Onafhankelijke risicobeoordeling voorwaarde securitycompliance

  1. 23 dec 2016
  2. 0 reacties

In Europa is bij wet geregeld dat bedrijven, (financiële) instellingen en overheidsorganisaties hun privacygevoelige persoonsgegevens moeten beschermen. Voor iedere sector bestaan andere beveiligingsregelingen die uiteindelijk op hetzelfde neerkomen: software en hardware moeten aantoonbaar voldoen aan strenge en gedetailleerde regels en procedures, de organisaties moeten kunnen bewijzen hiervoor continu alles in het werk te stellen en overtredingen worden bestraft. Omdat iedere organisatie zelf verantwoordelijk is voor zijn securitycompliance, is een onafhankelijke risicobeoordeling ofwel riskassessment noodzakelijk. Infosecurity Magazine vroeg SRC Secure Solutions naar hun praktijkervaringen met onafhankelijke riskassessments.

De afgelopen jaren heeft het Nederlandse SRC Secure Solutions onafhankelijke, beproefde riskassessments ontwikkeld voor diverse operating systems. Initiatiefnemers Stephen R. Cheney en Piet J. Munsterman geloven enerzijds in het automatiseren van securitycompliance en pleiten anderzijds voor onafhankelijk riskassessment om securitycompliance controleerbaar te maken. Inmiddels bieden zij riskassessments aan voor IBM-systemen (IBM Mainframe), IBM i (AS/400) en AIX (de Unix-omgeving van IBM) en voor diverse Linux-versies. Elk systeem heeft zijn eigen kenmerken en kwaliteiten en vraagt om een gespecialiseerd security-riskassessmentplan.

src_615x363

Zo’n riskassessmentplan, oftewel technische risicobeoordeling, is onafhankelijk van het gebruikte beheerorganisatiemodel. Dit is belangrijk omdat veel applicaties draaien op jaren geleden ontwikkelde ‘legacy’-systemen die vaak via een outsourcingovereenkomst zijn ondergebracht bij gespecialiseerde bedrijven. Op deze vertrouwde legacysystemen wordt nog volop doorontwikkeld en vaak vindt integratie plaats met andere systemen, bijvoorbeeld via web- en mobiele systemen.

Strenge regelgeving

Ieder bedrijf en elke organisatie moet, onafhankelijk van de gebruikte software en het operating system, voldoen aan regelingen voor securitycompliance. Een aan de Amerikaanse beurs genoteerd bedrijf heeft te maken met SOX, een bedrijf dat creditcardgegevens voor betalingen op zijn systemen houdt moet voldoen aan PCI, een Nederlandse financiële instelling aan Basel III en de regels van de Nederlandsche Bank en de AFM, een verzekeraar aan Solvency II, een organisatie in de gezondheidszorg aan HIPPA voor bedrijven in de VS en een Nederlandse overheidsinstelling aan de BIR.

Die regelgeving voor securitycompliance wordt steeds strenger. Zo is op veel regels nu ook strafrecht van toepassing. De Wet Bescherming Privacygegevens uit 2001 bijvoorbeeld, wordt vervangen door een veel gedetailleerdere Europese wetgeving voor de bescherming van persoonsgegevens. Overtreding wordt bestraft en er gelden aanvullende regelingen zoals de Wet Meldplicht Datalekken.

De regels schrijven voor dat organisaties moeten aantonen er met gespecialiseerde securitysoftware, aanvullende procedures en het opleiden van medewerkers alles aan te hebben gedaan om continu te voldoen aan de vereisten voor securitycompliance. Via rapportages na onafhankelijke riskassessments kan het management bewijzen afdoende en de juiste maatregelen te hebben genomen voor hun beveiligingsinstellingen. Geconstateerde omissies kunnen aanvullend via sanering (remediation) direct worden aangepakt.

Praktijkvoorbeeld: BIR-regeling voor Nederlandse overheid

Nederlandse overheidsinstellingen moeten voldoen aan de Baseline Informatiebeveiliging Rijksdienst (BIR), een volgens NEN/ISO 27001 en NEN/ISO 27002 gestructureerde regeling. De ‘vertaling’ van deze regels omvat onder andere de technische configuratie van hun systemen en de te hanteren procedures. Van alle betrokkenen vraagt het kennis, kunde en tijd om de wetten en regelingen tot in detail te kennen en voor hun geautomatiseerde omgevingen te interpreteren. En uiteraard moeten zowel de moderne als de legacysystemen, zowel de eigen als de uitbestede systemen of omgevingen en de in de ‘cloud’ draaiende systemen aan de regels voldoen. De eisen voor securitycompliance maken hierin geen onderscheid en houden de organisatie hoe dan ook voor alle systemen verantwoordelijk. Een onafhankelijke risicobeoordeling is de meest zekere en waterdichte manier om aan de strenge regels en de vereiste bewijsvoering te voldoen.

Securityassessment voor IBM i

SRC Secure Solutions verzorgde onder andere de IBM i-securityriskassessments voor de financiële applicatie van een overheidsinstelling (die moet voldoen aan de BIR) en voor de omgeving van een internationaal handelsbedrijf. Met een standaard-riskassessmentapplicatie vergeleek SRC de instellingen van de financiële applicatie met de door IBM geadviseerde instellingen. De afwijkingen werden geclassificeerd naar risico en in een rapport voorzien van commentaar. Na overleg met deskundigen van alle betrokken partijen is een actieplan opgesteld. Die acties zullen uiteindelijk leiden tot een IBM i-omgeving die aantoonbaar voldoet aan de geëiste compliancy. De IBM i-omgeving van het handelsbedrijf wordt maandelijks volledig automatisch vergeleken met de gekozen beleidsinstellingen. Afwijkingen van het beleid worden gerapporteerd.

Securityassessment voor IBM System z

Op de IBM System z van een bankinstelling draaien veel applicaties die de afgelopen vijfentwintig jaar zijn ontwikkeld en na tests zijn ingericht op de productieomgevingen. Om de data te ontsluiten voor het internet, zijn deze omgevingen weer gekoppeld aan een andere omgeving. SRC heeft voor dit systeem een security-assessmentplan opgesteld dat door alle partijen is getekend. Op basis van dit plan worden de te nemen stappen voor het securityriskassessment bepaald.

Securityassessment voor IBM AIX

Op de AIX-omgeving van een overheidsinstelling is een applicatie ingericht die toegang regelt tot het internet. Geautoriseerde gebruikers kunnen via deze omgeving hun informatie inzien. Op basis van het door SRC opgestelde security-riskassessmentplan voor een IBM AIX wordt de securitycompliance geautomatiseerd gecontroleerd. De conclusies resulteren na beoordeling en overleg in een saneringsplan.

Onafhankelijk riskassessment toekomstbestendig

SRC Secure Solutions heeft in nauw overleg met deskundigen riskassessments voor IBM z, IBM i, IBM AIX en Open Systems laten ontwikkelen. Grondreden was de behoefte aan een onafhankelijke controle en de bijkomende mogelijkheid van een voortdurende controle voor alle bestaande audits. Een beoordeling moet snel herhaald kunnen worden om bijvoorbeeld maandelijks inzage te hebben in de status van de securitycompliance. Voor het handelsbedrijf met IBM i was ook vereenvoudiging van het werk van de beheerafdeling een motief. Naast hun reguliere werk moeten medewerkers immers alle vragen van auditors beantwoorden. Een onafhankelijke rapportagetool die is ingericht conform de eisen van de auditors en die het management direct informatie biedt, slaat twee vliegen in één klap.