe je achter die risico’s komt? Ook dat antwoord is vrij simpel: risicomanagement invoeren.