Daar ga ik niet over…
Een uitspraak die ik regelmatig op de werkvloer tegenkom luidt: “daar ga ik niet over”. Daar sta ik dan met mijn nieuwe idee om de beveiliging te verbeteren. Iedereen vindt het een goed idee, maar niemand trekt de verantwoordelijkheid om dit te realiseren naar zich toe. Omdat er formeel geen eigenaar van het desbetreffende systeem is benoemd, blijft de verantwoordelijkheid zweven en wijst iedereen naar elkaar.
Dit moet in meer of mindere mate voor velen bekend klinken, want het komt regelmatig voor dat de systeemeigenaar niet bekend is. Toch is het belangrijk om linksom of rechtsom wel een eigenaar voor bedrijfsmiddelen te benoemen. De eigenaar draagt namelijk bepaalde verantwoordelijkheden waarvan het belangrijk is dat ze duidelijk zijn belegd. Hoofdstuk 8.1 van de ISO 27002:2013 gaat over bedrijfsmiddelen en de verantwoordelijkheden die erbij horen.
Identificeren en vastleggen
Bedrijfsmiddelen zijn er in vele soorten en maten. Binnen de ICT kun je grofweg drie soorten bedrijfsmiddelen onderscheiden: informatie/gegevens, programmatuur en apparatuur. De eerste stap is dat alle bedrijfsmiddelen duidelijk zijn geïdentificeerd, en dat er een inventaris van alle belangrijke bedrijfsmiddelen wordt opgesteld en bijgehouden. Een bekende vorm van zo’n inventaris is de Configuration Management Database (CMDB). Binnen de inventaris kunnen de eigenschappen van de bedrijfsmiddelen worden bijgehouden. Denk bijvoorbeeld aan versie, eigenaar, en classificatieniveau.
Verantwoordelijkheden van de eigenaar
Wanneer de eigenaar is benoemd, kan deze worden aangesproken op zijn verantwoordelijkheden waaronder de beveiliging van het bedrijfsmiddel. De eigenaar dient er namelijk op toe te zien dat het bedrijfsmiddel met voldoende maatregelen wordt omkleed, om een passend beveiligingsniveau te realiseren. Het is hierbij gebruikelijk dat de eigenaar zich laat adviseren door de information security officer, of uitgaat van het vigerend beleid en/of standaarden. Een andere belangrijke verantwoordelijkheid is het op regelmatige basis beoordelen van de autorisaties die op het bedrijfsmiddel van toepassing zijn: wie heeft er met welke rechten toegang tot bedrijfsmiddelen? Op dit vlak wordt vaak de samenwerking gezocht met een systeem- of applicatiebeheerder die de eigenaar hierbij kan ondersteunen en erop toeziet dat de autorisaties ook daadwerkelijk zijn geïmplementeerd zoals aangegeven door de eigenaar. Het is aan de information security officer om hier regelmatig controles op uit te voeren.
Aanvaardbaar gebruik
Er zijn ook bedrijfsmiddelen die door de organisatie aan haar werknemers en/of ingehuurd personeel ter beschikking worden gesteld. In een dergelijk geval is het belangrijk dat gebruikers zijn geïnformeerd over de voorwaarden van het gebruik van de bedrijfsmiddelen. Veel organisaties gebruiken bijvoorbeeld een gedragscode om aan te geven wat wel en niet is toegestaan, en meer specifieke zaken kunnen uiteraard ook in aanvullende richtlijnen of beleidsdocumenten worden vastgelegd. Zolang gebruikers maar worden geïnformeerd over de voorwaarden en worden gewezen op hun verantwoordelijkheden. Bij bijvoorbeeld de uitgifte van laptops kan ook aan medewerkers worden gevraagd om een handtekening onder een overeenkomst te zetten waarin hij of zij verklaart zich aan de regels te houden.
Inname bedrijfsmiddelen
Het kwam al ter sprake in een van mijn eerste blogs in deze serie, maar bij beëindiging van het dienstverband dienen medewerkers en ingehuurd personeel alle bedrijfsmiddelen in te leveren, en worden autorisaties ingetrokken. Wanneer bedrijfsmiddelen worden overgenomen voor privégebruik, dienen deze eerst door de organisatie te worden geschoond. Tot slot kan het een goed idee zijn om vertrekkende medewerkers een verklaring te laten ondertekenen waarin ze aangeven geen bedrijfsmiddelen meer in hun bezit te hebben, en dat ze geheimhouding respecteren.
Dennis Baaten is eigenaar van Baaten ICT Security en helpt organisaties op organisatorisch en technisch vlak met het opzetten en borgen van een goede informatiebeveiliging