Toegangsbeveiliging – deel 1

De basis voor een interessant gesprek is gelegd op het moment dat een manager tegen me zegt: “ik wil dat iedereen overal bij kan.” Vaak is dit een uiting van frustratie die wordt veroorzaakt door het feit dat de rechten van specifieke personen beperkingen kennen waardoor er extra handelingen nodig zijn om iets voor elkaar te krijgen. Ik begrijp best dat je met elkaar moet zoeken naar een goede balans tussen rechten en beperkingen, maar iedereen toegang geven tot alles is zelden een goed idee.

Blog Dennis Baaten: gebruik opslagmedia niet zonder risico

In de praktijk zie ik nog steeds dat apparaten zoals USB-sticks en portable harddisks veel worden gebruikt voor het (tijdelijk) opslaan van gegevens. Ook draagbare media zoals telefoons en geheugenkaartjes zie ik wel eens voorbij komen als opslagmedium, maar in kantooromgevingen is het vooral de USB-stick die wordt gebruikt voor het uitwisselen en opslaan van gegevens. Het gebruik ervan is echter niet zonder risico’s.

Classificeren van informatie

Een passend beschermingsniveau betekent dat je maatregelen neemt die aansluiten bij de waarde van de te beschermen informatie. Je koopt geen kluis van € 10.000 om hier vervolgens iets met een waarde van € 1.000 in op te slaan. Cybercriminelen denken op een soortgelijke manier. Doorgaans zullen zij alleen hun kostbare resources spenderen wanneer ze denken dat hetgeen wat ze ervoor terugkrijgen een hogere waarde vertegenwoordigd; de criminele businesscase.

Daar ga ik niet over…

Een uitspraak die ik regelmatig op de werkvloer tegenkom luidt: “daar ga ik niet over”. Daar sta ik dan met mijn nieuwe idee om de beveiliging te verbeteren. Iedereen vindt het een goed idee, maar niemand trekt de verantwoordelijkheid om dit te realiseren naar zich toe. Omdat er formeel geen eigenaar van het desbetreffende systeem is benoemd, blijft de verantwoordelijkheid zweven en wijst iedereen naar elkaar.

Stop de dief! Of niet?

Een deel van werkend Nederland heeft tijdens de feestdagen waarschijnlijk de laptop van het werk op schoot gehad om tussen de pepernoten en oliebollen door nog even ‘op het werk’ in te loggen. Al is het maar om te zorgen dat de stapel ongelezen e-mails in januari nog te overzien is. Dat thuiswerken is natuurlijk hartstikke handig, maar hopelijk ook veilig! Deze keer heb ik het over hoofdstuk 6.2 van de ISO 27002:2013 die gaat over mobiele apparatuur en telewerken.

Interne organisatie van informatiebeveiliging, vervolg

Vandaag sta ik stil bij de overige onderwerpen uit hoofdstuk 6.1 van de ISO 27002:2013 die vorige week niet aan bod kwamen.

Interne organisatie van informatiebeveiliging

De vorige keer heb ik gesproken over verankering van informatiebeveiliging op strategisch niveau door het verkrijgen van management commitment. Vandaag gaat het ook over verankeren, maar dan op tactisch / operationeel niveau. Hoofdstuk 6.1 uit de ISO 27002:2013 gaat hier verder op in door te beschrijven hoe je de organisatie van informatiebeveiliging in de interne organisatie aan kunt pakken. Twee (van de vijf) onderwerpen binnen hoofdstuk 6.1 zal ik hieronder nader toelichten.

Informatiebeveiligingsbeleid verankeren

De eerste maatregelen uit de ISO 27002:2013 vind je in hoofdstuk 5, hier wordt beschreven dat er een informatiebeveiligingsbeleid is gedefinieerd dat uitlegt hoe de organisatie haar doelstellingen op het gebied van informatiebeveiliging wil bereiken. Bovendien stelt de norm dat een dergelijk beleid goedgekeurd dient te worden door de directie. Er zal dus een en ander vastgelegd dienen te worden, maar het liefst geen enorme pakken papier.

Blijf investeren in de zwakste schakel

Het belang van veilig gedrag en de attitude van medewerkers heb ik de vorige keer reeds benadrukt. Waar ik twee weken geleden voornamelijk stil stond bij zaken die je hiervoor kunt regelen bij het in- en uitdiensttreden, wil ik vandaag stilstaan bij hetgeen je kunt doen tijdens het dienstverband. Namelijk het continu trainen van het beveiligingsbewustzijn. Binnen de ISO 27002:2013 komt dit expliciet terug in 7.2.2, en wordt de waarde onder andere benadrukt in 12.2.1, 12.6.1, 15.1.1, 15.1.2, 16.1.6 en 18.1.2.

Een goed begin is het halve werk

Van cruciaal belang voor een goede informatiebeveiliging is het gedrag en de attitude van de medewerkers in de organisatie. Je kunt technische maatregelen nemen of beleid schrijven tot je scheel ziet, maar wanneer medewerkers zich niet aan de regels of voorschriften houden, is het een kwestie van tijd voordat zich serieuze incidenten voordoen. Het is dan ook niet verwonderlijk dat dit onderwerp op verschillende plaatsen binnen de ISO 27002:2013 terugkomt.

Leg eerst een goede basis

Eindelijk begint het besef dat een goede informatiebeveiliging cruciaal is voor het succes en voortbestaan van organisaties te groeien. Dat mag ook wel, want vanaf 1 januari 2016 zijn bedrijven verplicht om datalekken te melden wanneer deze nadelige gevolgen hebben voor persoonsgegevens.

De Europese Unie werkt op dit moment zelfs aan een nieuwe Europese privacy-verordening die strikte eisen gaat stellen aan organisaties die werken met persoonsgegevens. Boetes tot 100 miljoen euro of 5% van de jaaromzet voor wie zich niet aan de regels houdt zullen ongetwijfeld de aandacht krijgen van veel CEO’s en andere topmanagers.