18 juli, 2013 · Jeroen Molenaar ISO27001 informatiebeveiliging, meer dan alleen systemen

Informatiebeveiliging op een gestructureerde manier onder (management) controle krijgen.
Met deze opdracht is in 2005 door ISO en IEC een standaard ontwikkeld onder de noemer:  ISO/IEC 27001:2005 Information security management systems (ISMS). Kortweg, een standaard voor het procesmatig inrichten van informatiebeveiliging binnen een organisatie. De standaard is onder meer ontwikkeld met de alsmaar groeiende wereldwijd beschikbare data in het achterhoofd en de mogelijke risico’s die gepaard gaan met verlies of diefstal van gevoelige data.

DatagroeiDatagroei
Sinds 2005 is de beschikbare data in de wereld enorm toegenomen. Uit cijfers blijkt dat het wereldwijde datavolume  elke twee jaar verdubbelt. Het merendeel van deze data is overigens ongestructureerd of semi gestructureerd. Ongestructureerde data, is data die niet als een veld in een database benaderbaar is. Denk hierbij aan afbeeldingen, PDF, WORD, EXCEL files, XML, etc. Vooral de wereldwijde populariteit van sites als Facebook, Twitter en Youtube dragen aan de groei van dit type data bij. Door de enorme toename aan data, is de kans op informatieverlies ook sterk verhoogd. Organisaties zouden dan ook steeds meer de behoefte moeten krijgen om (gevoelige) data te beschermen en te beveiligen. De impact van dataverlies kan namelijk enorm zijn en zelfs de continuïteit van de organisatie in gevaar brengen. Een goed en ook recent voorbeeld hiervan, is de hack bij DigiNotar in 2011, wat uiteindelijk leidde tot het faillissement van het bedrijf.

Wat is informatiebeveiliging?
Informatiebeveiliging is meer dan alleen het beveiligen van digitale data. Data kan ook in papiervorm aanwezig zijn of als kennis in de hoofden van medewerkers zitten. Het is daarom van belang om bij het opzetten van informatiebeveiliging in een organisatie in eerste instantie zo breed mogelijk te kijken naar beschikbare data.  Door alle datadragers en datavoortbrengers te benoemen ontstaat hier een duidelijk beeld van d in de organisatie. Vervolgens beoordeel je de data op drie hoofdaspecten, te weten: beschikbaarheid, integriteit en vertrouwelijkheid. Tot slot benoem en beoordeel je de risico’s die ontstaan bij het verlies van deze data.
   
Eerst de medewerkers, dan de organisatie en systemen
De meeste mensen zullen data associëren met ICT en dat is ook logisch. Immers, het merendeel van de datadragers en datavoortbrengers in een organisatie zijn ICT systemen. Het beveiligen van data is echter niet een 100% ICT aangelegenheid. Sterker nog,  slechts  een derde van de beveiliging van informatie is af te dekken met ICT systemen. Twee derde heeft te maken met gedrag van medewerkers en het proces waarmee de data wordt binnen organisaties tot stand komt.

Zo zal een goed wachtwoordenbeheer binnen een organisatie de kans op hacken van buitenaf aanzienlijk verkleinen, maar wanneer een medewerker besluit zijn wachtwoord te delen met kwaadwillenden, dan is alsnog een lek naar de informatie gecreëerd.  Bij het opzetten van informatiebeveiliging binnen een organisatie is van groot belang te beginnen bij de medewerker. Vervolgens kijk je naar de organisatie en als laatste richt je de benodigde (beheers)techniek in.

Bewustwording creëren binnen een organisatie en het onderwerp informatiebeveiliging op de kaart zetten kan op vele manieren.  Een beproefd recept hiervoor is bijvoorbeeld het fotograferen van onveilige, maar o zo herkenbare situaties. Zoals een laptop die onbeheerd en ingelogd staat, of een deur met toegangspas die voor het gemak is opengezet met een deurstopper. Het presenteren van deze foto’s zonder “naming and shaming” brengt veel herkenning naar voren. Koppel deze herkenning aan mogelijke risico’s die echt impact hebben op de organisatie en de aandacht is gewekt.

Bij het inrichten van de organisatie borduur je vervolgens verder op de bewustwording bij medewerkers. Door in sessies processen te beschrijven, informatiedragers te identificeren en potentiële risico’s te benoemen, werkt de organisatie aan haar zwakke (veiligheids)plekken en groeit het besef waar een ISMS om draait. Het formeel installeren van een security officer kan tevens bijdragen aan de zichtbaarheid van informatiebeveiliging binnen de eigen organisatie. Uiteraard spreekt het voor zich dat de security officer niet alleen verantwoordelijk is voor informatiebeveiliging in de organisatie, het is een gedeelde verantwoordelijkheid. Maar het vergemakkelijkt de coördinatie van veiligheidsinitiatieven en het op peil houden van het gewenste beveiligingsniveau.

Met een stuk bewustwording in de organisatie, ingerichte processen en benoemde en beoordeelde risico’s is het vervolgens zaak om de ICT systemen verder in te richten. Denk hierbij aan een automatische time out op een computer bij inactiviteit, redundant uitvoeren van de servers en het testen van nieuwe software op een aparte server. Allemaal stappen die een goed ISMS vormgeven en de informatiebeveiliging  naar een hoger plan tillen.  

Blijvend aandacht

Een werkend en gecertificeerd ISMS vraagt om interne reviews en updates. Buiten de verplichting vanuit de ISO27001 norm om is het voor organisaties belangrijk om het onderwerp informatiebeveiliging actueel te houden. Door het onderdeel te maken van werkoverleg, van het ontwerpproces van nieuwe producten en/of diensten, maar bovenal te bespreken bij de aanname van nieuwe medewerkers blijft er aandacht voor het onderwerp en de impact die verlies of diefstal voor een organisatie kan hebben.