Artikel

Maturity van informatiebeveiliging en Security Architectuur

Beveiliging van waardevolle informatie is nog steeds een ondergeschoven kindje in veel organisaties. Als functioneel beheerders zeggen: ”Ik weet niet wie er bij de database kan en welke rechten iemand daar heeft of behoort te hebben”, en als er productie data in testomgevingen voorkomen, dan zegt dat genoeg over de maturity van informatiebeveiliging.

“De toon aan de top”, zoals Edo Roos Lindgreen (KPMG) dat verwoordde tijdens een security seminar bij het CJIB, is een absolute voorwaarde om informatiebeveiliging de juiste body te geven in een organisatie. Geeft de top (bestuur) het belang en de richting aan en dragen ze het vervolgens uit, ook op momenten dat het spannend wordt? Dit is bepalend voor hoe de rest van de organisatie met informatiebeveiliging omgaat.

Maturity betekent overigens niet ‘de hele handel dichttimmeren’, maar bewust zijn van de risico’s en daarnaar handelen door inrichting van de juiste concepten en de controle daarvan. In dit artikel worden een aantal handvatten aangereikt om op gepaste wijze invulling te geven aan de informatiebeveiliging en security architectuur.

Een informatiebeveiligingsconcept

Het organiseren van informatiebeveiliging lijkt heel eenvoudig voor elkaar te krijgen door de code van informatiebeveiliging te volgen. We stellen een beleidsplan op en werken hierin de organisatie van de informatiebeveiliging en het informatiebeveiligingsbeleid uit. Maar een betere voorbereiding is wenselijk.

Wat is het huidige haalbare niveau en het draagvlak in de organisatie op het gebied van informatiebeveiliging? Wat zijn nu de risico’s en dreigingen en hebben we voldoende maatregelen genomen of staat de achterdeur open? Is iedereen bereid mee te werken en is iedereen voldoende voorgelicht en opgeleid? Een CBT’tje (Computer Based Training) beschikbaar stellen is echter niet voldoende.

Wat zijn de doelstellingen van een organisatie en welke akelige dingen kunnen het behalen van die doelstellingen in de weg staan? Het ontwerpen van een security architectuur is niet het invoeren van zoveel mogelijk regels en deze proberen te handhaven. De security architectuur is een oplossingsgericht ontwerp voor een bepaald probleem dat is vastgesteld op basis van de organisatiedoelstellingen. Dit ontwerp moet passen in het totaal plaatje van reeds gerealiseerde ontwerpen. Je plaatst tenslotte ook geen dakkapel in een flatgebouw om ruimte te creëren of lichtinval te verbeteren.

Naast het belang van de organisatiedoelstellingen zijn er generieke zaken die je (bijna) altijd geregeld moet hebben in de huidige digitale wereld, een soort baseline. Iedereen heeft tenslotte ook een slot op de voordeur en achterdeur thuis. Er zijn weinig organisaties die bijvoorbeeld in hun beleid hebben staan dat de e-mailserver niet misbruikt mag worden voor criminele activiteiten. Maar toch hebben de meeste organisaties wel maatregelen getroffen om dit te voorkomen.

Hieronder geef ik een voorbeeld van hoe we, vanuit een organisatiedoelstelling, kunnen komen tot een ontwerpregel.

  • Doelstelling - ”Wij willen als organisatie niet negatief in het nieuws komen met automatiseringsproblemen.”
  • Principe - Een principe kan dan zijn: ”Door het invoeren en bijhouden van moderne beveiligingstechnieken en het gebruik hiervan verplicht te stellen wordt voorkomen dat we negatief in het nieuws verschijnen.”
  • Ontwerpregel - Een ontwerpregel kan dan zijn: ”Beveiligingstechnieken worden zoveel mogelijk ondergebracht in generieke componenten en niet in het informatiesysteem zelf, waardoor maatregelen en bijbehorende technieken eenvoudig zijn aan te passen aan nieuwe ontwikkelingen.”

De ontwerpregels zijn één, maar er moet ook gekeken worden naar wet- en regelgeving en naar de huidige stand van zaken in de wereld. Daarom kan je de ontwerpregels en principes generiek opstellen op basis van overkoepelende doelstellingen, maar de invoering, het bestaan en de controle van de maatregelen zal vooral voor beveiligingsmaatregelen een intensief proces blijven.

Security services

De implementatie van het aanbieden van security oplossingen die gebaseerd zijn op een aantal ontwerpregels en deze als service klaarzetten, is het ultieme doel. Hiermee wordt de flexibiliteit van de organisatie niet negatief beïnvloed. Daarnaast is het van belang om zoveel mogelijk de security intelligentie in generieke services onder te brengen. De services kunnen technisch van aard zijn, maar ook organisatorisch of een combinatie van beiden.

Een technische service is bijvoorbeeld een generieke authenticatie service, waarvan alle informatiesystemen hun inlogprocedure verplicht afnemen. Deze authenticatie service kent de CIA rating (niveau van beschikbaarheid, integriteit en exclusiviteit dat wordt geëist) van de applicatie en de autorisatie die een medewerker of bepaalde functie mag verkrijgen. Wordt de CIA rating aangepast, dan wordt dit eenmaal aan de generieke service verteld en hij zal een ander pakket aan maatregelen tijdens de inlogprocedure en autorisatie procedure toepassen. Overigens ontslaat dit een programmeur / ontwerper van een informatiesysteem niet van de verplichting om een degelijk en veilig product te bouwen.

Een generieke organisatorische service kan zijn, dat een informatiebeveiliging specialist de autorisatieaanvragen gaat beoordelen op bijvoorbeeld functiescheiding. Elke wijziging in de autorisatie gaat dan via een dergelijke service.

Er kan ook een generieke service ontstaan die een combinatie van technische services en organisatorische services bevat. Een reporting service bijvoorbeeld. Het rapport wordt door een datawarehouse gemaakt en verstuurd, maar een manager zal de informatie moeten interpreteren. Een andere combinatie service is een monitoring eenheid. Een aantal specialisten monitoren continu het netwerk op verdacht verkeer of dreigende uitval van systemen. Hiervoor zijn de juiste technieken en specialistische kennis noodzakelijk om een juiste beoordeling te kunnen doen.

Baseline informatiebeveiliging met generieke services

Voor een goede baseline informatiebeveiliging heeft een organisatie standaard een aantal generieke services in haar infrastructuur opgenomen, die in deze wereld niet meer weg te denken zijn. Deze services kunnen onderverdeeld worden in de hoofdcategorieën: beschikbaarheid, integriteit en exclusiviteit.

In elke hoofdcategorie kan een onderverdeling worden gemaakt op basis van het stadium waarin de dreiging zich bevindt. De vier subcategorieën zijn: preventief, detectief, repressief en correctief.
Een generieke service die ondersteuning biedt aan exclusiviteit in het preventieve stadium is een authenticatie service. Een ander voorbeeld is een beschikbaarheidsservice in het correctieve stadium. Een dergelijke service is de restore service. In figuur 1 wordt een matrix getoond waarmee je op eenvoudige wijze maatregelen en services kunt categoriseren.

Figuur 1: Maatregelen en services categoriseren

Om de daadwerkelijk genomen maatregelen voor beschikbaarheid, integriteit en exclusiviteit weer te herleiden tot de organisatiedoelstellingen kan de relatietabel uit figuur 2 worden gebruikt. Door deze matrix in te vullen kun je nagaan of je maatregelen terug te herleiden zijn op organisatiedoelstellingen en / of wet- en regelgeving. Hiermee kun je de doelmatigheid en effectiviteit van je security architectuur beoordelen.

Figuur 2: Maatregelen aan doelstellingen koppelen

Tot slot

Op basis van de organisatiedoelstellingen, wet- en regelgeving, standaarden en richtlijnen en natuurlijk het gezonde boerenverstand, heeft een organisatie een bepaald aantal generieke security services nodig, die allemaal een deelgebied afbakenen. De governance is op deze manier goed te herleiden en daarmee ook de kosten die het met zich meebrengt. Een ander voordeel is dat de Trusted Computing Base hiermee overzichtelijk kan worden gehouden.

Door de security maatregelen te plaatsen in generieke componenten en de logica niet in de informatiesystemen te plaatsen, kan er snel ingegrepen worden op momenten dat het nodig is. De security architectuur blijft hierdoor flexibel en de beveiliging heeft geen negatief effect op de wendbaarheid van de organisatie. De kritische succesfactoren hierbij zijn:

  • dat het management volledig bewust is van de consequenties van de principes en concepten en daar volledig achter staat en ook uitdraagt.
  • het verplichten dat elk informatiesysteem dat wordt opgeleverd gebruik maakt van de generieke services.
  • projectleiders / architecten en opdrachtgevers die aan de wieg van een nieuw ontwerp staan ook het belang ervan inzien.

Vergeet daarbij niet de beschikbaarheid, integriteit en vertrouwelijkheid kwaliteitsaspecten ook in de generieke services te implementeren. Het gebruik en beschikbaarheid van de services heeft veel invloed op het acceptatiegedrag en draagvlak dat het zal vergaren in de organisatie.

Categorie:   
Auteur(s)
afbeelding van erikdouwes
Erik Douwes
Infoslot - Security Officer

Erik Douwes is als zelfstandig ondernemer actief als specialist in informatiebeveiliging. Op dit moment voert hij een opdracht uit voor de ING.

Nieuwe reactie inzenden

De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.
Indien het niet lukt om een reactie te plaatsen, stuur dan uw reactie naar redactie@xr-magazine.nl.
Alle inzendingen dienen correct, professioneel en beschaafd te zijn. IP-adressen worden gelogd, maar niet gepubliceerd. De redactie van XR Magazine behoudt zich het recht voor om anonieme reacties (niet op naam) of zonder geldig e-mailadres, te verwijderen zonder kennisgeving. Ook reacties waarin commerciële uitingen worden gedaan en/of commerciële producten en diensten worden aangeboden worden door de redactie verwijderd of ontdaan van commerciële uitingen zonder kennisgeving.