Basiskennis Beveiligen Van Informatie 18e

Basiskennis Beveiliging van Informatie

2

Dit boek is geschikt als studieboek voor het ISFS examen van de EXIN

EXIN is een onafhankelijk, internationaal exameninstituut voor ICT’ers. De missie van EXIN is de

bevordering van de kwaliteit van het ICT-vakgebied en de daarin werkzame ICT-professionals. Om

dat doel te bereiken ontwikkelt EXIN exameneisen en ICT-examens.

EXIN biedt vier Information Security-examens. Deze examens zijn gebaseerd op ISO/IEC 27002. U

kunt examen doen op Foundation, Advanced en Expert niveau. Op Expert niveau wordt naast kennis

van ISO/IEC 27002 ook kennis van de ISO/IEC 27001 getoetst.

ISBN/EAN: 978-90-813341-1-2

Titel: Basiskennis beveiligen van informatie

Versie: 18e

Datum: 10-10-2008

Dit boek mag in deze vorm niet zondermeer worden gewijzigd

.

This work is licensed under a Creative Commons Attribution-No Derivative Works 3.0 NetherlandsLicense

http://creativecommons.org/licenses/by-nd/3.0/nl/

http://creativecommons.org/licenses/by-nd/3.0/nl/


3

1. Voorwoord...........................................................................................................................................5

2. Over de schrijvers ...............................................................................................................................7

3. Inleiding basiskennis beveiliging van informatie .................................................................................9

4. Informatie, bedrijfsdoelstellingen en kwaliteitseisen .........................................................................10

4.1 Verschijningsvormen ...................................................................................................................10

4.2 Informatiesystemen .....................................................................................................................10

4.3 Waarde van informatie ................................................................................................................11

4.4 Informatie als productiefactor ......................................................................................................11

4.5 Beschikbaarheid, Integriteit en Vertrouwelijkheid .......................................................................11

4.6 Informatiearchitectuur..................................................................................................................14

4.7 Bedrijfsprocessen en informatie ..................................................................................................14

4.8 Informatieanalyse ........................................................................................................................15

4.9 Informatiemanagement................................................................................................................15

4.10 Informatica.................................................................................................................................15

4.11 Samenvatting.............................................................................................................................15

4.12 Casus ........................................................................................................................................15

5. Dreigingen en risico’s (risicoanalyse) ...............................................................................................16

5.1 Risicoanalyse ..............................................................................................................................18

5.2 Soorten risicoanalyses ................................................................................................................18

5.3 Maatregelen die het risico verminderen ......................................................................................19

5.5 Soorten dreigingen ......................................................................................................................21

5.6 Soorten schade ...........................................................................................................................23

5.7 Soorten risicostrategieën.............................................................................................................24

5.8 Richtlijnen bij het invoeren van beveiligingsmaatregelen............................................................25

5.9 Samenvatting...............................................................................................................................26

5.10 Casus ........................................................................................................................................26

6. Informatiebeveiligingsincidenten en -zwakheden .............................................................................27

6.1 Beheer van informatiebeveiligingsincidenten..............................................................................27

6.2 Incidentcyclus ..............................................................................................................................30

6.3 Rollen...........................................................................................................................................30

6.4 Samenvatting...............................................................................................................................31

6.5 Casus...........................................................................................................................................31

7. Fysieke maatregelen.........................................................................................................................32

7.1 Fysieke beveiliging ......................................................................................................................32

7.2 In de ban van de ring...................................................................................................................33

7.3 Alarm ...........................................................................................................................................39


4

7.4 Brandbeveiliging ..........................................................................................................................39

7.5 Emergency planning....................................................................................................................41

7.6 Samenvatting...............................................................................................................................41

7.7 Casus...........................................................................................................................................41

8. Technische maatregelen (ICT-beveiliging) .......................................................................................42

8.1 Beheer van bedrijfsmiddelen.......................................................................................................42

8.2 Logisch toegangsbeheer .............................................................................................................44

8.3 Beveiligingseisen voor informatiesystemen ................................................................................45

8.4 Cryptografie .................................................................................................................................47

8.6 Soorten cryptografische systemen ..............................................................................................48

8.7 Beveiliging van systeembestanden .............................................................................................52

8.8 Uitlekken van informatie ..............................................................................................................52

8.9 Samenvatting...............................................................................................................................53

8.10 Casus ........................................................................................................................................53

9. Organisatorische maatregelen..........................................................................................................55

9.1 Beveiligingsbeleid........................................................................................................................55

9.2 Personeel ....................................................................................................................................59

9.3 Bedrijfscontinuïteitsbeheer ..........................................................................................................61

9.4 Beheer van communicatie- en bedieningsprocessen .................................................................65

9.5 Samenvatting...............................................................................................................................83

9.6 Casus...........................................................................................................................................83

10 Wet- en regelgeving .........................................................................................................................85

10.1 Naleving van wettelijke voorschriften ........................................................................................85

10.2 Compliancy................................................................................................................................85

10.3 Intellectuele eigendomsrechten (Intellectual Property Rights, IPR)..........................................86

10.4 Bescherming van bedrijfsdocumenten ......................................................................................87

10.5 Bescherming van gegevens en geheimhouding van persoonsgegevens.................................88

10.6 Voorkomen van misbruik van IT-voorzieningen ........................................................................88

10.7 Naleving van beveiligingsbeleid en -normen.............................................................................89

10.8 Controlemaatregelen .................................................................................................................90

10.9 Audits van informatiesystemen .................................................................................................90

10.10 Bescherming van hulpmiddelen voor audits van informatiesystemen ....................................90

10.11 Samenvatting...........................................................................................................................91

10.12 Casus ......................................................................................................................................91

Index......................................................................................................................................................92

Voorbeeldvragen examen ISFS (EXIN) ..............................................................................................104


5

1. VoorwoordHet woord beveiliging heeft van nature een negatieve klank. Beveiliging wordt immers alleen

toegepast als er reden is om dat te doen; als er een risico of een kans bestaat dat iets niet gaat zoals

het bedoeld is.

Beveiliging heeft dan ook alles te maken met bescherming. Er is iets ingericht om de kans op ellende

te verkleinen of om de gevolgen daarvan te verminderen. Zo zijn een reservewiel, het onbrandbaar

maken van kinderpyjama's of een verzekeringspolis vormen van beveiliging. Een reservewiel zorgt

ervoor dat we minder last hebben van de lekke band, de verzekeringspolis dekt de financiële

gevolgen en onbrandbare pyjama's maken de kans op groot menselijk letsel kleiner.

Informatie is in onze samenleving een kostbaar goed geworden. Dit wordt des te meer zichtbaar als

we ons realiseren dat geen enkel zakelijk proces uitgevoerd kan worden zonder informatie. Besturing

van processen gaat immers altijd op basis van (management)informatie. Veel bedrijven doen niets

anders dan informatie verwerken. Dat geldt vooral voor de financiële sector en de overheid. Ook de

zakelijke dienstverlening doet niet veel meer dan informatie verzamelen en – in een andere vorm –

naar buiten brengen.

Zelfs onze vrije tijd draait om informatie. Muziek, boeken en films in digitale vorm (mp3, cd, dvd),

internet en gaming maken allemaal gebruik van digitale informatie. De bijna explosieve groei van het

aantal digitale camera's, ook op mobiele telefoons, heeft een onschatbare hoeveelheid foto's

opgeleverd die in de vorm van informatie zijn opgeslagen op harde schijven, draagbare spelers, cd's,

dvd's en USB-sticks.

Het is dan ook niet vreemd dat vooral de afgelopen tien jaar het onderwerp informatiebeveiliging

actueel geworden is in het bedrijfsleven, bij de overheid en thuis.

In dit boek wordt het onderwerp informatiebeveiliging op een hanteerbare wijze behandeld. Daarvoor

is een hoofdstukindeling gekozen die het onderwerp langs duidelijke lijnen opdeelt. Verder is de

behandeling van bijvoorbeeld de technische maatregelen gericht op de niet-automatiseerder.

Er is een verband tussen risico en beveiliging: als er geen sprake is van risico, dan hoeft er geen

beveiliging te worden ingericht. Dat doen we thuis ook niet. Beveiliging kost geld en moeite en als we

dat kunnen vermijden, dan doen we dat graag.

Hoeveel en welke maatregelen genomen moeten worden hangt af van het risico.

Na de algemene inleiding en de uitleg over informatie en de waarde daarvan, begint het boek met

dreigingen en risico's. Het nagaan welke risico's het grootst zijn en welke gevolgen niet acceptabel

zijn, is onderwerp van de risicoanalyse. In het vakgebied informatiebeveiliging wordt hierdoor bepaald

welke maatregelen getroffen moeten worden. Verder wordt in de analyse vastgesteld wat de

argumenten zijn om iets aan de risico's te gaan doen.

Voorafgaand aan het bespreken van de maatregelen, wordt in hoofdstuk 4 stilgestaan bij het omgaan

met informatiebeveiliging in een organisatie. Onderwerpen als organisatie, beheer en kwaliteitseisen

komen daarbij aan de orde. In hoofdstuk 5 wordt ingegaan op dreigingen en de risicoanalyse.

Vervolgens wordt in hoofdstuk 6 ingegaan op informatiebeveiligingsincidenten en zwakheden.

De daaropvolgende drie hoofdstukken gaan over maatregelen. Het is onmogelijk om alle maatregelen

te bespreken, alleen al omdat er vandaag weer nieuwe bij gekomen zijn. De meest gebruikte

principes komen aan de orde. Voor het vinden van meer (technische) details is het handig contact op

te nemen met de betreffende producent.

De maatregelen zijn in dit boek in drie groepen onderverdeeld:

Fysieke maatregelen, zoals sloten en hekken, maar ook kasten en een receptie;

Technische maatregelen, zoals back-ups, software voor geheimschrift en antivirusfuncties;


6

Organisatorische maatregelen zoals het scheiden van functies, geheimhoudingsverklaringen en

autorisaties waarmee geregeld is wat iemand mag op het informatiesysteem.

Het boek wordt afgesloten met een bespreking van weten regelgeving zoals die in Nederland van

toepassing is. Er zijn wetten die het toepassen van beveiligingsmaatregelen verplicht stellen. Denk

daarbij bijvoorbeeld aan de Wet Bescherming Persoonsgegevens (WBP) die eisen stelt aan de

bescherming van de privacy.

Jacques Cazemier


7

2. Over de schrijversDit boek is geschreven door dezelfde groep auteurs als van het boekje "Nederland gaat digitaal, maar

wel veilig", dat in 2002 als gezamenlijke uitgave van het Ministerie van Economische Zaken en het

Genootschap van Informatiebeveiligers is verschenen.

De auteurs zijn allen lid van het PvIB en beogen het vakgebied informatiebeveiliging toegankelijker te

maken voor startende informatiebeveiligers en medewerkers van afdelingen.

Hans Baars CISSP, is van 1999 tot 2002 bij de politie werkzaam geweest als

informatiebeveiligingsfunctionaris en als intern EDP-Auditor. In 2002 werd hij adviseur integrale

veiligheid bij het Korps Landelijke Politiediensten. In die functie was hij betrokken bij de vormgeving

van het informatiebeveiligingsbeleid van de Nederlandse politie. Sinds 2006 is hij als

beveiligingsconsultant werkzaam binnen het bedrijfsleven. Hij adviseert overheden en commerciële

bedrijven over de wijze waarop zij hun fysieke en informatiebeveiliging betaalbaar en werkbaar

kunnen inrichten.

Kees Hintzbergen is accountmanager bij 3-Angle. Kees heeft meer dan 20 jaar ervaring in de ICT en

IV en werkt sinds 1999 in het vakgebied informatiebeveiliging. In 1998 heeft hij zijn AMBI-master

gehaald op het gebied van Exploitatie en Beheer. Daarnaast heeft hij opleidingen gevolgd bij de

Hogeschool van Amsterdam (HEAO-BI) en de Hogeschool Dirksen (System Engineer). Ook heeft hij

de complete VAX-VMS training gevolgd bij het toenmalige Digital. Kees is in het dagelijkse leven

adviseur, coach en ’spiegel’ waarbij hij de Gezond Verstand Methode hanteert. Dankzij zijn ervaring

en zijn oosterse inslag (een man een man, een woord een woord) is hij in staat te verkopen vanuit

advies.

Jule Hintzbergen CISSP PSP, is, na 21 jaar bij Defensie, sinds 1999 werkzaam bij Capgemini als

consultant public security. Jule heeft meer dan 20 jaar ervaring in de ICT en houdt zich een groot deel

van de tijd bezig met informatiebeveiliging. Na het behalen van AMBI op het gebied van Exploitatie en

Beheer in 1997 heeft hij diverse rollen vervuld op het grensvlak van projectmanagement,

informatiemanagement en fysieke en informatiebeveiliging. Hij is al geruime tijd verbonden aan EXIN

(Examination Institute for Information Science) als vraagproducent en reviewer. Jule is sinds 2003

CISSP (Certified Information Systems Security Professional) bij ISC2 en sinds 2007 PSP (Physical

Security Professional) bij ASIS International.

Ir. André Smulders (CISSP) is senior consultant informatiebeveiliging bij TNO Informatie- en

Communicatietechnologie. André is na zijn studie Technologie Management aan de TU Eindhoven in

1996 gestart in het werkveld van innovatie en ICT en specialiseert zich sinds 2000 in

informatiebeveiliging. In zijn huidige rol als adviseur en projectleider heeft hij te maken met

informatiebeveiligingsprojecten variërend van technologisch tot strategisch niveau.

Dit boek is gereviewd door de volgende personen die wij daar voor danken:

Ing. John van Huijgevoort, Capgemini Nederland B.V.

Drs. Erno Duinhoven CISSP, Capgemini Nederland B.V.

Ing. Ben Elsinga CISSP, Capgemini Nederland B.V.

Ing. Marcel Oogjen, Capgemini Nederland B.V.

Ir.drs. Jurgen van der Vlugt RE CISA, Noordbeek IT Audit

Dr. J. Hulstijn, Vrije Universiteit, Postgraduate IT Audit Opleiding

Drs. Fred van Noord, Verdonck, Klooster & Associates (VKA)

Drs. Rita Pilon, EXIN International Examination Institute for Information Science


8

Het voorwoord is geschreven door Jacques A. Cazemier:

Jacques A. Cazemier is als executive consultant op het gebied van informatiebeveiliging en Business

Continuity Management (BCM) actief bij Verdonck, Klooster & Associates (VKA). Hij heeft aan de

wieg gestaan van de invoering van Informatiebeveiliging en Business Continuity Management in

Nederland in het midden van de negentiger jaren.

De laatste jaren is hij vooral betrokken geweest bij beleids-, organisatorische en planningsaspecten

van informatiebeveiliging op werkterreinen bij de overheid, het bedrijfsleven en bij financiële

instellingen.

Ook het uitvoeren van onderzoek naar de status van informatiebeveiliging, het begeleiden van

onderzoek naar computerinbraak of het inrichten van Business Continuity Management heeft deel

uitgemaakt van zijn werkzaamheden.

Hij is hoofddocent binnen de MSIT (Master of Security in Information Technology) en het MISM

(Master of Information Security Management) programma’s die bij de TiasNimbas Business School in

samenwerking met de TU/Eindhoven gegeven worden. Verder is hij verbonden aan TopTech van TU

Delft en is hij gastdocent aan de Haagse Hogeschool en Saxion.

Hij is een van de auteurs van het ITIL®

Security Management boek.


9

3. Inleiding basiskennis beveiliging van informatie

Dit boek geeft een algemeen overzicht van informatiebeveiliging. Informatiebeveiliging omvat het

vakgebied dat zich richt op de kwaliteit (betrouwbaarheid) van informatievoorziening en de continuïteit

van de bedrijfsvoering. Met kwaliteit wordt in dit verband bedoeld de beschikbaarheid, de

vertrouwelijkheid en de integriteit van informatie. In dit boek wordt uitgelegd wat deze kwaliteitseisen

inhouden, hoe ze vastgesteld kunnen worden en wat er voor nodig is om deze vervolgens te borgen

in de organisatie. Het geheel omvat het vakgebied van de informatiebeveiliger. De onderwerpen die

hierbij een rol spelen worden in de afzonderlijke hoofdstukken nader toegelicht. Daarbij wordt per

hoofdstuk aangegeven waarom het specifieke onderwerp relevant is. Dat zal toegelicht worden aan

de hand van cases uit de alledaagse praktijk. Deze cases zullen zoveel mogelijk generiek van aard

zijn en dus niet zijn toegespitst op een specifiek organisatietype.

Na het lezen van het boek heeft u een globaal overzicht van de onderwerpen die informatiebeveiliging

omvatten, weet u waarom deze onderwerpen relevant zijn en heeft u inzicht in de meest gangbare

begrippen.

Dit boek is geschikt voor iedereen in een organisatie die behoefte heeft aan basiskennis over de

beveiliging van informatie. Deze basiskennis is van belang voor alle medewerkers in een bedrijf of bij

de overheid omdat zij omgaan met informatie. Lijnmanagers hebben deze kennis nodig omdat zij

verantwoordelijk zijn voor de beveiliging van de informatie op hun afdeling. Deze basiskennis is ook

van belang voor ondernemers en voor zelfstandigen zonder personeel (ZZP) omdat zij zelf hun

informatie moeten beschermen. Enige kennis van informatiebeveiliging is ook nodig voor de

thuisomgeving. En natuurlijk vormt deze kennis een goede basis voor iemand die overweegt een rol

te gaan vervullen als informatiebeveiliger, zowel als ICT’er of als procesbeheerder.

Ieder van ons heeft in zijn of haar dagelijks leven te maken met informatiebeveiliging, vaak in de vorm

van maatregelen. Die maatregelen zijn ons opgelegd of hebben we zelf ingevoerd. Denk bijvoorbeeld

aan het gebruik van wachtwoorden op de computer. Maatregelen ervaren we vaak als lastig omdat ze

tijd kosten en omdat we niet altijd weten waar de maatregel ons tegen beschermt.

De kunst van het implementeren van informatiebeveiliging is het in balans brengen van een aantal

aspecten:

De kwaliteitseisen die door de organisatie aan de informatie worden gesteld;

De risico’s voor deze kwaliteitseisen;

De maatregelen die nodig zijn om deze risico’s te beperken;

De zorg voor het voortbestaan (de continuïteit) van de organisatie in geval van een calamiteit.

Het primaire doel van dit boek is te dienen als opleidingsmateriaal. Daarom eindigt ieder hoofdstuk

met een casus. Om het begrip en de samenhang van de onderwerpen te versterken zijn in deze

casussen vragen over de behandelde stof opgenomen. U treft ook veel voorbeelden uit de praktijk

aan en recente gebeurtenissen die de kwetsbaarheid van informatie laten zien. Met deze

gebeurtenissen willen we u niet bang maken, alleen bewust.

Door het algemene karakter is dit boek ook geschikt als materiaal voor een bewustwordingstraining of

als naslagwerk in een bewustwordingscampagne.

In het kader van dit boek hebben we het over grote organisaties, maar de onderwerpen zijn ook van

toepassing op de dagelijkse thuisomgeving en kleine organisaties/bedrijven die geen aparte

informatiebeveiligingsfuncties kennen. In dergelijke situaties zullen de verschillende

informatiebeveiligingsfuncties belegd zijn bij één persoon.


10

4. Informatie, bedrijfsdoelstellingen en kwaliteitseisen

Inleiding

Zoals de naam al doet vermoeden gaat informatiebeveiliging over het beveiligen van informatie. Wat

beveiliging is wordt verderop uitgelegd, eerst kijken we wat informatie eigenlijk is. Informatie is een

breed begrip, waarbij voor het begrip informatie al veel definities zijn gegeven. Vaak zijn deze

interpretaties vakgebied- of toepassingsspecifiek. In het kader van dit boek gebruiken we de definitie

uit de Dikke van Dale, die informatie omschrijft als: kennis die iemand bereikt.

Voor het begrip informatiebeveiliging gebruiken we de definitie van het Platform voor

Informatiebeveiliging (PvIB): Informatiebeveiliging betreft het definiëren, implementeren,

onderhouden, handhaven en evalueren van een samenhangend stelsel van maatregelen die de

beschikbaarheid, de integriteit en de vertrouwelijkheid van de (handmatige en geautomatiseerde)

informatievoorziening waarborgen.

4.1 Verschijningsvormen

Kennis die iemand bereikt onderscheidt informatie van gegevens en van data. Data zijn gegevens die

in de informatietechniek verwerkt kunnen worden. Gegevens worden pas informatie als deze

gegevens geïnterpreteerd kunnen worden tot een zinvolle boodschap. Er zijn oneindig veel

verschijningsvormen van informatie waar we dagelijks mee omgaan. Dat kan in de vorm van tekst zijn

maar ook in de vorm van gesproken woord en videobeelden. In het kader van informatiebeveiliging

moeten we rekening houden met alle verschijningsvormen waarin informatie zich kan manifesteren.

Het gaat immers om het beveiligen van de informatie zelf en niet de wijze waarop deze zich

manifesteert. De wijze waarop informatie zich manifesteert legt wel beperkingen op aan de

maatregelen die nodig zijn om de informatie te beschermen.

4.2 Informatiesystemen

Overdracht en verwerking van informatie vindt plaats met behulp van een informatiesysteem. Let

hierbij op dat een informatiesysteem niet per definitie een ICT(informatie en

communicatietechnologie)-systeem is. Elk systeem dat tot doel heeft informatie over te dragen is een

informatiesysteem. Voorbeelden van informatiesystemen zijn dossiers in archiefkasten, de mobiele

telefoon en de printer. In het kader van informatiebeveiliging is een informatiesysteem het geheel van

middelen, procedures, regels en mensen dat de informatievoorziening voor een bedrijfsproces

verzorgt. In toenemende mate zijn dit ICT-systemen waardoor we in de informatievoorziening steeds

afhankelijker zijn geworden van het goed functioneren van deze ICT-systemen. Een ICT-systeem

bestaat zoals gezegd uit middelen die een bepaalde samenhang hebben. Deze middelen zijn

bijvoorbeeld:

De werkplek, bestaande uit de pc met besturingssoftware en programma's;

Datatransport via een netwerk, bekabeld of niet (wireless);

Centrale servers, bestaande uit de server met een besturingssysteem en programma's;

Gegevensopslag, bijvoorbeeld schijfruimte, e-mail en databases;

Telefoons met hun centrales en antennes.


11

In het nieuws

Gebruikers van een smartphone met het Symbian OS S60 worden

gewaarschuwd voor de worm Beselo. Deze worm verspreidt zich via mms en bluetooth.

De worm is vermomd als het bestand sex.mp3, love.jpg of beaty.rm, waardoor gebruikers denken dat

het een multimediabestand is en daarom de worm installeren. Na installatie verspreid de worm zich

verder. Ook kopieert het zich naar de geheugenkaartjes die in het toestel zitten.

F-Secure raadt gebruikers aan om het installatieverzoek te negeren. "Een plaatje heeft geen reden tot

een installatieverzoek. Dus ieder plaatje of geluidsbestand dat dit wel doet, is een ander soort

bestand dan dat het zich voordoet", schrijft F-Secure.

Bron: www.computable.nl

4.3 Waarde van informatie

Zoals al eerder opgemerkt is informatie kennis die iemand bereikt. Informatie die betekenisloos is

noemen we immers gegevens. Of iets informatie is of gegevens zijn wordt hoofdzakelijk door de

ontvanger van die informatie bepaald. Zo zal voor de ene partij een bepaalde set gegevens niet

interessant zijn terwijl een andere partij daar waardevolle informatie uit kan halen. De waarde van

informatie wordt daarmee bepaald door de waarde die de ontvanger van deze informatie daaraan

toekent.

4.4 Informatie als productiefactor

De standaard productiefactoren van een bedrijf of organisatie zijn: kapitaal, (handen)arbeid en

grondstoffen. In de informatietechnologie en in de informatiebeveiliging is het gebruikelijk ook

informatie als productiefactor te zien. Bedrijven kunnen niet zonder informatie. Een groothandel die

zijn klanten voorraadinformatie verliest komt deze klap meestal niet te boven. Sommige bedrijven,

zoals een accountantskantoor, hebben informatie zelfs als enig product.

4.5 Beschikbaarheid, Integriteit en Vertrouwelijkheid

Bij het beschermen van de waarde van informatie kijken we naar drie factoren, dit zijn de

kwaliteitseisen die we stellen aan informatie. Informatie moet betrouwbaar zijn, dat wil zeggen

beschikbaar, integer en vertrouwelijk (BIV). Voor vertrouwelijkheid wordt in sommige organisaties de

term exclusiviteit gebruikt. Dan wordt de afkorting BEI gebruikt: beschikbaar, exclusief en integer. In

het Engels zijn dit de CIA eisen: confidentiality, integrity, availibility.

Bij ieder verzoek om een risicoanalyse uit te voeren of een beveiligingsadvies te geven, zal de

adviseur op basis van deze drie pijlers zijn of haar advies uitbrengen.

Uitgangspunt is de invloed die de BIV-eisen hebben op de waarde van de informatie:

Het belang van de informatie voor de bedrijfsprocessen;

De onmisbaarheid van de informatie binnen bedrijfsprocessen;

De herstelbaarheid van de informatie.


12

Wat we verstaan onder beschikbaarheid, integriteit en vertrouwelijkheid wordt hieronder nader

uitgelegd.

4.5.1 Beschikbaarheid

Beschikbaarheid is de mate waarin informatie beschikbaar is voor de gebruiker en het

informatiesysteem in bedrijf is op het moment dat de organisatie deze nodig heeft.

Kenmerken van beschikbaarheid zijn:

Tijdigheid. De informatiesystemen zijn beschikbaar gedurende werktijd;

Continuïteit. De medewerkers kunnen doorwerken;

Robuustheid. Er is voldoende capaciteit om alle medewerkers in het systeem te kunnen laten werken.

Voorbeelden van voorzieningen voor beschikbaarheid:

Het beheer en de opslag van gegevens is zodanig dat de kans op het verliezen van informatie

minimaal is. Data worden bijvoorbeeld op een netwerkschijf opgeslagen, niet op de harde schijf van

de pc;

Er worden back-upprocedures opgesteld. Hierbij wordt rekening gehouden met wettelijke

bewaartermijnen. De plaats van de back-up is fysiek gescheiden van het bedrijf om de

beschikbaarheid in noodgevallen te waarborgen;

Er worden noodprocedures opgesteld om de werkzaamheden na een grootschalige verstoring zo

spoedig mogelijk weer in gang te kunnen zetten.

4.5.2 Integriteit

Integriteit is de mate waarin de informatie actueel en zonder fouten is. Kenmerken van integriteit zijn

de juistheid en de volledigheid van de informatie.

In het nieuws

Computercriminelen verkopen via Argentijnse en Maleisische "crimeware servers" de logins van

ziekenhuizen en andere zorgverleners, zo beweert beveiligingsbedrijf Finjan. De beveiliger vindt

regelmatig allerlei interessante informatie op gehackte servers. Dit keer gaat het om data afkomstig

uit ziekenhuizen en zorgverleners, zakelijke informatie van een luchtvaartmaatschappij en via

identiteitsdiefstal verkregen Sofi-nummers

Met de gestolen patiëntgegevens kunnen fraudeurs medicijnen en behandelingen krijgen, om die dan

weer door te verkopen. Voor de slachtoffers kan dit gevolgen voor de dekking hebben en een

vervuiling van het eigen dossier betekenen, met schadelijke en foutieve behandelingen als mogelijk

gevolg, aldus Finjan. Het bedrijf vond op de crimeware server de Citrix logins van een Amerikaans

ziekenhuis en andere medische instellingen.

Bron: www.security.nl


13

Voorbeelden van voorzieningen voor integriteit:

Wijzigingen in systemen en data worden geautoriseerd, bijvoorbeeld een medewerker voert een

nieuwe prijs in voor een artikel op de website, een andere medewerker controleert de juistheid van die

prijs voordat deze gepubliceerd wordt;

Waar mogelijk worden mechanismen ingebouwd die het correcte gebruik van termen afdwingen,

bijvoorbeeld een klant wordt altijd ‘klant’ genoemd, de term ‘customer’ kan niet worden ingevoerd in

de database;

Gebruikershandelingen worden vastgelegd (gelogd) zodat gecontroleerd kan worden wie een

wijziging in de informatie heeft aangebracht;

Vitale systeemhandelingen, bijvoorbeeld het installeren van nieuwe software, mogen niet door één

persoon worden uitgevoerd, door het scheiden van functies en bevoegdheden kan afgedwongen

worden dat minstens twee personen nodig zijn voor een wijziging met grote gevolgen;

Integriteit van gegevens kan in belangrijke mate gewaarborgd worden door encryptie technieken, het

versleutelen van informatie;

Het beleid en beheer voor encryptie kan in een afzonderlijk beleidsdocument vastgesteld worden.

4.5.3 Vertrouwelijkheid

Vertrouwelijkheid is de mate waarin de toegang tot informatie beperkt is tot een gedefinieerde groep

die daar rechten toe heeft. Hieronder vallen ook maatregelen die de privacy beschermen.

Voorbeelden van voorzieningen voor vertrouwelijkheid:

Toegang tot informatie wordt gegeven op basis van ‘need to know’, bijvoorbeeld een financieel

medewerker hoeft geen verslagen van gesprekken met de klant te zien;

Medewerkers treffen maatregelen om te voorkomen dat informatie terecht komt bij personen die deze

informatie niet nodig hebben. Zij zorgen er bijvoorbeeld voor dat op hun bureau geen vertrouwelijke

informatie ligt in hun afwezigheid (clear desk policy);

Logisch toegangsbeheer zorgt ervoor dat ongeautoriseerde personen of processen geen toegang

krijgen tot de geautomatiseerde systemen, gegevensbestanden en programmatuur. Een gebruiker

heeft bijvoorbeeld niet de rechten om instellingen op de pc veranderen, dit wordt geregeld door deze

instellingen onzichtbaar te maken voor de gebruiker;

Er zijn functiescheidingen aangebracht tussen de systeemontwikkelings-, verwerkings- en

gebruikersorganisatie. Een systeemontwikkelaar kan bijvoorbeeld geen salarisaanpassing doen;

Er zijn strikte scheidingen aangebracht tussen de ontwikkelingsomgeving, de testen

acceptatieomgeving en de productieomgeving (OTAP);

Bij de verwerking en het gebruik van gegevens worden maatregelen getroffen om de privacy van

personeel en derden te waarborgen. Personeelszaken (HR) heeft bijvoorbeeld een eigen

netwerkschijf die voor overige afdelingen niet toegankelijk is;

Computergebruik door eindgebruikers is omgeven door zodanige maatregelen, dat de

vertrouwelijkheid van de informatie gegarandeerd is. Denk bijvoorbeeld aan het wachtwoord voor

toegang tot de computer en het netwerk.


14

4.6 Informatiearchitectuur

Informatiebeveiliging heeft een nauwe relatie met informatiearchitectuur. Informatiearchitectuur is het

proces dat zich richt op de inrichting van de informatievoorziening binnen een organisatie. Zoals

hierboven kort geschetst worden er eisen gesteld aan de informatievoorziening. Informatiebeveiliging

kan helpen waarborgen dat de gestelde eisen in de informatiearchitectuur worden gerealiseerd.

Informatiearchitectuur richt zich primair op het invullen van de informatiebehoefte van een organisatie

en de wijze waarop dit georganiseerd kan worden. Informatiebeveiliging kan dit proces ondersteunen

door de integriteit, beschikbaarheid en vertrouwelijkheid van de informatie te waarborgen.

In het nieuws

De nieuwe 787 Dreamliner van Boeing heeft mogelijk een serieus beveiligingsprobleem. Volgens de

Amerikaanse Federal Aviation Administration (FAA) is het in theorie mogelijk dat passagiers van het

vliegtuig inloggen op het bedieningssysteem van het vliegtuig.

Het blijkt dat er een fysieke verbinding bestaat tussen het computernetwerk dat passagiers

internettoegang verschaft, en de computers die de navigatie, communicatie en bediening van het

vliegtuig regelen.

Deze fysieke verbinding is een groot veiligheidsprobleem, omdat het hackers potentieel toegang geeft

tot de belangrijkste systemen in het vliegtuig. Volgens de FAA is de beste oplossing om de fysieke

verbinding volledig te verwijderen.

Boeing heeft aangegeven dat het bedrijf al op de hoogte was van het bericht van de FAA en dat aan

een oplossing gewerkt wordt. Volgens Boeing is er echter geen 'volledige' verbinding tussen het

passagiersnetwerk en de vliegtuigsystemen en zou het al onmogelijk moeten zijn om in te loggen. Ict-

specialisten hebben daar op gereageerd dat elke softwarematige firewall onvoldoende is om een

dergelijk belangrijk systeem te beveiligen.


4.7 Bedrijfsprocessen en informatie

In een bedrijfsomgeving is er een nauw verband tussen bedrijfsprocessen en informatie. Een

bedrijfsproces is het proces dat voor het bedrijf de basis is van zijn bestaan. In een bedrijfsproces

wordt door mensen gewerkt aan een product of een dienst voor een klant. Een bedrijfsproces kent de

volgende stappen: input, proces, output.

Er zijn verschillende soorten bedrijfsprocessen:

Het primaire proces, bijvoorbeeld het maken van fietsen of het beheren van geld;

Sturende processen, bijvoorbeeld het plannen van de strategie van het bedrijf;

Ondersteunende processen, bijvoorbeeld inkoop en verkoop of HR.

Informatie is een belangrijke productiefactor geworden in het uitvoeren van bedrijfsprocessen. Eén

van de methoden om de waarde van informatie te bepalen is na te gaan welke rol de informatie speelt

in de verschillende bedrijfsprocessen. Elk bedrijfsproces stelt zijn specifieke eisen aan de


15

informatievoorziening. Zo zijn er processen die sterk afhankelijk zijn van de beschikbaarheid van

informatie, denk aan de website van het bedrijf, terwijl andere processen juist gebaat zijn bij de

absolute correctheid van informatie zoals de prijzen van de producten.

4.8 Informatieanalyse

Informatieanalyse brengt in kaart op welke wijze een organisatie omgaat met informatie. Hoe ‘loopt’

de informatie door de organisatie heen. Bijvoorbeeld een gast heeft zich via de website ingeschreven

bij een hotel. Deze informatie is doorgegeven aan de administratie die een kamer vastlegt. De

receptie weet dat de gast vandaag zal arriveren. De huishoudelijke dienst weet dat de kamer op tijd

schoon opgeleverd moet worden. Bij al deze stappen is het belangrijk dat de informatie betrouwbaar

is. Het resultaat van een informatieanalyse kan gebruikt worden om tot een ontwerp te komen voor

een informatiesysteem.

4.9 Informatiemanagement

Informatiemanagement formuleert en richt het beleid in rondom de informatievoorziening van een

organisatie. Daarbij kan een informatiemanager gebruik maken van de informatiearchitectuur en een

informatieanalyse. Informatiemanagement is veel breder dan alleen de geautomatiseerde

informatieverwerking door een organisatie. In veel gevallen zijn ook de externe communicatie en

communicatie met de media onderdeel van de informatiemanagementstrategie.

4.10 Informatica

De term informatica heeft betrekking op de wetenschap die zich bezighoudt met de logica die gebruikt

wordt bij het structureren van informatie en systemen. Daarbij is van belang dat deze kennis ingezet

kan worden in het ontwikkelen van programmatuur.

4.11 Samenvatting

In dit hoofdstuk heeft u geleerd wat de verschillende verschijningsvormen van informatie en

informatiesystemen zijn. U hebt kennis gemaakt met de drie-eenheid Beschikbaarheid,

Vertrouwelijkheid en Integriteit. Tot slot heeft u gezien wat het belang van informatiebeveiliging is voor

de bedrijfsprocessen, de informatiearchitectuur en informatiemanagement.

4.12 Casus

Een autofabrikant heeft gepland dit jaar vijftienduizend auto’s van een bepaald type te bouwen. De

fabrikant heeft een tweede model in ontwikkeling. Dit model bevindt zich nog op de tekentafel en

enkele zogenaamde kleimodellen zijn gemaakt om de ideeën verder uit te werken.

Deze autofabrikant heeft een groot aantal toeleveranciers voor de fabricage van zijn producten. Zowel

bij de aanlevering van onderdelen voor de te bouwen auto’s als bij de ontwikkeling van het nieuwe

model wordt veel samengewerkt met de toeleveranciers.

Bedenk aan de hand van deze casus op welke manier de BIV-eisen die gesteld worden aan

informatie, een rol spelen bij de bouw en ontwikkeling van een auto. Werk de BIV-eisen uit op de

beide genoemde informatiestromen. Kijk ook naar de bedrijfsprocessen en hoe de

informatiearchitectuur en het informatiemanagement daar een rol in spelen.


16

5. Dreigingen en risico’s (risicoanalyse)

Inleiding

Er wordt geen huis meer gebouwd zonder deugdelijk hang- en sluitwerk. Of de deur op slot zit bepaalt

u echter zelf. Deze keuze wordt gemaakt uit gewoonte of op basis van een risicoafweging. In

gebieden waar veel wordt ingebroken zullen de deuren door de bewoners meestal op slot worden

gedaan.

De dreiging is in dit geval het verdwijnen van persoonlijke eigendommen. Het risico dat er bij u wordt

ingebroken wordt bepaald door de frequentie waarmee dit in de omgeving voorkomt. De vraag is of

het een objectief risico is. Zijn er werkelijk veel inbraken in de buurt? De risico-inschatting is subjectief

als u alleen handelt op grond van geruchten.

In het proces van informatiebeveiliging worden ongewenste effecten (dreigingen) zo goed mogelijk in

kaart gebracht. Vervolgens wordt bepaald of er iets, en zo ja, wat er moet gebeuren om deze te

voorkomen. De ongewenste effecten die voorkomen moeten worden zijn niet altijd duidelijk voor

degenen die de maatregelen moeten uitvoeren. Waarom moeten we iedere drie maanden ons

wachtwoord veranderen? Andere maatregelen zijn minder zichtbaar, zoals de back-ups die 's nachts

van de bestanden op de server worden gemaakt. Het voordeel daarvan merken we pas als we een

bestand kwijt zijn.

We gaan nu globaal in op hoe maatregelen tot stand komen en waar ze voor dienen.

Voordat we gaan beveiligen moeten we weten waartegen beveiligd moet worden. De methodiek die

helpt om hier inzicht in te krijgen heet risicoanalyse. Er zijn verschillende vormen van risicoanalyses

waarvan een aantal in dit hoofdstuk aan bod zullen komen.

Met een risicoanalyse worden de risico’s voor een organisatie in kaart gebracht. Een risico, het

gevaar voor schade aan of verlies van informatie, wordt bepaald door een aantal factoren. Dit zijn de

dreiging, de kans dat een dreiging zich daadwerkelijk voordoet en de gevolgen daarvan.

In de praktijk

In het bedrijf waar u werkt kan brand uitbreken;

Een medewerker die niet op de HR afdeling werkt, heeft toegang tot delen van het HR programma;

Iemand doet zich voor als een collega en probeert informatie te verkrijgen;

Uw bedrijf wordt getroffen door een stroomstoring;

Een hacker weet toegang te krijgen tot het bedrijfsnetwerk.

In de informatiebeveiliging worden lijsten met standaarddreigingen gebruikt. Bovengenoemde

dreigingen maken hier deel van uit.

In voorgaand voorbeeld is brand een dreiging. Wanneer een dreiging manifest wordt, zoals de hacker

die op het bedrijfsnetwerk komt, spreken we van een incident. Een stroomstoring, zoals in begin 2008

toen een helikopter een hoogspanningskabel beschadigde, is zo'n groot incident dat de continuïteit

van het bedrijf in gevaar is. Dit noemen we een calamiteit.

Als een dreiging werkelijkheid wordt, ontstaat er een risico voor de organisatie. De grootte van het

risico maar ook de inschatting van het management, bepaalt of en hoeveel maatregelen genomen

moeten worden om het risico in te perken.


17

In het nieuws

Het SANS Institute (System, Audit, Network, Security) heeft zijn lijstje van de

tien grootste computerdreigingen opgesteld. De meest opvallende dreigingen zijn cyberspionage door

overheden, aanvallen op mobiele telefoons en het verspreiden van malware via

consumentenproducten als USB-sticks.

Volgens het SANS Institute komt de grootste computerdreiging dit jaar van websites die zwakheden in

browsers en bijbehorende plugins (zoals Flash en QuickTime) proberen uit te buiten. Op de tweede

plaats verwacht SANS een geavanceerder inzet van botnets, in navolging van de Storm worm die

vorig jaar de wereld wakker schudde.

Opvallend is de derde plaats op het lijstje: cyberspionage door grote organisaties of zelfs overheden.

In 2007 was China al vaak in het nieuws vanwege vermeend spioneren. SANS verwacht op dit vlak

meer activiteit van nog meer organisaties.

Ook het risico van aanvallen op mobiele telefoons en VoIP-systemen staan hoog op de lijst (vierde

plek). Telefoons worden steeds geavanceerder, hebben vaak een compleet besturingssysteem en

worden daardoor steeds kwetsbaarder.

De gebruiker zelf

Een oude bekende staat op de vijfde plek: de gebruikers/werknemers zelf blijven een zwakke schakel

in de beveiliging van (bedrijfs)gegevens. SANS raadt bedrijven onder meer aan om de toegang tot

systemen strikt te beperken tot wat de gebruiker nodig heeft om zijn werk goed te kunnen doen.

Op de zesde plaats staat het risico van bots die pc's drie tot vijf maanden inspecteren om gegevens

als wachtwoorden, e-mailadressen, bankgegevens, surfgeschiedenis en dergelijke te verzamelen.

Op de zevende plaats staat het kwaadaardiger worden van spyware. De software zal volgens SANS

ook steeds beter worden in het identificeren en uitschakelen van antimalwareprogramma's, waardoor

het een stuk lastiger wordt om spyware van een pc te verwijderen.

In de lagere regionen van het lijstje vinden we nog het uitbuiten van kwetsbaarheden in

webapplicaties (achtste plaats), ‘social engineering' (het ‘inschakelen' van de gebruikers van

systemen om toegang te krijgen tot die systemen, bijvoorbeeld door phishing) op de negende plaats

en op de tiende plaats het verspreiden van malware via consumentenproducten als USB-sticks,

fotolijstjes en gps-systemen.


Het proces om van dreigingen naar risico’s en naar beveiligingsmaatregelen te gaan heet

risicomanagement.

Risicomanagement is een continu proces waarin de risico’s worden onderzocht, geïdentificeerd en

gereduceerd tot een acceptabel niveau. Dit doorlopende proces is op alle onderdelen van de

bedrijfsprocessen van toepassing. De taak om dit proces te bewaken wordt in grote organisaties

uitgevoerd door een speciaal daartoe aangestelde informatiebeveiligingsdeskundige, bijvoorbeeld de

Chief Information Security Officer (CISO), die direct verantwoording schuldig is aan het hoogste

management, of de Information Security Officer (ISO).


18

In dit hoofdstuk wordt uitgelegd hoe een risicoanalyse in zijn werk gaat.

5.1 Risicoanalyse

De risicoanalyse is een middel in risicomanagement. Het uitvoeren van een risicoanalyse heeft als

doel inzichtelijk te maken welke dreigingen relevant zijn voor de bedrijfsprocessen en welke risico’s

hiermee gepaard gaan. Het beveiligingsniveau met de daarbij passende beveiligingsmaatregelen

worden vastgesteld.

Een risicoanalyse wordt gebruikt om zeker te stellen dat beveiligingsmaatregelen op een

kosteneffectieve en tijdige manier worden ingezet en daarmee een goed antwoord vormen op de

dreigingen.

Beveiliging is een complexe zaak, zelfs voor ervaren beveiligingsdeskundigen. Het is niet eenvoudig

de balans te vinden tussen te zware beveiligingsmaatregelen en te weinig of de verkeerde

maatregelen. Veel geld kan worden uitgegeven aan onnodige beveiligingsmaatregelen omdat er geen

doordacht beveiligingsconcept aan ten grondslag ligt. Een hulpmiddel om tot een doordacht

beveiligingsconcept te komen is bijvoorbeeld de risicoanalyse.

Een risicoanalyse helpt het bedrijf de risico’s juist in te schatten en daarbij de juiste, evenwichtige

beveiligingsmaatregelen vast te stellen. Het management krijgt inzicht in de kosten die gemoeid zijn

met het nemen van de juiste maatregelen.

Een risicoanalyse heeft vier hoofddoelen:

Het identificeren van middelen en hun waarde;

Het vaststellen van kwetsbaarheden en dreigingen;

Het vaststellen van het risico dat dreigingen werkelijkheid worden en daarmee het bedrijfsproces

verstoren;

Het vaststellen van een evenwicht tussen de kosten van een incident en de kosten van een

beveiligingsmaatregel.

De risicoanalyse voorziet in een kosten/batenverhouding. De jaarlijkse kosten die de

beveiligingsmaatregelen met zich mee brengen worden vergeleken met het potentiële verlies dat

optreedt wanneer dreigingen werkelijkheid worden.

Het mag natuurlijk niet zo zijn dat een server inclusief de data EUR 100.000,= waard is en er voor

EUR 150.000,= aan beveiligingsmaatregelen worden genomen. Overigens gaat dit niet altijd op. Er

kan een wettelijke eis van kracht zijn om de data te beschermen of maatregelen te nemen. Het gevolg

hiervan kan zijn dat de waarde van de maatregelen de waarde van de bedrijfsmiddelen overstijgt.

Overigens is de waarde van data niet gemakkelijk vast te stellen. Denk bijvoorbeeld aan imagoverlies

na een beveiligingsincident. De schade daarvan is moeilijk te berekenen.

5.2 Soorten risicoanalyses

Er bestaan twee hoofdgroepen risicoanalyses: de kwantitatieve en de kwalitatieve risicoanalyse.

5.2.1 Kwantitatieve risicoanalyse

De kwantitatieve risicoanalyse probeert op basis van risicowaardering te berekenen wat het financiële

verlies is en hoe groot de kans is dat een dreiging een incident wordt. Voor alle elementen in een

bedrijfsproces wordt de waarde vastgesteld. Deze waarden kunnen de kosten van

beveiligingsmaatregelen bevatten, maar ook de waarde van eigendommen zoals gebouwen,


19

hardware, software, informatie en bedrijfsmatige impact. Ook worden hierbij betrokken de tijdspanne

voordat een dreiging uitkomt, de effectiviteit van beveiligingsmaatregelen en het risico dat een

kwetsbaarheid benut wordt.

Zo wordt het totale financiële risico in kaart gebracht, passende maatregelen worden bepaald en, niet

onbelangrijk, vastgesteld welk restrisico geaccepteerd wordt door de verantwoordelijke managers.

Het is de bedoeling dat de kosten van de maatregelen niet de waarde van het te beveiligen object en

het risico overstijgen.

Een puur kwantitatieve risicoanalyse is vrijwel onmogelijk. Een kwantitatieve risicoanalyse probeert

waarden aan alle zaken te koppelen en dat is niet altijd mogelijk. Een defecte server is naar bedragen

om te zetten: de aankoopwaarde en de afschrijving van de server, de waarde van de software die

geïnstalleerd moet worden, het arbeidsloon bij reparatie, dat alles is vast te stellen. Maar probeert u

imagoschade eens aan een waarde te koppelen! Hoe stellen we vast wat het verlies is door

imagoschade? Hoeveel waardeverlies heeft een bedrijf doordat bepaalde data verloren gaan? Soms

is dat vast te stellen, soms ook niet.

Dat maakt het ook moeilijk om de juiste maatregelen vast te stellen voor bepaalde schades.

In de praktijk

U hebt een verzekeringskantoor en de gegevens van verzekerden komen op straat te liggen door een

fout van een medewerker. Hoeveel klanten gaat u verliezen door dit voorval?

Gegevens van getuigen in een strafzaak lekken uit. Hoeveel mensen zullen nog bereid zijn vrijwillig te

getuigen in een strafzaak?

Een medewerker heeft een USB-stick verloren en dit wordt breed uitgemeten in de pers. Hoe

betrouwbaar is uw organisatie nog in de ogen van het publiek?

5.2.2 Kwalitatieve risicoanalyse

Een kwalitatieve risicoanalyse gaat uit van scenario’s en situaties. Hierbij worden de kansen dat een

dreiging uitkomt bekeken op gevoel. Dan wordt gekeken naar het bedrijfsproces waarop de dreiging

betrekking heeft en naar de beveiligingsmaatregelen die al genomen zijn. Dit alles levert een

subjectief dreigingsgevoel op. Hierop worden vervolgens maatregelen genomen die het risico moeten

inperken. Het beste resultaat wordt bereikt door de analyse in een groepssessie uit te voeren, omdat

dit leidt tot een discussie waarin niet het beeld van een persoon of een afdeling leidend is.

Kwantitatieve en kwalitatieve risicoanalyses hebben hun voor- en nadelen. Het management, in

overleg met de deskundigen, bepaalt welke methode in welke situatie het best toegepast kan worden.

5.3 Maatregelen die het risico verminderen

De risicoanalyse levert een lijst op met dreigingen en hun relatieve belang. De volgende stap is voor

elke serieuze dreiging één of meer maatregelen te vinden die het risico verminderen. Dat kan door de

kans op de gebeurtenis kleiner te maken of door de gevolgen te minimaliseren, of door een

combinatie van beide.

Theoretisch hebben we daarvoor de volgende mogelijkheden:

5.3.1 Typen beveiligingsmaatregelen

Hoe bouwen we de beveiliging op? Dat kan op diverse manieren en hangt af van de doelstellingen

die bereikt moeten worden. Wat vaststaat, is dat de beveiligingsmaatregelen altijd samenhangen met

de uitkomsten van een risicoanalyse en gebaseerd zijn op de betrouwbaarheidsaspecten en –

kenmerken van informatie.

Wat willen we bereiken?


20

Preventieve maatregelen zijn gericht op het voorkomen van incidenten;

Detectieve maatregelen zijn bedoeld om incidenten waar te kunnen nemen;

Repressieve maatregelen zijn bedoeld om de gevolgen van een incident te stoppen;

Correctieve maatregelen zijn bedoeld om de ontstane schade te herstellen.

Het is mogelijk ons te verzekeren tegen bepaalde incidenten, bijvoorbeeld omdat het zelf nemen van

maatregelen te kostbaar is.

Afhankelijk van de omvang van de risico’s kunnen we er ook voor kiezen bepaalde risico’s te

accepteren.

5.3.2 Preventie

Maak de dreiging onmogelijk. Verbreek de verbinding met internet en metsel de deur dicht. Dit is

praktisch onuitvoerbaar, maar er ook zijn heel eenvoudig uitvoerbare maatregelen. Het in een kluis

leggen van gevoelige informatie valt onder preventieve maatregelen.

5.3.3 Detectie

Als de directe gevolgen niet te groot zijn of er is tijd om gevolgschade te beperken, dan kan detectie

een goed middel zijn. Zorg ervoor dat elk incident zo snel mogelijk wordt gedetecteerd en zorg dat

iedereen daarvan op de hoogte is. Een voorbeeld hiervan is videobewaking waarover door middel

van plakkers op het raam geïnformeerd wordt. De simpele mededeling dat al het internetgebruik

wordt vastgelegd, weerhoudt veel medewerkers van ongeoorloofd surfgedrag. Traceerbaarheid speelt

een steeds grotere rol in de maatschappij. Daarmee lijkt ook de bewijslast te verschuiven. Bij

verdenking moet de organisatie aantonen dat er géén onregelmatigheden waren.


21

5.3.4 Repressie (Onderdrukken)

Het vaststellen dat iets gebeurt is niet voldoende. Wanneer er onverhoopt toch iets mis gaat, is het

zaak de gevolgen van het incident te beperken. Het heeft bijvoorbeeld geen zin brandmelders te

hebben als vervolgens niemand initiatief neemt om een beginnende brand te blussen.

Onderdrukkende maatregelen, zoals het blussen van een beginnende brand, zijn erop gericht de

schade die ontstaat zoveel mogelijk te beperken. Het maken van een back-up is ook een

onderdrukkende maatregel. Immers door periodiek een back-up te maken tijdens het werken aan een

document, wordt voorkomen dat het werk geheel verloren gaat bij een incident. Doordat de back-up

teruggezet kan worden zal slechts een deel van het werk verloren zijn gegaan. Ook uitwijk is een

voorbeeld van een repressieve maatregel.

5.4.5 Correctie (Herstel)

Als een incident heeft plaatsgevonden, dan is er altijd iets dat hersteld moet worden. Afhankelijk van

de onderdrukkende maatregelen is de schade beperkt of zeer groot. Maakt een medewerker per

ongeluk een nieuwe database aan die de volle database overschrijft dan hangt de schade af van een

back-up. Hoe langer het is geleden dat een back-up werd gemaakt, hoe groter de schade.

5.4.6 Verzekeren

Voor gebeurtenissen die niet zijn uit te sluiten en waarvan de gevolgen onaanvaardbaar zijn, zoeken

we methoden om de gevolgen te verzachten, ook wel mitigatie genoemd. Een brandverzekering

beschermt ons tegen de financiële gevolgen van de brand. Dagelijks een kopie van alle belangrijke

gegevens buiten de organisatie brengen zorgt ervoor dat we na de brand in ieder geval de

onvervangbare gegevens nog hebben. Beide maatregelen zijn niet goedkoop maar worden

doorgaans als gerechtvaardigd gezien.

5.4.7 Accepteren

Wanneer alle maatregelen bekend zijn, kan besloten worden om bepaalde beveiligingsmaatregelen

niet uit te voeren omdat de kosten niet in verhouding zijn tot het rendement, of omdat er geen

passende maatregelen mogelijk zijn die de risico’s het hoofd bieden.

5.5 Soorten dreigingen

Dreigingen kunnen worden onderverdeeld in menselijke dreigingen en niet-menselijke dreigingen.

Ook hierbij wordt vaak gebruik gemaakt van standaardlijsten met dreigingen. Het is noodzakelijk om

vast te stellen welke dreigingen relevant zijn en welke niet. Beveiliging vraagt immers (financiële)

offers van een organisatie en het is niet verstandig te investeren in beveiliging tegen dreigingen die

niet zullen optreden.

In de praktijk

Is uw bedrijf gevestigd in een gebied waar nog nooit aardbevingen zijn voorgekomen, dan heeft het

geen zin hier rekening mee te houden en hoeven hier geen maatregelen tegen getroffen te worden.

We gaan hier wat verder in op de soorten dreigingen.

5.5.1 Menselijke dreigingen

Opzettelijk. Mensen kunnen opzettelijk schade toebrengen aan informatiesystemen. Dat kan om

diverse redenen zijn. Meestal wordt eerst aan oorzaken van buitenaf gedacht, zoals een hacker die

een zekere aversie tegen een bedrijf heeft en daarom binnendringt en schade veroorzaakt.


22

Maar wat te denken van een medewerker die ontslagen wordt en voor vertrek data vernietigd, een

medewerker die de verwachte promotie niet krijgt en uit boosheid data vernietigt of een medewerker

die data verkoopt aan de concurrent.

We spreken hier weer in computertermen, maar het kan natuurlijk ook gaan over het fysiek

vernietigen van informatie of apparatuur. Wie kent de reclame niet van de gefrustreerde medewerker

die zijn pc door het raam naar buiten gooit?

Onopzettelijk. Mensen kunnen onopzettelijk schade toebrengen. Druk op de delete-toets en let niet

goed op de vraag of je het zeker weet. Steek een USB-stick met een virus in de machine en breng op

die manier het virus over op een heel netwerk. Gebruik in paniek een poederblusser om een

beginnend brandje te blussen en vernietig daarmee een server. Een typisch geval van menselijk

handelen dat bij de juiste brandwerende maatregelen niet nodig was geweest.

In het nieuws

Opzettelijk of onopzettelijk?

Hoe het Witte Huis tien miljoen e-mails verloor zal voor altijd een raadsel blijven, nu

een Amerikaanse rechter heeft geoordeeld dat het Executive Office of the President hier geen

informatie over hoeft prijs te geven. De burgerrechtenbeweging 'Citizens for Responsibility and Ethics

in Washington' (CREW) wilde via de Freedom of Information Act (FOIA) wat er in de berichten stond

en waarom die zijn verdwenen.

Volgens de rechter valt het Executive Office niet onder deze wet, iets wat de Bush-regering in 2006

en 2007 liet aanpassen. CREW denkt dat het Witte Huis mogelijk geprobeerd heeft om lobby

schandalen, vermoedelijke politieke invloed op de General Services Administration, verantwoordelijk

voor overheidsaanbestedingen, en andere problemen in de doofpot te stoppen door de berichten te

verwijderen.

"De Bush-regering gebruikt het juridische systeem om te voorkomen dat het Amerikaanse volk de

waarheid over de miljoenen verloren e-mails van het Witte Huis ontdekt," aldus een teleurgestelde

CREW-directeur Melanie Sloan.


Social Engineering. Social engineering maakt gebruik van mensen door ze informatie te ontfutselen,

bijvoorbeeld bedrijfsgeheimen. De social engineer maakt gebruik van zwakheden in de mens om zijn

doel te bereiken. Vaak zijn we ons hier niet van bewust en we weten dan ook niet dat een social

engineer actief is. Als u op uw werk een vreemde tegenkomt in de gang, vraagt u dan of u hem of

haar kunt helpen? Als u een telefoontje krijgt van de helpdesk met de vraag waar een bepaald

bestand staat, vraagt of controleert u of het werkelijk de helpdesk is? Voert u in de trein wel eens een

gesprek over uw werk en weet u zeker dat daar geen gevoelige informatie in voorkomt? Een social

engineer gaat volgens een bepaald patroon te werk. Over social engineering kan een apart boek

worden geschreven, we gaan hier niet verder op in.

5.5.2 Niet-menselijke dreigingen

Zo zijn er ook niet-menselijke dreigingen, invloeden van buitenaf zoals blikseminslag, brand,

overstroming, stormschade. Veel van deze schades zullen mede bepaald worden door de plaats van

de apparatuur in het pand. Bevindt de serverruimte zich pal onder het platte dak dat gevoelig is voor

lekkages of juist in de kelder onder het maaiveld, in een bodemstructuur waar het grondwater hoog

http://www.security.nl/image/1518


23

staat. Zijn er ramen in de gevel of staan de servers in een bunker. Dit alles heeft invloed op de risico’s

die de organisatie loopt en wil lopen.

Binnen de menselijke en niet-menselijke dreigingen kunnen we een onderverdeling maken in

storingen in de basisinfrastructuur zoals computerapparatuur, programmatuur of gegevensbestanden

en storingen in de fysieke omgeving zoals gebouwen, papieren dossiers, elektrische installaties,

watervoorzieningen, verwarming, ventilatie en koeling.

In het nieuws

Een gecorrumpeerd bestand heeft een vuurwerkshow in Seattle bijna

verknald. Het team dat de show leidde ontdekte het probleem één minuut voor twaalf uur en besloot

op het laatste nippertje om de ontstekingsmechanismen handmatig te bedienen.

Niet alleen duurde de show hierdoor langer dan gepland (11,5 in plaats van 8,5 minuten), maar ook

verlichtten de vuurpijlen het werk in een ander ritme dan de begeleidende muziek. Omstanders waren

desondanks tevreden over de vuurwerkshow, zo bericht een lokale krant.

Volgens een woordvoerder van het bedrijf is dit de eerste keer in veertien jaar dat een

dergelijk probleem optrad.


5.6 Soorten schade

Schades als gevolg van het manifest worden van genoemde dreigingen kunnen we verdelen in

Directe schade;

Indirecte schade;

Jaarlijkse Schade Verwachting (JSV) of Annual Loss Expectancy (ALE);

Enkelvoudige Schade Verwachting (ESV) of Single Loss Expectancy (SLE).

Een voorbeeld van directe schade is diefstal. Diefstal heeft direct gevolgen voor het zakendoen (de

business).

Indirecte schade is gevolgschade die kan optreden, bijvoorbeeld waterschade van het blussen of het

niet kunnen voldoen aan een contract omdat de IT-infrastructuur door brand is vernietigd.


24

In het nieuws

Een werknemer van een Amerikaans bedrijf heeft voor 2,5 miljoen dollar aan bedrijfsgegevens gewist,

omdat ze dacht dat haar baas haar wilde ontslaan. De vrouw vermoedde het ontslag na het lezen van

een personeelsadvertentie. De vrouw las een personeelsadvertentie voor een functie die erg op die

van haar leek. Ze dacht dan ook dat haar functie werd aangeboden. Uit woede besloot de vrouw in te

loggen op de server van het bedrijf en alle tekeningen en ontwerpen van de laatste zeven jaar te

wissen.

Hoewel een it-consultant de gegevens weer boven water heeft weten te krijgen, is de vrouw

aangeklaagd voor het beschadigen van computers. Bovendien hebben de gegevens die de

werkneemster wilde wissen een waarde van ongeveer 2,5 miljoen dollar. De advertentie die de vrouw

gelezen had, was overigens niet geplaatst door het bedrijf waarvoor zij werkte. Naar haar baan kan ze

nu waarschijnlijk fluiten.


Enkelvoudige schadeverwachting is de schade van een incident dat eenmalig optreedt.

De jaarlijkse schadeverwachting is de hoeveelheid schade, in geld uitgedrukt, die door een incident in

een jaar kan optreden. Bijvoorbeeld, er wordt een maatregel voorgesteld tegen diefstal van laptops.

Er worden gemiddeld 10 laptops per jaar gestolen. De jaarlijkse schadeverwachting is dan de schade

van 10 laptops (en de data en programmatuur) en niet van 1. De te kiezen maatregel kan dus duurder

worden dan de waarde van een laptop. Maar als een incident statistisch gezien één maal per vijf jaar

optreedt, dan is de jaarlijkse schadeverwachting één vijfde van de enkelvoudige schadeverwachting.

Indirecte schade ligt anders, denk bijvoorbeeld aan imagoschade.

In de praktijk

Het onbehoorlijke gedrag van medewerkers verschijnt uitgebreid in de pers en bezorgt de organisatie

en negatief imago. Geen reclamecampagne kan dat goedmaken.

Producten moeten worden teruggehaald omdat er gifstoffen in zijn aangetroffen.

Een bepaald automodel blijkt een constructiefout te hebben en overleeft de elandproef niet.

5.7 Soorten risicostrategieën

We kunnen op verschillende manieren met risico’s omgaan. De meest voorkomende strategieën zijn:

Risicodragend;

Risiconeutraal;

Risicomijdend.

Onder risicodragend wordt verstaan dat we sommige risico’s accepteren. Dat kan zijn omdat de

kosten van de beveiligingsmaatregelen de mogelijke schade overstijgen. Maar het management kan

ook besluiten niets te doen ondanks dat de kosten niet hoger zijn dan de schade die kan optreden.


25

De maatregelen die een risicodragende organisatie neemt op het gebied van informatiebeveiliging

zijn veelal van repressieve aard.

Onder risiconeutraal wordt verstaan dat er dusdanige beveiligingsmaatregelen worden genomen dat

dreigingen of niet meer manifest worden of, wanneer de dreiging wel manifest wordt, de schade als

gevolg hiervan geminimaliseerd is. De meeste maatregelen die een risiconeutrale organisatie neemt

op het gebied van informatiebeveiliging is een combinatie van preventieve, detectieve en repressieve

maatregelen.

Onder risicomijdend verstaan we dat er zodanige maatregelen worden genomen dat de dreigingen

zoveel mogelijk worden geneutraliseerd, de dreiging leidt niet meer tot een incident. Denk hierbij aan

het invoeren van nieuwe software waardoor de fouten in de oude software geen dreiging meer

vormen. In simpele bewoordingen: een ijzeren emmer kan roesten. Neem een kunststof emmer en de

dreiging, roest, valt weg. Veel van de maatregelen binnen deze strategie hebben een preventief

karakter.

Welke strategie een organisatie ook kiest, de keuze zal bewust door het management moeten worden

gemaakt en de gevolgen zullen moeten worden gedragen.

5.8 Richtlijnen bij het invoeren van beveiligingsmaatregelen

Het invoeren van beveiligingsmaatregelen is, wanneer dit vanaf de basis gedaan moet worden, veel

werk. Bij veel bedrijven is de automatisering in de loop der jaren van één pc op de administratie

uitgegroeid tot een grootschalig netwerk met soms wel tienduizenden pc’s en vele servers.

Er bestaan richtlijnen die helpen bij het kiezen van maatregelen. Een bedrijf kan zich ook profileren

door duidelijk te maken dat het aan deze richtlijnen voldoet.

De ISO/IEC 27001:2005 standaard gaat over de inrichting van het informatiebeveiligingsproces.

ISO/IEC 20000 is de wereldwijde standaard voor IT-servicemanagement. Beide normeringen bieden

houvast om de bedrijfsprocessen doelmatig en beveiligd in te richten.

In de ISO/IEC 27002:2007 standaard, ook wel bekend onder de naam ‘Code voor de

Informatiebeveiliging’, staan richtlijnen voor maatregelen op het gebied van informatiebeveiliging. De

richtlijnen in de ISO/IEC 27002:2007 standaard bestrijken het organisatorisch vlak, het procedurele

vlak, het fysieke vlak en het logische vlak van informatiebeveiliging.

In de praktijk

De overheid heeft regels opgelegd voor de beveiliging van bepaalde informatie. Denk bijvoorbeeld

aan de Wet Bescherming Persoonsgegevens (WBP). Voor overheidsinstellingen is er het Voorschrift

Informatiebeveiliging Rijksdienst 2007 (VIR 2007) en de VIR-BI voor het omgaan met bijzondere

informatie.

Voor Nederlandse beursgenoteerde bedrijven geldt een dwingende afspraak: de Code Tabaksblat.

Voor bedrijven die genoteerd staan aan de Dow Jones Stock Exchange in New York geldt de

Sarbanes-Oxley Act (SOx), waaraan ook buitenlandse bedrijven moeten voldoen.

Dit zijn enkele voorbeelden van weten regelgeving die bedrijven er toe dwingen hun

informatiebeveiliging op orde te hebben. Een middel hiervoor is het voldoen aan de ISO/IEC normen

op dit gebied.


26

5.9 Samenvatting

In dit hoofdstuk heeft u veel nieuwe begrippen geleerd, we zijn tevens ingegaan op de verschillende

soorten dreigingen en hoe daar mee om te gaan.

De risicoanalyse geeft een duidelijk beeld van het risico dat een organisatie loopt. Welke dreigingen

zijn er en welke soorten schade kennen we.

Welke risicostrategieën hebben we tot onze beschikking.

Moeten we wel ieder risico met een maatregel afdekken of kunnen we sommige risico’s accepteren?

5.10 Casus

De fictieve gemeente Betuwegaard omvat een groot deel van het Gelders rivierengebied. Deze

gemeente is ontstaan na een gemeentelijke herindeling, waarbij zeven voorheen zelfstandige

gemeenten zijn samengevoegd. De ‘oude’ gemeentehuizen zijn als bijkantoor voor serviceverlening

open voor het publiek. Centraal in het gebied wordt een nieuw gemeentehuis gebouwd waarin de

centrale administratie en onderhoudsdiensten gevestigd worden. Ook is hier het rekencentrum

gepland. De automatisering zal samengevoegd worden van zeven afzonderlijke computersystemen

naar één centraal computersysteem.

Als locatie is gekozen voor een prachtig gelegen terrein direct naast een groot binnendijks

waterrecreatiegebied (voormalige zandafgravingen). Ambtenaren en bezoekers kijken uit over de

Waal en de medewerkers kunnen in hun middagpauze genieten van de waterrecreatie naast het

pand. Een veerpont zorgt voor een goede verbinding naar de overzijde van de Waal. Een goede

verbindingsweg garandeert de bereikbaarheid van het nieuwe gemeentehuis vanuit de omliggende

plaatsen. Een brug over de Rijn ligt slechts anderhalve kilometer verderop, van waaruit de

hoofdwegen ook goed bereikbaar zijn.

U krijgt de opdracht een risicoanalyse uit te voeren op de nieuwbouwplannen van de gemeente

Betuwegaard. Wat voor soort risicoanalyse voert u uit?

Wat zijn de voornaamste risico’s die u onderkent?

Wat zijn de zaken waarmee de gemeente Betuwegaard in het bijzonder rekening moet houden

wanneer zij tot nieuwbouw besluit?

Controlevragen:

Wat is het doel van een risicoanalyse?

Wat is het verschil tussen een dreiging en een risico?

Welke typen maatregelen zijn er te onderscheiden?

Welke risicostrategieën zijn er?

Wat is het verschil tussen risicoanalyse en risicomanagement?

Welke soorten risicoanalysemethodieken zijn te onderscheiden?

Welke schadevormen zijn te onderscheiden?


27

6. Informatiebeveiligingsincidenten en -zwakheden

Inleiding

Het informatiebeveiligingsproces is niet eenmalig. Het is een doorlopend proces. Iedere organisatie

is voortdurend aan verandering onderhevig en daarmee ook de dreigingen, risico’s en maatregelen.

Informatiebeveiliging moet verankerd zijn in de organisatie en heeft doorlopend aandacht nodig.

Het is van belang dat informatiebeveiliging wordt gedragen door het hoogste management binnen

een bedrijf, en dat dit voor alle medewerkers zichtbaar is. Bij het informatiebeveiligingsproces horen

ook andere processen, bijvoorbeeld incidentmanagement of risicomanagement. Daarnaast kunnen

de verschillende taken in de informatiebeveiliging, afhankelijk van de grootte van de organisatie, bij

verschillende meer of minder gespecialiseerde personen zijn belegd.

6.1 Beheer van informatiebeveiligingsincidenten

Medewerkers spelen een belangrijke rol in het waarnemen van zwakheden in de beveiliging en

beveiligingsincidenten. Zij zijn immers vaak de eerste die het incident zien. Iemand heeft een

vertrouwelijk stuk op de printer laten liggen. Een bestand met persoonlijke gegevens is verdwenen. Er

hangt een vreemde geur in de ruimte van de papierversnipperaar. Een deur die op slot moet zijn staat

open. Een collega gedraagt zich afwijkend. De pc geeft vreemde schermboodschappen.

Medewerkers moeten incidenten kunnen melden en de meldingen moeten worden opgevolgd.

Meestal zal een melding van medewerkers bij de servicedesk (helpdesk) binnenkomen. De

medewerker van de servicedesk onderkent dat het om een informatiebeveiligingsincident gaat en

voert de daarbij behorende procedure voor oplossing en doormelden uit. Wanneer de medewerker bij

de servicedesk het beveiligingsincident niet zelf kan of mag afhandelen, kan een incident gemeld

worden aan iemand die meer expertise heeft en het probleem misschien wel kan oplossen. Dit heet

een functionele (horizontale) escalatie. Een voorbeeld van functionele escalatie is een melding over

vreemde meldingen op het scherm.

Een incident kan ook gemeld worden aan iemand die meer autoriteit heeft en die een beslissing kan

nemen. Dit heet een hiërarchische escalatie. Een voorbeeld van hierarchische (verticale) escalatie is

een melding aan de eigen manager over verdacht gedrag van een collega.

Het doel van dit incidentbeheerproces is het inzicht krijgen in incidenten en daarvan te leren voor de

toekomst. Een melding kan ook een ander informatiebeveiligingsproces in gang zetten, bijvoorbeeld

het herstellen van een bestand, een beveiligingsonderzoek, of zelfs het uitwijken naar een andere

locatie.

6.1.1 Rapportage van informatiebeveiligingsincidenten en zwakke plekken

Incidenten bestaan in vele soorten en maten. In de ISO/IEC 20000 standaard wordt beschreven hoe

incidenten kunnen worden beheerd in het incidentmanagementproces. Maar niet ieder incident is een

beveiligingsincident.

In de praktijk

De IT-servicedesk van een grote organisatie krijgt de vraag:“Kunt u mij vertellen hoe ik in Word de

optie vette letters terug krijg in de werkbalk bovenin mijn scherm”. Deze vraag wordt als een incident

geregistreerd in het servicedesksysteem. Een beveiligingsincident kunnen we dit echter niet noemen.

Tenzij er sprake is van een ‘vetteletterknop-vernietigend-virus’ maar daar heeft niemand ooit van

gehoord.


28

Het doel van het incidentmanagementproces is ervoor zorgen dat gebeurtenissen en -zwakheden die

verband houden met informatiesystemen bekend worden zodat op tijd maatregelen worden genomen.

Werknemers, ingehuurd personeel en externe gebruikers horen op de hoogte te zijn van de

procedures voor het rapporteren van de verschillende soorten gebeurtenissen en zwakke plekken die

invloed kunnen hebben op de betrouwbaarheid van de informatie en de beveiliging van de

bedrijfsmiddelen.

Zij behoren te worden verplicht alle gebeurtenissen en zwakke plekken zo snel mogelijk te melden

aan de servicedesk of een contactpersoon. De nadruk ligt natuurlijk bij het belang dat iedereen in de

organisatie heeft bij een snelle reactie.

Twee zaken zijn van groot belang en moeten door de directie duidelijk worden gemaakt:

Het melden van beveiligingsincidenten is primair bedoeld om van te leren. Met deze kennis kunnen

soortgelijke incidenten worden voorkomen;

Het melden van een incident is geen middel voor een afrekening, om de veroorzaker van een

beveiligingsincident te straffen.

Het laatste gaat natuurlijk niet altijd op. Wanneer een medewerker doelbewust informatiesystemen

heeft gesaboteerd, informatie heeft gelekt of op een andere wijze (grote) schade heeft veroorzaakt is

het niet te vermijden dat aangifte bij de politie wordt gedaan.

Waar het om gaat is te voorkomen dat incidenten niet gemeld worden omdat men bang is voor de

reactie van het management, of omdat men niet als verklikker te boek wil staan.

Het proces moet er ook voor zorgen dat degene die een informatiebeveiligingsgebeurtenis meldt

wordt geïnformeerd over de resultaten nadat de kwestie is afgehandeld. Dit is ook nuttige informatie

bij het uitvoeren van een (hernieuwde) risicoanalyse. Het kan zijn dat de al genomen maatregelen

niet afdoende zijn om bepaalde incidenten te voorkomen.

Een standaardformulier op het intranet voor het rapporteren van een dergelijk incident kan de

drempel om te melden verlagen. Het formulier kan ook gebruikt worden om instructies te geven voor

de noodzakelijke directe handelingen. Het formulier kan helpen veel details te vragen.

Op een incident melding formulier zouden minimaal de volgende zaken gemeld moeten worden:

Datum en tijd

Naam van de melder

Locatie (waar is het incident)

Wat is er aan de hand? (beschrijving van het incident: Virusincident, diefstal, inbraak, data

verlies etc.)

Wat is het effect van het incident?

Hoe is het ontdekt?

En indien mogelijk de volgende zaken:

Soort systeem (desktop, printer, server, mailserver etc.)

Systeem nummer / systeem naam (indien aanwezig)

Wie is nog meer geïnformeerd?

Men kan natuurlijk nog meer vragen bedenken, afhankelijk van het soort melding. Waar het bij het

melden in ieder geval om moet gaan, is dat men voldoende gegevens verkrijgt om het incident op de

juiste manier af te kunnen handelen.


29

In de praktijk

Er wordt geen onderhoud op apparatuur uitgevoerd;

De noodstroomvoorzieningen worden niet getest;

Een medewerker verliest de laptop;

Een medewerker leeft de clear desk policy niet na;

Een medewerker neemt een niet-geautoriseerde bezoeker mee;

Nieuwe software wordt uitgerold zonder dat deze grondig werd getest;

Een virus is het informatiesysteem binnengedrongen;

Door onvolledige bedrijfsgegevens zijn de winstresultaten niet betrouwbaar;

De toegangsrechten van een medewerker worden niet gewijzigd na verandering van functie;

Medewerkers schrijven hun wachtwoord op een notitieblaadje en dat ligt bij de pc.

De afspraken over wat te doen bij een incident worden over het algemeen vastgelegd in procedures.

Immers een procedure beschrijft wie wat moet doen. De aandachtsgebieden in een dergelijke

procedure zijn:

Het analyseren van het incident en het vaststellen van de oorzaak;

Welke stappen worden uitgevoerd om de gevolgen van het incident te beperken;

Welke stappen worden uitgevoerd om te bepalen of en zo ja welke corrigerende maatregelen nodig

zijn om herhaling van het incident te voorkomen;

Welke partijen worden geïnformeerd in geval van een incident. Dit kunnen partijen zijn die getroffen

zijn of die helpen bij het oplossen van het incident;

Wat en aan wie wordt gerapporteerd over het incident.

6.1.2 Rapportage van zwakke plekken in de beveiliging

Wanneer medewerkers, ingehuurd personeel en externe gebruikers van informatiesystemen en –

diensten merken dat er (verdachte) zwakke plekken in systemen of diensten aanwezig zijn, is het

belangrijk dat zij deze zo spoedig mogelijk melden. Alleen dan kunnen beveiligingsincidenten

voorkomen worden.

Wanneer een informatiebeveiligingsincident net is ontdekt, zal het vaak niet duidelijk zijn of het

incident zal leiden tot gerechtelijke stappen. Het gevaar bestaat dan ook dat het benodigde

bewijsmateriaal opzettelijk of per ongeluk wordt vernietigd, voordat de ernst van de situatie wordt

onderkend. Het is daarom belangrijk het incident eerst te melden en advies te vragen over hoe te

handelen. Het kan zijn dat in een vroeg stadium een advocaat of de politie bij de zaak betrokken moet

worden en dat bewijsmateriaal nodig is.

In de praktijk

Als iemand vermoedt dat op de werkplek van een medewerker kinderporno wordt bewaard, moet

met de melding van dit incident voorzichtig worden omgegaan om te voorkomen dat bewijsmateriaal

wordt verwijderd.


30

6.1.3 Registratie van storingen

Om een storing te kunnen analyseren worden relevante gegevens vastgelegd. Deze gegevens

worden vaak opgeslagen in zogeheten logbestanden. Dit is de moderne variant van het traditionele

logboek dat overigens nog steeds toepasbaar is. Denk bijvoorbeeld aan gevallen waarin de stroom

uitvalt of een systeem uitvalt en er geen andere manieren zijn dan het op papier vastleggen van de

gebeurtenissen en uitgevoerde activiteiten.

In grote organisaties zullen storingen altijd gemeld worden bij de servicedesk (helpdesk). Deze zal,

wanneer het binnen de mogelijkheden ligt, een storing meteen oplossen. Wanneer dat niet mogelijk is

zullen zij de informatie over de storing doorgeven aan een afdeling die dat wel kan.

6.2 Incidentcyclus

Beveiligingsmaatregelen zijn gericht op een bepaald moment in de incidentcyclus. De maatregelen

zijn gericht op het voorkomen van bedreigingen (preventief) of het reduceren van bedreigingen

(reductief), detecteren van incidenten (detectief), reageren op incidenten, doen ophouden van

bedreigingen (repressief)en het corrigeren van dreigingen (correctief).

De maatregelen worden genomen:

Ter waarborging van de beschikbaarheid;

Ter waarborging van de integriteit;

Ter waarborging van de vertrouwelijkheid.

6.3 Rollen

Afhankelijk van de omvang van de organisatie zijn voor de verschillende taken in de

informatiebeveiliging verschillende rollen te vinden. Deze rollen of functies kunnen in hun namen

afwijken maar komen op onder andere de volgende neer:

De Chief Information Security Officer (CISO) bevindt zich op het hoogste managementniveau van de

business. De CISO ontwikkelt het beleid en de strategie op hoofdlijnen voor het hele bedrijf.

De information security officer (iso) ontwikkelt bij een bedrijfseenheid het beleid gebaseerd op het

bedrijfsbeleid en ziet toe op de naleving bij zijn bedrijfseenheid.

De Information Security Manager (ISM) ontwikkelt het informatiebeveiligingsbeleid binnen de ICT-

organisatie en ziet toe op de naleving.

Naast deze functies die specifiek gericht zijn op informatiebeveiliging kunnen in een organisatie

bijvoorbeeld een Beleidsmedewerker Informatiebeveiliging of een Functionaris voor de

Gegevensbescherming (FG) voorkomen.


31

Wie meer wil lezen over rollen in de informatiebeveiligingsorganisatie, verwijzen wij graag naar een

publicatie van het PvIB Functies en Rollen in de Informatiebeveiliging van december 2006. Deze

publicatie is te downloaden op http://www.pvib.nl.

6.4 Samenvatting

In dit hoofdstuk heeft u kennis gemaakt met incidentmanagement. Hoe gaat een organisatie om met

beveiligingsincidenten?

Het melden van beveiligingsincidenten is van groot belang. Niet alleen om de incidenten op te kunnen

lossen en daarmee de dreigingen en de risico’s voor een organisatie onder controle te krijgen en te

houden, maar ook om er van te leren. Zonder kennis van beveiligingsincidenten kunnen we ze

immers in de toekomst niet voorkomen.

6.5 Casus

Bij een grote overheidsorganisatie met meerdere vestigingen verspreid in Nederland, komen

beveiligingsincidenten regelmatig voor. Zo heeft kort geleden een medewerker zijn laptop op het dak

van de auto laten liggen. Die laptop werd gevonden en de informatie die er op stond was niet voor

iedereen bestemd. Ook USB-sticks worden nog wel eens verloren. De directie heeft het idee dat er

nog veel meer gebeurt, maar weet niet wat. De auditdienst van het ministerie was onaangenaam

verrast toen zij tot de ontdekking kwam dat informatiebeveiliging niet geregeld was. Het antwoord van

de verantwoordelijke directeur was dat de medewerkers zelf toch ook wel weten wat wel en niet mag!

De directie besluit, gedwongen door de audit, een aantal functionarissen voor informatiebeveiliging

aan te stellen.

Na een spannende sollicitatieronde heeft u de eer de eerste Information Security Officer (ISO) binnen

deze overheidsdienst te worden. Uw primaire opdracht is er zorg voor te dragen dat:

1. Informatiebeveiliging volgens de geldende overheidsregels wordt uitgevoerd;

2. De medewerkers zich bewust zijn van het nut en de noodzaak van informatiebeveiliging;

3. Bij de volgende ministeriële audit, over twee jaar, de informatiebeveiliging op orde is en de

incidenten tot het verleden behoren.

Wat zijn de werkzaamheden die u uit gaat voeren en hoe gaat u dat doen?


32

7. Fysieke maatregelen

Inleiding

In de voorgaande hoofdstukken is ingegaan op de organisatie van de informatiebeveiliging en de

risicoanalyse. Uit de risicoanalyse komt een pakket beveiligingsmaatregelen voort die passend zijn

voor het risicoprofiel dat voor de organisatie is vastgesteld.

Een deel van de maatregelen die vastgesteld wordt heeft betrekking op de fysieke beveiliging van de

organisatie. Alles hangt af van het soort organisatie. Bij een organisatie die een publieke functie heeft

zal de toegang tot gebouwen en terreinen vrijwel onbeperkt zijn. Een voorbeeld hiervan is een

openbare bibliotheek. Een andere organisatie maakt misschien producten die alleen onder zwaar

beveiligde omstandigheden geproduceerd kunnen worden. Denk hierbij bijvoorbeeld aan de

farmaceutische industrie, waar bijzondere eisen worden gesteld aan hygiënische omstandigheden en

aan het geheim houden van de recepten.

In dit hoofdstuk gaan we in op fysieke beveiligingsmaatregelen.

7.1 Fysieke beveiliging

Fysieke beveiliging is een onderdeel van informatiebeveiliging omdat alle bedrijfsmiddelen ook

fysieke beveiliging nodig hebben. Fysieke beveiliging is eigenlijk ouder dan informatiebeveiliging,

denk dan aan de bescherming van mensen in een kasteel. Informatie beschermen speelt pas later

een rol. Traditioneel wordt fysieke beveiliging in organisaties geregeld door de facilitair manager.

Deze gebruikt eigen methoden en technieken om fysieke beveiliging in te richten. In veel organisaties

is de coördinatie tussen de informatiebeveiliger en de verantwoordelijke voor fysieke beveiliging van

groot belang. We gaan ook in op de verschillende verantwoordelijkheidsgebieden waar de

informatiebeveiliger rekening mee moet houden.

In de fysieke beveiligingswereld wordt de term ‘OBE-mix’ gebruikt, dit is de mix van Organisatorische,

Bouwkundige en Elektronische maatregelen. Ook fysieke maatregelen moeten met elkaar

samenhangen. Bijvoorbeeld, het ophangen van beveiligingscamera's helpt alleen als daar

bouwkundige maatregelen voor zijn genomen en als er goed wordt nagedacht over het doel van de

camera en de plaats waar deze wordt opgehangen. Er dient ook follow-up te zijn als er iets wordt

gedetecteerd of gezien, anders is het ophangen van een camera zinloos.

Wat vaak vergeten wordt is dat technische maatregelen ook gelden voor tijdelijke (nood)ruimten of

locaties.

7.1.1 Apparatuur

Onder fysieke beveiliging valt de bescherming van apparatuur door bijvoorbeeld klimaatbeheersing

(airco, luchtvochtigheid), het toepassen van speciale blusmiddelen en het zorgen voor 'schone'

stroom. Onder schone stroom wordt verstaan dat pieken en dalen (vuile stroom) in de

stroomvoorziening worden voorkomen en dat stroom wordt gefilterd.


33

7.1.2 Bekabeling

Bekabeling hoort zo gelegd te worden dat geen interferentie kan optreden. Onder interferentie wordt

verstaan dat de netwerkkabels ruis en storing overnemen van stroomkabels die parallel lopen. Vaak

zijn deze effecten niet zichtbaar of hoorbaar. Een voorbeeld waarbij dit effect wel waargenomen kan

worden is bij mobiele telefoons die storing doorgeven via luidsprekers of radio’s. Kabelgoten moeten

goed worden afgeschermd. In serverruimtes worden vaak gescheiden stroomaansluitingen gebruikt.

Het is niet ongebruikelijk een server te voorzien van twee voedingen die ieder op een eigen groep zijn

aangesloten.

7.1.3 Materiaal / media

Voor medewerkers van de organisatie moet duidelijk zijn hoe ze met gegevensdragers om moeten

gaan. Voor bepaalde materialen kunnen specifieke maatregelen gelden, denk bijvoorbeeld aan het

wissen van vertrouwelijke gegevens op de gegevensdragers als deze de organisatie verlaten.

Gegevensdragers zijn niet alleen voor de hand liggende zaken als USB-sticks, en de harddisk uit de

desktop pc. Ook veel printers bevatten tegenwoordig opslag in de vorm van een harddisk. Hierop

worden documenten tijdelijk opgeslagen en zijn voor een deel weer te reconstrueren.

Het is ook mogelijk veel informatie op te slaan op mobiele apparatuur, denk hierbij aan telefoons,

USB-sticks, geheugenkaartjes, organizers, blackberries en laptops. Het is belangrijk dat als een

medewerker uit dienst treedt, al zijn of haar apparatuur wordt ingeleverd en de informatie die er op

staat wordt verwijderd. Er moeten ook procedures zijn voor als dergelijke apparatuur is verloren of

gestolen.

7.2 In de ban van de ring

Alle bedrijfsmiddelen hebben waarde en afhankelijk van die waarde, de dreigingen en risico's, worden

maatregelen genomen. Fysieke beveiligingsmaatregelen worden genomen om informatie te

beschermen tegen brand, diefstal, vandalisme, sabotage, ongeautoriseerde toegang, ongelukken en

natuurgeweld.

Waar begint fysieke beveiliging?

Fysieke beveiliging begint niet op de werkplek maar al buiten het pand waar de organisatie is

gehuisvest. De te beschermen bedrijfsmiddelen mogen niet eenvoudig bereikt kunnen worden. We

kunnen hierbij het eenvoudigst denken in ringen:

Buitenring - Omgeving pand;

Gebouw - De toegang tot het pand;

Werkruimte - De ruimtes in het pand;

Object - Het te beschermen bedrijfsmiddel.


34

7.2.1 De buitenring

De buitenring om het pand heen kan worden beschermd met natuurlijke en bouwkundige

hindernissen. Natuurlijke hindernissen zijn bijvoorbeeld dikke begroeiing of een rivier. Bouwkundige

hindernissen zijn bijvoorbeeld hekken, prikkeldraad, concertina's (opgerold prikkeldraad dat als een

harmonica uiteen wordt getrokken) en muren. Voor alle bouwkundige hindernissen bestaan strikte

regels.

De buitenring moet wel toegang bieden aan geautoriseerde personen en bij hindernissen moet altijd

persoonlijke en/of elektronische controle worden toegepast. Er zijn tegenwoordig veel typen

elektronische sensoren maar daar gaan we hier niet verder op in.

Het gebied tussen de buitenring en het pand kan gebruikt worden voor bewaking door een persoon

en bijvoorbeeld als parkeerplaats, waarbij de parkeerplaats bij voorkeur wordt afgeschermd van het

gebouw. In dit gebied moet ook aandacht zijn voor verlichting en eventueel cameraobservatie.

7.2.2 Het gebouw

Er zijn situaties waarin er geen buitenring is. In dat geval zijn de bouwkundige maatregelen belangrijk

zoals ramen, deuren en andere openingen. Het beste is natuurlijk om deze maatregelen bij

nieuwbouw toe te passen. Het aanpassen van een bestaand gebouw is een kostbare zaak.

Bouwkundige maatregelen zijn ook aan strikte regels gebonden. Er zijn diverse mogelijkheden om

openingen in het pand te beschermen, denk hierbij aan het gebruik van braakwerend glas en deuren

met het juiste hang- en sluitwerk. De maatregelen moeten passen bij het niveau van bescherming dat

nodig is.

Naast de traditionele sloten, die er in diverse soorten zijn, wordt de laatste jaren meer gebruik

gemaakt van elektronische hulpmiddelen bij toegang tot gebouwen, met behulp van kaartsystemen

en code- en cijfersloten. Biometrische apparatuur wordt nog niet veelvuldig gebruikt.


35

Bij de bescherming van het gebouw moet ook aandacht zijn voor het dak en de muren. Ook hier

kunnen camera's een dienst bewijzen.

7.2.2.1 Toegangsbeheer

Om de toegang tot het pand te beheren zijn er verschillende mogelijkheden:

Elektronisch toegangsbeheer

Bij veel organisaties worden passystemen toegepast met draadloze, zogenaamde RFID-passen. Dit

zijn momenteel de meest gebruikte systemen. De passen zijn onderwerp van discussie omdat

bijvoorbeeld de OV-chipkaart, maar ook andere toegangspassen kunnen worden 'afgeluisterd' en

nagemaakt of nagebootst.

In het nieuws

In meer dan de helft van de verloskundige afdelingen in de Amerikaanse staat Ohio krijgen zowel

moeder als kind een rfid-tag in de vorm van respectievelijk een armband of enkelbandje. Op deze

manier hopen de afdelingen te voorkomen dat er baby’s zoekraken, ontvoerd worden of aan de

verkeerde ouders worden meegegeven.

Baby's krijgen een enkelbandje om en moeders een armband. Het HUGS-systeem alarmeert de

afdeling wanneer het enkelbandje breekt of wanneer de rfid-tag van moeder en kind niet met elkaar

overeenkomen.

Privacybeschermingsorganisatie Consumers Against Supermarket Privacy Invasion and Numbering

(Caspian) ageert hiertegen. HUGS zou ziekenhuizen alleen maar minder waakzaam maken, omdat

ziekenhuispersoneel te veel op de technologie zou vertrouwen.


Naast RFID-passen zijn er andere soorten passen die niet af te luisteren zijn.

Bij gebruik van toegangspassen zijn er een paar regels die men in overweging kan nemen:

1. Plaats op de pas een pasfoto. Dit maakt namaken iets moeilijker. Zowel de bewaking als het

personeel is in staat te controleren of de pas en de drager bij elkaar horen;

2. Zet op de pas geen bedrijfsnaam of logo maar gebruik in plaats daarvan een herkenbaar maar

neutraal ontwerp. Het mag voor een vinder niet duidelijk zijn waar de pas voor dient;

3. Voer draagplicht in. Draagplicht betekent dat iedereen zijn/haar pas zichtbaar moet dragen. Dit

geldt ook voor bezoekers en het betekent dat het personeel en de bewaking anderen hier op aan

kunnen spreken. Zorg ook voor een procedure waarin wordt geregeld dat mensen zonder pas worden

begeleid naar de bewaking.

Er kan ook gebruik gemaakt worden van sterke authenticatie, meestal voor speciale ruimten, waarbij

naast een toegangspas aanvullende maatregelen worden gebruikt, dus:


36

1.Iets dat je weet, bijvoorbeeld een pincode

2.Iets dat je hebt, bijvoorbeeld een pas

3.Iets dat je bent, een biometrisch gegeven bijvoorbeeld een vingerafdruk of een irisscan

In het nieuws

In 2006 was het nog toekomstmuziek, maar vandaag zijn Albert Heijn en Equens een pilot gestart

waarbij consumenten hun boodschappen met een vingerafdruk kunnen betalen. De test loopt de

komende zes maanden en moet uitwijzen hoe consumenten de nieuwe betaalmethode ervaren. "Met

Tip2Pay kunnen consumenten snel, simpel en veilig betalen door hun vingerafdruk op de scanner bij

de kassa te leggen." Die vingerafdruk is gekoppeld aan het adres, rekeningnummer en bonuskaart.

Als de pilot is afgelopen volgt er een evaluatie.


Bewaking

Persoonlijke bewaking is de kostbaarste maatregel voor fysieke beveiliging van een object. Bewaking

kan worden aangevuld met goedkopere maatregelen zoals sensoren en camera's. Ook is het mogelijk

sensoren en camera's op afstand te monitoren. In dat geval moet er altijd gereageerd worden (follow-

up) als een alarm afgaat.

De bewaking van een pand dient bij voorkeur ook toegangspassen op zicht te controleren zodat het

moeilijker wordt gebruik te maken van nagemaakte passen.

7.2.3 De werkruimte

Werkruimten kunnen een eigen functie hebben en zullen dan ook apart beveiligd moeten worden.

Neem bijvoorbeeld een publiek gebouw zoals een gemeentehuis. We kunnen wel het publieke deel

van het gemeenthuis in maar de werkruimten zijn niet voor iedereen toegankelijk.

7.2.3.1 Indringerdetectie

In ruimten op de begane grond en overige bijzondere ruimten zijn diverse soorten van

indringerdetectie mogelijk. Dit is afhankelijk van het soort ruimte (grootte, wandsoort, hoogte, inhoud).

De meest gebruikte methode is passieve infrarooddetectie. Bij indringerdetectie moet uiteraard wel

gereageerd worden op alarmsignalen.

7.2.3.2 Speciale ruimten

Het is aan te raden aparte ruimtes te hebben voor het afleveren en afhalen van goederen zodat

toeleveranciers niet bij dezelfde middelen en informatie kunnen komen als de eigen medewerkers.

Het beperken van toegang is een preventieve maatregel. Er zijn nog enkele andere speciale ruimten

van belang:

Serverruimten

Serverruimten en netwerkruimten worden apart genoemd omdat die in de fysieke beveiliging apart

bekeken moeten worden. In serverruimten en netwerkruimten staat gevoelige apparatuur die niet

tegen vocht en warmte kan en die ook nog eens warmte produceert. Daarnaast kan een

informatiesysteem uitvallen door stroomstoringen. Eén van de grootste bedreigingen van een

serverruimte is brand.

Server- of netwerkruimten kennen naast bouwkundige eisen ook eisen voor toegangscontrole.

Media zoals back-up tapes mogen niet worden bewaard in netwerkruimten. Bewaar tapes liever in

een fysiek gescheiden locatie zodat bij een calamiteit in het pand de tapes niet beschadigd raken.


37

Niets is erger dan dat na een brand ontdekt wordt dat er niets te herstellen valt omdat de back-ups

ook verloren zijn gegaan.

Koeling

In serverruimten moet de lucht worden gekoeld en warmte van de aanwezige apparatuur worden

afgevoerd. Daarnaast wordt deze lucht ook nog eens van vocht ontdaan en gefilterd. Wat vaak

gebeurt, is dat er wel apparatuur wordt bijgeplaatst, maar men vergeet vervolgens de koelcapaciteit te

verhogen.

In de praktijk

In een organisatie werd jaren geleden een koelinstallatie in de

serverruimte geplaatst. in de jaren erna werd wel materiaal bijgeplaatst maar het vermogen van de

koelinstallatie werd niet verhoogd. Op een gegeven moment viel de koeling uit en toen de

temperatuur begon te stijgen vielen ook de servers uit met als gevolg dat er dagenlang geen centrale

computer systemen beschikbaar waren.

Noodstroom

Apparatuur gebruikt stroom, vaak veel stroom. In serverruimten is het raadzaam verschillende

groepen stroom te gebruiken. Daarnaast wordt nog een aantal voorzieningen gebruikt:

Accupacks of een Uninterruptible Power Supply (UPS) die naast het opvangen van spanningsdips

ook de stroom filtert en pieken afvangt.

Accupacks hebben niet het eeuwige leven, daarom is het verstandig daarnaast een

noodstroomaggregaat te hebben om de stroomvoorziening langer te kunnen waarborgen. Het

aggregaat moet wel regelmatig worden getest en de brandstof moet voor langere tijd voldoende zijn.

Stroomstoringen zijn niet alleen een probleem voor computerapparatuur, ook productiebedrijven

hebben hier last van.


38

In het nieuws

STEENWIJK - Donderdagochtend werden alle huishoudens in de Kop van Overijssel en een deel van

Drenthe getroffen door een stroomstoring. Inmiddels hebben de huishoudens en bedrijven weer

stroom. De stroomstoring ontstond toen rond 08.40 uur brand uitbrak in een hoofdvoedingsstation van

de stroomleverancier in Steenwijk. Het betrof meer dan 10.000 huishoudens en bedrijven. Via

geluidswagens werden de bewoners door de politie geïnformeerd. Ook werden er speciale

politieposten ingericht.

De directie van een kunststoffenbedrijf in Steenwijk begint inmiddels problemen te krijgen met de

continuïteit van het bedrijf. Zij kunnen een spanningsdip nog opvangen gedurende maximaal 10

minuten, maar daarna gaat de kunststof in de mallen uitharden en vormen zich bijproducten die de

mallen beschadigen. De stroom was al eerder deze week een keer uitgevallen.

Winkels konden niet geopend worden en als ze wel open waren, dan kon er alleen handmatig worden

opgeteld en contant worden betaald. De voorraadsystemen konden niet worden bijgewerkt en de

logistieke planning was een drama.

Vocht

Vocht hoort niet thuis in serverruimten, daarom wordt de toegevoerde lucht van vocht ontdaan.

Daarnaast moeten we er op letten dat er geen waterleidingen of cv-installaties in server ruimten

gemonteerd zijn. Tegenwoordig is waterkoeling mogelijk voor apparatuur maar deze moet goed

gecontroleerd worden.

Brand

Zie ook: Brandbeveiliging

Brand is een van de belangrijkste bedreigingen van een speciale ruimte zoals een serverruimte of

netwerkruimte. Bepaalde maatregelen zijn hierbij altijd relevant:

Rookmelders om rook te detecteren;

Brandblusmiddelen, als er brand uitbreekt moet deze snel worden geblust met een speciaal

brandblusmiddel;

Geen opslag van verpakkingsmateriaal, een serverruimte is geen magazijn;

Geen opslag van back-uptapes in de serverruimte of het gebouw;

De bekabeling die gebruikt wordt kan extra brandvertragend zijn gemaakt.

Opslag gevoelig materiaal

Aparte ruimten kunnen worden gebruikt voor opslag van gevoelig materiaal. Dit kan informatie zijn,

maar ook medicijnen of dure goederen. Deze ruimten vragen om extra maatregelen die de veiligheid

waarborgen. De toegang tot speciale ruimten moet worden gecontroleerd, bij voorkeur door deze

ruimten op te nemen in de toegangscontrolesystemen van het pand, bijvoorbeeld met een extra

pasopener.

7.2.4 Het object

Met het object wordt hier het meest gevoelige te beschermen deel bedoeld, de binnenste ring. Voor

opslag en bescherming van gevoelig materiaal zijn diverse mogelijkheden aanwezig:

Clear desk policy

Om er voor te zorgen dat gevoelig materiaal niet voor het grijpen ligt is een clean desk policy nodig. In

afwezigheid van een medewerker ligt geen informatie op het bureau en na werktijd wordt alle

informatie opgeborgen in een afsluitbare kast.


39

Kasten

Een kast is de meest eenvoudige opslagmogelijkheid. Een kast moet dan wel afgesloten worden en

de sleutel mag niet in de directe omgeving te vinden zijn. Een kast is niet speciaal beveiligd tegen

brand en een kast heeft een lage braakwerendheid.

Brandkast of waardekast

Een brandkast beschermt de inhoud tegen brand. Brandkasten zijn er in klassen waarmee de

brandvertragendheid of waardebescherming wordt aangegeven. Brandkasten zijn geen kluizen maar

ze kunnen ook gecombineerd worden met extra braakwerende eigenschappen.

Brandkasten zijn een prima opbergmiddel voor bijvoorbeeld back-up tapes, papieren en geld. Hierbij

moet opgemerkt worden dat de back-up tapes van een systeem niet in hetzelfde pand moeten

worden bewaard als het informatiesysteem. Bij volledige schade van een pand mogen de tapes niet

ook beschadigd raken.

Brandkasten of kluizen kunnen worden ingemetseld en soms zijn het hele ruimtes.

Brandkasten of kluizen kennen vele soorten sloten en beschermingsmogelijkheden tegen braak.

7.3 Alarm

7.3.1 Sensoren

In de fysieke beveiliging kunnen vele soorten sensoren worden toegepast. De meest gebruikte zijn:

Passieve infrarooddetectie. Deze sensoren worden meestal binnenshuis gebruikt en nemen

temperatuurswijzigingen waar binnen een bepaald bereik van de sensor:

Camera's. Deze sensoren nemen beeld op welke opgeslagen en bekeken kunnen worden. Met

slimme software kunnen automatische controles worden uitgevoerd;

Trillingdetectie. Deze sensoren detecteren trilling;

Glasbreuksensoren. Deze sensoren detecteren het breken van een ruit;

Magneetcontacten. Sensoren die het openen van een deur of raam detecteren.

7.3.2 Alarmmonitoring

De sensoren moeten worden aangesloten op indringerdetectiesystemen en goed worden gemonitord.

Er zijn systemen die zelf een alarmcentrale kunnen bellen van een derde partij zoals een

bewakingsdienst, die de monitoring voor zijn rekening neemt. In alle gevallen moet bij een alarm

worden nagekeken waarom het alarm is afgegaan. Van alarmmeldingen wordt een logboek

bijgehouden.

7.4 Brandbeveiliging

Brandbeveiliging is een speciaal aandachtsgebied binnen de fysieke beveiliging. Daarnaast zijn er

natuurlijk verplichte brandbeveiligingseisen waaraan altijd moet worden voldaan.

Brand is één van de dreigingen die altijd kan voorkomen. Er moeten dus ook altijd maatregelen tegen

worden getroffen. Brand kan op verschillende manieren ontstaan, bijvoorbeeld door kortsluiting,

defecten aan verwarmingsketels, menselijk handelen, defecten aan apparatuur. Voor brand (vuur) zijn

altijd de volgende factoren nodig: een brandbare stof, zuurstof en ontbrandingstemperatuur. Dit is de

'branddriehoek'. Brand kan bestreden worden met blusmiddelen. Het doel van de blusmiddelen is het

doorbreken van deze branddriehoek.

Welke soorten schade kennen we bij brand?


40

Schade door verbranding;

Schade door warmte;

Schade door rook;

Schade door gebruikte blusmiddelen.

7.4.1 Signalering

Voor de signalering van brand worden meestal rookmelders gebruikt die op een apart systeem zijn

aangesloten. Het is van groot belang de rookmelders periodiek te controleren.

Binnen organisaties worden als het goed is regelmatig branden ontruimingsoefeningen gehouden

zodat iedereen bekend is met de alarmsignalen en de ontruimingsprocedures.

7.4.2 Blusmiddelen

Blusmiddelen zijn er op gericht één of meer van de drie componenten van vuur te bestrijden en zo het

vuur te doven. Er zijn verschillende soorten brand en dus ook verschillende blusmethoden. De

verschillende soorten branden zijn bijvoorbeeld: brand ontstaan door elektriciteit, chemische stoffen

die branden en vloeistofbrand. Verschillende blusmiddelen zijn:

Inert gas (een gas dat als functie heeft zuurstof te verdringen), zoals:

Koolstofdioxide;

Argon (edelgas);

Halonen (niet meer toegestaan);

Inergen (merknaam);

Argonite (merknaam).

Schuim (gebaseerd op water, niet geschikt voor elektriciteit);

Poeder (geschikt voor elektriciteit, veroorzaakt schade aan metaal);

Water (niet geschikt voor elektriciteit);

Zand.

Hieronder is de blusinstallatie van een serverruimte te zien.


41

7.5 Emergency planning

Emergency planning is het proces dat er voor moet zorgen dat in het geval van een calamiteit,

bijvoorbeeld het uitvallen van een hele serverruimte, maatregelen worden genomen. Het hele

emergency planningproces uitleggen gaat hier te ver. Later gaan we wel in op Business Contingency

Planning.

7.6 Samenvatting

Het hoofdstuk Fysieke beveiliging is veelomvattend. U hebt kennis gemaakt met de wijze waarop wij

onze bezittingen proberen te beschermen.

We bepalen eerst wie er op ons terrein mogen komen, daar wordt al vastgesteld of er een hek om het

terrein heen komt of niet. Als er een hek geplaatst wordt, hoe hoog moet dat dan worden? Plaatsen

we camera’s binnen en buiten het gebouw? Mag iedereen binnen rondlopen, of maken we ook binnen

het gebouw gebruik van toegangscontrolesystemen?

Zoals u gelezen heeft, is fysieke beveiliging lang niet altijd bescherming tegen diefstal. Het gaat ook

om de koeling van de apparatuur. Een oververhitte server gaat gauw kapot. Dat gaat dan weer ten

koste van de continuïteit. Kabels beschermen tegen storingen betekent een betere werkomgeving.

Noodstroomapparatuur zorgt ervoor dat we kunnen blijven werken wanneer de stroom (tijdelijk)

uitvalt.

Uiteindelijk lopen de verschillende onderwerpen, zoals beschikbaarheid, fysieke beveiliging en ICT-

beveiliging naadloos in elkaar over.

7.7 Casus

Een groot farmaceutisch bedrijf gaat een nieuwe vestiging bouwen op een industrieterrein voor

schone industrieën. Het wordt een campusachtig terrein met een parkachtige structuur. De gebouwen

van het bedrijf moeten op het oog vrij toegankelijk zijn voor het publiek, anderzijds mogen bezoekers

niet onopgemerkt de gebouwen kunnen naderen.

Toegang tot de gebouwen dient op een vriendelijke doch zeer sluitende manier geregeld te worden,

zodat mensen alleen toegang hebben tot die delen van de gebouwen waartoe zij geautoriseerd zijn.

De vertrouwelijkheid van de informatie, bijvoorbeeld van de recepten die gebruikt worden, staat hoog

in het vaandel. Bekendmaking aan derden kan de concurrentiepositie ernstige schade toebrengen.

Binnen in de gebouwen worden verschillende zones gehanteerd: een publieke zone en meerdere,

steeds vertrouwelijker zones. In het productiedeel is absolute hygiëne vereist, daar is alles volkomen

stofvrij. De lucht moet permanent gezuiverd worden en op de juiste temperatuur, luchtdruk en

luchtvochtigheid gehouden worden.

De geautomatiseerde systemen worden in een rekencentrum in eigen beheer onderhouden. Deze

apparatuur is van zeer groot belang voor het productieproces en voor de ontwikkeling van nieuwe

producten.

U krijgt de opdracht, in overleg met de architecten en aannemers, een sluitend plan te maken waarin

aan alle genoemde eisen wordt voldaan.


42

8. Technische maatregelen (ICT-beveiliging)

Inleiding

Uit een risicoanalyse komen technische maatregelen voort. De maatregelen bevinden zich op het vlak

van fysieke beveiliging, die veelal ook technisch van aard zijn, maar ook op het gebied van de

beveiliging van de ICT-infrastructuur. Dit hoofdstuk gaat in op het beheer van de bedrijfsmiddelen, de

beveiliging van de ICT-infrastructuur en de beveiliging van de data tegen ongewenste inzage door

middel van toegangscontrole en door middel van cryptografische toepassingen.

De correcte werking van een toepassing en de correcte verwerking van informatie komen ook aan

bod. Informatie moet betrouwbaar zijn. Wat hebben we aan informatie wanneer we er niet op kunnen

vertrouwen dat die informatie juist en volledig is?

Hoewel informatiesystemen niet per definitie geautomatiseerde systemen zijn, zien we in de praktijk

wel steeds vaker dat geautomatiseerde systemen een belangrijke rol spelen in de

informatievoorziening. Daardoor speelt de beveiliging van deze geautomatiseerde systemen en de

daarbij behorende infrastructuur in toenemende mate een belangrijke rol. ICT-beveiliging richt zich

dan ook hoofdzakelijk op het beveiligen van de ICT-infrastructuur. Dit hoofdstuk gaat in op de

beveiligingsmaatregelen die op het ICT-vlak genomen kunnen worden.

8.1 Beheer van bedrijfsmiddelen

Een van de manieren om risico’s te beheersen c.q. te managen is door controle uit te oefenen op

veranderingen die mogelijk risicovol zijn. Deze controle kan op verschillende manieren ingevuld

worden. Er zijn verschillende modellen en methoden die handvatten geven voor het uitoefenen van

controle, denk bijvoorbeeld aan COBIT™ en ITIL®. In elk van de toegepaste modellen of methoden is

een aantal basiselementen te vinden die helpen deze controle uit te kunnen oefenen. De

basiselementen zijn:

Afspraken over hoe met bedrijfsmiddelen omgegaan wordt;

Afspraken (processen) over hoe veranderingen tot stand komen;

Afspraken over wie de wijzigingen (changes) mag initiëren en uitvoeren en hoe de wijzigingen

getest zullen worden.

Een valkuil bij het vastleggen van deze, initieel vaak als bureaucratisch geïnterpreteerde, afspraken is

dat deze tot doel worden verheven, in plaats van de nadruk te leggen op de betekenis.

COBIT™ staat voor: Control Objectives for Information and related Technology en is een framework

voor het gestructureerd inrichten en beoordelen van een IT-beheeromgeving.

ITIL®

staat voor: Information Technology Infrastructure Library en is ontwikkeld als een

referentiekader voor het inrichten van de beheerprocessen binnen een ICT-organisatie.

8.1.1 Afspraken over omgaan met bedrijfsmiddelen

Het doel van het vastleggen hoe met bedrijfsmiddelen omgegaan moet worden is het voorkomen van

fouten door verkeerd gebruik. Verkeerd gebruik kan ook tot onnodige schade leiden. Denk hierbij

alleen maar aan een simpel voorschrift om geen papier met metaal (zoals paperclips en nietjes) in

een papierversnipperaar te doen. Hoe complexer middelen worden hoe nuttiger het is duidelijke

gebruiksaanwijzingen en instructies op te stellen.


43

8.1.2 Wat zijn bedrijfsmiddelen

Bedrijfsmiddelen zijn noodzakelijk voor een organisatie. Bedrijfsmiddelen kosten geld of

vertegenwoordigen een bepaalde waarde. Bedrijfsmiddelen zijn onder andere:

Informatie in de vorm van bijvoorbeeld documenten, databases, contracten,

systeemdocumentatie, procedures, handleidingen, systeemlogs, plannen en handboeken;

Programmatuur zoals systeemprogrammatuur, gebruikersprogrammatuur en ontwikkel

programmatuur;

Apparatuur zoals servers, pc's, netwerkcomponenten en bekabeling;

Media;

Diensten;

Mensen en hun kennis;

Immateriële zaken zoals imago of reputatie van de organisatie.

Bedrijfsmiddelen hebben een classificatie nodig om er beveiligingsniveaus voor te kunnen vaststellen.

De eigenaar dient hier voor te zorgen. Ieder bedrijfsmiddel moet een eigenaar hebben.

Een goede registratie van bedrijfsmiddelen is noodzakelijk voor de risicoanalyse, zie : Dreigingen en

risico’s (risicoanalyse). Daarnaast is registratie soms nodig voor de verzekering, financiële

verantwoording en wettelijke vereisten (bijvoorbeeld registratie persoonsgegevens bestanden in het

kader van de Wet Bescherming Persoonsgegevens WBP). Registraties van bedrijfsmiddelen worden

bij voorkeur twee maal per jaar gecontroleerd en hiervan wordt een verslag gemaakt voor het

management.

De informatie die vastgelegd wordt over bedrijfsmiddelen is:

Soort, type bedrijfsmiddel;

Eigenaar;

Locatie;

Formaat;

Classificatie;

Bedrijfswaarde.

Deze informatie is nodig voor bijvoorbeeld herstel na een incident of calamiteit.

De eigenaar is iemand die verantwoordelijk is voor een bedrijfsproces of deelproces of

bedrijfsactiviteit en draagt zorg voor alle aspecten van de bedrijfsmiddelen. Denk hierbij aan de

beveiliging, het beheer, de productie of de ontwikkeling.

8.1.3 Het gebruik van bedrijfsmiddelen

Het gebruik van bedrijfsmiddelen is aan regels gebonden. Deze regels zijn bijvoorbeeld vastgelegd in

een handleiding, maar ook in hoe om te gaan met mobiele apparatuur wanneer deze buiten de

organisatie wordt gebruikt.

8.1.4 Classificatie

Allereerst een paar begrippen:

Classificeren is het indelen van informatie naar gevoeligheid;

Rubricering is de classificatie die aan informatie wordt toegekend, zoals geheim, confidentieel, en

personeelsvertrouwelijk. De term rubriceren wordt vaak binnen de overheid gebruikt;


44

Merking is een bijzondere aanduiding, bijvoorbeeld een indeling naar zaak of organisatie of kring van

gerechtigden.

De eigenaar is degene die verantwoordelijk is voor een bedrijfsmiddel. Een folder op het netwerk kan

bijvoorbeeld een eigenaar hebben. Wanneer iemand toegang wil tot de informatie in die folder, moet

de eigenaar daar toestemming voor geven. Van een laptop wordt meestal de gebruiker geregistreerd

als eigenaar.

De eigenaar van een bedrijfsmiddel kent hieraan een juiste rubricering toe volgens een vooraf

afgesproken lijst met classificaties. De rubricering geeft aan welke vorm van beveiliging noodzakelijk

is. Dit wordt onder andere bepaald door gevoeligheid, waarde, wettelijke eisen en belang voor de

organisatie. De rubricering is in overeenstemming met de wijze waarop het bedrijfsmiddel wordt

gebruikt in het bedrijf. De eigenaar van het bedrijfsmiddel zorgt ook voor herclassificatie als dat nodig

is. Als binnen een bedrijf of organisatie bedrijfsmiddelen zijn geclassificeerd kan alleen de eigenaar

deze classificatie verlagen of hiervoor toestemming te geven. Bijvoorbeeld informatie wordt

geclassificeerd als vertrouwelijk tot het moment van publicatie. Daarna wordt de classificatie

verlaagd; de informatie is immers publiek geworden.

Als een bedrijfsmiddel een rubricering heeft, wordt het gemerkt of gelabeld. Dit kan fysiek, zichtbaar

op het bedrijfsmiddel, of erin, zoals bij elektronische documenten, databases, records, berichten, op

het beeldscherm waar de informatie staat en tenslotte verzendkanalen. Bij documenten kan een

maatregel zijn dat de rubricering aan de boven- en onderzijde is opgenomen. Alle documenten met

geclassificeerde informatie horen een exemplaar- of versienummer te hebben en iedere pagina is

genummerd. Het moet ook duidelijk zijn uit hoeveel pagina’s het gehele document bestaat. Dit is wel

een vrij zware maatregel, te meer omdat maatregelen ook gecontroleerd moeten kunnen worden.

Binnen de overheid worden rubriceringen gebruikt die te vinden zijn in het document VIR-BI

(Voorschrift Informatiebeveiliging Rijksdienst – Bijzondere Informatie). Deze zijn: Departementaal

Vertrouwelijk, Staatsgeheim Confidentieel, Staatsgeheim Geheim, Staatsgeheim Zeer Geheim.

De rubricering kan worden aangevuld met een merking. Door middel van een merking kan een

specifieke kring van gerechtigden worden aangegeven.

Een voorbeeld hiervan is: Politie Zeer Vertrouwelijk, Crypto.

Een document met deze rubricering en merking is alleen bedoeld voor behandeling door personeel

met een autorisatie voor het werken met encryptiemiddelen. Binnen de overheid worden mensen

gescreend tot het niveau dat de classificatie aangeeft. Daarnaast worden nog andere richtlijnen

gehanteerd, zoals toegang tot informatie op basis van 'need to know' en uiteraard een 'clean desk

policy'.

De eigenaar stelt vast wie toegang heeft tot welke gemerkte bedrijfsmiddelen. De rubricering van een

bedrijfsmiddel bepaalt ook hoe deze fysiek opgeslagen mag worden. Hiervoor worden bedrijfspanden

soms in compartimenten ingedeeld, met per compartiment verschillende beveiligingseisen en

toenemende beveiliging, zie: In de ban van de ring.

Het gebruik van een rubricering is erg lastig te implementeren in een organisatie omdat mensen er bij

na moeten denken om ze goed toe te passen. Er kan ook voor worden gekozen alle niet-

geclassificeerde informatie niet te voorzien van een rubricering. Deze informatie is openbaar.

8.2 Logisch toegangsbeheer

Logisch toegangsbeheer betreft het verlenen van toegang tot digitale informatie en informatiediensten

aan die personen die daartoe geautoriseerd zijn, maar ook het voorkomen dat niet-gerechtigden

toegang krijgen tot deze digitale informatie. De eigenaar van de gegevens, over het algemeen een

manager, zal in het autorisatieproces de autorisatie verlenen. Deze autorisatie kan door software

automatisch verwerkt worden of door de systeem/applicatie beheerder worden verleend.


45

8.2.1 Discretionary Access Control (DAC)

Bij Discretionary Access Control ligt het besluit om toegang te verlenen tot informatie bij de

individuele eindgebruiker. Een voorbeeld hiervan is anderen toegang geven op de eigen home

directory. Een ander voorbeeld is het versturen van informatie aan personen die niet zelf direct

toegang hebben tot deze informatie. Omdat dit een flexibele vorm van toegangscontrole is, is deze

moeilijk te controleren en is de informatie moeilijk te beveiligen.

8.2.2 Mandatory Access Control (MAC)

Bij mandatory access control wordt centraal bepaald en gereguleerd welke personen en systemen

toegang krijgen tot informatiesystemen.

8.2.2.1 Verlenen van toegang

Bij het verlenen van toegang wordt vaak onderscheid gemaakt tussen identificatie, authenticatie en

autorisatie. Identificatie is de eerste stap in het toegangsverleningsproces. Bij de identificatie biedt de

persoon of het systeem een token aan, bijvoorbeeld een sleutel of gebruikersnaam/wachtwoord.

Vervolgens bepaalt het systeem waar toegang tot verkregen moet worden en of het token authentiek

is. Zodra dit is vastgesteld kunnen autorisaties toegekend worden.

In de praktijk

Bij de grensbewaking op het vliegveld bied ik ter identificatie een paspoort aan. De controleur

(marechaussee) authenticeert vervolgens dit token door deze te controleren op echtheidskenmerken.

Voor een informatiesysteem is het van belang dat deze controle op echtheidskenmerken

(authenticatie) eenduidig vastligt. Iemand kan namelijk op verschillende manieren de authenticiteit

van een paspoort controleren. Zo kan hij de foto vergelijken met mijn gezicht. Ook kan hij vaststellen

dat de pasfoto terugkomt in het gaatjespatroon op de houderpagina. Om meer zekerheid te krijgen

over de authenticiteit van het paspoort zou hij echter een centrale administratie kunnen raadplegen

om vast te stellen dat het paspoort niet ingetrokken is of gestolen. De gewenste zekerheid over de

authenticiteit van een token bepaalt welke controles uitgevoerd moeten worden voordat het token

authentiek bevonden kan worden.

In de laatste stap worden autorisaties toegekend. Zo kan op het vliegveld aan mij de autorisatie

toegekend worden om de vertrekterminal te betreden. Deze controle is echter onvoldoende om

autorisatie te krijgen tot andere delen van het vliegveld zoals de bagageafhandeling.

8.2.2.2 Bewaken van toegang

Naast de toegangscontrole is het van belang te bewaken wie waar toegang tot krijgt en of deze geen

misbruik maakt van de toegekende autorisatie. Op het vliegveld zal bewaakt moeten worden dat ik

niet probeer toegang te krijgen tot zones waarvoor ik niet geautoriseerd ben. Deze toegangsbewaking

kan verschillende redenen hebben zoals het beperken van risico’s maar ook het tegemoetkomen aan

wettelijke verplichtingen. Het kan zijn dat aangetoond moet worden dat alleen geautoriseerde

personen toegang gekregen hebben tot bepaalde informatie. Dit maakt meteen duidelijk dat

toegangsverlening niet alleen een systeemaangelegenheid is maar ook procedureel en

organisatorisch.

8.3 Beveiligingseisen voor informatiesystemen

Vanaf het eerste moment dat een bedrijf gaat nadenken over de aanschaf en het (laten) ontwikkelen

van informatiesystemen is het noodzakelijk dat beveiliging deel uitmaakt van het nieuwe project.


46

Informatiesystemen omvatten besturingssystemen, infrastructuur, bedrijfstoepassingen, kant-en-klare

producten, diensten en toepassingen die voor de gebruiker zijn ontwikkeld. Ontwerp en implementatie

van het informatiesysteem dat het bedrijfsproces ondersteunt kunnen van doorslaggevend belang zijn

voor de wijze waarop de beveiliging wordt ingericht.

Beveiligingseisen moeten voorafgaand aan de ontwikkeling en/of implementatie van

informatiesystemen worden vastgesteld en overeengekomen.

De beveiligingseisen worden in een risicoanalyse vastgesteld en tijdens de specificatie van de eisen

voor het project verantwoord, overeengekomen en gedocumenteerd als onderdeel van de totale

‘business case’ voor een informatiesysteem.

Het is beduidend goedkoper beveiligingsmaatregelen tijdens de ontwerpfase te implementeren en te

onderhouden dan tijdens of na de implementatie.

In de praktijk

Een grote organisatie laat een nieuw intranet ontwerpen. Twee weken voor de ingebruikneming wordt

aan de Information Security Manager (ISM) gevraagd of zij nog even naar de beveiligingsmaatregelen

kan kijken. Een gedegen onderzoek brengt zoveel zwakheden aan het licht dat het intranet totaal

opnieuw ontworpen moet worden en er ruim een jaar vertraging optreedt in de implementatie. Vele

honderdduizenden euro’s gaan onnodig verloren door een gebrek aan communicatie!

Bij de aanschaf van producten hoort een formeel testen inkoopproces te worden gevolgd. In de

contracten met de leverancier zijn de eisen die aan de beveiliging van het product worden gesteld,

opgenomen. Wanneer de beveiligingsfunctionaliteit in het product niet voldoet aan de gestelde eis,

dan moeten het risico dat dit met zich mee brengt en de beveiligingsmaatregelen die daarbij horen

worden heroverwogen. Of er wordt besloten dit product niet aan te schaffen.

8.3.1 Correcte verwerking in toepassingen

Toepassingen (software, computerprogramma's) moeten werken zoals bedoeld in het ontwerp en de

ontwikkeling. Een programma dat mogelijk maakt dat fouten worden gemaakt, dat gegevens verloren

gaan, dat een onbevoegde persoon wijzigingen kan aanbrengen of informatie kan misbruiken is een

groot risico.

In toepassingssystemen, ook toepassingen die door de gebruiker zelf zijn ontwikkeld, horen geschikte

beheersmaatregelen te zijn ingebouwd. Zo'n beheersmaatregel betreft bijvoorbeeld de validatie van

invoergegevens, interne verwerking en uitvoergegevens. Hiermee wordt bedoeld dat de informatie

eenduidig wordt ingevoerd en dat de gegevens controleerbaar correct zijn.

Voor de eenduidige invoer wordt vaak gebruik gemaakt van zogenaamde stamtabellen en

begrippenlijsten. Deze lijsten, die in de software/database zijn ingebouwd, kunnen helpen voorkomen

dat voor één begrip, meerdere woorden gebruikt worden.

In de praktijk

Een politieman neemt een aanrijding op en vermeldt in het systeem: voetganger op trottoir

aangereden door bromfiets.

De volgende dag neemt een andere politieman op dezelfde locatie een aanrijding op en vermeldt in

het systeem: wandelaar aangereden door bromscooter op het voetpad.

Wanneer nu in de database gegevens worden gezocht voor een onderzoek naar verkeersgevaarlijke


47

situaties zal niet de juiste informatie boven water komen.

Het systeem moet afdwingen dat alleen de woorden voetganger, trottoir en bromfiets ingevoerd

kunnen worden en de woorden wandelaar, voetpad en bromscooter niet. Wanneer vervolgens op de

juiste woorden gezocht wordt, zullen alle aanrijdingen die aan de criteria voldoen uit het systeem

komen.

8.3.2 Validatie van in- en uitvoergegevens

Gegevens die worden ingevoerd in toepassingen behoren te worden gevalideerd om ervoor te zorgen

dat ze betrouwbaar zijn. Zakelijke transacties en vaste gegevens kunnen automatisch worden

gecontroleerd. Denk bijvoorbeeld aan een invoerveld voor de postcode dat altijd een vast formaat kan

hebben. Dit geldt ook voor verkoopprijzen, wisselkoersen, belastingtarieven en kredietlimieten.

Validatie is een belangrijk middel om gebruikersfouten en misbruik te voorkomen.

8.4 Cryptografie

De term cryptografie (geheimschrift) komt uit het Grieks en is een samenvoeging van de woorden

kryptós dat ‘verborgen’ betekent en gráfo dat ‘schrijven’ betekent. Voorbeelden van cryptografie zijn

zo oud als de spreekwoordelijke weg naar Rome. Het werd onder andere toegepast door de

Romeinen om militaire boodschappen over te brengen. Zelfs als de boodschap in vijandelijke handen

zou vallen, kon de vijand daar geen informatie uit afleiden omdat de boodschap op het oog

nietszeggende gegevens bevatte. Onderzoek naar cryptoalgoritmen wordt ook wel cryptoanalyse

genoemd en werd niet alleen toegepast om algoritmen te ontwikkelen maar ook om algoritmen van

vijanden te kraken. Cryptoanalyse heeft zich vooral gedurende en na de tweede wereldoorlog sterk

ontwikkeld.

Vaak wordt cryptografie gezien als middel om informatie geheim te houden, maar ook andere

toepassingsgebieden, zoals het beschermen van de vertrouwelijkheid, authenticiteit of integriteit van

informatie zijn te danken aan cryptografie.

In het nieuws

Een student van de Radboud Universiteit in Nijmegen is erin geslaagd met

een zelf gebouwd apparaatje ter waarde van veertig euro een wegwerpversie van de OV-chipkaart te

kopiëren. De kopie is onbeperkt te gebruiken als vervoersbewijs.

De student luisterde het berichtenverkeer tussen een origineel wegwerpkaartje en de chiplezer bij een

poortje elektronisch af. Daarbij bleek dat de informatie die wordt overgestuurd niet is versleuteld,

zoals dat wel gebeurt bij de ov-chipkaarten voor abonnementen die op naam van de reiziger staan.

Voor wegwerpkaartjes is een chip met versleuteling blijkbaar te duur.


8.5 Cryptografiebeleid

Cryptografie is een maatregel die ingezet kan worden door de organisatie als bijvoorbeeld gegevens

vertrouwelijk zijn. Over het gebruik van cryptografie moet goed worden nagedacht en dit moet in een

beleidsdocument worden beschreven.


48

In dit document komt aan de orde:

Waarvoor gebruikt de organisatie cryptografie;

Welke soorten cryptografie gebruikt de organisatie, voor welke toepassingen;

Beheersing en beheer van sleutelmateriaal;

Back-up;

Controle.

8.5.1 Sleutelbeheer

Het beheer van de sleutels is een belangrijk onderdeel van het beleid in het gebruik van

cryptografische technieken. Cryptografische sleutels behoren te worden beschermd tegen wijziging,

verlies en vernietiging.

Bovendien horen geheime en persoonlijke sleutels te worden beschermd tegen onbevoegde

openbaarmaking. Apparatuur die wordt gebruikt voor het genereren, opslaan en archiveren van

sleutels behoort fysiek te worden beschermd. Onderdeel van het sleutelbeheer is ook de registratie

van de sleutelparen. Welke paren zijn wanneer en aan wie uitgegeven. Tot wanneer zijn de sleutels

geldig? Wat te doen als sleutels openbaar worden bij onbevoegden?

Een groot risico is wanneer veel verschillende apparaten binnen een organisatie van dezelfde

sleutelsets gebruik maken. Worden deze sleutels buiten de organisatie bekend, dan zullen alle

apparaten (vaak laptops) opnieuw van sleutelmateriaal voorzien moeten worden. Dit kan een zeer

kostbare operatie zijn die bovendien in zeer korte tijd uitgevoerd moet worden.

8.6 Soorten cryptografische systemen

Om gebruik te kunnen maken van een cryptografisch systeem moeten zowel de zender als ontvanger

beschikken over het algoritme. Een kenmerk van een goed cryptografisch systeem is dat het

algoritme zelf openbaar is. In hoofdlijnen zijn er drie vormen van cryptografische algoritmen te

onderscheiden: symmetrisch, asymmetrisch en eenrichtingsvercijfering.

Het algoritme dient de toets der kritiek te doorstaan en open te zijn. Als veel mensen er goed naar

kijken is het moeilijker om er een gat in te schieten. De sleutels zijn het geheime deel van de

cryptografie.

De OV chipkaart bevatte een geheim algoritme en een bepaald getal, deze waren de zwakheid. Als

het ontwerp van de myfare chip ook publiek door de wetenschap was beoordeeld, had dit er zo nooit

ingezeten.

8.6.1 Symmetrisch

Iedereen kent wel een symmetrisch cryptografisch systeem. Kenmerk van zo’n systeem is dat er een

algoritme is en een geheime sleutel die zender en ontvanger delen.

In de praktijk

Een simpele manier om een bericht te versleutelen is door het alfabet met getal x te verschuiven. Met

x=+5 wordt A > F. Iedereen die de geheime sleutel heeft kan de boodschap decoderen door het

alfabet met x=-5 te verschuiven. Zoals dit voorbeeld illustreert wordt de geheime sleutel gebruikt om

zowel de boodschap te vercijferen als te ontcijferen. De sterkte van dit cryptografische systeem hangt

direct samen met het vermogen van de zender en ontvanger de gedeelde sleutel geheim te houden.


49

8.6.2 Asymmetrisch

Een asymmetrisch systeem lost de kwetsbaarheid van het delen van een geheime sleutel op. Het

kenmerk van een asymmetrisch systeem is dat voor het vercijferen en ontcijferen twee verschillende

sleutels gebruikt worden. Dit systeem is eind 1970 bedacht door Ron Rivest, Adi Shamir en Len

Adleman en werkt op basis van priemgetallen en modulo rekenen. Het meest opmerkelijke bij dit

algoritme is dat het niet meer nodig is dat de zender en ontvanger dezelfde sleutel te bezitten. Het

algoritme werkt met zogeheten sleutelparen. Hierbij zorgt de private sleutel van het sleutelpaar voor

de vercijfering en alleen de publieke sleutel van dit sleutelpaar kan het bericht ontcijferen. Het mooie

van dit systeem is dat de publieke sleutel bekend gemaakt kan worden aan de hele wereld.

Dit systeem kan op twee manieren toegepast worden. De eerste manier is om berichten te

ondertekenen met de private sleutel. De ontvanger kan met behulp van de publieke sleutel verifiëren


50

dat het bericht afkomstig is van de eigenaar van de bijbehorende private sleutel. De tweede manier is

om berichten bestemd voor een persoon te versleutelen met diens publieke sleutel. Alleen de houder

van de private sleutel behorende bij deze publieke sleutel is in staat dit bericht te ontcijferen. Merk

hierbij op dat het gebruik van de private sleutel beperkt is tot de houder van private sleutel, terwijl

iedereen gebruik kan maken van de publieke sleutel. Asymmetrische algoritmen kunnen op deze

manier zowel ingezet worden om zowel de integriteit als de vertrouwelijkheid van berichten te

garanderen.

Digitale handtekening

Asymmetrische cryptografie wordt bijvoorbeeld toegepast bij een digitale handtekening. Een digitale

handtekening is een methode voor het bevestigen van de juistheid van digitale informatie,

vergelijkbaar met het ondertekenen van papieren documenten door middel van een geschreven

handtekening. Over het algemeen bestaat een digitale handtekening uit twee algoritmen: een om te

bevestigen dat de informatie niet door derden veranderd is, de ander om de identiteit te bevestigen

van degene die de informatie "ondertekent". In Europa is een digitale handtekening dankzij Richtlijn

99/93/EG nu gelijkgeschakeld aan een "papieren" handtekening. In de meeste gevallen moet die

digitale handtekening dan wel met behulp van een gewaarmerkt certificaat te verifiëren te zijn en

moet deze met een veilig middel (bijvoorbeeld een smartcard) zijn gemaakt.

8.6.3 Public Key Infrastructure

Asymmetrische cryptografie wordt ook wel Public Key Crypto genoemd. Let op dat dit niet hetzelfde is

als Public Key Infrastructure (PKI). Bij een PKI komt veel meer kijken. Een kenmerk van een PKI is

dat deze door afspraken, procedures en een organisatiestructuur waarborgen biedt over welke

persoon of systeem hoort bij een specifieke publieke sleutel. Een Public Key Infrastructure wordt vaak

beheerd door een onafhankelijke autoriteit. Vecozo is een Nederlands voorbeeld van een dergelijke

autoriteit. Vecozo voorziet in het uitwisselen van vertrouwelijke informatie in de gezondheidszorg.

In de praktijk

Een huisarts wil haar behandelingen elektronisch gaan declareren bij de zorgverzekeraars. De

zorgverzekeraars hebben een contract met een Certification Authority (CA). De huisarts vraagt bij de

CA een certificaat aan. De CA controleert, voor de zorgverzekeraars, of de huisarts is wie zij claimt te

zijn, bijvoorbeeld door haar diploma’s op te vragen en een handtekening. De huisarts krijgt toegang

tot de website om het certificaat te kunnen downloaden. Dit is een bestandje dat op de computer

wordt geïnstalleerd. Als de huisarts wil declareren gaat ze naar de website van de CA. Bij het

inloggen wordt het certificaat op de PC gecontroleerd en wordt gevraagd naar de gebruikersnaam en

het wachtwoord die horen bij het certificaat. De huisarts krijgt toegang en ze kan haar

declaratiebestanden uploaden. Ook kan ze bijvoorbeeld controleren of een bepaalde patient wel

verzekerd is en bij welke zorgverzekeraar.

http://nl.wikipedia.org/wiki/Digitaal

http://nl.wikipedia.org/wiki/Informatie

http://nl.wikipedia.org/wiki/Ondertekenen

http://nl.wikipedia.org/wiki/Identificatie_%28recht%29

http://nl.wikipedia.org/w/index.php?title=Gewaarmerkt_certificaat&action=edit&redlink=1

http://nl.wikipedia.org/wiki/Smartcard


51

8.6.4 Eenrichtingsvercijfering

Deze vorm van vercijferen wordt ook wel hashfunctie genoemd en is te vergelijken met het mengen

van verf. Zodra twee verfkleuren vermengd raken is het zo goed als onmogelijk deze kleuren weer te

scheiden. Dit soort algoritmen wordt hoofdzakelijk gebruikt om vast te stellen of bepaalde gegevens

niet veranderd zijn. Het bericht wordt omgezet in een numerieke waarde. Met een bekend algoritme

kan de ontvanger controleren of de boodschap de juiste hashwaarde heeft gehouden. Deze methode

wordt gebruikt om de integriteit van berichten te controleren, bijvoorbeeld het wachtwoord op een

computer. Er wordt geen vertrouwelijkheid mee geregeld.


52

8.7 Beveiliging van systeembestanden

8.7.1 Bescherming van testdata

Het is belangrijk dat testgegevens van apparatuur en programma's zorgvuldig worden gekozen,

beschermd en beheerst. Het is niet de bedoeling dat echte data, die immers gevoelige informatie

zoals persoonsgegevens kan bevatten, wordt gebruikt om mee te testen. In testsystemen mag

uitsluitend fictieve data voorkomen

8.7.2 Toegangsbeheer voor broncode van programmatuur

Systeembestanden vormen de bron van de automatisering van een organisatie. Wanneer de

broncode van deze bestanden in verkeerde handen valt, kan een kwaadwillende toegang tot

vertrouwelijke informatie krijgen. Deze bestanden dienen dus zeer zorgvuldig behandeld te worden.

De toegang tot broncode van programmatuur behoort te worden beperkt tot alleen de hoogst

noodzakelijke medewerkers.

8.7.3 Beveiliging bij ontwikkelings- en ondersteuningsprocessen

Managers die verantwoordelijk zijn voor toepassingssystemen, zijn verantwoordelijk voor de

beveiliging van de projectomgeving waarin de toepassingen worden ontwikkeld en de omgeving

waarin de toepassingen worden ondersteund. Zij bekijken ook of voorgestelde wijzigingen deze

beveiliging niet in gevaar brengen.

8.8 Uitlekken van informatie

Hoe voorkomen we dat gelegenheden zich voordoen om vertrouwelijke informatie te laten uitlekken?

Bewustwording van medewerkers is één van de mogelijkheden om de medewerkers te doordringen

van het belang bedrijfsinformatie niet naar buiten te brengen. Het bekende circuit van verjaardagen,

de vereniging, vrienden en vooral onbekende vrienden van vrienden vormt een risico. In een

ontspannen sfeer wordt gemakkelijk informatie gedeeld die dan ook in verkeerde handen kan vallen.

Een bewuste poging om vertrouwelijke informatie los te krijgen is de zogenaamde ‘social

engineering’. Voor deze Engelse term is geen goede Nederlandse benaming in gebruik. Iemand weet

het vertrouwen te winnen van een medewerker door zich voor te doen als een collega of leverancier

maar is in werkelijkheid uit op vertrouwelijke informatie. In een grote organisatie waar niet iedereen

elkaar kent, is de kans op succes groot. De social engineer maakt gebruik van menselijke

zwakheden. We denken bijvoorbeeld dat als iemand het juiste jargon gebruikt, hij of zij wel van

binnen de organisatie zal zijn. Maar de social engineer kan de termen hebben afgeluisterd in het café.

Daarnaast kan informatie uitlekken via verborgen communicatiekanalen. De kans dat de gewone

medewerker van het bestaan van dit soort communicatiekanalen af weet is gering. Geheime

communicatiekanalen zijn kanalen die niet zijn bedoeld voor het verwerken van informatiestromen,

maar die desondanks kunnen bestaan in een systeem of netwerk. Het voorkomen van alle mogelijke

geheime communicatiekanalen is moeilijk, zo niet onmogelijk. Er zijn immers altijd verbindingen naar

binnen en naar buiten. Het gebruik van dergelijke kanalen wordt vaak in gang gezet door Trojaanse

paarden (zie ook het hoofdstuk over malware). Het kan ook zijn dat de leverancier van een

maatwerkprogramma een geheime toegang voor onderhoud in de applicatie heeft ingebouwd zonder

dit door te geven aan de koper. Dit wordt ook wel een ‘maintenance door’ of onderhoudstoegang

genoemd. Deze praktijk wordt door de afnemer niet gewaardeerd. Wanneer de maatwerkapplicatie

wordt gebruikt voor het verwerken van zeer vertrouwelijke informatie, kan een onafhankelijk bureau

de broncode van de applicatie onderzoeken op dergelijke geheime communicatiekanalen.


53

8.8.1 Uitbesteden van ontwikkeling van programmatuur

Wanneer de ontwikkeling van programmatuur wordt uitbesteed is het belangrijk dat de ontwikkeling

wordt gesuperviseerd en gecontroleerd door de organisatie die de opdracht geeft.

En wie wordt de eigenaar van de broncode? De opdrachtgever moet indien mogelijk de intellectuele

eigendomsrechten krijgen.

De kwaliteit en nauwkeurigheid van het uitgevoerde werk kan door certificering van een

onafhankelijke instantie worden vastgesteld. Denk hierbij ook aan de opmerking hierboven met

betrekking tot het controleren van verborgen communicatiekanalen.

8.9 Samenvatting

Toegang tot de gebouwen wordt gereguleerd, toegang tot de netwerkinfrastructuur ook. Hoe gaan we

om met de toegangsrechten die de medewerkers op de ICT-omgeving krijgen. De ene medewerker

krijgt andere rechten dan de ander. Op welke wijze wordt nu bepaald wie wat mag doen? Waarom

mag niet iedereen inzage hebben in alle informatie?

Wanneer dat allemaal bepaald is, wordt het tijd de beschikbare informatie te verdelen over de

medewerkers die gerechtigd zijn inzage in bepaalde systemen te hebben. Dit gebeurt door middel van

toegangscontrole.

Hoe gaan we met onze bezittingen om? We regelen dat in gestandaardiseerde processen.

Wanneer informatie echt beveiligd moet worden tegen inzage door ongeautoriseerden, dan komt het

gebruik van cryptografische toepassingen om de hoek kijken. U hebt een inleiding gekregen in

cryptografie en weet nu wat het verschil is tussen symmetrische en asymmetrische cryptografie en

PKI-oplossingen.

8.10 Casus

Een middelgrote bank heeft grote uitbreidingsplannen voor de ICT-omgeving. De directie heeft

besloten dat het noodzakelijk is alle ICT-voorzieningen te vervangen door nieuwe apparatuur. Open

source wordt overwogen. Wel is het noodzakelijk dat alle nieuwe hardware goed ondersteund wordt.

De huidige bankspecifieke programmatuur voldoet niet meer. De IT-afdeling gaat in eigen beheer of

door middel van uitbesteding nieuwe programmatuur ontwikkelen die flexibel op verschillende

Operating Systems (OS) moet kunnen draaien.

Deze bank kent een groot aantal medewerkers die echter maar in een beperkt aantal functies werken.

Er bestaat een verschil in autorisatieniveaus. Een beperkt aantal medewerkers heeft inzage in

strategische informatie zoals de jaarcijfers en de financiële administratie. Deze medewerkers hebben

geen inzage in klantgegevens. Zo zijn er meerdere gescheiden autorisatieniveaus aanwezig.

De data die opgeslagen worden moeten uiteraard beveiligd worden tegen inzage door

ongeautoriseerden. Uitwisseling van bepaalde gevoelige gegevens met externe partijen moet

versleuteld gedaan kunnen worden.

Belangrijk is dat het nieuwe systeem controlemiddelen kent zodat alleen de juiste informatie

ingevoerd wordt. Boekingen kennen, afhankelijk van de hoogte van het bedrag, meerdere

controlemomenten. Zeer hoge bedragen worden door meer dan één persoon geaccordeerd.

Aan u wordt de taak gegeven een onderzoek in te stellen naar de beveiliging van het nieuw aan te

schaffen netwerk en de computersystemen. Kiest u normale pc’s of een thin client principe? Motiveer

deze keuze. Welk OS kiest u en waarom?

Hoe gaat u de autorisatiestructuur inregelen? Welke technieken gebruikt u om de verschillende

niveaus vast te stellen?


54

Kiest u voor ontwikkeling van software in eigen beheer of kiest u een extern bedrijf? Geef de voor- en

nadelen van beide opties en geef aan waar de valkuilen voor de bank liggen.

Binnen de casus staan meer aspecten waar rekening mee gehouden moet worden. Licht deze

aspecten eruit en motiveer waarom u bepaalde keuzes maakt.


55

9. Organisatorische maatregelen

Inleiding

We hebben het in de voorgaande hoofdstukken uitgebreid gehad over de fysieke beveiliging van de

werkomgeving en de technische beveiliging van de ICT-infrastructuur. Organisatorisch valt er echter

ook het nodige te regelen. Sommige zaken gaan hand in hand. Technische en organisatorische

beveiligingsmaatregelen zijn vaak onlosmakelijk met elkaar verbonden.

In dit hoofdstuk wordt verder ingegaan op diverse organisatorische maatregelen. Daar waar nodig

wordt verwezen naar de technische maatregelen die nodig zijn om de organisatorische maatregelen

uitvoerbaar te maken of af te dwingen.

Zo gaan we het hebben over (beveiligings)beleid, de PDCA-cyclus, de onderdelen van ISO/IEC

27001 en 27002, een belangrijke internationale standaard voor informatiebeveiliging. Verder gaan we

het hebben over de organisatie van de informatiebeveiliging en de wijze waarop informatiebeveiliging

kan worden uitgedragen in de organisatie.

Hoe gaan we om met calamiteiten? Wat zijn calamiteiten eigenlijk en hoe bereiden we ons er op

voor?

Mocht een calamiteit zich voordoen, wat is dan de procedure om mensen en middelen veilig te stellen

en zo snel mogelijk weer werkend te zijn?

Communicatie- en bedieningsprocessen, testprocedures en het beheer van de IT-omgeving door een

externe provider komen aan bod.

9.1 Beveiligingsbeleid

9.1.1 Informatiebeveiligingsbeleid

Door beleid voor de beveiliging van informatie vast te stellen geeft het management van de

organisatie richting en ondersteuning. Dit beleid wordt vastgesteld in overeenkomst met de

bedrijfsmatige eisen en de relevante wetten en voorschriften.

Een document met het informatiebeveiligingsbeleid hoort door de directie te worden goedgekeurd,

gepubliceerd en kenbaar gemaakt aan alle werknemers en alle relevante externe partijen zoals

klanten en leveranciers.

Het laatste houdt in de praktijk vaak in dat er een ingekorte versie van het beleid met de belangrijkste

punten, in de vorm van een flyer aan iedere medewerker wordt uitgereikt en onderdeel is van de

introductie voor nieuwe medewerkers. De volledige versie kan op het intranet van het bedrijf zijn

geplaatst of in ieder geval op een plaats waar iedere medewerker toegang tot heeft.

In het nieuws

Virgin Media, de entertainment arm van Richard Branson's Virgin Group, is een CD met de gegevens

van 3000 klanten verloren. Op de onversleutelde schijf stonden de bankgegevens, namen en

adresgegevens van drieduizend klanten die sinds januari bij verschillende winkels een abonnement

hadden afgesloten. In strijd met het bedrijfsbeleid was de data op een CD gezet.



56

9.1.2 Hiërarchie

Het is gebruikelijk om in de beleidsdocumenten een hiërarchische volgorde aan te brengen.

Vanuit ‘corporate beleid’ worden verschillende beleidsstukken uitgewerkt. Deze conformeren zich

echter altijd aan het corporate beleid en geven een nadere richtlijn op een specifiek gebied. Een

voorbeeld hiervan is een beleidstuk over het gebruik van encryptiemiddelen.

Vanuit deze verschillende beleidsdocumenten komen achtereenvolgens voort:

Regelingen. Een regeling is meer gedetailleerd dan een beleidsdocument;

Procedures, soms ook wel leidraden genoemd. Hierin wordt tot in detail vastgelegd hoe bepaalde

maatregelen moeten worden genomen, eventueel uitgewerkt in werkinstructies;

In de praktijk

Binnen het algemene encryptiebeleid kan een procedure bestaan waarin vastgelegd wordt hoe met

een bepaald encryptiemiddel om moet worden gegaan. Dat is dan verplicht. In de procedure wordt

bijvoorbeeld vastgelegd hoe de gebruiker met versleutelingssoftware en het sleutelmateriaal om moet

gaan.

In een procedure kan ook worden vastgelegd hoe de systeembeheerder de encryptiesoftware moet

installeren. Deze instructies gaan tot op het niveau van de ‘vinkjes’ die wel of niet worden aangezet,

het aantal tekens dat een wachtwoord moet bevatten en hoe lang het wachtwoord geldig is.

Richtlijnen, het woord zegt het al, geven een richting aan. Hierin wordt beschreven welke aspecten

moeten worden bekeken bij een bepaald beveiligingsonderwerp. Richtlijnen zijn niet verplichtend

maar adviserend van aard;

Standaarden kunnen bijvoorbeeld de standaardinrichting van bepaalde platformen bevatten.

In de praktijk

In een richtlijn kan advies worden gegeven over waar een classificatiebeleid aan moet voldoen.

Vervolgens is de verantwoordelijke medewerker vrij in de wijze waarop hij of zij dat

classificatiebeleid voor de organisatie uit gaat werken.

Een standaard is bijvoorbeeld ook de ISO/IEC 27001:2005. Hierin wordt een standaard beschreven

voor het inrichten van informatiebeveiliging in de organisatie. In deel I, de ISO/IEC 27001 wordt het

managementsysteem (Information Security Management System, ISMS) beschreven. Deel II,

ISO/IEC 27002:2007, ook wel de Code voor Informatiebeveiliging genoemd, werkt dit

managementsysteem uit in praktische richtlijnen. Een organisatie kan zich laten certificeren voor

ISO/IEC 27001:2005 en laat daarmee aan leveranciers en klanten zien dat het aan kwaliteitseisen

voor informatiebeveiliging voldoet. De Code voor Informatiebeveiliging is geschikt voor alle

organisaties, groot of klein, overheid of bedrijfsleven.

9.1.4 Beoordeling van het informatiebeveiligingsbeleid

Het informatiebeveiligingsbeleid maken is één, het implementeren in de organisatie en controleren of

het nageleefd wordt is een ander onderwerp.

Veel organisaties werken met de zogenaamde PDCA-cyclus. (zie figuur PDCA model op pagina 57).

Het informatiebeveiligingsbeleid is het hoofddocument. Onder het informatiebeveiligingsbeleid komen

beleidsdocumenten, procedures en richtlijnen die op een bepaald deel van de informatiebeveiliging


57

gericht zijn en nadere richtlijnen geven. Deze documenten zijn een belangrijk onderdeel van het

Information Security Management System (ISMS).

9.1.5 PDCA-model

Het PDCA-model, ook wel de kwaliteitscirkel van Deming genoemd, wordt gebruikt als basis voor het

vaststellen, implementeren, monitoren, controleren en onderhouden van het Information Security

Management System (ISMS).

Figuur - PDCA model gekoppeld aan de ISMS processen

Plan (ontwerp het ISMS)

In de ontwerpfase wordt een informatiebeveiligingsbeleid ontwikkeld en vastgesteld. Hierin worden de

informatiebeveiligingsdoelstellingen, de relevante processen en procedures vastgesteld, die er voor

zorgen dat de risico’s gemanaged worden. Deze doelstellingen ondersteunen uiteraard de business

doelstellingen van de organisatie.

De beveiligingsmaatregelen kunnen genomen worden op basis van de eerder genoemde

risicoanalyse en een kosten/batenanalyse. Er zijn nog andere methoden die we niet verder zullen

behandelen.

De Planfase geldt niet alleen voor het hoofdbeleid maar voor alle ondersteunende

beleidsdocumenten en onderliggende regelingen.

Do (implementeer het ISMS)

In deze fase worden het informatiebeveiligingsbeleid en de onderliggende procedures en

maatregelen geïmplementeerd.

Per informatiesysteem en/of proces worden verantwoordelijken aangewezen.

Check (monitor en controleer het ISMS)

In deze fase wordt door middel van self assessment (interne audit) gecontroleerd en waar mogelijk


58

gemeten of het informatiebeveiligingsbeleid correct wordt uitgevoerd. Hiervan wordt een rapport

uitgebracht aan het verantwoordelijke management en de Chief Information Security Officer (CISO).

Act (onderhoud en stel het ISMS bij)

In deze laatste fase wordt gecorrigeerd en worden preventieve maatregelen genomen, gebaseerd op

de resultaten van de interne audit. Waar nodig wordt het ISMS geactualiseerd.

Deze PDCA-cyclus is een doorlopend proces. In een ISMS-handleiding wordt dit beschreven.

9.1.6 Inrichting ISMS

De organisatie stelt voor de beheersing van haar ISMS een raamwerk op.

Dit raamwerk geeft een logische indeling van alle aan de informatiebeveiliging gerelateerde zaken

door deze in te delen in domeinen.

Een domein is een groep van onderwerpen (clusters), die logisch bij elkaar horen. Domeinen vormen

de basis voor het ISMS-raamwerk (framework). Veel van deze clusters leveren eigen

beleidsdocumenten, procedures en werkinstructies op.

Het ISMS omvat minimaal de elf domeinen zoals deze onderkend worden in de ISO/IEC 27002

standaard. Deze sluiten aan bij de processen voor IT Service Management zoals die zijn beschreven

in de ISO/IEC 20000 standaard.

9.1.7 De elf domeinen in de ISO/IEC 27002

A.5 Beveiligingsbeleid;

A.6 Organisatie van informatiebeveiliging;

A.7 Beheer van bedrijfsmiddelen;

A.8 Beveiliging van personeel;

A.9 Fysieke beveiliging en beveiliging van de omgeving;

A.10 Beheer van communicatie- en bedieningsprocessen;

A.11 Toegangsbeveiliging;

A.12 Verwerving, ontwikkeling en onderhoud van informatiesystemen;

A.13 Beheer van informatiebeveiligingsincidenten;

A.14 Bedrijfscontinuïteitsbeheer;

A.15 Naleving.

De domeinen beginnen te tellen bij 5 omdat de nummers corresponderen met de hoofdstuk indeling

van de ISO 27002. De eerste 4 hoofdstukken zijn inleidend op de elf domeinen.

Ieder domein kent een aantal subdomeinen. Bijvoorbeeld toegangsbeveiliging omvat zowel fysieke

toegang als logische toegang.

Een domein wordt beschreven in een beleidsdoelstelling (policy) en nader uitgewerkt in

onderliggende richtlijnen, procedures en handreikingen.

9.1.8 Controle informatiebeveiligingsbeleid

Het informatiebeveiligingsbeleid wordt regelmatig beoordeeld en, als dit nodig is, herzien. Voor een

wijziging in het beleid is altijd toestemming van de directie nodig.


59

9.1.9 De organisatie van informatiebeveiliging

Zonder adequate beveiliging van informatie kan een organisatie niet overleven. Iedereen in de

organisatie zal dit moeten accepteren en de directie en het management geven hierin het voorbeeld.

Alleen wanneer zij hun eigen beleid ondersteunen zullen de medewerkers informatiebeveiliging

serieus nemen en de maatregelen willen naleven.

Informatiebeveiliging is een proces waar veel mensen bij betrokken zijn. Dit proces dient te worden

bestuurd. Als er geen verantwoordelijkheid en bestuur is zal informatiebeveiliging niet goed worden

geregeld. De manier waarop informatiebeveiliging wordt beheerd is afhankelijk van de omvang en

aard van de organisatie. Bij kleine organisaties kan informatiebeveiliging een deeltaak zijn van enkele

personen. Een ZZP (Zelfstandige Zonder Personeel, ook vaak freelancer genoemd) heeft zelfs alle

beveiligingstaken op zijn of haar schouders. Bij grote organisaties zijn hier aparte functies voor.

Bij het informatiebeveiligingsproces hoort een periodiek overleg met alle primaire verantwoordelijken.

Naast de informatiebeveiligingsfunctionarissen gaat het hierbij om personeel dat voor het invoeren

van maatregelen verantwoordelijk is. Dit zijn bij voorkeur de mensen die een functie hebben in de

zogenaamde PIOFAH-processen in de organisatie.

PIOFAH staat voor: Personeel, Informatie, Organisatie, Financieel, Accounting en Huisvesting.

9.2 Personeel

Zie ook : Functiescheiding

Tot de bedrijfsmiddelen behoort ook het personeel. Mensen en hun kennis en vaardigheden zijn

kostbare bedrijfsmiddelen. Om deze waarde te beschermen zijn maatregelen nodig.

Al het personeel is verantwoordelijk voor informatiebeveiliging. Deze verantwoordelijkheid moet

duidelijk zijn in het arbeidscontract. In het personeelshandboek moet een gedragscode staan en de

sancties bij het niet naleven van gedragsregels en het veroorzaken van incidenten. In de

gedragscode kan bijvoorbeeld staan dat e-mail niet voor privégebruik is bestemd. De manager is

verantwoordelijk voor de juiste functieomschrijvingen en dus verantwoordelijk voor de verschillende

aspecten van het omgaan met informatie in de betreffende functie.

Bij sollicitaties voor een functie waarin met gevoelige informatie wordt om gegaan, zullen referenties,

identiteit en diploma’s gecontroleerd moeten worden. Of iemand strafbare feiten heeft gepleegd kan

worden gecontroleerd door een Verklaring Omtrent Gedrag (VOG) verplicht te stellen. Een VOG

wordt verstrekt door het Ministerie van Justitie. De aanvraag wordt gedaan op het gemeentehuis.

De organisatie moet sluitende procedures hebben voor wanneer personeel in dienst en uit dienst

treedt of verandert van functie. Vergeet hierbij niet het wijzigen of intrekken van rechten, het innemen

van materiaal en toegangspassen. Toegangsrechten moeten regelmatig worden gecontroleerd.

9.2.1 Screening en geheimhoudingsverklaring

Voor een zogenaamde vertrouwensfunctie kan geheimhouding ook gelden na het dienstverband. De

manager is verantwoordelijk voor het vaststellen van speciale regels voor specifieke functies. In ieder

geval tekenen alle medewerkers met een vertrouwensfunctie een geheimhoudingsverklaring (Non

Disclosure Agreement, een NDA). Bij vertrouwensfuncties is het in ieder geval gebruikelijk dat de

werknemer een VOG kan overleggen.

Daarnaast kan het nodig zijn een screening of veiligheidsonderzoek te laten doen. Hoe diep de

screening wordt gedaan hangt af van het niveau van vertrouwelijkheid dat hoort bij de functie. Denk

aan bewakers, managers of financieel medewerkers. Screenen is erg kostbaar. De overheid heeft

hier eigen organisaties voor. Het bedrijfsleven kan soms gebruikmaken van zo'n organisatie als het

opdrachten uitvoert voor de overheid. Er bestaan private organisaties die screeningen uitvoeren.


60

9.2.2 Inhuurkrachten

De veiligheidseisen die gelden voor het personeel gelden ook voor personeel dat is ingehuurd. Deze

afspraken met de leverancier, bijvoorbeeld een uitzendbureau, worden schriftelijk vastgelegd,

inclusief de sancties bij overtreding.

9.2.3 Personeelsdossiers

Personeelsgegevens en personeelsdossiers moeten vertrouwelijk worden behandeld en goed

opgeborgen. Ook wordt vastgelegd wie personeelsdossiers mag inzien.

In een personeelsdossier liggen het functieprofiel, het arbeidscontract en diverse ondertekende

verklaringen. Een gedragscode voor computergebruik is bijvoorbeeld zo'n verklaring of een

gedragscode voor e-mailgebruik, verklaringen om zich te houden aan wetten en regels (Wet

Bescherming Persoonsgegevens, Wet Computercriminaliteit) en bijvoorbeeld een

geheimhoudingsverklaring.

9.2.4 Bewustwording (security awareness)

Eén van de meest effectieve maatregelen voor informatiebeveiliging is dat de medewerkers een

bewustwordingscursus krijgen wanneer ze in dienst treden. Deze cursus kan deel uitmaken van de

introductie en de interne opleiding.

Ter ondersteuning van informatiebeveiligingsbewustwording kunnen allerlei materialen worden

ingezet: flyers, boekjes, schermboodschappen, muismatten, nieuwsbrieven, video’s en posters.

In grote organisaties worden vaak aparte bewustwordingstrainingen verzorgd voor

systeembeheerders, ontwikkelaars, gebruikers en beveiligingspersoneel, maar ook andere groepen

kunnen in aanmerking komen voor een op hun werkzaamheden toegespitste opleiding.

Besteed in de cursus of campagne met name aandacht aan de bedrijfsregels rondom

informatiebeveiliging en de dreigingen die worden gezien.

Beveiligingsdocumentatie en -informatie dient voor iedereen in de organisatie beschikbaar te zijn.

Vaak wordt verschillende documentatie gemaakt voor verschillende doelgroepen (gebruikers,

beheerders, ontwikkelaars etc.). Documentatie dient periodiek te worden herzien; bij wijzigingen maar

ook als er nieuwe dreigingen zijn.

In het nieuws

Waarschijnlijk ontvangen duizenden computergebruikers rond 14 februari

een valentijns-e-mail die besmet is met malware.

Mailgebruikers ontvangen een e-mail met daarin een groot hart en de uitnodiging een hyperlink met

een IP-adres aan te klikken. Geïnfecteerde computers worden besmet met een Trojaans paard,

waarna het systeem wordt opgenomen in een netwerk van besmette pc's. Dit zogeheten 'botnet' kan

op afstand bestuurd worden door cybercriminelen en gebruikt worden voor bijvoorbeeld het

huisvesten van nagebouwde bankwebsites.

Eerder werden tijdens Kerstmis en op nieuwjaarsdag een lading besmette e-mails verstuurd. De

Storm Worm is een van de hardnekkigste bedreigingen in de internetgeschiedenis.


61


9.2.5 Toegang

Voor grote organisaties waar niet iedereen elkaar kent, is een goed toegangsbeheersysteem nog

belangrijker. Een voorbeeld hiervan is een systeem waarbij de medewerkers en bezoekers duidelijk

zichtbaar toegangspassen gebruiken.

Alle bezoekers moeten worden geregistreerd bij aankomst en vertrek. Hierop zijn uitzonderingen als

de ruimte die betreden wordt een zogenaamde publieke zone is, zoals bij een gemeentehuis. Voor

het publiek toegankelijke gebouwen hebben dan vaak een registratiepunt als het publiek de “vrije”

zone verlaat en dieper het gebouw in gaat. Alle toegang wordt bijgehouden, bezoekers melden zich

bij een receptie, waarbij zij het tijdstip van aankomst en vertrek aftekenen. Een medewerker die

bezoek verwacht meldt de bezoeker aan en begeleidt deze door het gebouw tot het vertrek.

9.3 Bedrijfscontinuïteitsbeheer

Wij kunnen ons niet op alles voorbereiden. Overstromingen zoals in het voorjaar van 2007 in

Engeland en in het najaar van 2007 in Bangladesh, leveren grote schadeposten op aan de economie.

Denk ook aan de enorme schade die de orkaan Katrina in New Orleans aanrichtte. Aanslagen van

terroristen zoals in New York, Londen en Madrid, maar ook gewoon stroomuitval van meerdere uren,

kunnen enorme gevolgen hebben voor de beschikbaarheid van mensen en systemen binnen een

bedrijf.

Ieder jaar worden wereldwijd bedrijven getroffen door calamiteiten, die op wat voor manier dan ook

grote impact hebben op de beschikbaarheid van hun systemen. Een klein percentage van de

bedrijven heeft zich hierop voorbereid. De meeste bedrijven die door een grote calamiteit worden

getroffen, overleven dit niet. De bedrijven die dit soort calamiteiten wel overleven hebben vooraf

nagedacht over wat kan gebeuren en hebben de noodzakelijke maatregelen en procedures

beschreven om zichzelf te beschermen.

Een bedrijf of een organisatie, is afhankelijk van middelen, medewerkers en taken die dagelijks

uitgevoerd moeten worden om gezond en winstgevend te blijven. De meeste organisaties hebben

een ingewikkeld netwerk van leveranciers en middelen die afhankelijk van elkaar zijn om te kunnen

functioneren. Er zijn communicatiekanalen zoals telefoon- en netwerkverbindingen en er zijn

gebouwen waarin gewerkt wordt. De gebouwen moeten in een goede staat verkeren zodat het werk

op een prettige manier en efficiënt uitgevoerd kan worden.

Wanneer ergens een schakel in deze ketting van afhankelijkheden uitvalt, kan dat een probleem(pje)

opleveren. Wanneer meerdere schakels uitvallen, ontstaat er een probleem. Hoe langer bepaalde

onderdelen in de keten onbruikbaar zijn, hoe meer effect dat op de organisatie heeft, maar ook hoe

langer het kan duren voor een productieproces weer op gang komt.

Vooraf nadenken over de continuïteit van de werkprocessen is van levensbelang voor een

organisatie. Het maakt daarbij niet uit of het om een ingewikkeld productieproces gaat, of om een

relatief eenvoudig proces zoals het verwerken van verhuizingen van bewoners van een gemeente.

Voor zowel de medewerkers als de klant is het belangrijk dat ieder onderdeeltje van het proces goed

loopt en vooral goed blijft lopen.

Het doel van bedrijfscontinuïteitsbeheer (Business Continuity Management, BCM) is het voorkomen

dat bedrijfsactiviteiten worden onderbroken, het beschermen van kritische bedrijfsprocessen tegen de

gevolgen van omvangrijke storingen in informatiesystemen en tijdig herstel.

In het beheerproces van bedrijfscontinuïteit worden de kritische bedrijfsprocessen geïdentificeerd.

Naast andere maatregelen die de continuïteit waarborgen moet het verlies van informatie ten gevolge

van een natuurramp, een aanslag, brand en stroomuitval worden voorkomen. De gevolgen van

rampen, beveiligingsincidenten en de uitval van diensten worden beoordeeld in een Business Impact


62

Analyse (BIA). In het continuïteitsplan staat beschreven hoe de informatie die nodig is voor de

kritische bedrijfsprocessen weer vlot beschikbaar is.

Continuïteitsmanagement wordt in de informatiebeveiliging vaak opgesplitst in twee afzonderlijke,

maar wel sterk aan elkaar gerelateerde onderdelen:

Business Continuity Planning (BCP) waarin de continuïteit van de bedrijfsprocessen gewaarborgd

wordt;

Disaster Recovery Planning (DRP) waarbij het herstel na een calamiteit geregeld wordt.

Bedrijfscontinuïteitsbeheer wordt beschreven in de BS 25999, dit is een Britse Standaard,

vergelijkbaar met een ISO/IEC standaard.

In de ISO 27002 is wel een deel van de maatregelen gebaseerd op BCM, maar die zijn vooral gericht

op de Informatie component, terwijl de BS25999 bedrijfsbreed en integraal toegepast wordt.

9.3.1 Continuïteit

Continuïteit gaat over de beschikbaarheid van informatiesystemen op het moment dat deze nodig

zijn. Aan deze beschikbaarheid kunnen verschillende eisen worden gesteld. Hebt u een

telefooncentrale waar vijftig medewerkers vierentwintig uur per dag hun werkzaamheden uitvoeren?

Dan stelt u ongetwijfeld andere eisen aan beschikbaarheid dan een bedrijf met één telefoniste die

eens in het anderhalf uur een telefoontje binnen krijgt.

Voor een gemeente zal de beschikbaarheid van GBA, de Gemeentelijke Basis Administratie, van

groot belang zijn. Wanneer deze niet beschikbaar is kan een groot aantal medewerkers hun werk niet

naar behoren uitvoeren. Wanneer dit systeem bij de gemeente echter in de nachtelijke uren niet

beschikbaar is, zal er niets aan de hand zijn.

Zo gelden voor de beschikbaarheid per bedrijf, per vakgebied en vaak binnen een bedrijf per

onderdeel weer andere eisen.

In de praktijk

Autofabrikanten hebben tegenwoordig geen grote voorraden onderdelen liggen. Vrijwel dagelijks

worden de bestelde onderdelen aangeleverd bij de fabriek.

Wanneer een bedrijf dat remmen en verlichting voor de autoindustrie maakt in verband met een

arbeidsconflict in staking gaat, dan kan binnen een paar dagen tijd in half Europa de autoindustrie tot

stilstand komen. Auto’s zonder verlichting en remmen kunnen immers de fabriek niet verlaten.

Ook storing in één onderdeel van de lopende band, bijvoorbeeld de machine die het dashboard op

het juiste moment moet aanleveren, betekent dat het volledige productieproces tot stilstand komt. Een

dashboard achteraf inbouwen is immers binnen de werkstroom niet mogelijk.

9.3.2 Wat zijn calamiteiten?

Misschien is het goed om iets dieper in te gaan op het begrip calamiteit. Calamiteit klinkt nogal

dreigend. Niets is minder waar. In deze context kan de uitval van een simpel systeem al een

calamiteit zijn. Een calamiteit hoeft niet per se een overstroming of een terroristische aanslag te zijn.

De uitval van dat ene systeem, waar u zo afhankelijk van bent voor uw dagelijkse werk, door een

technisch mankement, is ook een calamiteit.

In de praktijk

Een eenvoudige netwerkkaart in de mailserver die defect raakt kan een regelrechte ramp zijn. Alle

medewerkers verstoken van hun e-mail en agenda, dat is in de huidige tijd niet lang werkbaar.


63

Hoe reageert uw bedrijf op een calamiteit?

Alles valt of staat met de aard van de calamiteit. Gaat het om een verstoring van activiteiten door de

uitval van een systeem of het complete netwerk waarop de kantoorautomatisering draait? Dan zal

een telefoontje naar de servicedesk of helpdesk vaak voldoende zijn om de nodige activiteiten te

laten opstarten.

Wordt de gezondheid van de medewerkers bedreigd dan zal een telefoontje naar de

Bedrijfshulpverlening (BHV) of naar 112 de juiste actie zijn.

In alle gevallen geldt dat mensenlevens vóór programmatuur en apparatuur gaan. Eérst komen de

ontruimingsactiviteiten, daarna komt het redden van de voor het bedrijf meest cruciale

bedrijfsprocessen.

Het is belangrijk dat er goede, heldere procedures zijn, die duidelijk maken welke actie moet worden

ondernomen, bijvoorbeeld:

U weet dat bij uitval van een informatiesysteem de helpdesk de aangewezen instantie is;

U weet waar de vluchtroutes in het gebouw zijn;

U weet wie u kunt bellen bij brand, het spontaan openspringen van de sprinklerinstallatie of

een bommelding.

De helpdesk of de BHV-medewerker moet weten wat te doen bij welke melding. Zij zullen een

prioriteitenlijst hebben waaruit blijkt wie wanneer met voorrang geholpen moet worden en welke

instanties zij in welk geval moeten inschakelen.

Training en opleiding van BHV’ers is belangrijk. BHV'ers zijn gewone medewerkers die deze taak op

zich hebben genomen. Zorg ervoor dat er verspreid over de hele organisatie BHV'ers zijn .

Bomalarm

Een bomdreiging wordt meestal niet als een risico voor de organisatie gezien. Bomdreigingen komen

in Nederland niet veel voor. De laatste jaren worden mensen wel bewuster gemaakt van verdachte

pakketjes. Het is dan ook raadzaam hiervoor procedures te hebben. In de bomalarmprocedure moet

duidelijk beschreven zijn wat men moet doen in geval van een melding. Bij ieder bedrijf kunnen

verdachte zaken binnenkomen. Personeel moet weten wat niet normaal is en verdachte zaken

kunnen herkennen. Tijdens de bewustwordingscampagne kan hier aandacht aan worden besteed.

9.3.3 Disaster Recovery Planning (DRP)

Wat is nu het verschil tussen Business Continuity Planning en Disaster Recovery Planning?

Het doel van DRP is het minimaliseren van de gevolgen van een calamiteit en het nemen van de

noodzakelijke maatregelen om er voor te zorgen dat de middelen, medewerkers en bedrijfsprocessen

binnen een acceptabele tijd weer beschikbaar zijn.

Dit is een verschil met BCP, waarin ook methodes en procedures worden geregeld voor uitval

gedurende een langere periode.

Een DRP is gericht op het herstel direct na een calamiteit. Het DRP wordt in werking gesteld op het

moment dat de calamiteit nog gaande is. Iedereen is druk met het bepalen van de schade en probeert

de systemen weer draaiende te krijgen.

Een BCP gaat verder en heeft een bredere focus. In BCP wordt het inrichten van een alternatieve

locatie geregeld om te kunnen werken terwijl de originele locatie herbouwd wordt. In BCP is alles er

op gericht het bedrijf vanaf het moment dat een calamiteit plaatsvindt weer – deels – draaiende te

krijgen totdat het bedrijf volledig hersteld is.

Met andere woorden:


64

DRP: Er is nu een calamiteit en wat doe ik om weer in productie te komen;

BCP: We hebben een calamiteit gehad en wat doe ik tot het moment waarop de situatie gelijk is aan

de situatie vóór de calamiteit.

In de praktijk

Een medewerkster maakt gebruik van de intranetversie van de telefoongids. Die valt uit en zij geeft

dat door aan de Helpdesk. De medewerkster kan echter gewoon haar werk blijven doen via de

internetversie van de telefoongids.

Een dergelijke melding zal geen hoge prioriteit krijgen.

Een IT-medewerkster werkt aan het herstel van die intranettelefoongids. Dan komt er een melding dat

een belangrijk systeem uitgevallen is, waardoor een deel van het productieproces stil is gevallen.

Iedereen begrijpt dat de continuïteit van een dergelijk systeem een hogere prioriteit zal krijgen, dan

het herstel van een systeem waarvoor een alternatief beschikbaar is.

Wanneer een BCP en/of DRP worden uitgewerkt is er een aantal oplossingen om de

bedrijfsprocessen zo snel mogelijk weer op gang te krijgen. Als gekozen wordt voor het voortzetten

van de bedrijfsprocessen en systemen worden de procedures beschreven in een uitwijkplan dat

regelmatig moet worden getest. Ook het opheffen van de uitwijk, de inwijk, hoort vast te liggen in plan

omdat duidelijk moet zijn onder welke voorwaarden de normale situtatie wordt hersteld.

Alternatieve werkplekken

Een bekende grote Nederlandse bank heeft door inventief gebruik te maken van de vele beschikbare

locaties ervoor gezorgd dat in geval van een calamiteit de medewerkers toch door kunnen werken. Zo

heeft men voor bepaalde werknemers (keyplayers) een alternatieve werkplek in een ander filiaal

aangewezen. Wanneer op de locatie waar die werknemer een vaste werkplek heeft iets gebeurt, reist

hij of zij naar een filiaal een paar kilometer verderop en gaat naar de aangewezen werkplek. De

medewerker die daar werkt is van deze regeling op de hoogte. Hij of zij staat op en staat de werkplek

af.

In de praktijk

Een operator voor mobiele telefonie heeft een hot site ingericht op ongeveer 20 km afstand van de

hoofdvestiging. Vanuit dit centrum worden alle GSM-masten in heel Europa beheerd. Uitval van het

centrale operationele centrum kan een verlies dat in de tientallen miljoenen Euro’s loopt opleveren.

De kosten van deze hot site wegen ruimschoots op tegen de kosten die een langdurige uitval van de

systemen zouden opleveren.

Redundant site

Een goed alternatief voor een onderneming met veel locaties maar met één centraal rekencentrum is

een redundant site. In een redundant site staat een kopie van het rekencentrum. Alle data die in het

hoofdrekencentrum worden weggeschreven worden ‘gespiegeld’ naar het tweede rekencentrum

weggeschreven. Bij uitval van één van de twee locaties neemt de andere locatie het automatisch

over. In het gunstigste geval merkt de gebruiker er helemaal niets van.

Hot site op afroep

Weer een andere oplossing is een rijdende hot site. Dit is een vrachtwagen met alle apparatuur aan


65

boord die als tijdelijk rekencentrum kan dienen. De mogelijkheden zijn natuurlijk beperkt, maar het is

een oplossing om de meest cruciale processen snel op te kunnen starten.

Testen BCP

Alles bij elkaar klinken al deze oplossingen, variërend van goedkoop tot duur, heel mooi. Een

geweldig BCP/DRP-team heeft alles goed doordacht, tientallen malen besproken en uiteindelijk de

goedkeuring gekregen van het senior management. Het plan gaat naar de drukker en alle managers

krijgen een mooi exemplaar. Dat exemplaar gaat ergens in een kast of lade, want een calamiteit? Dat

gebeurt in Amerika of in het Verre Oosten, maar hier? Nee toch?

En dat is nu net de reden waarom deze plannen regelmatig getest, geëvalueerd en bijgesteld moeten

worden. Organisaties veranderen, voorzieningen dus ook.

Omdat de kans klein is dat het plan nodig is, moeten we er vooral op voorbereid zijn. Zijn de

medewerkers niet getraind en wordt de ramp werkelijkheid, dan gaat een BCP ook niet werken.

Regelmatig testen is nodig om de bewustwording van de medewerkers van hoe te handelen bij een

calamiteit, te bevorderen.

Ten tweede moet iedere verandering van processen in het plan opgenomen worden. Een verouderd

plan helpt de organisatie niet op weg om weer operationeel te worden.

Testen kunnen we zo uitgebreid als we willen, van het brandalarm laten horen tot het opstarten van

een hot site of het terugzetten van een back-up. Waar het om gaat is dat de procedures in een

simulatie van de werkelijkheid worden uitgeprobeerd om te zien of ze juist zijn en bruikbaar.

Ook dit soort zaken dienen te worden geregeld.

Een bedrijf had een redundante site ingeregeld, helemaal goed. Bij een brand op de hoofdlocatie

bleek dat op de redundante site geen officieel briefpapier voorradig was. Er moest worden gewacht op

de leverancier van het papier voordat er weer gewerkt kon worden. Een ander voorbeeld is dat een

bedrijf tijdens een uitwijk wel bereikbaar moet kunnen zijn op het standaard telefoonnummer.

Personele maatregelen

Bij een calamiteit kan een personeelsprobleem ontstaan omdat het personeel dat het primaire proces

ondersteunt ook betrokken is bij de calamiteit en daardoor niet meer beschikbaar is. Dan moet

personeel kunnen worden vervangen.

9.4 Beheer van communicatie- en bedieningsprocessen

9.4.1 Bedieningsprocedures en verantwoordelijkheden

Om de automatisering van een organisatie goed in beheer en onder controle te houden is het

noodzakelijk procedures voor de bediening van de apparatuur vast te stellen, vast te leggen en

verantwoordelijkheden te beleggen. Een en ander kan verder worden uitgewerkt in werkinstructies

zoals hoe computers worden opgestart en afgesloten, het maken van back-ups, onderhoud,

postverwerking, etcetera. Een pc met Windows besturingssysteem wil nog wel eens

vergevingsgezind zijn als hij ‘hard’ uitgezet wordt, een Unix-machine denkt daar heel anders over.

Daarom zijn procedures voor het opnieuw starten na systeemstoringen erg belangrijk.

In een bedieningsprocedure staat in ieder geval:

De manier waarop met informatie wordt omgegaan;

Hoe, wanneer en welke soorten back-ups worden gemaakt;

Contactpersonen in geval van een incident;

Beheer van audit trails en logbestanden.


66

Het uiteindelijke doel van een bedieningsprocedure is dat er geen misverstand kan bestaan over de

wijze waarop apparatuur bediend moet worden. Het maakt niet uit of het over een lasrobot gaat, een

programma waarmee de energiecentrale wordt bestuurd of een boekhoudpakket.

De audit trail en systeemlogbestanden houden alle gebeurtenissen en handelingen op het systeem

en het netwerk bij. Deze bestanden worden opgeslagen op een beveiligde plaats en kunnen in

principe niet bewerkt worden. Mochten er problemen optreden dan zijn die bestanden vaak cruciaal

om te ontdekken wat er fout gegaan is. Denk aan de ‘black box’ in een vliegtuig, waaruit op te maken

is wat er de laatste minuten voor de crash gebeurde. Aan de hand van dit soort informatie zijn

maatregelen te treffen die er voor kunnen zorgen dat het incident zich niet herhaalt.

9.4.2 Wijzigingsbeheer

Het doorvoeren van een wijziging (change) kan leiden tot een catch 22 situatie. Zowel het doorvoeren

als het niet doorvoeren van de wijziging is een risico. Deze situatie ontstaat bijvoorbeeld in het geval

van een bekende kwetsbaarheid (vulnerability). Het niet installeren van de patch is een risico omdat

de kwetsbaarheid uitgebuit kan worden en voor verstoringen in de infrastructuur kan zorgen. Aan de

andere kant is het doorvoeren van de patch ook een risico omdat onvoorziene omstandigheden

(bijvoorbeeld door de samenhang van de systemen) tot verstoringen kunnen leiden. Dit voorbeeld

geeft ook de noodzaak aan om bij wijzigingen verschillende rollen te definiëren. Zo zal het potentiële

risico van het niet installeren van een security gerelateerde patch door de Information Security Officer

(ISO) bepaald worden terwijl het risico van de wijziging ingeschat zal moeten worden door

bijvoorbeeld de systeembeheerder.

Catch-22 is een term, afkomstig uit de roman Catch-22 van Joseph Heller, waarin een algemene

situatie wordt beschreven waarin een individu twee acties dient te verwezenlijken die wederzijds

afhankelijk zijn van de andere actie, welke als eerste dient te zijn voltooid.

Wanneer er wijzigingen in IT-voorzieningen en informatiesystemen plaats moeten vinden, dan

moeten deze vooraf goed worden overdacht worden en op een beheerste manier worden uitgevoerd.

In IT Service Management heet dit proces change management.

Change management beheert wijzigingen in systemen. Dit zijn vaak vooraf geplande wijzigingen.

Een kleine wijziging is bijvoorbeeld de aanpassing van een tabel. Een middelgrote wijziging is

bijvoorbeeld de overstap van Microsoft Office 2000 naar Microsoft Office 2003. Een wijziging heeft

gevolgen die vooraf bekend moeten zijn en voorbereid kunnen worden. Medewerkers moeten leren

met de nieuwe versie om te gaan. Standaardformulieren moeten aangepast worden. De

servicedeskmedewerkers moeten getraind zijn om ondersteuning te kunnen bieden.

Een grote wijziging kan de wijziging van een productiesysteem zijn en vraagt dus nog meer

vooruitzien en organiseren.

Er moeten alleen wijzigingen aan productiesystemen worden aangebracht wanneer er een gegronde

reden is om dit te doen, zoals een sterke toename van het risico voor het systeem. Het updaten van

systemen met de nieuwste versie van een besturingssysteem of toepassing is niet altijd in het

bedrijfsbelang, omdat hierdoor meer kwetsbaarheden en instabiliteit kunnen ontstaan. Het overgaan

van de ene naar de andere Office-versie, levert niet alleen voordelen op. Wanneer de klanten

allemaal nog met de 2003-versie werken, is het niet handig zelf met de 2007-versie te werken. Er

moet dan altijd tijd besteed worden aan het aanbieden van de bestanden in het juiste formaat. Weegt

deze investering op tegen de voordelen?

Het voorbeeld maakt ook duidelijk waarom functiescheiding van belang is. Als iedereen met een

belang een wijziging zou kunnen doorvoeren, ontstaat een onbeheersbare situatie waarin men van

elkaar niet weet wat er veranderd is en nog belangrijker, het zicht op wat eventueel teruggedraaid

moet worden is verdwenen.

http://nl.wikipedia.org/wiki/Joseph_Heller


67

9.4.3 Functiescheiding

Zie ook: Personeel

Taken en verantwoordelijkheidsgebieden moeten worden gescheiden om de kans op onbevoegde of

onbedoelde wijziging of misbruik van de bedrijfsmiddelen van de organisatie te verminderen. (Zie

hiervoor ook de uitleg bij de begrippen integriteit en vertrouwelijkheid)

Bij functiescheiding wordt bekeken of een medewerker besluitvormende, uitvoerende of controlerende

taken heeft.

Enerzijds wordt gekeken of een medewerker toegang tot informatie nodig heeft. Onnodige toegang

vergroot het risico dat informatie opzettelijk of onopzettelijk wordt gebruikt, gewijzigd of vernietigd. Dit

heet het ‘need to know’ principe. De gemiddelde medewerker bij een beursgenoteerd bedrijf heeft

bijvoorbeeld geen toegang tot de bedrijfsgegevens die beursgevoelig zijn, zoals de verwachte winst-

en verliesgegevens en jaarcijfers. Dat zou handel met voorkennis kunnen opleveren en dat is wettelijk

verboden.

Een andere kant van functiescheiding is dat taken gesplitst kunnen worden om risico’s voor de

organisatie te verminderen. Voor kleine organisaties is functiescheiding wellicht moeilijk te realiseren,

maar het principe zou moeten worden toegepast voor zover dat mogelijk en praktisch is.

Een voorbeeld is het overmaken van grote bedragen. De ene medewerker maakt de overboeking

klaar, een andere medewerker autoriseert de boeking en verzendt deze. Er kan nog een derde

medewerker zijn die achteraf controleert of de transactie juist en rechtmatig is geweest.

9.4.4 Ontwikkeling, testen, acceptatie en productie

Om meer zekerheid te hebben dat wijzigingen niet zomaar doorgevoerd kunnen worden is het ook

aan te raden verschillende (fysieke) omgevingen in te richten voor ontwikkeling, testen, acceptatie en

productie (OTAP) van informatiesystemen zoals een website of een nieuwe applicatie.

Voor de ontwikkelingsfase gelden specifieke beveiligingseisen. De testomgeving is bedoeld om vast

te stellen of de ontwikkeling voldoet aan de eisen en de beveiligingseisen.

De acceptatieomgeving is de omgeving waarin eindgebruikers kunnen toetsen of het product voldoet

aan de gebruikerswensen. Na acceptatie kan een systeem volgens vaste procedures in productie

worden genomen. Tijdens de overgang van de bestaande software naar de nieuwe software moet

altijd een ‘fall-back’ scenario voorhanden zijn zodat het bij grote problemen mogelijk is terug te vallen

op de oude versie.

In het nieuws

Een NS-klant ontdekte dat iedereen die zijn lidnummer en achternaam

kende, toegang kon krijgen tot zijn persoonlijke gegevens Op de website was het namelijk mogelijk

om je aan te melden voor een nieuw online NS-account, zonder dat werd gecontroleerd of dat

account al bestond. Vervolgens kon een kwaadwillende zelf een nieuwe gebruikersnaam invoeren,

een nieuw wachtwoord en een nieuw mailadres. Naar dit nieuwe mailadres werd een link gemaild

waarop de nepklant kon klikken om zijn nieuwe account te activeren. Het oude account bleef nog

steeds in gebruik, maar via deze methode konden ook anderen toegang krijgen tot klantgegevens. Ze

konden zien waar hij woont, wat zijn telefoonnummer is en diensten aanvragen, zoals een OV-


68

chipkaart, een nieuw abonnement of een verhuizing.

De senior security consultant van een adviesbedrijf in toegangs- en identiteitsbeheer: "De fout is

behoorlijk elementair en was er met Tmap®

(een methodiek voor gestandaardiseerd testen) zo uit

gehaald. Dat dit niet is gebeurd, wijst op een slordig proces. Dat maakt de kans klein dat dit de enige

fout is. Het schrijven van software is nog steeds niet eenvoudig, en het schrijven van correcte en

veilige software is zelfs erg complex. Verder wordt er bij projecten in veel gevallen onvoldoende

aandacht gegeven aan de beveiliging. In sommige gevallen denkt men deze zelfs later nog te kunnen

toevoegen. Dit werkt principieel niet. Als je gegevens op een juiste manier wilt beveiligen dan moet je

daar - vanaf het opstellen van de functionele specificaties - de juiste aandacht aan geven. Beveiliging

kan nooit opgepakt worden als een project. Het is een kwaliteitskenmerk van een systeem.Je moet

niet alleen testen of een applicatie doet wat zij moet doen, maar ook of zij niet doet wat zij niet moet

doen."


9.4.5 Beheer van de dienstverlening door een derde partij

Niet alle activiteiten die voor een organisatie van belang zijn worden door de organisatie zelf

uitgevoerd. Zodra iets door een andere partij wordt uitgevoerd is het van belang vast te stellen welke

eisen aan die partij gesteld worden. Zo zal niet iedereen vertrouwen op de handige buurman voor het

invullen van de belastingformulieren maar de hulp inroepen van een belastingadviseur. U gaat er

vanuit dat de belastingadviseur uw informatie vertrouwelijk zal behandelen en bij een erkend adviseur

ligt dit vast in een beroepscode.

Wanneer een bedrijf er voor kiest (een deel van) zijn automatisering uit te besteden, dan moeten er

goede overeenkomsten met de dienstverlenende partij worden afgesloten waarin het

beveiligingsaspect nadrukkelijk de aandacht krijgt.

In het nieuws

Een derde van de IT professionals misbruikt administrator-wachtwoorden om

vertrouwelijke informatie te vinden. Onderzoek onder 300 IT'ers wijst uit dat 33% stiekem grasduint in

de gegevens van anderen, terwijl 47% weleens informatie bekijkt die niet voor hun werk relevant is.

"Het enige dat je nodig hebt is de juiste wachtwoorden of accounts met voldoende rechten en je weet

alles wat er binnen het bedrijf speelt," zegt Mark Fullbrook van Cyber-Ark. Administrator-

wachtwoorden blijken veel minder vaak gewijzigd te worden dan met de wachtwoorden van

gebruikers het geval is. Dertig procent wordt elk kwartaal gewijzigd, terwijl 9% onveranderd blijft.

Zodoende kan vertrokken personeel nog altijd toegang tot vertrouwelijke informatie krijgen. Verder

heeft de helft van de systeembeheerders geen autorisatie nodig om toegang tot accounts met

bepaalde rechten te krijgen.

Het onderzoek toonde ook aan dat er nog veel werk te verrichten is wat betreft de opslag van

wachtwoorden. Zo bewaart 57% van de bedrijven de wachtwoorden handmatig, zet 18% ze in een

Excel spreadsheet en probeert 82% van de IT professionals ze uit het hoofd te onthouden.



69


Gebruikelijk is om een zogenaamde Service Level Agreement (SLA) af te sluiten waarin de beide

partijen beschrijven welke service onder welke omstandigheden verwacht wordt. Het nakomen van

deze afspraken wordt regelmatig gecontroleerd in een audit.

9.4.6 Bescherming tegen malware, phishing en spam

Malware is een samentrekking van de woorden Malicious (Engels voor kwaadaardig) en Software en

vormt een verzamelnaam voor ongewenste software zoals virussen, wormen en spyware. Een

standaardmaatregel hiertegen is het gebruik van antivirusscanners en een firewall. In toenemende

mate blijkt echter dat alleen een virusscanner niet voldoende is om malware buiten de deur te

houden. Menselijk handelen staat nog steeds hoog op de lijst van oorzaken van virusuitbraken. Vaak

ontstaat een virusinfectie doordat een gebruiker een bijlage (attachment) in een e-mail opent waarna

blijkt dat deze niet alleen het beloofde spelletje, document, of plaatje bevat maar ook een virus. Het is

dan ook niet aan te raden verdachte e-mails of e-mails van een onbekende afzender te openen.

Phishing is een vorm van internetfraude. Meestal ontvangt het slachtoffer een mail waarin hem of

haar gevraagd wordt een account bij bijvoorbeeld een bank of een service provider te checken en te

bevestigen. Ook wordt er wel gebruik gemaakt van instant messaging. Soms wordt telefonisch

contact opgenomen. De daders van phishing zijn moeilijk te achterhalen. Internetters moeten vooral

zelf alert zijn en nooit ingaan op een mailverzoek waarin gevraagd wordt geld over te maken of

persoonlijke (financiële) gegevens te geven, zoals bankrekeningnummer, pincode,

burgerservicenummer (BSN) of creditcardgegevens.

In de praktijk

Geachte Planet Webmail abonnee,

We zijn op dit moment voert onderhoudswerkzaamheden aan uw Planet.nl account. Om dit proces te

voltooien moet je antwoord op dit bericht en geef uw huidige gebruikersnaam hier ( ) en wachtwoord

hier ( ) als u de rechtmatige eigenaar van deze account. Onze Message Center zal bevestigen van

uw identiteit met inbegrip van uw geheime vraag en het antwoord onmiddellijk.

De nieuwe Planet.nl Webmail is een snelle en lichte appliction om snel en eenvoudig toegang tot uw

e-mail. Ook dit proces zal ons helpen bij het bestrijden van spam mails. Niet-top van uw wachtwoord,

maakt uw e-mailadres in-actief uit onze database.

U kunt ook de bevestiging van uw e-mailadres door u aan te melden bij uw account op Planet.nl

Webmail: https: / / webmail.planet.nl

OPMERKING: U stuurt een wachtwoord reset messenge in de komende zeven (7) werkdagen na

onder gaan dit proces om veiligheidsredenen.

Dank u voor het gebruik van Planet.nl Webmail!

https: / / webmail.planet.nl

(Noot van de redactie: merk het taalgebruik op!)

In het nieuws

http://nl.wikipedia.org/wiki/Internetfraude

http://nl.wikipedia.org/wiki/BSN


70

Vorige week is een aanval op Nederlandse belastingbetalers ontdekt die niet alleen

bankgegevens, maar ook creditcardgegevens, Sofi-nummer en pincode probeerde te stelen. De

aanval, mogelijk het werk van een Nederlandse virusschrijver die eerder via MSN toesloeg, bestond

uit twee delen, waarbij malware de startpagina van het slachtoffer wijzigde. Die pagina linkte weer

door naar een gehackt .nl domein, volgens de cache van Google het domein tt-ribbons.nl.

Op deze pagina stond de volgende tekst: "Momenteel is google.nl doorverwezen naar de

belastingdienst services in samenwerking met google.nl en uw ISP. U bent verplicht om de gevraagde

gegevens in te voeren. Uw voordeel is dat u de komende jaren geen aangiftes moet toezenden omdat

dit geautomatiseerd wordt door de nieuwe systeem van de belastingdienst. Het is belangrijk dat u de

volgende producten onder de hand hebt: identiteitskaart, pinpas (van de bankaccount waarop uw

salaris wordt gestort) en kredietkaart. Dit geldt alleen voor de persoon in een gezin / relatie met de

hoogste inkomen."

Verder werden slachtoffers nog gedreigd: "Uw IP-adres wordt opgeslagen in de database van de

belastingdienst," waarbij de site daadwerkelijk het IP-adres van de bezoeker toonde. Om het geheel

legitiem te laten lijken was er ook nog een "Hacker Proof" certificaat en Microsoft Certified

Professional logo geplaatst.


In het nieuws

Cijfers over Nederlandse slachtoffers van identiteitsfraude en diefstal zijn nog altijd onbekend, maar

daar wil de Stichting Aanpak Financieel-Economische Criminaliteit in Nederland (SAFECIN)

verandering in brengen. Het is een proefproject gestart dat moet leiden naar een eerste analyse van

ervaringen van burgers die te maken hebben (gehad) met misbruik van hen identificerende gegevens.

Dit project, dat loopt tot 15 augustus, wordt ondersteund door de werkgroep fraude met

identificerende gegevens van het Nationaal Platform Criminaliteitsbeheersing.

Op de site identiteitsfraude.nl kan iedereen die met misbruik of diefstal van identificerende gegevens

te maken heeft gehad zijn verhaal doen. Het gaat onder andere om misbruik van fysieke, papieren

documenten, maar ook aan meldingen met betrekking tot phishing technieken via elektronische

communicatiemiddelen.

De onderzoekers zijn vooral geïnteresseerd in het traject waarin burgers terecht kunnen komen indien

duidelijk is geworden dat zij het slachtoffer zijn geworden van misbruik, zoals de constatering van een

debiteurenstand bij Bureau Krediet Registratie te Tiel, het ontvangen van aanschrijvingen van

incassobureaus en het ervaren van bezoeken van gerechtsdeurwaarders. Burgers die zich

aanmelden en die nog steeds problemen ondervinden kunnen op hulp rekenen. De eerste 50 melders

met een duidelijk verhaal krijgen een shredder cadeau.


Spam is een verzamelnaam voor ongewenste berichten. Meestal wordt met de term ongewenste mail

bedoeld, maar ook ongewenste reclameboodschappen op websites (oa. fora) vallen onder spam. De

kosten worden evenwel verplaatst naar de ontvangers: tegenover een kleine groep geïnteresseerden

staan zeer veel mensen die tijd kwijt zijn met het verwijderen van berichten uit hun mailbox.



71

Ook voor spam geldt dat een spamfilter de last iets verlicht. Spamberichten nooit beantwoorden of

doorsturen en terughoudend zijn in het verspreiden van e-mailadressen (gebruik de BCC functie) is

wat we zelf kunnen doen.

In het nieuws

Verreweg het grootste deel van alle verzonden e-mails bestond in 2007 uit

spam. Volgens CleanPort, dat het spampercentage in Nederland meet, was 96% van de e-mails

ongewenste reclame.

Bij het versturen van de berichten gingen spammers vaak in op actuele gebeurtenissen. ‘Ze hopen

dat ontvangers het bericht daardoor gemakkelijker openen', aldus CleanPort. De aanslag op de

Iraanse politica Benazir Buttho van vorige maand zou bijvoorbeeld een toename in het aantal

spammails verzoorzaakt hebben.

Uit de metingen blijkt bovendien dat spam in 2007 veel verstuurd werd in een e-mailbijlage. Op die

manier kunnen spamfilters omzeild worden. Slechts 0,2% van de e-mails bevatte virussen. Dat zou

komen doordat virusmakers zich in 2007 meer richtten op internet.


Malware, phishing en spam zijn belangrijke onderwerpen in de gedragscode en een

bewustwordingscampagne voor de medewerkers.

In het nieuws

Miljoenen Nederlanders bankieren via internet. Het is gemakkelijk en vooral ook veilig. Maar er is

natuurlijk ook een keerzijde. Criminelen zullen altijd proberen om via internet fraude te plegen.

Internetbankieren heeft de afgelopen jaren een enorme vlucht genomen. Uit onderzoek van de

Nederlandse Vereniging van Banken (NVB) blijkt dat 98% van de internetbankierders bankieren via

internet veilig vindt. Toch blijkt ook dat 20% nog steeds te weinig maatregelen treft. De banken zijn

dagelijks bezig om de veiligheid optimaal te houden, maar er ligt ook een verantwoordelijkheid bij de

consumenten.

Vandaar de campagne 3x kloppen:

1. Klopt uw pc-beveiliging?

2. Klopt de website van uw bank?

3. Klopt uw betaling?

Oplettendheid kan veel schade voorkomen.

Bron: www.3xkloppen.nl en www.veiligbankieren.nl


72

9.4.6.1 Enkele definities:

a) Virus

Definitie:

Een virus is een stukje programmatuur dat zichzelf doelbewust, in al dan niet gewijzigde vorm, kan

vermenigvuldigen. De nakomelingen van het virus moeten volgens deze definitie zelf ook weer

virussen zijn. Voor de verspreiding is het virus afhankelijk van dragers die uitvoerbare code bevatten.

Toelichting:

Zodra de drager geactiveerd wordt gaat het virus op zoek naar geschikte nieuwe dragers en tracht

deze te infecteren. Het virus kan zich alleen tot buiten het bereik van het geinfecteerde systeem

verspreiden als een gebruiker van een dergelijk systeem bestanden overzet naar een ander systeem.

Dragers waren traditioneel alleen programma's, maar tegenwoordig zijn ook documenten mogelijke

gastheren voor een virus, aangezien deze steeds vaker worden voorzien van uitvoerbare code, zoals

macro's, VBScript, of ActiveX. In verreweg de meeste gevallen zijn virussen voorzien van een bagage

die alle taken, anders dan die benodigd voor replicatie, herbergt. Deze zogenaamde "payload" is

meestal, maar niet per definitie, destructief van aard.

Voorbeelden:

Brain

Chernobyl

Maatregelen:

Zorg voor het gebruik van een virusscan oplossing op de werkplek, voor de mailserver.

Zorg ervoor dat het onderwerp virus behandeld wordt in een bewustwordingscampagne

Zorg ervoor dat dit onderwerp benoemd wordt in het informatiebeveiligingsbeleid van de organisatie

b) Worm

Definitie:

Een worm is een stukje programmatuur dat zichzelf doelbewust vermenigvuldigd. De nakomelingen

van de worm zijn copieen van het origineel en verspreiden zich door gebruik te maken van de

netwerkfaciliteiten van zijn gastheer.

Toelichting:

Hoewel het grensgebied tussen virussen en wormen steeds meer vervaagd zijn er nog wel enige

kenmerken die duidelijk verschillen. Een virus kan via verschillende dragers zijn gastheer aanvallen

en infecteert nieuwe dragers door daadwerkelijk code in die geinfecteerde dragers te plaatsen. Een

worm daarentegen maakt altijd gebruik van dezelfde drager en infecteert geen andere bestanden.

Bovendien is een worm niet afhankelijk van een gebruiker om zichzelf fysiek te kunnen verspreiden:

zodra een worm geactiveerd wordt is deze geheel autonoom in staat zichzelf te verspreiden. Hierdoor

kunnen wormen in vaak zeer korte tijd grote gebieden te besmetten.

De twee belangrijkste overeenkomsten zijn de afhankelijkheid van uitvoerbare code in de drager en

het gebruik van een payload om secundaire, meestal destructieve, taken uit te voeren.

Voorbeelden:

Melissa

I love you

Happy99

Blaster

Storm Worm

Maatregelen:


73

Zorg voor het gebruik van een (virus)scan oplossing op de werkplek, voor de mailserver.

Wormen kunnen ook ontdekt worden in het netwerk, hiervoor zijn bepaalde netwerkmonitor tools

geschikt.

Zorg ervoor dat het onderwerp worm behandeld wordt in een bewustwordingscampagne


Zorg voor goede meldmogelijkheden van incidenten en follow-up procedures

c) Trojan

Definitie:

Een trojan is een programma, dat naast de voorgespiegelde functionaliteit, ongemerkt en bewust niet

aan de gebruiker kenbaar gemaakte activiteit ontplooit die mogelijk de integriteit van het

geinfecteerde systeem aantast.

Toelichting:

Net als het echte paard van Troje doet een trojan zich voor als een verdienstelijk object, maar indien

de gebruiker de trojan activeert ontplooit deze op de achtergrond allerlei ongewenste activiteiten.

Vaak installeert de payload van een trojan een zogebaamde "backdoor", waarmee onbekenden zich

(zonder daartoe gerechtigd te zijn) toegang tot het geinfecteerde systeem kunnen verschaffen. Een

andere veel voorkomende activiteit van trojans bestaat uit het versturen van vertrouwelijke informatie

vanaf het geinfecteerde syteem naar een locatie waar deze verzameld en geanalyseerd kan worden.

Het meest in het oog springende verschil met virussen en wormen is het ontbreken van zelf-replicatie

bij trojans, hierdoor zijn trojans vaak in staat langer onopgemerkt hun werk te blijven doen.

Voorbeelden:

BackOrrifice

Netbus

Maatregelen:

Zorg voor het gebruik van een trojan en/of virusscan oplossing op de werkplek, voor de mailserver.

Zorg ervoor dat het onderwerp trojan behandeld wordt in een bewustwordingscampagne,

medewerkers moeten bewust worden van het openen van bijvoorbeeld bijlagen uit verdachte e-mails.


De gevolgen van trojans (communicatie) kunnen ook ontdekt worden in het netwerk door

netwerkbeheerders, hiervoor zijn bepaalde netwerkmonitor tools geschikt.

Een andere maatregel is het gebruik van een personal firewall op de werkplek zelf om verdacht

netwerkverkeer te detecteren.


d) Hoax

Definitie:

Een hoax is een bericht dat probeert de lezer ervan zover te krijgen dat hij de inhoud van het bericht

voor waar aanneemt en vervolgens een bepaalde handeling verricht. Voor z'n verspreiding is een

hoax afhankelijk van het bewust versturen naar andere potentiele slachtoffers door degene die

ertussen genomen wordt.


74

Toelichting:

De payload van een hoax is geen technische, maar een psychologische. Door op het gevoel in te

spelen tracht de opsteller van de hoax de lezer zover te krijgen dat hij het bericht naar anderen

doorstuurt (een vorm van social engineering). Dit is vrijwel altijd het belangrijkste doel van een hoax,

maar soms wordt ook getracht de lezer over te halen tot het storten van geld of iets dergelijks.

Kettingbrieven vormen de meest bekende en succesvolle vorm van hoaxes.

Voorbeelden:

Good times

Pen Pal

Maatregelen:

Zorg voor het gebruik van een virusscan oplossing op de werkplek, en een antispam oplossing voor

de mailserver. Een Hoax bevat vaak teksten die door scanners herkend kunnen worden.

Zorg ervoor dat het onderwerp Hoax behandeld wordt in een bewustwordingscampagne,

medewerkers moeten bewust worden vreemde vragen in e-mails, met name die aanzetten tot acties

als bijvoorbeeld doorzenden van de Hoax.



e) Logic Bomb

Definitie:

Bij de logic bomb wordt een stuk code in een softwaresysteem gebouwd die een functie uitvoert

wanneer er aan specifieke voorwaarden wordt voldaan. Dit wordt niet altijd gebruikt voor

kwaadaardige doeleinden. Zo kan een programmeur code inbouwen die (gevoelige) bestanden

verwijderd wanneer ze het bedrijfsnetwerk verlaten. Virussen en wormen bevatten vaak logic bombs,

daarbij is er meestal sprake van een ingebouwde vertraging van de uitvoering van het virus of de

verspreiding van de worm

Maatregelen:

Maak bij belangrijke software voor kritische bedrijfssoftware gebruik van bijvoorbeeld een code review

door een andere partij.

f) Spyware

Definitie:

Deze omschrijving wordt gebruikt voor computerprogramma’s die informatie verzamelen over een

computergebruiker en deze info doorsturen naar een externe partij. Het doel daarvan is om geld te

verdienen. Hier gaat het dus nadrukkelijk niet om software die schade aan de PC en/of de

geïnstalleerde software veroorzaakt, maar om een privacyprobleem.

Spyware is soms op een aantal mogelijke manieren te herkennen, bijvoorbeeld:

De computer is trager dan anders

Er draaien programma’s op de computer die je niet zelf gestart hebt of niet eerder gezien

Er zijn settings op de computer aangepast en er draaid bijvoorbeeld een toolbar (werkbalk) in

de Internet Explorer die er eerst niet was, en deze toolbar is ook niet te verwijderen.

Er verschijnen bij het openen van webpagina’s en op willekeurige momenten allerlei pop-up

schermen


75

Maatregelen:

Er zijn scanners die het register scannen naar verdachte registersleutels en de op de werkplek

geinstalleerde software naar aanwijzigingen voor spyware. Soms kunnen anti-virus programma’s ook

spyware herkennen.

Een andere maatregel is het gebruik van een personal firewall om verdacht netwerkverkeer te

detecteren.

Zorg ervoor dat het onderwerp spyware behandeld wordt in een bewustwordingscampagne,

medewerkers moeten bewust worden vreemde vragen in e-mails, met name die aanzetten tot acties

als bijvoorbeeld doorzenden van de Hoax.



g) Botnets / Stormworm

Sinds januari 2007 wordt het internet geteisterd door de Storm worm, een zogenaamde botnet die

volgens verschillende schattingen tussen de 1 en 50 miljoen computers heeft Geïnfecteerd. Er wordt

een vergelijking gemaakt met het Trojaanse paard, waarvan de symptomen eerst nauwelijks

zichtbaar zijn, maar wanneer onbehandeld, zeer ernstige gevolgen kan hebben. Storm worm is dan

ook de toekomst van malware.

Het is geduldig, en daardoor moeilijk te detecteren en analyseren. Het werkt als een mierenkolonie,

waardoor er geen centrale command en control server is, maar een netwerkverbinding tussen

duizenden besmette Pc’s wordt opzet. Hierdoor hebben gedesinfecteerde machines geen gevolgen

voor het botnet. Storm worm veroorzaakt verder geen schade of belasting van de host, zodat

gebruikers niet weten dat ze geïnfecteerd zijn.

Het aantal e-mails met links naar virtuele postkaarten of YouTube-films met een poging om de

StormWorm te verspreiden, neemt in hoog tempo toe.

Op 15 augustus 2007 was er zelfs een heuse 'pandemie' toen 600.000 e-mails in amper 24 uur

werden verstuurd. Op die manier ontwikkelt zich het StormWorm-botnet dat onderhand op 1,8 miljoen

besmette computers over de hele wereld wordt geschat.

Hoewel de berichttekst en titel van een lokbericht voor de StormWorm continu veranderen, bevat de

e-mail steeds een eenvoudig tekstje of HTML-codering met een link naar een IP-adres. Dat IP-adres

verwijst naar een andere besmette machine binnen het botnet die de gebruiker onmiddellijk naar een

server brengt in een poging om het slachtoffer met een kopie van de Trojaanse StormWorm te

besmetten.

De reden dat StormWorm zo'n succes is: de servers die StormWorm verspreiden hercoderen het

virusbericht om de dertig minuten, zodat het virus moeilijk door de traditionele anti-virusprogramma's

kan worden opgespoord.

Dan zou je zeggen: neem die server dan uit de lucht. Immers, elke computer aan het internet heeft

toch een IP-nummer en is snel te traceren. Dat is waar, maar de boeven zijn nog sneller: net als bij

andere botnets wordt de locatie van de computers waarmee het botnet bediend wordt, beschermd

achter een snel wijzigende vorm van adressering met de IP-nummers (voor de kenners: de DNS-

techniek 'fast flow'). Het gevolg is dat de hosting sites - waar de StormWorm gereed staat - en

mailservers - die de lokberichten versturen - moeilijk opgespoord en uitgeschakeld kunnen worden.

Als gevolg van de recente StormWorm-activiteiten is het aantal e-mails met een link naar de besmette

code in augustus fors gestegen tot 19,5 procent. Dat vertegenwoordigt een toename van maar liefst

19 procent in vergelijking met de cijfers van juli toen het nog om 0,5 procent 'vuile' e-mail ging.

Verdere analyses van webtrends tonen aan dat het aantal nieuwe verdachte websites dag na dag


76

razendsnel toeneemt. In augustus 2007 werden er elke dag gemiddeld 1.772 nieuwe besmette

websites opgespoord en geblokkeerd. In vergelijking met juli maakt dat een dagelijkse toename van

783 websites.

h) Rootkit

Een rootkit is een set softwaretools die vaak worden gebruikt door een derde partij (meestal een

hacker) na toegang te hebben verkregen tot een (computer-) systeem. De rootkit nestelt zich diep in

het besturingssysteem, zodat het mogelijk is dat het besturingssysteem instabiel wordt. De rootkit is

bijna niet te verwijderen zonder de functie van het besturingssysteem te beschadigen.

Grosso modo kunnen rootkits op twee niveaus werken: kernelniveau en gebruikersniveau. Moderne

processoren kunnen namelijk programma's in kernelmodus en in gebruikersmodus afhandelen en het

onderscheid is wezenlijk: programma's in kernelmodus hebben toegang tot het gehele

geheugengebied; toepassingen in gebruikersmodus krijgen specifieke geheugensegmenten

toegewezen. Rootkits met kernelstrategieën kunnen dus in het werkgeheugen ongeveer doen wat ze

willen. Deze tools hebben de bedoeling om lopende processen, systeem data of bestanden te lezen,

wijzigen of beïnvloeden. Een rootkit helpt de indringer toegang te houden tot het systeem, zonder dat

de gebruiker hier iets van merkt.

Rootkits bestaan voor allerlei besturingssystemen zoals Linux, Solaris, Mac OS en versies van

Windows.

Rootkits werden bekender in het najaar van 2005, toen ontdekt werd dat platenmaatschappij

Sony/BMG rootkits installeerde via hun muziek cd's, om zo een kopieerbeveiliging te installeren.

Eind Augustus 2007 kwamen weer rootkits voor in Sony's producten. Deze keer ging het om

memorysticks met beveiliging, er werd een rootkit gebruikt om zo betere beveiliging te bieden, helaas

werd er onvoldoende gekeken naar verdere implicaties bij het toepassen van deze omstreden

beveiliging.

De beveiliging zou overigens niet door Sony zelf ontwikkeld zijn, maar door het Taiwanese FineArt

Technology.

Rootkits zijn zeer moeilijk te detecteren, en infecteren het systeem vaak zonder dat de gebruiker dat

beseft. Het enige doel van een rootkit is bestanden, netwerkverbindingen, geheugen-adressen en

register-ingangen aanmaken en verbergen. Zelfs wanneer de rootkit verwijderd wordt, blijven de

wijzigingen door de rootkit aan het systeem gemaakt ongewijzigd en meestal niet - detecteerbaar.

M.a.w.: de enige wijze om er geheel zeker van te zijn dat een rootkit verwijderd is, is door het hele

systeem opnieuw te formatteren en herinstalleren. Zeer moderne (eind 2006) anti-malware software

is tegenwoordig in staat om ook actieve rootkits te detecteren en verwijderen.

De benaming rootkit komt uit het UNIX-milieu: met root werd de zgn superuser uit een UNIX-familie

aangeduid. In de jaren '80 slaagden hackers erin UNIX-systemen te infiltreren en een achterdeurtje te

installeren, die hen toeliet telkens opnieuw met root-rechten de machine over te nemen.

9.4.7 Back-up en restore

Het doel van het maken van back-ups of wel reservekopieën is het handhaven van de integriteit en

beschikbaarheid van informatie en IT-voorzieningen.

Een van de meest vervelende ervaringen met computersystemen is het verliezen van informatie. Om

verloren informatie weer te kunnen herstellen is het noodzakelijk een kopie van de originele informatie

te hebben, de back-up. Vaak wordt het maken van een back-up gezien als een preventieve

maatregel. Het is echter goed om te beseffen dat een back-up eigenlijk een repressieve maatregel is.

De gevolgen van het verliezen van informatie worden beperkt door oudere informatie terug te halen.

Het is dan ook noodzakelijk om na te denken over het interval waarmee back-ups gemaakt worden.


77

Hoeveel tijd kunnen we ons permitteren om verloren informatie opnieuw te genereren. En de back-up

moet regelmatig getest worden.

Naast het daadwerkelijk maken en testen van back-ups is het nodig na te denken over hoe met de

back-ups wordt omgegaan. Wordt de back-up vanuit een streng beveiligd gebouw meegenomen en in

een niet-afgesloten kast neergelegd? Of liggen de back-ups naast de server met de originele data?

Gaan de back-ups naar een derde partij en zijn de gegevens dan wel versleuteld? Hoe lang worden

back-ups bewaard, voldoet dit aan de wettelijke bewaartermijnen?

9.4.8 Beheer van netwerkbeveiliging

Een grote uitdaging in de informatiebeveiliging is dat delen van het netwerk de grens van de eigen

organisatie kunnen overschrijden.

In het nieuws

De beveiliging van draadloze privénetwerken in Nederland laat sterk te wensen over, want bijna de

helft van de onderzochte netwerken gebruikt geen of de eenvoudig te kraken WEP-encryptie. Tijdens

de wardrive die Dimension Data uitvoerde werden in totaal 884 draadloze netwerken gescand.

Daarbij keek men ook naar de beveiliging van privénetwerken. Maar liefst 18 procent van de

draadloze privénetwerken is helemaal niet beveiligd en 28 procent gebruikt WEP (Wired Equivalent

Privacy), dat binnen 2 minuten te kraken is. De overige 54% is voorzien van WPA- of WPA2 (WiFi-

Protected Access).

"Hoe veilig je ook denkt dat jouw gegevens zijn als je thuis op de pc aan het werken bent, als je

gebruikmaakt van een slecht beveiligd draadloos netwerk, lopen alle privégegevens die je op de

computer bewaart, gevaar. Hackers kunnen inbreken op het draadloze netwerk en zo alle informatie

die op je laptop of pc staat, bekijken. Zo vallen privégegevens als bankrekeningnummers, adressen

en foto’s makkelijk in verkeerde handen," zegt een manager van Dimension Data.


Intranet - een intranet is een privaat netwerk binnen een organisatie. Voor de gebruiker is het net een

private versie van Internet. Het primaire doel van een intranet is het elektronisch delen van informatie

binnen een organisatie met eenzelfde look-and-feel als het bekende internet. Tevens kan het gebruikt

worden voor teleconferenties en om het elektronisch samenwerken in groepen te faciliteren en

stimuleren. Het is mogelijk voor een organisatie om via een publiek netwerk, zoals het Internet,

afzonderlijke delen van het intranet aan elkaar te koppelen Door middel van speciale

encryptie/decryptie methoden en andere aanvullende veiligheidsmaatregelen wordt de

betrouwbaarheid van de overdracht verzekerd. Wanneer een organisatie een gedeelte van haar

intranet toegankelijk maakt voor klanten, partners, leveranciers of anderen buiten de organisatie

noemt men dat gedeelte een extranet.

Extranet - Een extranet is een type computernetwerk binnen een organisatie. Het extranet is verwant

aan het intranet. Het doel van een extranet is het beveiligd beschikbaar stellen van bedrijfsinformatie

en gegevens aan klanten, partners en leveranciers buiten de organisatie. Bijvoorbeeld: een bedrijf

staat klanten toe, via het extranet, rechtstreeks op het bedrijfsnetwerk bestellingen te plaatsen. Een

extranet vereist beveiliging en privacy. Hieronder wordt verstaan:

het gebruik van een firewall-server;

het uitgeven van digitale certificaten of andere methoden van gebruikers authenticatie;

encryptie van het verkeer;

het gebruik van VPN's (Virtual Private Networks) die over het internet communiceren.

http://www.security.nl/

http://nl.wikipedia.org/wiki/Computernetwerk

http://nl.wikipedia.org/wiki/Internet

http://nl.wikipedia.org/wiki/Encryptie

http://nl.wikipedia.org/wiki/Decryptie

http://nl.wikipedia.org/wiki/Extranet

http://nl.wikipedia.org/wiki/Computernetwerk

http://nl.wikipedia.org/wiki/Intranet

http://nl.wikipedia.org/wiki/Privacy

http://nl.wikipedia.org/wiki/Firewall

http://nl.wikipedia.org/wiki/Server

http://nl.wikipedia.org/wiki/Digitaal

http://nl.wikipedia.org/wiki/Gegeven

http://nl.wikipedia.org/wiki/VPN



78

VPN - een Virtual Private Network (VPN) maakt gebruik van een reeds bestaand netwerk, doorgaans

het internet, om informatiedeling tussen geografisch afgescheiden netwerken mogelijk te maken alsof

er een 'eigen' (bedrijfs)netwerk voorzien was. De verzonden data kan goed beveiligd worden

waardoor de integriteit, autorisatie en authenticiteit bij het verzenden van de data gewaarborgd blijft.

Technisch zijn er tal van protocollen uitgewerkt die deze dienst beschikbaar maken, het bekendste en

meest courante protocol vandaag de dag is IPsec.

In het nieuws

Een Australische beveiligingsonderzoeker heeft een ernstig beveiligingslek in een

koffiezetapparaat ontdekt, waardoor een aanvaller de smaak en hoeveelheid water per beker kan

wijzigen. Ook is het mogelijk om een Denial of Coffee te veroorzaken, zodat een monteur langs moet

komen om de machine te repareren. De ernst van het lek wordt vergroot doordat het

koffiezetapparaat niet te patchen is. Het probleem ontstaat doordat het apparaat is uit te rusten met

een Internet Connection Kit.

Via deze kit, te installeren op Windows XP, kan het koffiezetapparaat via de PC met het internet

communiceren. Zo kan een gebruiker parameters downloaden om de espresso machine naar eigen

smaak te configureren. In het geval van problemen kan een monteur op afstand diagnostische tests

uitvoeren en een oplossing geven zonder dat de gebruiker de keuken uit hoeft.

Onderzoeker ontdekte een manier om het XP systeem dat de software draait op afstand is over te

nemen met de rechten van de ingelogde gebruiker. Voor zover bekend zijn er nog geen exploits in het

wild verschenen.


9.4.9 Behandeling van media

Onder media wordt alles verstaan waar gegevens op vastgelegd kunnen worden: papier, cd’s, dvd’s,

USB-sticks, harde schijven, back-uptapes, blackberries, mobiele telefoons, enzovoort.

Het doel van richtlijnen voor het omgaan met media is dat we voorkomen dat waardevolle informatie

in verkeerde handen komt met als mogelijke gevolgen: onbevoegde openbaarmaking, wijziging,

verwijdering of vernietiging van bedrijfsmiddelen en onderbreking van de bedrijfsactiviteiten.

De wijze waarop met de media moet worden omgegaan is vaak gekoppeld aan de classificering of

rubricering en ligt vast in procedures. Dossiers met gevoelige informatie gaan na de bewaartermijn in

de papierversnipperaar of worden vernietigd door een erkend bedrijf. USB-sticks worden

leeggemaakt. Een afgeschreven pc wordt niet bij het grof vuil gezet.

In de praktijk

We dachten dat een cd-rom onbeperkt houdbaar zou zijn. In werkelijkheid blijkt een groot deel van

de zelfgebrande cd’s na twee tot vijf jaar zodanig aan kwaliteit verloren te hebben, dat de meeste

data onbruikbaar zijn.

Enkele aandachtspunten:


http://nl.wikipedia.org/wiki/Integriteit_%28informatiebeveiliging%29

http://nl.wikipedia.org/wiki/Autorisatie

http://nl.wikipedia.org/wiki/Authenticiteit

http://nl.wikipedia.org/wiki/IPsec



79

Media moeten op een beveiligde manier worden verwijderd als ze niet langer nodig zijn;

Systeemdocumentatie en handleidingen liggen op een beveiligde plaats en worden regelmatig

bijgewerkt;

Transport van media, die uiteraard goed zijn verpakt, wordt door een erkende koeriersdienst gedaan,

die ook let op de juiste fysieke omstandigheden (vocht, temperatuur, elektromagnetische straling).

In het nieuws

Een ziekenhuis in de Amerikaanse staat Utah is een back-up tape met de gegevens

van tenminste 2,2 miljoen patiënten verloren. De gegevens betreffen iedereen die de afgelopen 16

jaar in het ziekenhuis is geholpen. Het gaat onder andere om diagnostische gegevens, namen,

demografische informatie en andere gegevens.

Een transportbedrijf moest de tapes vervoeren, maar een werknemer besloot de tapes in zijn eigen

auto mee naar huis te nemen. Daar werden ze uiteindelijk gestolen, waarschijnlijk door een dief die

dacht dat het om een geldkoffer ging. De werknemer, die al 18 jaar voor het bedrijf werkte, is

inmiddels ontslagen.


9.4.10 Mobiele apparatuur

We gebruiken vaker mobiele apparatuur, die ook steeds meer kan. Het is raadzaam om hiervoor

regels op te stellen. Bedenk dat verlies van mobiele apparatuur vaak meer is dan alleen de hardware,

er staan ook software en gegevens op mobiele apparatuur. Er komen veel incidenten voor met

mobiele apparaten. Laptops worden gestolen vanaf de achterbank van een auto maar ook uit de

kofferruimte. Handbagage is vaak duidelijk zichtbaar als laptopdraagtas en dit maakt het dieven

gemakkelijk. Deze schade is moeilijk te verzekeren. Laat mobiele apparatuur indien mogelijk in het

bedrijf of zorg voor passende opbergmiddelen voor onderweg, gecombineerd met een verzekering.

Procedures voor het omgaan met informatie

Er moeten procedures zijn voor de opslag van en het omgaan met informatie, om deze te

beschermen tegen onbevoegde openbaarmaking of misbruik. De beste methode hiervoor is

classificering of rubricering.

Een dergelijke regeling die bijvoorbeeld voor de Nederlandse Rijksdienst onder de naam Voorschrift

Informatiebeveiliging Rijksdienst, Bijzondere Informatie (VIR-BI) van kracht is zal de volgende

onderwerpen moeten dekken:

De positie ten opzichte van het algemene beveiligingsbeleid van de organisatie;

Hoe, wanneer en onder welke voorwaarden mag geclassificeerde informatie buiten de

organisatie gebracht worden;

Welke classificaties of rubriceringen zijn er;

Welke merkingen kunnen in aanvulling op de rubricering gebruikt worden;

Hoe lang is een rubricering geldig;

Wie mag een rubricering toekennen;

Onder welke voorwaarden en door wie kan een rubricering herzien en/of beëindigd worden;



80

De vertrouwelijkheidseisen aan de hand waarvan het rubriceringsniveau bepaald wordt;

Welke beveiligingsmaatregelen moeten er genomen worden om de bescherming van de

vertrouwelijkheid te waarborgen.

In de praktijk

Een jaarlijks terugkerende vraag is: hoeveel dagen voor Prinsjesdag ligt de

Miljoenennota op straat? Dit document dat de financiële huishouding van de Staat der Nederlanden

voor het komende jaar omvat, is te vergelijken met een jaarrekening van een bedrijf. Het te vroeg

bekend worden van een jaarrekening kan leiden tot handel in voorkennis op de beurs en dat is

strafbaar. Daarom zal een bedrijf ook alle mogelijke stappen ondernemen om deze informatie tot op

het moment van bekendmaking geheim te houden.

9.4.11 Uitwisseling van informatie

Om te voorkomen dat informatie terechtkomt bij partijen voor wie deze informatie niet bestemd is, is

het van belang om interne en externe afspraken te maken over informatie-uitwisseling. Dit kan

informatie-uitwisseling zijn tussen organisaties. Hierin wordt vastgelegd waar de informatie-

uitwisseling voor bedoeld is en dat partijen zich houden aan het doel van deze uitwisseling. Denk

hierbij ook aan de geautomatiseerde uitwisseling van informatie en informatie die op fysieke media

(cd-rom, dvd, USB-sticks maar ook papier) staat opgeslagen.

Het is noodzakelijk om te voorkomen dat er een vrije uitwisseling van informatie tussen personen in

verschillende (elkaar beconcurrerende) bedrijven plaatsvindt, waardoor zij in al hun goedheid en

zonder zich te realiseren wat ze doen de concurrentiepositie van het eigen bedrijf aan kunnen tasten.

Bewustwording is ook hier een belangrijke beveiligingsmaatregel.

Elektronische berichtenuitwisseling

Elektronisch berichtenverkeer brengt andere risico’s met zich mee dan communicatie op papier.

Daarom dient informatie die elektronisch wordt uitgewisseld op een daarvoor geschikte wijze te

worden beschermd.

Vooral wanneer informatie via e-mail over het internet wordt verstuurd moet er rekening mee

gehouden worden dat die informatie voor hen die daar op uit zijn, gewoon leesbaar is. Bovendien

blijven kopieën van de mail soms op servers verspreid over de hele wereld achter. Het internet kiest

namelijk niet de kortste weg, maar de snelste weg. De snelste weg van Den Haag naar

Leidschendam wil dan nog wel eens via Moskou, Rio de Janeiro, Boston en Londen lopen.

Wanneer informatie echt vertrouwelijk is mag deze niet via internet worden verstuurd. Indien het niet

anders kan, zorg dan voor een beveiligde verbinding en/of beveiliging van het bericht door middel van

encryptie.

Systemen voor bedrijfsinformatie

Wanneer binnen een bedrijf systemen onderling worden gekoppeld moeten er vooraf procedures

worden ontwikkeld en geïmplementeerd om informatie te beschermen tegen onverwachte

beveiligingsrisico’s.


81

In het nieuws

Een Amerikaanse internetprovider heeft per ongeluk de mailboxen van

14.000 klanten gewist. Een softwarefout is de oorzaak. Volgens een woordvoerder is dit nooit eerder

gebeurd en zal het ook nooit meer gebeuren. Een woordvoerder van de provider zegt dat er geen

mogelijkheid is om de verloren gegane bestanden nog te ‘undeleten' en biedt haar excuses aan.

De fout ontstond doordat de provider, die ook kabel en telefoon aanbiedt, inactieve mailaccounts elke

drie maanden automatisch verwijdert. Daarbij zijn per ongeluk ook wel actieve accounts vernietigd.


Zijn de applicaties separaat voldoende beveiligd, gekoppeld kunnen er plotseling kwetsbaarheden

ontstaan in administratie- en boekhoudsystemen waar informatie wordt gedeeld tussen verschillende

delen van de organisatie. Ook kunnen er kwetsbaarheden ontstaan bij koppelingen in

bedrijfscommunicatiesystemen, zoals het opnemen van telefoongesprekken of telefonische

conferenties, vertrouwelijkheid van telefoongesprekken, of het digitaal opslaan van faxen.

Wanneer er sprake is van (zeer) vertrouwelijke informatie, dan is het goed te realiseren dat de

meeste moderne kantoorprinters, vaak combinatieapparaten met een scanner, fax en kopieerfunctie,

voorzien zijn van een harde schijf, waar alle te verwerken informatie op opgeslagen staat. Via een

speciale applicatie is het mogelijk toegang te krijgen tot die harde schijf en alle data te kopiëren.

Bovendien kan een ‘onderhoudsmonteur’ vaak ongemerkt met die harde schijf naar buiten lopen.

In het nieuws

Een Amerikaanse veiligheidsexpert heeft een methode ontdekt om vanaf

websites printopdrachten naar netwerkprinters te sturen. De techniek biedt ongekende nieuwe

mogelijkheden voor de spamindustrie.

Het versturen van tekst naar de netwerkprinter is een koud kunstje. Een potentieel slachtoffer hoeft

niets meer te doen dan je site met malafide javascript te openen. Het grootste probleem is het

achterhalen van het adres van de netwerkprinter, maar dat wordt opgelost door in de javascript een

paar reeksen ip-adressen af te lopen. Door te kijken naar het ip-adres van de bezoeker kan dit tot een

relatief klein aantal worden teruggebracht.

Eenmaal gevonden is de printer aan de grillen van de spammer overgelaten. Niet alleen simpele

teksten, maar ook volledig opgemaakte documenten kunnen geprint worden zonder dat de gebruiker

iets doorheeft. "Het is mogelijk om de printerinstellingen te veranderen en zelfs faxen te versturen",

zegt de expert.

De hacker geeft in een document zelfs nog een paar tips op welke manier kwaadwillenden het lek

kunnen gebruiken: "Maak een bannerpagina. Op die manier krijgt elke printopdracht jouw

http://www.computable.nl/


82

bannerpagina erbij. Dit is een handige manier om je boodschap te verspreiden."

De truc is zowel in Firefox als in Internet Explorer mogelijk. Het werkt niet bij printers die direct op de

computer zijn aangesloten en niet op het netwerk.


9.4.12 Diensten voor e-commerce

Wanneer een bedrijf besluit zich als internetwinkel te profileren krijgt het met heel andere risico’s te

maken dan wanneer het internet uitsluitend gebruikt wordt om informatie op te zoeken. Diensten voor

e-commerce en het gebruik ervan moeten op een goede manier beveiligd zijn. Denk bijvoorbeeld aan

veilige betalingstransacties (IDeal, Visa, Mastercard, Paypal), het beschermen van de informatie

tegen fraude, duidelijke voorwaarden in contracten, onweerlegbaarheid van aankopen en

onbetwistbare prijzen.

De vertrouwelijkheid en integriteit van ordertransacties, betalingsinformatie, adresgegevens van de

ontvanger en ontvangstbevestiging moeten gewaarborgd zijn en de klant moet er op kunnen

vertrouwen dat onbekenden daar geen inzage in krijgen. Denk ook aan maatregelen om de

creditcardgegevens af te schermen.

Informatie in online transacties moet worden beschermd om onvolledige overdracht, onjuiste

routering, onbevoegde wijziging van berichten, onbevoegde openbaarmaking, onbevoegde duplicatie

of weergave van berichten te voorkomen.

In het nieuws

Toen een klant van een internetprovider opmerkte dat hij inzage had in een zeer groot bestand dat hij

niet kende, heeft hij het gedownload om tot de conclusie te komen dat het alle klantgegevens van een

internet provider betrof, zo’n tweeënhalf miljoen in totaal. De beheerder heeft waarschijnlijk een fout

gemaakt tijdens het wegschrijven van de back-up met klantgegevens. De klant lichtte de

internetprovider hierover in. Toen deze niet reageerde besloot hij zijn ervaringen te delen op een

internetforum.

"Wat hier gebeurd is, is fout", aldus een woordvoerster van de internetprovider, "Normaal gesproken

hoort dit soort meldingen terecht te komen bij ons security-team dat er dan direct mee aan de slag

gaat."

Conclusies:

De eerste fout ligt in de back-upprocedure.

De tweede fout ligt in een incidentprocedure die niet gevolgd is, waardoor niet werd gereageerd op de

melding. Pas wanneer het kwaad geschied is en de fout in de openbaarheid komt, reageert de

provider.

In dit geval gaat de ontdekker van de fout gelukkig niet verder dan het te vermelden op een forum. Hij

had ook de volledige lijst op internet kunnen publiceren, of de klantgegevens voor

marketingdoeleinden kunnen verkopen, waarna de betrokken klanten overspoeld zouden worden met

spam.

9.4.14 Openbaar beschikbare informatie

Bedrijfsinformatie die op een internetpagina wordt gepresenteerd aan de hele wereld is openbaar,

maar moet wel integer zijn en niet gemanipuleerd kunnen worden. Foute informatie zal de reputatie

van de organisatie schaden. Het is erg vervelend als je een rekening moet betalen, het banknummer

niet meer weet, op de internetsite het bankrekeningnummer opzoekt maar dit blijkt niet te kloppen en

het geld wordt overgemaakt naar een ander persoon.

http://www.computable.nl/


83

Het kan zijn dat de informatie op een openbaar beschikbaar systeem, bijvoorbeeld informatie op een

webserver die toegankelijk is via het internet, moet voldoen aan wetten, regels en voorschriften in het

rechtsgebied waar het systeem zich bevindt, waar de zakelijke transactie plaatsvindt of waar de

eigenaar(s) woont (wonen).

Het is ook belangrijk dat bijvoorbeeld programmatuur die beschikbaar wordt gesteld, aan de

gebruikerseisen en de veiligheidseisen voldoet. Denk bijvoorbeeld aan de fouten in de

aangifteprogramma’s van de belastingdienst.

9.5 Samenvatting

We hebben het over beleid gehad. We weten nu dat beleid richting geeft aan de wijze waarop de

informatiebeveiliging wordt ingericht. Beleid wordt ook gebruikt om aan de overheid en andere

controlerende instanties aan te tonen dat men aan de weten regelgeving voldoet. Het beleid geeft

bovendien houvast aan de medewerkers op het moment dat niet duidelijk is of iets wel of niet is

toegestaan.

We zijn ingegaan op diverse organisatorische maatregelen. Hoe draagt de organisatie het beleid uit.

Aan welke regels moeten medewerkers voldoen.

We weten nu wat de PDCA-cyclus betekent. De onderdelen van de ISO/IEC 27002 standaard zijn

genoemd en daarmee is de samenhang tussen de verschillende aspecten van informatiebeveiliging

duidelijk geworden.

We hebben uitgelegd wat calamiteiten zijn en hoe we de risico’s bij calamiteiten zoveel mogelijk

kunnen beperken, onder andere door ons op calamiteiten voor te bereiden.

Communicatie- en bedieningsprocessen, testprocedures, eigen beheer of uitbesteding van de IT-

omgeving zijn besproken.

We zijn op de hoogte van malware en hoe we ons daartegen kunnen beschermen.

De noodzaak van back-upprocedures zijn besproken. Het beveiligen van het netwerk en media en het

uitwisselen van informatie is aan bod gekomen .

Met het uitwisselen van informatie kwamen we ook aan bij het onderwerp e-commerce, een wat

oudere benaming voor de webwinkel.

9.6 Casus

Een nieuwe mobiele telefonieprovider bestormt Nederland. U wordt ingehuurd als

beveiligingsfunctionaris. In deze Engelstalig georiënteerde branche mag u zich Chief Information

Security Officer (CISO) noemen. U krijgt de opdracht er voor te zorgen dat de klanten via internet hun

mobiele telefoniezaken kunnen regelen. Aandacht is vereist voor de privacy van de klant. De klant

moet vierentwintig uur per dag zaken kunnen doen, abonnementen kunnen afsluiten en aanpassen,

de rekening in kunnen zien, etc.

Uw bedrijf biedt de klanten naast mobiele telefonie UMTS/ HSDPA breedbandinternetverbindingen.

Het bedrijf garandeert de beschikbaarheid en veiligheid van die verbinding. Hierbij garandeert men

een 100% virusvrije verbinding.

Om aan te tonen dat uw bedrijf aan alle beveiligingseisen voldoet wil het zich laten certificeren.

U dient er zorg voor te dragen dat het management weet wat er gebeurt en tijdig kan reageren

wanneer er iets fout gaat. Tevens is het uw verantwoordelijkheid dat het personeel dat in dienst komt

betrouwbaar is.


84

In geval van een calamiteit, de diensten moeten immers vierentwintig uur per dag,

driehonderdvijfenzestig dagen per jaar, beschikbaar zijn, moeten onmiddellijk vervangende faciliteiten

aanwezig zijn.

Werk uit hoe u de beveiliging van dit bedrijf op hoofdlijnen uit zult voeren. Kunt u alles bieden wat het

bedrijf in zijn folders garandeert?


85

10 Wet- en regelgeving

Inleiding

Er is in de voorgaande hoofdstukken veel gezegd over het hoe en waarom van informatiebeveiliging.

We hebben ons gefocust op de risicoanalyse en een dreigings- en risicoprofiel vastgesteld. Op basis

daarvan hebben we fysieke, technische en organisatorische maatregelen genomen. Er zijn

maatregelen die niet optioneel zijn, maar verplicht door wetgeving genomen moeten worden.

Bij wetgeving gaat het bijvoorbeeld om wetgeving op het gebied van privacy, fiscale wetgeving en

financiële regelgeving voor banken en bedrijven. Het eigen beleid van een bedrijf moet ook nageleefd

worden. Bij internationaal werkende organisaties is het mogelijk dat het beleid per land aangepast

moet worden om aan de nationale (lokale) regelgeving te kunnen voldoen.

In een eerder hoofdstuk is de PDCA-cyclus besproken. Een van de onderdelen van die cyclus is de

zelfcontrole en de controle door de externe auditor. Dit zijn onderdelen die met de controle op de

naleving van interne en externe regelgeving te maken hebben.

Dit hoofdstuk gaat in op de naleving van weten regelgeving en op de wijze waarop controle wordt

uitgeoefend.

10.1 Naleving van wettelijke voorschriften

Ieder bedrijf wil in de eerste plaats zijn eigen bedrijfsdoelstellingen bereiken. Dit betekent het

produceren van een bepaald product, het verlenen van bepaalde diensten of bijvoorbeeld het zorg

dragen voor de naleving van bepaalde weten regelgeving zoals gebeurt door de politie of bijzondere

opsporingsinstanties. Ieder bedrijf heeft zich echter te houden aan de lokale weten regelgeving en

aan contractuele verplichtingen. De beveiligingseisen die aan het bedrijf gesteld worden hebben daar

een sterke relatie mee.

Lokale weten regelgeving staat hier zo beschreven omdat vooral voor internationaal opererende

bedrijven het beleid vaak wat globaler wordt opgesteld en de onderliggende beleidsstukken

aangepast worden aan de wetgeving die in het land van de vestiging van toepassing is. Vooral op

privacygebied kan de wetgeving afwijkend zijn en daarmee ook de wijze waarop met privacygevoelige

informatie om moet worden gegaan.

Om zeker te weten dat aan de regelgeving wordt voldaan is het daarom altijd belangrijk om advies in

te winnen bij plaatselijke juridische adviseurs van de organisatie of bij gekwalificeerde juristen.

10.2 Compliancy

Compliancy is een Engelstalig begrip dat steeds vaker gebruik wordt. Van Dale zegt daarover:

Volgzaamheid, inschikkelijkheid, meegaandheid, toegeeflijkheid, gehoorzaamheid. Waar het op neer

komt is dat een organisatie zowel de interne bedrijfsregelgeving als de wetten van het land en de

lokale regelgeving dient na te leven.

Soms levert dit conflicten op. Vooral multinationale organisaties hebben te maken met enerzijds het

interne beleid om zorg te dragen dat het bedrijf zich met één gezicht naar de buitenwereld presenteert

en anderzijds met internationale en lokale regelgeving.

Zo liggen de regelgevingen voor privacy binnen de Europese Unie gelijk, maar wijken ze sterk af van

wat er in de Verenigde Staten van Amerika is toegestaan.

In de praktijk

In Europa is de privacy sterk gewaarborgd. In de Verenigde Staten mag de overheid sinds de


86

aanslagen op het World Trade Centre in New York zo ongeveer alles met uw persoonsgegevens vanuit

het oogpunt van veiligheid en landsbelang.

Anderzijds hanteren de Verenigde Staten, sinds bij het Enron schandaal tienduizenden mensen hun

baan verloren en de fraudeurs er met vele miljoenen dollars vandoor gingen, zeer strenge

beveiligingsmaatregelen voor beursgenoteerde bedrijven. De zogenaamde Sarbanes-Oxley Act (SOx).

Compliancy gaat dus niet alleen over het voldoen aan weten regelgeving die door overheden wordt

opgelegd. Ook interne regels spelen daarbij een rol. Voor informatiebeveiliging is in de afgelopen

jaren een wereldwijde standaard ontstaan in de vorm van de eerdergenoemde Code voor

Informatiebeveiliging. Ontstaan uit de British Standard BS7799 is deze standaard tot een ISO-

normering uitgegroeid en tegenwoordig bekend onder het nummer ISO 27002.

Door adoptie van die ISO norm door verschillende andere standaardiseringsinstanties in onder

andere de Europese Unie en de NEN is deze standaard in Nederland nu bekend als de NEN-ISO/IEC

27002:2007, waarmee een verregaande standaardisering in beveiligingsmaatregelen voor overheid

en bedrijfsleven is verkregen.

10.2.1 Compliancemaatregelen

Naar aanleiding van bovenstaande is inmiddels duidelijk geworden dat het maken van intern beleid

binnen een organisatie de methode is om compliant te worden.

De organisatie dient beleid te maken waarin zij verklaart aan de (nationale en lokale) weten

regelgeving te voldoen. Procedures en handreikingen aan de medewerkers maken duidelijk hoe zij in

de praktijk die regels moeten toepassen. Risicoanalyses zorgen er voor dat de juiste

beveiligingsniveaus worden vastgesteld en de juiste, bij die beveiligingsniveaus passende

maatregelsets vastgesteld en geïmplementeerd worden.

10.3 Intellectuele eigendomsrechten (Intellectual Property Rights, IPR)

Wanneer een bedrijf software gebruikt moet er nagedacht worden over het gebruik van materiaal

waarop intellectuele eigendomsrechten kunnen rusten.

De volgende richtlijnen behoren te worden overwogen om materiaal te beschermen dat als

intellectueel eigendom kan worden beschouwd:

Het publiceren van beleid ten aanzien van de naleving van intellectuele eigendomsrechten, waarin

wettig gebruik van programmatuur en informatieproducten wordt gedefinieerd;

Programmatuur alleen aanschaffen via bekende en erkende leveranciers om te waarborgen dat er

geen auteursrechten worden geschonden;

Als er open source wordt gebruikt moet men ook de bijbehorende licentievorm respecteren en

naleven;

In stand houden van het bewustzijn van het beleid voor bescherming van intellectuele

eigendomsrechten, evenals van het voornemen om disciplinaire maatregelen te treffen tegen

personeel dat dit beleid schendt;

Bijhouden van relevante registers van bedrijfsmiddelen en het identificeren van alle bedrijfsmiddelen

met eisen ten aanzien van het beschermen van intellectuele eigendomsrechten.

Onder de intellectuele eigendomsrechten vallen auteursrecht op programmatuur of documenten,

ontwerprechten, handelsmerken, octrooien en broncodelicenties.

Programmatuur waarop eigendomsrechten rusten, wordt doorgaans geleverd op basis van een

licentieovereenkomst die de licentievoorwaarden noemt, die bijvoorbeeld het gebruik van de


87

programmatuur beperken tot bepaalde machines of het kopiëren beperken tot het maken van back-

upkopieën.

In de praktijk

Het is erg gemakkelijk, als er eenmaal een aantal licenties van een softwarepakket zijn aangeschaft,

uit dezelfde voorraad licenties nieuwe pc’s van software te voorzien. Vijf pc’s zijn voorzien van een

fotobewerkingspakket en er zijn vijf licenties. Dan komen er twee nieuwe medewerkers bij die ieder

een eigen pc krijgen en waar ook het fotobewerkingspakket op wordt geïnstalleerd. Maar er worden

geen nieuwe licenties gekocht. Op dat moment zijn er dus zeven pc’s voorzien van hetzelfde

fotobewerkingspakket, terwijl er maar voor vijf pc’s licenties betaald zijn.

Een andere vorm van schending van het intellectueel eigendomsrecht is het gebruik van een

afbeelding waar copyright op rust. Denk bijvoorbeeld aan dat gezellige foldertje over

informatiebeveiliging, waar de kluis van Dagobert Duck met al zijn beveiligingsmaatregelen in

afgebeeld staat.

10.4 Bescherming van bedrijfsdocumenten

Belangrijke registraties behoren te worden beschermd tegen verlies, vernietiging en vervalsing,

overeenkomstig wettelijke en regelgevende eisen. Datzelfde geldt natuurlijk voor contractuele

verplichtingen en bedrijfsmatige eisen.

Registraties behoren te worden gecategoriseerd naar type, bijvoorbeeld boekhoudkundige

registraties, databaserecords, transactielogbestanden, auditlogbestanden en operationele

procedures.

Bij elk type behoort de bewaartermijn en het type opslagmedium te worden vermeld, bijvoorbeeld

papier, microfiche, magnetische of optische opslag. Enige cryptografische sleutels of programmatuur

die verband houden met versleutelde archieven of digitale handtekeningen behoren ook te worden

bewaard om ontcijfering van de registraties mogelijk te maken gedurende de bewaarperiode van de

registraties.

Er behoort rekening te worden gehouden met de mogelijkheid dat media die voor opslag van

informatie worden gebruikt, in kwaliteit achteruit gaan. Procedures voor opslag en behandeling van

deze media behoren in overeenstemming met de aanbevelingen van de fabrikant te worden

geïmplementeerd. Voor langdurige opslag behoort het gebruik van papier en microfiche te worden

overwogen.

Waar elektronische opslagmedia worden gekozen, behoren procedures te worden vastgesteld om te

waarborgen dat de informatie gedurende de gehele bewaarperiode toegankelijk blijft (leesbaarheid

van zowel de media als van het gegevensformaat), om te voorkomen dat de informatie verloren gaat

als gevolg van toekomstige technologische veranderingen.

Bij de overheid is voor de bescherming van informatie de archiefwet van toepassing. In de archiefwet

worden de volgende hoofdonderwerpen behandeld: archief creatie, beheer, vernietiging, overdracht

naar het centrale archief, overdracht tussen overheden en toegang tot archieven.

In de praktijk

De nieuwste laptops en pc’s worden niet meer met een diskettestation uitgerust. De diskettes van 3

½” of misschien nog 5 ¼ ”, met data die echt niet verloren mogen gaan, worden in de nabije

toekomst wel wat lastig uitleesbaar….


88

10.5 Bescherming van gegevens en geheimhouding van

persoonsgegevens

De bescherming van gegevens en privacy valt onder de Wet Bescherming Persoonsgegevens (WBP)

en de richtlijnen van het College Bescherming Persoonsgegevens (CBP). Daarnaast kunnen

contractuele bepalingen met een klant meespelen.

Ieder organisatie hoort een beleid te hebben voor de bescherming van persoonsgegevens dat bekend

is bij iedereen die persoonsgegevens verwerkt.

Naleving van dit beleid en alle relevante weten regelgeving voor gegevensbescherming kan vaak

het beste worden bereikt door een verantwoordelijke aan te wijzen, bijvoorbeeld een functionaris die

belast is met de bescherming van gegevens en die ondersteuning geeft aan managers, gebruikers en

dienstverlenende bedrijven in de uitvoering van hun verantwoordelijkheden op dit gebied.

En er moeten natuurlijk technische en organisatorische voorzieningen zijn om persoonsgegevens te

beschermen.

En belangrijk punt is dat de burger inzagerecht heeft in de over hem/haar geregistreerde gevens. Het

is aan te bevelen hiervoor beleid en procedures te hebben.

In het nieuws

In Australië is grote ophef ontstaan over het plan van de overheid om een database met de zeer

uitgebreide profielen van 480.000 basisschoolscholieren via een intranetapplicatie toegankelijk te

maken. De database bevat de informatie van alle scholieren op staatsscholen en bestaat uit foto's,

persoonlijke informatie, mogelijke carrière, buitenschoolse activiteiten en de prestaties van de leerling.

Ouders maken zich niet alleen zorgen over de privacy van hun kinderen, maar ook over de

mogelijkheid dat pedofielen toegang tot de database krijgen.

En die zorg is volgens een informatica professor terecht. "Mensen zullen proberen in te breken. Daar

twijfel ik geen moment aan." Scholieren die de verplichte informatie niet geven, kan toegang tot het

onderwijs geweigerd worden, aldus de Minister van Onderwijs. Die laat weten dat ouders zich geen

zorgen over hackende pedofielen hoeven te maken. "Het is geen Facebook dat we hier hebben

gemaakt." De minister gaat niet in op de aantasting van de privacy, die veel verder gaat dan bij veel

sociale netwerksites het geval is.

De eerste fase van de database moet in december gereed en toegankelijk zijn en bevat dan

rapporten, contactgegevens, aanwezigheidsinformatie, het gedrag van de scholier, wat hij of zij later

wil worden en het contact met de ouders.


10.6 Voorkomen van misbruik van IT-voorzieningen

Een van de zaken die de directie in het informatiebeveiligingsbeleid moet vastleggen is de wijze

waarop de IT-voorzieningen binnen de organisatie gebruikt mogen worden. Gebruik van deze

voorzieningen voor niet-zakelijke doeleinden zonder toestemming van de directie of voor enig

onbevoegd doel behoort te worden beschouwd als onoorbaar gebruik van de voorzieningen.

Indien enige ongeautoriseerde activiteit wordt gesignaleerd door middel van controle of anderszins,

behoort deze activiteit onder de aandacht te worden gebracht van de desbetreffende manager om te

overwegen of disciplinaire en/of juridische maatregelen kunnen worden getroffen.

Er zijn natuurlijk twee kanten aan een dergelijke bepaling. Als eerste dient de organisatie volledig te

voldoen aan de bepalingen die hierboven genoemd zijn met betrekking tot het juiste gebruik van


89

licenties; alleen legale software gebruiken en de regels rond intellectueel eigendom naleven.

Anderzijds mag men van de medewerkers verwachten dat zij de aan hen beschikbaar gestelde ICT-

voorzieningen niet zullen misbruiken.

In veel organisaties is inmiddels een gedragscode in gebruik waarin de rechten en plichten van de

werkgever en de werknemers op dit gebied nader geregeld zijn.

Zo mag er vaak, mits het werken er niet onder lijdt, ook voor privédoeleinden getelefoneerd en

geïnternet worden. Wat dan meestal expliciet verboden wordt is het downloaden van muziek, films en

software, het bezoeken van seksueel getinte sites. Ook worden er aan het gebruik van e-mail

voorwaarden gesteld.

De werkgever heeft het recht hierop te controleren. Dat kan steekproefsgewijs, of juist heel gericht

wanneer er een sterke verdenking van misbruik door bepaalde personen bestaat. Voorwaarde is wel,

dat de medewerkers op de hoogte zijn dat deze controlemaatregelen uitgevoerd kunnen worden.

Bij het invoeren van dergelijke controlesystemen is het verstandig vooraf juridisch advies in te winnen

en de ondernemingsraad (OR) te raadplegen.

Op het gebied van wetgeving is er ook nog de wet computercriminaliteit. Deze wet is in 2006

aangepast. Het opzettelijk en wederrechtelijk binnendringen in computer systemen is strafbaar, zelfs

als de systemen geen beveiliging bevatten. Ook het onbruikbaar maken van computersystemen met

bijvoorbeeld ‘denial of service attacks’ is aangescherpt in deze herziening. Een denial of service is

een methode waarbij een informatiesysteem, bijvoorbeeld een website, overvoerd wordt met

aanvragen zodat deze de stroom niet kan verwerken en uitvalt. Botnets, netwerken van aan elkaar

gekoppelde computers, worden gebruikt voor dit soort aanvallen.

In het nieuws

Een 18-jarige student van een High School die het systeem "hackte" en zijn cijfers aanpaste, moet

mogelijk 38 jaar de gevangenis in. Hij wist met het wachtwoord van zijn docent op het cijfersysteem in

te loggen en de uitslag van onder andere een examen, waar hij wegens afkijken een onvoldoende

voor had gekregen, aan te passen. Volgens de openbare aanklager zou de student ook in de school

hebben ingebroken en toen de cijfers van 12 andere studenten hebben gewijzigd. Tevens installeerde

hij spyware op de schoolcomputers zodat hij ook vanaf ander locaties toegang kon krijgen.

Tijdens de inbraken die hij tussen 23 januari en 20 mei van dit jaar pleegde, wijzigde hij ook de

uitslagformulieren. Zo veranderde hij cijfers en de data, waardoor de cijfers op papier met die van het

systeem overeenkwamen. De zaak kwam pas aan het rollen toen hij een kopie van de formulieren

vroeg om beroep aan te tekenen tegen een beslissing van de Universiteit van Californië, waar hij

wegens zijn slechte cijfers was geweigerd. Docenten ontdekten het verschil tussen de cijfers en

waarschuwden justitie, waarna een onderzoek werd ingesteld.

De student werd aangeklaagd wegens het stelen van publieke gegevens, computerfraude, inbraak,

identiteitsdiefstal, heling en samenzwering. Een andere student die met hem samenwerkte, hangt drie

jaar cel boven het hoofd. De school gaat maatregelen nemen om herhaling in de toekomst te

voorkomen.


10.7 Naleving van beveiligingsbeleid en -normen

Informatiebeveiliging is een getrapte verantwoordelijkheid. De directie heeft en houdt altijd de

eindverantwoordelijkheid. Zij kunnen echter het lijnmanagement de verantwoordelijkheid voor de

uitvoering en naleving van het beleid opleggen. Managers moeten daarom regelmatig (laten)


90

beoordelen of de informatieverwerking binnen hun verantwoordelijkheidsgebied voldoet aan het

geldende beveiligingsbeleid, beveiligingsnormen en andere beveiligingseisen.

10.8 Controlemaatregelen

Tot slot komt dan de interne en/of externe auditor controleren of de organisatie wel aan de regels

voldoet. De auditor doet dit door te kijken of de maatregel bestaat. Staat deze in het beleid, wordt

deze in de praktijk uitgevoerd en functioneert de maatregel zoals bedoeld?

In de praktijk

Een organisatie heeft de ISO/IEC 27002 standaard ingevoerd. Eén van de beveiligingsmaatregelen

is een wachtwoordbeleid. In het beleid staat dat om toegang tot de kantoorautomatisering te krijgen

een wachtwoord van 8 tekens moet worden gebruikt. Het wachtwoord mag geen Nederlands woord

zijn. Het moet bovendien minimaal 1 hoofdletter en 1 cijfer of leesteken bevatten.

De auditor kijkt naar de opzet: Ja, het staat in het beleid.

De auditor kijkt naar het bestaan: Ja, de systeembeheerder heeft de vereiste regels ingevoerd.

De auditor kijkt naar werking: Hij voert zelf diverse wachtwoorden in die niet aan de gestelde eisen

voldoen. Wordt het wachtwoord geaccepteerd dan is de werking niet correct. Kan alleen een

wachtwoord ingevoerd worden dat aan de eisen van het beleid voldoet, dan is de werking van de

maatregel correct.

10.9 Audits van informatiesystemen

Het uitvoeren van audits brengt altijd risico’s voor het productieproces van een organisatie met zich

mee. De auditoren halen vaak op het moment dat het productieproces loopt, informatie uit de

systemen. Dit heeft altijd effect op de rekenkracht van de computers omdat deze extra taken te

verwerken krijgen. Het is daarom belangrijk ervoor te zorgen dat de audit geen storing veroorzaakt.

Het is dan ook niet gewenst dat bijvoorbeeld een derde partij of een klant nog eens hetzelfde laat

onderzoeken. Voor dit doel kan de auditor een Third Party Mededeling (TPM) afgeven. Deze door

een onafhankelijke IT-auditor afgegeven verklaring geeft aan in hoeverre de noodzakelijke

maatregelen in opzet, bestaan en werking hebben gefunctioneerd.

10.10 Bescherming van hulpmiddelen voor audits van

informatiesystemen

De hulpmiddelen voor systeemaudits, bijvoorbeeld programmatuur of gegevensbestanden, behoren

te worden gescheiden van ontwikkelingssystemen en productiesystemen en behoren niet te worden

opgeslagen in magneetbandbibliotheken of gebruikersruimten, tenzij hiervoor aanvullende

beschermingsmaatregelen van een geschikt niveau zijn getroffen.

Indien derden bij een audit zijn betrokken bestaat het risico dat de audithulpmiddelen en de informatie

waartoe toegang is verkregen door deze derde partij worden misbruikt.

Maatregelen zoals het beperken van toegang tot alleen die systemen waarin de auditor voor zijn

onderzoek moet zijn, een geheimhoudingsverklaring en beperking van de fysieke toegang kunnen

worden overwogen om dit risico aan te pakken, en alle daaruit voortvloeiende maatregelen zoals het

onmiddellijk wijzigen van de wachtwoorden die aan auditoren zijn bekendgemaakt.

Tenslotte blijft na alles wat besproken is het volgende altijd van kracht: hoe sterk een organisatie haar

beveiliging ook geregeld heeft … de beveiliging is zo sterk als de zwakste schakel!


91

10.11 Samenvatting

In dit hoofdstuk hebben we ten slotte de rol van weten regelgeving besproken.

Wetgeving bestaat voor fiscale zaken, privacy, maar ook voor zakendoen. Naast lokale wetgeving

hebben we te maken met buitenlandse regelgeving zoals de Sarbanes-Oxley Act die er voor zorgt dat

een Nederlandse bank alleen op de beurs in Wallstreet zaken kan doen, als zij aantoont aan deze

Amerikaanse regelgeving te voldoen.

We hebben gezien dat standaarden zoals de ISO/IEC 27002 helpen bij het naleven van weten

regelgeving.

Intellectuele eigendomsrechten van anderen dienen net zo goed beschermd te worden als de

eigendommen van de organisatie. Als een bedrijf tonnen, misschien wel miljoenen gestoken heeft in

de ontwikkeling van een product, dan wil het natuurlijk niet dat een ander het ongevraagd kopieert en

voor een lage prijs aanbiedt.

Tenslotte is er de audit, waarin we kunnen aantonen dat we aan de eisen voor de beveiliging van de

informatie voldoen.

10.12 Casus

Incasso BV is een groot incassobureau dat de inning van achterstallige betalingen voor een groot

aantal klanten regelt. Incasso BV is als eenmanszaak begonnen en in de loop der jaren uitgegroeid

tot een bedrijf met een vijftal vestigingen in de Benelux. Het bedrijf heeft zestig medewerkers in

dienst. Incasso BV biedt, op bescheiden schaal, ook bancaire diensten.

In verband met de uitgebreide weten regelgeving wordt u ingehuurd om er zorg voor te dragen dat

informatiebeveiliging op basis van de ISO/IEC 27002 standaard geïmplementeerd wordt. U zoekt uit

welke weten regelgeving hier geldt en werkt op basis hiervan het beleid uit.

Tot slot dient u er voor te zorgen dat de naleving van bovenstaande zaken aantoonbaar ingeregeld is

wanneer een externe audit uitgevoerd wordt.

Beschrijf wat u moet doen om het juiste beveiligingsniveau te bepalen. Welke

beveiligingsmaatregelen moeten globaal uitgevoerd worden? Hoe toont u aan de auditoren aan dat

uw bedrijf zijn zaken op orde heeft? Met welke van overheidswege opgelegde regelgeving heeft u

zoal te maken?


92

IndexIndex

aanslagen..............................................................................................................................................85

aanvallen ...................................................................................................................................17, 72, 89

aanvullende beschermingsmaatregelen ...............................................................................................90

aanvullende maatregelen......................................................................................................................35

aanvullende veiligheidsmaatregelen.....................................................................................................77

acceptatie ..............................................................................................................................................67

accounts ..........................................................................................................................................68, 81

Accupacks.............................................................................................................................................37

alarm ...............................................................................................................................................36, 39

algoritmen............................................................................................................................47, 48, 50, 51

Annual Loss Expectancy (ALE) ............................................................................................................23

apparaten ........................................................................................................................................48, 79

apparatuur ............................................ 22, 29, 32, 33, 34, 36, 37, 38, 39, 41, 52, 53, 63, 64, 65, 66, 79

applicatie .............................................................................................................................44, 52, 67, 81

arbeidscontract................................................................................................................................59, 60

asymmetrisch systeem..........................................................................................................................49

audit trails ..............................................................................................................................................65

auditor .............................................................................................................................................85, 90

audits.....................................................................................................................................................90

auteursrechten ......................................................................................................................................86

authenticatie ..............................................................................................................................35, 45, 77

authenticiteit ..............................................................................................................................45, 47, 78

automatisering...............................................................................................................25, 26, 52, 65, 68

autorisaties ........................................................................................................................................6, 45

back-up tapes..................................................................................................................................36, 39

back-upprocedures .........................................................................................................................12, 83

back-ups....................................................................................................................5, 16, 37, 65, 76, 77

banken.............................................................................................................................................71, 85

bankgegevens...........................................................................................................................17, 55, 69

basiselementen .....................................................................................................................................42

basiskennis..............................................................................................................................................9

BCM ......................................................................................................................................................61

bedieningsprocedure.......................................................................................................................65, 66

bedreigingen .......................................................................................................................30, 36, 38, 60

bedrijf.....9, 11, 12, 14, 15, 16, 18, 19, 21, 23, 24, 25, 27, 30, 38, 41, 44, 45, 55, 61, 62, 63, 67, 68, 77,78, 79, 80, 82, 83, 84, 85, 86, 91

bedrijfsactiviteiten............................................................................................................................61, 78

bedrijfsbelang........................................................................................................................................66


93

bedrijfsbeleid ...................................................................................................................................30, 55

bedrijfscommunicatiesystemen.............................................................................................................81

bedrijfscontinuïteit .................................................................................................................................61

Bedrijfscontinuïteitsbeheer........................................................................................................58, 61, 62

bedrijfsdocumenten...............................................................................................................................87

bedrijfsdoelstellingen.......................................................................................................................10, 85

bedrijfseenheid......................................................................................................................................30

bedrijfsgegevens .......................................................................................................................24, 29, 67

bedrijfsgeheimen...................................................................................................................................22

Bedrijfshulpverlening (BHV)..................................................................................................................63

bedrijfsinformatie.......................................................................................................................52, 77, 80

bedrijfsleven ..................................................................................................................5, 7, 8, 56, 59, 86

bedrijfsmiddel ............................................................................................................................33, 43, 44

bedrijfsnaam..........................................................................................................................................35

bedrijfsnetwerk ..........................................................................................................................16, 74, 77

bedrijfsomgeving ...................................................................................................................................14

bedrijfspanden.......................................................................................................................................44

bedrijfsprocessen ..................................................................................11, 14, 15, 17, 18, 25, 62, 63, 64

bedrijfsregels .........................................................................................................................................60

bedrijfstoepassingen .............................................................................................................................46

bedrijfsvoering.........................................................................................................................................9

Bedrijfswaarde ......................................................................................................................................43

beginnende brand .................................................................................................................................21

beheer ............................................................................ 5, 12, 13, 41, 42, 43, 48, 53, 54, 55, 65, 83, 87

beheersmaatregel .................................................................................................................................46

beheersmaatregelen .............................................................................................................................46

bekabeling .......................................................................................................................................38, 43

beleid................................................................ 13, 15, 30, 48, 55, 56, 58, 59, 83, 85, 86, 88, 89, 90, 91

beleidsdocumenten ...................................................................................................................56, 57, 58

Beleidsmedewerker Informatiebeveiliging ............................................................................................30

berichten............................................................................................................22, 44, 49, 51, 70, 71, 82

bescherming................................................................................. 5, 6, 32, 34, 35, 38, 41, 80, 86, 87, 88

beschikbaarheid ......................................................................... 9, 10, 12, 14, 15, 30, 41, 61, 62, 76, 83

bestanden....................................................................................................16, 43, 52, 66, 72, 74, 76, 81

besturingssystemen ........................................................................................................................46, 76

beveiliging5, 9, 10, 12, 17, 19, 21, 25, 27, 28, 29, 32, 33, 41, 42, 43, 44, 45, 46, 52, 53, 55, 58, 59, 67,71, 76, 77, 80, 84, 89, 90, 91

beveiligingsbeleid......................................................................................................................79, 89, 90

beveiligingseisen.....................................................................................................44, 46, 67, 83, 85, 90

beveiligingsincidenten ...................................................................................................27, 28, 29, 31, 61

beveiligingsmaatregelen .................. 6, 17, 18, 19, 21, 24, 25, 32, 33, 42, 46, 57, 80, 85, 86, 87, 90, 91


94

beveiligingsniveaus .........................................................................................................................43, 86

bewaarperiode ......................................................................................................................................87

bewaking ...................................................................................................................................34, 35, 36

bewijsmateriaal .....................................................................................................................................29

BHV-medewerker..................................................................................................................................63

BIV-eisen.........................................................................................................................................11, 15

blusmiddelen .............................................................................................................................32, 39, 40

botnets.............................................................................................................................................17, 75

Bouwkundige en Elektronische maatregelen........................................................................................32

bouwkundige maatregelen ..............................................................................................................32, 34

brand .................................................................................. 16, 21, 22, 23, 33, 36, 37, 38, 39, 40, 61, 63

Brandbeveiliging..............................................................................................................................38, 39

branddriehoek .......................................................................................................................................39

Brandkast ..............................................................................................................................................39

brandwerende maatregelen ..................................................................................................................22

broncode .........................................................................................................................................52, 53

buitenring...............................................................................................................................................34

Business Continuity Management (BCM ................................................................................................8

Business Continuity Planning .........................................................................................................62, 63

Business Impact Analyse (BIA).............................................................................................................62

calamiteit .............................................................................. 9, 16, 36, 41, 43, 55, 61, 62, 63, 64, 65, 84

CD .........................................................................................................................................................55

certificaat .........................................................................................................................................50, 69

Chief Information Security Officer (CISO)...........................................................................17, 30, 58, 83

CISO......................................................................................................................................................30

CISSP......................................................................................................................................................7

classificatie ......................................................................................................................................43, 44

classificatiebeleid ..................................................................................................................................56

classificering....................................................................................................................................78, 79

CleanPort ..............................................................................................................................................71

clusters ..................................................................................................................................................58

COBIT ...................................................................................................................................................42

code.....................................................................................................................................34, 72, 74, 75

College Bescherming Persoonsgegevens ............................................................................................88

commerciële bedrijven ............................................................................................................................7

communicatie ....................................................................................................14, 15, 46, 58, 65, 73, 80

compartimenten ....................................................................................................................................44

Compliancemaatregelen .......................................................................................................................86

Compliancy......................................................................................................................................85, 86

computerdreigingen ..............................................................................................................................17

computers..........................................................................................................14, 24, 60, 65, 75, 89, 90


95

computersystemen..............................................................................................................26, 53, 76, 89

consumentenproducten.........................................................................................................................17

continuïteit ...........................................................................................................9, 16, 38, 41, 61, 62, 64

controlemaatregelen .............................................................................................................................89

corporate beleid ....................................................................................................................................56

correctheid.............................................................................................................................................15

Correctieve maatregelen.......................................................................................................................20

corrigerende maatregelen .....................................................................................................................29

creditcardgegevens.........................................................................................................................69, 82

cryptoanalyse ........................................................................................................................................47

cryptografie..........................................................................................................................47, 48, 50, 53

cryptografische systemen .....................................................................................................................48

cyberspionage.......................................................................................................................................17

data .......................................... 10, 12, 13, 18, 19, 22, 24, 28, 42, 52, 53, 55, 64, 76, 77, 78, 81, 87, 89

databases..................................................................................................................................10, 43, 44

defecten.................................................................................................................................................39

detecteren ...............................................................................................................30, 38, 39, 73, 75, 76

detectie..................................................................................................................................................20

Detectieve maatregelen ........................................................................................................................20

diefstal .....................................................................................................................23, 24, 28, 33, 41, 70

diensten.............................................................................................................29, 46, 61, 67, 84, 85, 91

directe schade.......................................................................................................................................23

Disaster Recovery Planning............................................................................................................62, 63

disciplinaire maatregelen ......................................................................................................................86

Discretionary Access Control (DAC).....................................................................................................45

documentatie.........................................................................................................................................60

documenten ..........................................................................................33, 43, 44, 50, 57, 70, 72, 81, 86

domeinen...............................................................................................................................................58

dreigingen..................................................... 5, 16, 17, 18, 19, 21, 22, 23, 25, 26, 27, 30, 31, 33, 39, 60

dreigingen werkelijkheid........................................................................................................................18

dreigings- en risicoprofiel ......................................................................................................................85

echtheidskenmerken .............................................................................................................................45

e-commerce ....................................................................................................................................82, 83

eigenaar ..................................................................................................................43, 44, 50, 53, 69, 83

elektriciteit .............................................................................................................................................40

e-mailadressen................................................................................................................................17, 71

e-mails...............................................................................................................22, 60, 69, 71, 73, 74, 75

Emergency planning .............................................................................................................................41

encryptiemiddelen ...........................................................................................................................44, 56

Enkelvoudige Schade Verwachting (ESV)............................................................................................23

escalatie ................................................................................................................................................27


96

EXIN ....................................................................................................................................................2, 7

expert ....................................................................................................................................................81

Exploitatie................................................................................................................................................7

extern bedrijf .........................................................................................................................................54

extranet .................................................................................................................................................77

Federal Aviation Administration (FAA)..................................................................................................14

Freedom of Information Act (FOIA).......................................................................................................22

functies ............................................................................................................................6, 13, 30, 53, 59

functiescheiding ..............................................................................................................................66, 67

Functionaris voor de Gegevensbescherming .......................................................................................30

functionarissen ......................................................................................................................................31

fysieke beveiliging .............................................................................................32, 33, 36, 39, 41, 42, 55

fysieke beveiligingsmaatregelen ...........................................................................................................32

fysieke beveiligingswereld.....................................................................................................................32

Fysieke maatregelen.........................................................................................................................5, 32

fysieke toegang ...............................................................................................................................58, 90

geautomatiseerde systemen.....................................................................................................13, 41, 42

gebied........................................................................................... 7, 8, 21, 25, 26, 34, 42, 56, 85, 88, 89

gebouwen..........................................................................................................18, 23, 32, 34, 41, 53, 61

gebruikers..............................................................................................11, 17, 28, 29, 60, 68, 75, 77, 88

gebruikersmodus...................................................................................................................................76

gedragscode .......................................................................................................................59, 60, 71, 89

gefrustreerde medewerker ....................................................................................................................22

gegevens...10, 11, 12, 13, 17, 19, 21, 24, 28, 30, 33, 44, 46, 47, 51, 53, 55, 67, 68, 69, 70, 77, 78, 79,88, 89

gegevensbestanden..................................................................................................................13, 23, 90

gegevensdragers ..................................................................................................................................33

geheimhoudingsverklaring ........................................................................................................59, 60, 90

geinfecteerde systeem ....................................................................................................................72, 73

gemerkte bedrijfsmiddelen ....................................................................................................................44

gerechtigden .........................................................................................................................................44

getuigen.................................................................................................................................................19

gevoeligheid ....................................................................................................................................43, 44

goedkopere maatregelen ......................................................................................................................36

hackers............................................................................................................................................14, 76

handleidingen..................................................................................................................................43, 79

harddisk.................................................................................................................................................33

hekken...............................................................................................................................................5, 34

helpdesk ....................................................................................................................................22, 30, 63

herstel............................................................................................................................43, 61, 62, 63, 64

hoax.................................................................................................................................................73, 74


97

HR .............................................................................................................................................13, 14, 16

https.......................................................................................................................................................69

ICT.........................................................................................................2, 7, 9, 10, 30, 41, 42, 53, 55, 89

ICT-beveiliging ................................................................................................................................41, 42

ICT-infrastructuur ............................................................................................................................42, 55

ICT-omgeving........................................................................................................................................53

ICT-organisatie................................................................................................................................30, 42

ICT-systemen........................................................................................................................................10

Identificatie ............................................................................................................................................45

imagoschade...................................................................................................................................19, 24

implementeren ..........................................................................................................9, 10, 44, 46, 56, 57

Incasso..................................................................................................................................................91

incidentcyclus ........................................................................................................................................30

incidenten........................................................................................20, 27, 28, 30, 31, 59, 73, 74, 75, 79

incidentmanagement.......................................................................................................................27, 31

incidentmanagementproces............................................................................................................27, 28

Indirecte schade..............................................................................................................................23, 24

indringerdetectie....................................................................................................................................36

infecteert................................................................................................................................................72

informatie...2, 5, 9, 10, 11, 12, 13, 14, 15, 16, 19, 20, 22, 25, 28, 30, 31, 33, 36, 38, 41, 42, 43, 44, 45,46, 47, 50, 52, 53, 55, 59, 60, 61, 65, 66, 67, 68, 74, 76, 77, 78, 79, 80, 81, 82, 83, 85, 87, 88, 90,91

Informatie ............................................................................... 5, 7, 10, 11, 14, 32, 42, 43, 44, 59, 79, 82

informatieanalyse ..................................................................................................................................15

informatiearchitectuur......................................................................................................................14, 15

informatiebeveiliger ...........................................................................................................................9, 32

informatiebeveiliging5, 7, 8, 9, 10, 11, 15, 16, 25, 27, 30, 31, 32, 55, 56, 58, 59, 60, 62, 77, 83, 85, 86,87, 91

informatiebeveiligingsbeleid ....................................................... 7, 30, 55, 56, 57, 58, 72, 73, 74, 75, 88

informatiebeveiligingsbewustwording ...................................................................................................60

informatiebeveiligingsdoelstellingen .....................................................................................................57

informatiebeveiligingsfuncties .................................................................................................................9

informatiebeveiligingsfunctionarissen ...................................................................................................59

informatiebeveiligingsgebeurtenis.........................................................................................................28

informatiebeveiligingsincidenten .................................................................................................5, 27, 58

informatiebeveiligingsorganisatie..........................................................................................................31

informatiebeveiligingsproces.....................................................................................................25, 27, 59

informatiebeveiligingsprojecten...............................................................................................................7

informatiemanagement .....................................................................................................................7, 15

informatiesystemen .......................................... 10, 12, 15, 21, 28, 29, 42, 45, 46, 58, 61, 62, 66, 67, 90

informatie-uitwisseling...........................................................................................................................80

informatievoorziening ......................................................................................................9, 10, 14, 15, 42


98

Information Security Management System.....................................................................................56, 57

Information Security Manager (ISM) ...............................................................................................30, 46

Information Security Officer.......................................................................................................17, 31, 66

infrastructuur .......................................................................................................................23, 42, 46, 66

installatieverzoek...................................................................................................................................11

instanties .........................................................................................................................................63, 83

integer .............................................................................................................................................11, 82

integriteit................................................................... 9, 10, 12, 13, 14, 30, 47, 50, 51, 67, 73, 76, 78, 82

intellectuele eigendomsrechten ......................................................................................................53, 86

interferentie ...........................................................................................................................................33

internationaal opererende bedrijven .....................................................................................................85

internationaal werkende organisaties ...................................................................................................85

interne bedrijfsregelgeving ....................................................................................................................85

internet ....................................................................................................5, 20, 71, 75, 77, 78, 80, 82, 83

internetprovider ...............................................................................................................................81, 82

intranet ................................................................................................................................28, 46, 55, 77

invoergegevens.....................................................................................................................................46

IP-adres.....................................................................................................................................60, 69, 75

IP-nummers...........................................................................................................................................75

ISO/IEC ...................................................................................... 2, 25, 27, 55, 56, 58, 62, 83, 86, 90, 91

ITIL ....................................................................................................................................................8, 42

IT-voorzieningen .......................................................................................................................66, 76, 88

Jaarlijkse Schade Verwachting (JSV) ...................................................................................................23

kernelmodus..........................................................................................................................................76

klantgegevens ...........................................................................................................................53, 67, 82

kluizen ...................................................................................................................................................39

koeling .......................................................................................................................................23, 37, 41

kostbaarste maatregel...........................................................................................................................36

kritische bedrijfsprocessen....................................................................................................................61

kwalitatieve risicoanalyse................................................................................................................18, 19

kwaliteitseisen ...................................................................................................................5, 9, 10, 11, 56

kwantitatieve risicoanalyse..............................................................................................................18, 19

kwetsbaarheden..................................................................................................................17, 18, 66, 81

kwetsbaarheid .......................................................................................................................9, 19, 49, 66

laptops.................................................................................................................................24, 33, 48, 87

leveranciers ...................................................................................................................55, 56, 61, 77, 86

licenties ...........................................................................................................................................87, 89

locaties ......................................................................................................................................32, 64, 89

logic bombs ...........................................................................................................................................74

maatregelen .... 5, 6, 9, 10, 13, 16, 18, 19, 20, 21, 25, 26, 27, 28, 30, 32, 33, 34, 38, 39, 41, 42, 44, 55,56, 57, 59, 60, 61, 63, 66, 71, 82, 83, 85, 88, 89, 90


99

mailadres.........................................................................................................................................67, 69

malware.............................................................................................................17, 52, 60, 69, 75, 76, 83

managementsysteem............................................................................................................................56

Mandatory Access Control (MAC) ........................................................................................................45

materialen........................................................................................................................................33, 60

medewerkers.7, 9, 12, 20, 24, 26, 27, 29, 31, 33, 36, 52, 53, 55, 59, 60, 61, 62, 63, 64, 65, 71, 73, 74,75, 83, 86, 87, 89, 91

media.................................................................................................................15, 33, 78, 79, 80, 83, 87

merking..................................................................................................................................................44

merknaam .............................................................................................................................................40

microfiche..............................................................................................................................................87

middelen............................................................................................................10, 18, 36, 42, 55, 61, 63

misbruik .............................................................................................................45, 47, 67, 70, 79, 88, 89

mobiele apparatuur ...................................................................................................................33, 43, 79

monteur .................................................................................................................................................78

muren ..............................................................................................................................................34, 35

nauwkeurigheid .....................................................................................................................................53

Nederlandse beursgenoteerde bedrijven..............................................................................................25

Nederlandse Vereniging van Banken (NVB).........................................................................................71

netwerk....................................................... 10, 13, 22, 25, 44, 52, 53, 60, 61, 63, 66, 73, 77, 78, 81, 83

netwerkprinters......................................................................................................................................81

netwerkruimten......................................................................................................................................36

netwerkverbindingen .......................................................................................................................61, 76

object...................................................................................................................................19, 36, 38, 73

onbevoegde openbaarmaking ............................................................................................48, 78, 79, 82

onderdrukkende maatregelen ...............................................................................................................21

ongeautoriseerden ................................................................................................................................53

ontwikkelaars ........................................................................................................................................60

onweerlegbaarheid................................................................................................................................82

Operating Systems (OS) .......................................................................................................................53

organisatie bedrijfsmiddelen .................................................................................................................44

organisatie BHV'ers...............................................................................................................................63

organisatie cryptografie.........................................................................................................................48

organisaties/bedrijven .............................................................................................................................9

organisatietype........................................................................................................................................9

organisatorische beveiligingsmaatregelen............................................................................................55

pand ............................................................................................................22, 26, 33, 34, 35, 36, 38, 39

papier ......................................................................................................................30, 42, 78, 80, 87, 89

paspoort ................................................................................................................................................45

patchen..................................................................................................................................................78

payload......................................................................................................................................72, 73, 74


100

pc.......................................................... 10, 12, 13, 17, 22, 25, 27, 29, 33, 43, 53, 60, 65, 71, 77, 78, 87

PDCA-cyclus .................................................................................................................55, 56, 58, 83, 85

PDCA-model .........................................................................................................................................57

personeelsdossiers ...............................................................................................................................60

Personele maatregele ...........................................................................................................................65

persoonlijke gegevens ....................................................................................................................27, 67

persoonsgegevens..............................................................................................................43, 52, 85, 88

phishing ...............................................................................................................................17, 69, 70, 71

pincode............................................................................................................................................36, 69

Platform voor Informatiebeveiliging (PvIB.............................................................................................10

preventieve maatregelen.................................................................................................................20, 58

printers ............................................................................................................................................33, 81

privacy .................................................................................................................6, 13, 77, 83, 85, 88, 91

privégegevens.......................................................................................................................................77

processen............................................................................. 5, 13, 14, 15, 27, 42, 53, 57, 58, 59, 65, 76

productiefactor ................................................................................................................................11, 14

productieproces.............................................................................................................41, 61, 62, 64, 90

productiesystemen ..........................................................................................................................66, 90

programmatuur............................................................. 13, 15, 23, 24, 43, 52, 53, 63, 72, 83, 86, 87, 90

provider ...............................................................................................................................55, 69, 81, 82

Public Key Infrastructure (PKI)..............................................................................................................50

rechten ..............................................................................................................13, 53, 59, 68, 76, 78, 89

redundant ..............................................................................................................................................64

regelgeving..........................................................................................................6, 25, 83, 85, 86, 88, 91

regelingen..............................................................................................................................................57

registraties.............................................................................................................................................87

rekencentrum ......................................................................................................................26, 41, 64, 65

repressieve maatregelen.......................................................................................................................25

RFID-passen .........................................................................................................................................35

rfid-tag ...................................................................................................................................................35

richtlijnen ...........................................................................................................25, 44, 56, 58, 78, 86, 88

risico ..5, 9, 16, 17, 18, 19, 20, 21, 23, 24, 26, 27, 31, 33, 42, 43, 45, 46, 48, 52, 57, 63, 66, 67, 80, 82,83, 90

risicoanalyse .................................................................. 5, 11, 16, 18, 19, 26, 28, 32, 42, 43, 46, 57, 85

risicodragende organisatie ....................................................................................................................25

risicomanagement...............................................................................................................17, 18, 26, 27

risicomijdend .........................................................................................................................................25

risiconeutraal .........................................................................................................................................25

risiconeutrale organisatie ......................................................................................................................25

risicostrategieën ..............................................................................................................................24, 26

risicowaardering ....................................................................................................................................18


101

rootkits...................................................................................................................................................76

rubricering .................................................................................................................................44, 78, 79

ruimten ................................................................................................................................32, 35, 36, 38

sancties ...........................................................................................................................................59, 60

SANS.....................................................................................................................................................17

SANS Institute.......................................................................................................................................17

schade................................ 16, 18, 20, 21, 22, 23, 24, 25, 26, 28, 39, 40, 41, 42, 61, 63, 71, 74, 75, 79

screening...............................................................................................................................................59

sensoren....................................................................................................................................34, 36, 39

serverruimten ............................................................................................................................36, 37, 38

servers.........................................................................................................10, 12, 23, 25, 37, 43, 75, 80

show......................................................................................................................................................23

signalering .............................................................................................................................................40

Single Loss Expectancy (SLE)..............................................................................................................23

slachtoffers ..........................................................................................................................12, 69, 70, 73

sleutelbeheer.........................................................................................................................................48

sleutelmateriaal ...............................................................................................................................48, 56

sleutelparen.....................................................................................................................................48, 49

social engineering ...............................................................................................................17, 22, 52, 74

software................................ 5, 13, 17, 19, 25, 29, 39, 44, 46, 54, 67, 69, 74, 75, 76, 78, 79, 86, 87, 89

soorten bedrijfsprocessen .....................................................................................................................14

soorten branden ....................................................................................................................................40

spam....................................................................................................................................69, 70, 71, 82

spamfilters .............................................................................................................................................71

spanningsdips .......................................................................................................................................37

spyware ...............................................................................................................................17, 69, 75, 89

standaardmaatregel ..............................................................................................................................69

Stichting Aanpak Financieel-Economische Criminaliteit in Nederland (SAFECIN ...............................70

storingen..............................................................................................................................23, 30, 41, 61

stroom .....................................................................................................................30, 32, 37, 38, 41, 89

stroomstoringen ....................................................................................................................................36

stroomuitval ...........................................................................................................................................61

student.............................................................................................................................................47, 89

systeembestanden ................................................................................................................................52

systemen............................ 10, 13, 14, 15, 17, 29, 35, 37, 39, 42, 45, 53, 61, 63, 64, 66, 76, 80, 89, 90

tapes..........................................................................................................................................36, 39, 79

technische maatregelen ........................................................................................................5, 32, 42, 55

testen...................................................................................................................................52, 65, 67, 77

Third Party Mededeling (TPM) ..............................................................................................................90

thuisomgeving .........................................................................................................................................9


102

toegang13, 14, 16, 17, 32, 33, 34, 35, 36, 38, 41, 44, 45, 50, 52, 53, 55, 58, 61, 67, 68, 69, 73, 76, 81,87, 88, 89, 90

toegangsbeheer ........................................................................................................................13, 35, 44

toegangsbeveiliging ..............................................................................................................................58

toegangscontrole.................................................................................................................36, 42, 45, 53

toegangscontrolesystemen .............................................................................................................38, 41

toegangspassen..................................................................................................................35, 36, 59, 61

toegangsrechten .............................................................................................................................29, 53

toeleveranciers................................................................................................................................15, 36

toepassingen.....................................................................................................42, 46, 47, 48, 52, 53, 76

toepassingssystemen......................................................................................................................46, 52

token......................................................................................................................................................45

trojans....................................................................................................................................................73

type bedrijfsmiddel ................................................................................................................................43

uitval ....................................................................................................................................61, 62, 63, 64

uitvoerbare maatregelen .......................................................................................................................20

uitvoergegevens..............................................................................................................................46, 47

Uninterruptible Power Supply (UPS).....................................................................................................37

USB-sticks.................................................................................................................5, 17, 31, 33, 78, 80

veiligheid .........................................................................................................................7, 38, 71, 83, 85

verantwoordelijkheden ....................................................................................................................65, 88

vercijferen..................................................................................................................................48, 49, 51

Verklaring Omtrent Gedrag (VOG) .......................................................................................................59

verlichting ........................................................................................................................................34, 62

verplichte brandbeveiligingseisen .........................................................................................................39

verstoringen ..........................................................................................................................................66

versturen .......................................................................................................................45, 71, 73, 75, 81

vertrouwelijke informatie .........................................................................................13, 50, 52, 68, 73, 81

vertrouwelijkheid .......................................... 9, 10, 11, 12, 13, 14, 30, 41, 47, 50, 51, 59, 67, 80, 81, 82

vertrouwensfuncties ..............................................................................................................................59

verwerkings- en gebruikersorganisatie .................................................................................................13

vingerafdruk ..........................................................................................................................................36

Virtual Private Networks........................................................................................................................77

virus.............................................................................................................22, 27, 29, 69, 72, 73, 74, 75

virussen...............................................................................................................................69, 71, 72, 73

vocht....................................................................................................................................36, 37, 38, 79

voetpad..................................................................................................................................................46

volledigheid ...........................................................................................................................................12

Voorschrift Informatiebeveiliging Rijksdienst ............................................................................25, 44, 79

waarborgen .............................................................................. 10, 12, 13, 14, 37, 38, 50, 61, 80, 86, 87

wachtwoorden .......................................................................................................................9, 17, 68, 90


103

werkgever..............................................................................................................................................89

werknemers.........................................................................................................................17, 55, 64, 89

werkplek ......................................................................................................10, 29, 33, 64, 72, 73, 74, 75

wissen .............................................................................................................................................24, 33

wormen................................................................................................................................69, 72, 73, 74

zaken........................................................................................ 19, 26, 28, 33, 43, 55, 58, 63, 83, 88, 91

zelfstandigen zonder personeel (ZZP)....................................................................................................9

zuurstof............................................................................................................................................39, 40

zwakheden ..........................................................................................................5, 17, 22, 27, 28, 46, 52


104

Voorbeeldvragen examen ISFS (EXIN)

1 van 5

U hebt een bestand ontvangen van de accountant en u controleert of de gegevens juist en volledig

zijn.

Welk kenmerk van betrouwbaarheid van informatie controleert u hiermee?

A. beschikbaarheid

B. exclusiviteit

C. integriteit

D. vertrouwelijkheid

A. Onjuist. Beschikbaarheid is de mate waarin gegevens op de juiste momenten beschikbaar zijn voor

de gebruikers.

B. Onjuist. Exclusiviteit is een synoniem van Vertrouwelijkheid.

C. Juist

D. Onjuist. Dit betreft de mate waarin de toegang tot gegevens beperkt is tot degene die daartoe

bevoegd is.

2 van 5

Bij een bedrijf is, om risico’s te beperken, gekozen voor een strategie met een mix van maatregelen.

Eén van de maatregelen is dat voor het bedrijf een uitwijkvoorziening is georganiseerd.

Tot welke categorie van maatregelen hoort een uitwijkvoorziening?

A. correctieve maatregelen

B. detectieve maatregelen

C. preventieve maatregelen

D. repressieve maatregelen

A. Onjuist. Correctieve maatregelen richten zich op herstel na beschadiging.

B. Onjuist. Detectieve maatregelen geven alleen een signaal na detectie.

C. Onjuist. Preventieve maatregelen zijn bedoeld om incidenten te voorkomen.

D. Juist. Repressieve maatregelen, zoals een uitwijk, minimaliseren de schade.


105

3 van 5

Hoe kan het doel van informatiebeveiligingsbeleid het beste worden omschreven?

A. Het analyseren van risico’s en het zoeken van tegenmaatregelen.

B. Het bieden van een richting en ondersteuning aan het management ten behoeve van

informatiebeveiliging.

C. Het concreet maken van het beveiligingsplan door er invulling aan te geven.

D. Het verschaffen van inzicht in dreigingen en de mogelijke gevolgen.

A. Onjuist. Dit is het doel van risico-analyse en risicomanagement.

B. Juist. Het beveiligingsbeleid biedt richting en ondersteuning aan het management ten behoeve van

informatiebeveiliging.

C. Onjuist. Het beveiligingsplan maakt het informatiebeveiligingsbeleid concreet. In het plan staat

o.a. welke maatregelen er gekozen zijn, wie verantwoordelijk is voor wat, de richtlijnen voor

implementatie van maatregelen etc.

D. Onjuist. Dit is het doel van een bedreigingenanalyse.

4 van 5

Wat is het doel van het classificeren van informatie?

A. informatie indelen naar beveiligingsbehoefte

B. toewijzen van informatie aan een eigenaar

C. verminderen van risico’s van menselijke fouten

D. voorkómen van ongeautoriseerde toegang tot informatie

A. Juist. Het doel van classificeren van informatie is het handhaven van een adequate bescherming.

B. Onjuist. Toewijzen van informatie aan een eigenaar is het middel van de classificatie en niet het

doel.

C. Onjuist. Verminderen van risico’s van menselijke fouten is onderdeel van de beveiligingseisen van

het personeel.

D. Onjuist. Voorkómen van ongeautoriseerde toegang tot informatie is onderdeel van de fysieke

beveiliging.


106

5 van 5

De Code voor Informatiebeveiliging (ISO/IEC 27002) is alleen van toepassing op grote bedrijven.

Is deze bewering juist?

A. ja

B. nee

A. Onjuist. De Code voor Informatiebeveiliging is niet alleen van toepassing op grote bedrijven.

B. Juist. De Code is van toepassing voor alle typen organisaties, groot of klein.

Basiskennis Beveiligen Van Informatie 18e

Documents

Transcript of Basiskennis Beveiligen Van Informatie 18e