BeveiligingEen leidraad voor het opzetten van informatieveiligheid

PIVO, 6 juni 2005Carl Possemiers

2

Agenda

• Waarom?• Wat is beveiliging?• ISO 17799• Conclusies/samenvatting

3

Waarom?

Parallellen met VERKEERSVEILIGHEID (wegverkeer)

• Daar wordt iedereen dagelijks mee geconfronteerd

• Is duidelijker aanwezig

• Men vindt dit normaal

• Kost mensenlevens

• Kost handenvol geld

• Veel partijen zijn erbij betrokken

• Niet altijd logisch

• Niet altijd praktisch

• Verschillende opvattingen en dus discussies

4

Waarom? (2)

• Wegverkeer bestaat al eeuwen

• Eerste auto (1886 - Benz)

• Het eerste verkeersslachtoffer: Bridget Driscoll (1896 - te Londen)

• Nu raken elk jaar 50 miljoen mensen gewond en sterven meer dan 1 miljoen mensen aan de gevolgen van auto-ongelukken.

• In België: 143 verkeersdoden per 1 miljoen inwoners

5

Waarom (3)

• Verkeersreglement

• Boetes (geld, straf,…)

• Rechtbanken

• Controle (politie, onbemande camera’s,…)

• Rijbewijs

• Opleiding

• Veiligere wagens (ABS, EDS, airbags, kreukzones,…)

• Veiligere infrastructuur (verkeerslichten -1940-, ronde punten, bruggen, scheiding van verkeer voetgangers en fietsers,…)

• Bewijzering (verkeersborden, markering, …)

• Hulpdiensten (MUG, Touring wegenhulp, takeldiensten, …)

6

Waarom (4)

• Verschillend soort wegverkeer (auto, moto, tram, fiets,voetganger,…)

• Gevolgen bij slechte werking:– Ongelukken– Menselijk drama– Financieel (schade, verzekeringen)– Files (tijdverlies, financieel verlies)– Enzovoort, enzovoort…

• Dit kennen we en we vinden het normaal dat er verkeersveiligheid is!

7

Wat is beveiliging?

• Het gaat niet alleen over virussen en hackers !

• Invullen volgens de ruimst mogelijk betekenis van de woord.• Informatiebeveiliging beschermt tegen een breed scala van

bedreigingen om:– de continuïteit van de bedrijfsvoering te waarborgen, – de schade voor de organisatie te minimaliseren – het rendement van de organisatie te optimaliseren

• Informatie en de ondersteunende processen, systemen en netwerken zijn belangrijke bedrijfsmiddelen

• Zowel fysisch (papier, materiaal, hardware) als digitaal (toepassingen en elektronische gegevens)

8

Wat is beveiliging? (2)

Veiligheid wordt gekarakteriseerd als het waarborgen van:

1. Vertrouwelijkheid (Confidentiality): informatie alleen toegankelijk voor zij die het mogen

2. Integriteit (Integrity): correctheid en volledigheid van informatie en verwerking

3. Beschikbaarheid (Availability): dat gebruikers op de juiste momenten tijdig toegang krijgen tot informatie en bedrijfsmiddelen

9

Wat is beveiliging? (3)

• We doen het voor de organisatie en zijn medewerkers– Voor een goede werking

– Voor het imago

– Voor financiële reden

• Maar ook voor anderen :– Naleving van de wet op de bescherming

van de persoonlijke levenssfeer (wet op de privacy)

– Bescherming van de eigendommen

– Bescherming van de patenten

– Bescherming tegen piraterij

– Kruispuntbank

– Rijksregister

10

ISO 17799

• Internationale standaard voor de uitwerking van een beveiligingsbeleid

• Een gemeenschappelijke basis te bieden (kader) voor de ontwikkeling van beveiligingsnormen en een effectief management ervan

• Het bevat aanbevelingen voor het initiëren, invoeren en handhaven van de beveiliging

• Niet alle adviezen en maatregelen hoeven van toepassing te zijn

11

ISO 17799 (2)

• Ga van start en leg het kader vast

• Reikwijdte van de invoering– Personeel– Externen– Bedrijfsmiddelen– Locaties

• Risico inschatting– Probabiliteit– Gevolgen– Impact– (financieel)

12

Beveiligingsbeleid

Doel: Het bieden van sturing en ondersteuning van het management ten behoeve van informatiebeveiliging

• Beleidsdocument opstellen, goedkeuren, uitvaardigen, uitdragen aan alle medewerkers, handhaven

• In beleidsdocument staat:– Definitie van informatiebeveiliging

– De doelstellingen

– De reikwijdte

– Het belang

– Een verklaring van de intenties

– Een omschrijving van de algemene en specifieke verantwoordelijkheden (rapportering)

– Verwijzingen naar documentatie die het beleid kan ondersteunen

13

Beveiligingsbeleid (2)

• Beoordeling en evaluatie

• Beleid dient een “eigenaar” te hebben verantwoordelijk voor handhaving en evaluatie

• Evaluatie als reactie op – Beveiligingsincidenten

– Wijzigingen van organisatorische aard

– Wijzigingen van technische infrastructuur

• Periodieke evaluaties– Effectiviteit van het beleid

– Kosten en effect van de maatregelen

– Het effect van verandering in technologie

14

Beveiligingsorganisatie

Doel: Het managen van de informatiebeveiliging binnen de organisatie

Door:– Forum samen te stellen

– Werkgroep(en) met management, informaticaverantwoordelijken, gebruikers, externen,…

– Toekennen van taken en verantwoordelijkheden

– Autorisatieproces voor procedures en nieuwe bedrijfsmiddelen

– Specialistisch advies over informatiebeveiliging

– Samenwerking tussen de organisaties

15

Beveiligingsorganisatie (2)

Beveiliging van toegang door derden en uitbesteding

• Informatiebeveiliging ook van toepassing op derden, niet alleen op eigen personeel

• Identificeren van risico’s van toegang door derden

• Soorten toegang (fysieke en logische)

• Redenen van toegang

• Op afstand versus op locatie

• Beveiligingseisen in contracten met derden

16

Classificatie en beheer van de bedrijfsmiddelen

Doel: Het handhaven van een adequate bescherming van bedrijfsmiddelen en waarborgen dat ze een passend niveau van beveiliging krijgen

• Eigenaars aanduiden

• Inventaris van alle bedrijfsmiddelen zoals – informatie (alle andere soorten elektronische informatie (in systeemsoftware,

applicatiesoftware, in databases, in bestanden op de fileserver, in mails,…), handleidingen, archief, contracten,…

– Software: toepassingen, CD-ROM, licenties en licentienummers,

– Fysieke bedrijfsmiddelen: computers, printers, netwerkapparatuur, telefooncentrales, faxen,

– Diensten: verwarming, verlichting, elektriciteit, airconditioning, alarmcentrale, …

• Aangeven hoe kritisch, prioritair en mate van beveiliging

17

Classificatie en beheer van de bedrijfsmiddelen (2)

• Opstellen van richtlijnen voor het classificeren

• Procedures voor het labelen en verwerken van informatie

• Nodig om:– Naar wie de informatie moet verspreid worden (kopiëren, mailen,..)

– Hoe de informatieverspreiding te beperken (oa. autorisatieproces)

– Hoe kritisch is deze informatie

– Hoe gebeurt de opslag van de informatie

– Vernietiging ervan

• Zowel van toepassing op informatie als op bedrijfsmiddelen

18

Beveiligingseisen ten aanzien van het personeel

Doel: Het verminderen van de risico’s van menselijke fouten, diefstal, fraude of misbruik van voorzieningen

• Beveiligingseisen in de functieomschrijving

• Screening tijdens aanwerving en een goedpersoneelsbeleid

• Geheimhoudingsverklaring

• Voldoende training voor de gebruikers: bewustwording van de gevaren en ook juist gebruik van de bedrijfsmiddelen

• Reageren op beveiligingsincidenten

• Disciplinaire maatregelen: tuchtprocedure of technische ingrepen

19

Fysieke beveiliging en beveiliging van de omgeving

Doel: Het voorkomen van ongeautoriseerde toegang tot, schade aan of verstoring van de gebouwen en informatie van de organisatie

• De fysieke beveiliging van de omgeving duidelijk vastleggen

• Opdeling in publieke zones, interne zones en beveiligde zones

• Inbraak- en branddetectiesystemen

• Lokalen en kasten op slot (sleutelplan)

• Receptie

• Externen begeleiden of werken met badges

• Registratie van internen en externen

20

Fysieke beveiliging en beveiliging van de omgeving (2)

Doel: Het voorkomen van verlies, schade of compromittering van bedrijfsmiddelen en onderbreking van de bedrijfsvoering

• Plaatsing en beveiliging van apparatuur tegen (diefstal, brand, rook, brand, stof, vocht ,..)

• Stroomvoorziening (stroomkringen, UPS, noodgenerator)

• Beveiliging van kabels

• Onderhoud van bedrijfsmiddelen

• Beveiliging buiten de locatie

• Een “clear desk” en “clean screen” beleid

21

Beheer van communicatie- en bedieningsprocessen

Doel: Het garanderen van een correcte en veilige bediening van IT- voorzieningen

• Gedocumenteerde bedieningsprocedures

• Het beheer van wijzigingen

• Procedures voor behandelen van incidenten

• Functiescheiding

• Extern beheer van voorzieningen

22

Beheer van communicatie- en bedieningsprocessen (2)

Doel: Het risico van systeemstoringen beperken tot een minimum

• Capaciteitsplanning

• Acceptatie van systemen– Hardware– Software– Procedures– Cursussen– Testen– Fall-back scenario

• Bescherming tegen kwaadaardige software

23

Beheer van communicatie- en bedieningsprocessen (3)

Doel: Het risico van systeemstoringen beperken tot een minimum en het handhaven van de integriteit en beschikbaarheid van

informatie en bedrijfsmiddelen

• Nemen van back-ups

• Bijhouden van een logboek

• Maatregelen voor het computernetwerk

• Beheer van verwijderbare computermedia

• Afvoer van media

• Beheer van het uitwisselen van informatie

• Beveiliging tijdens transport

24

Toegangsbeveiliging

Doel: Het beheersen van de toegang tot informatie

• Zakelijke eisen en een beleid

• Regels voor toegangsbeveiliging

• Registratie van gebruikers

• Wachtwoordmanagement

• Beheer van gebruikerswachtwoorden

• Beheer en beveiliging van netwerkverbindingen

• Toegangsbeheer van de werkstations

• Toegangsbeheer van de toepassingen

25

Toegangsbeveiliging

• Monitoring van toegang tot en gebruik van systemen

• Vastleggen van beveiligingsrelevante activiteiten

• Procedures en risicogebieden

• Evalueren van de gebeurtenissen

• Synchronisatie van de systeemklokken

• Extra aandacht en uitzonderingen– Mobiele computers

– Telewerken

– Externe verbindingen van derden

26

Ontwikkeling en onderhoud van systemen

Doel: Waarborgen dat beveiliging wordt ingebouwd in informatiesystemen

• Specificatie van de beveiligingseisen ten aanzien van een systeem

• Validatie van:– Invoergegevens– Interne gegevensverwerking– Uitvoergegevens

• Cryptografische beveiliging (encryptie en digitale handtekening)

• Beheersing van operationele software

27

Continuïteitsmanagement

Doel: Het reageren op verstoringen van bedrijfsactiviteiten en het beschermen van de kritieke bedrijfsprocessen tegen de effecten van grootschalige storingen

• In kaart brengen van de kritische bedrijfsprocessen en de bedrijfsmiddelen die hieraan gekoppeld zijn

• De waarschijnlijkheid dat zich specifieke calamiteiten voordoen

• De impact ervan bepalen

• Wat is de tijd dat deze bedrijfsprocessen en de daaraan gekoppelde bedrijfsmiddelen terug “up-and-running” moeten zijn

• Opstellen van een continuïteitsplan (strategisch en praktisch)

• Testen en actualiseren van de plannen

• Indekken (verzekeringen, leveranciers, derden)

28

Naleving

Doel: Het voorkomen van schending van wettelijke, reglementaire of contractuele verplichtingen of beveiligingseisen

• Identificeren waar welke verplichtingen of eisen van toepassing zijn

• Beveiliging van bedrijfsdocumenten

• De nodige maatregelen treffen om te voorkomen

• Controle op naleving

• Verzamelen van bewijsmateriaal

29

Waarom vertwijfeling?

• Het is heel uitgebreid

• Het is complex

• Het kan veel geld kosten

• Het kost veel tijd

• Men (management en personeel) ziet geen voordelen alleen nadelen

• Men denkt dat dit een éénmalige inspanning is maar dit is een continu proces

• Andere zaken hebben meer prioriteit totdat …..

30

Conclusies/samenvatting

• Ga er mee van start, je kan niet zonder

• Zorg dat het management erachter staat

• Zorg ook dat het personeel erachter staat (sensibilisatie)

• Niet alleen de verantwoordelijkheid van informaticus

• Doe een beroep op experts

• Pak dit planmatig aan

• Focus op de belangrijke zaken

• Zorg dat het haalbaar is

• Het hoeft zeker niet duur te zijn

31

Vragen