Het mooie aan het werk van een informatiebeveiligingsconsultant is het bedienen van een grote diversiteit aan organisaties en het contact met medewerkers uit verschillende lagen van de organisatie. Het is opmerkelijk en verontrustend hoe vaak nog wordt gedacht dat informatiebeveiliging de verantwoordelijkheid is van de it-afdeling. De perceptie dat informatiebeveiliging gelijk staat aan techniek en dus de verantwoordelijkheid is van IT, is buitengewoon hardnekkig. Risico’s die gepaard gaan met de digitale veiligheid (cybersecurity) zijn groot in omvang en aantal. Wat komt er bij informatiebeveiliging kijken, en wat kunt u als ict-manager eraan bijdragen om informatiebeveiliging op een hoger niveau te brengen?
Governance
‘Welke informatie is er in huis, welke waarde heeft het en waar bevindt deze informatie zich?’ Als u deze kernvragen weet te beantwoorden, is een eerste stap gezet. Het lijken eenvoudige vragen, maar de komst van big data – exponentiële groei van opslag en informatie – compliceert een en ander danig. Het risico bestaat dat er geen volledig beeld is van de informatie die door de organisatie wordt verwerkt en opgeslagen. Naast kosten die dit met zich mee kan brengen, door bijvoorbeeld inefficiënte opslag, ontstaat ook het risico op compliance issues. Denk aan informatiestromen waarbij persoonsgegevens worden verwerkt. De Wet Bescherming Persoonsgegevens stelt als eis dat persoonsgegevens niet langer mogen worden bewaard dan noodzakelijk voor het doel waarvoor ze worden verzameld of gebruikt.
Aan de andere kant kunt u als it-verantwoordelijke de business voorzien van waardevolle informatie die niet eerder voor hen inzichtelijk was. Dit wordt ook wel ‘Dark Data’ genoemd: informatie die wordt verwerkt en opgeslagen, maar passief blijft binnen de organisatie.
Externe koppelvlakken
De actualiteit zorgt voor steeds meer bewustwording ten aanzien van de noodzaak van een gepast niveau van beveiliging. We zien dagelijks de voorbeelden in het nieuws verschijnen van bedrijven die zijn gehackt. Vertrouwelijke informatie gaat verloren of klantgegevens liggen op straat. De schade die ontstaat, kan aanzienlijk zijn. Denk aan reputatieschade als het incident in het nieuws komt, klanten verliezen het vertrouwen, concurrentievoordeel gaat verloren en ga zo maar door. Indien u wilt vaststellen in hoeverre uw organisatie vatbaar is voor dergelijke hackaanvallen, kunt u een technische beveiligingstest laten uitvoeren. Vest maakt een onderscheid tussen testen op het interne netwerk en tests op die plaatsen waar het netwerk met internet is verbonden, zoals webapplicaties en andere services die via internet worden aangeboden. Steeds meer klanten van Vest vragen naar testen op deze zogeheten externe koppelvlakken van de organisatie.
De weerbaarheid van de technische omgeving kan op verschillende manieren worden getest. Bij het (laten) uitvoeren van technische beveiligingsonderzoeken komen doorgaans verschillende termen voorbij. Het is goed als u op de hoogte bent van de verschillende vormen van testen, aangezien er aanzienlijke verschillen tussen bestaan. De vorm van de test is voor een belangrijk deel afhankelijk van de gewenste diepgang, de breedte van het onderzoek en de te verwachten impact op uw omgeving. Zo’n gedegen voorbereiding voorkomt dat de daadwerkelijke uitkomsten u teleurstellen.
Testvarianten
De matrix in afbeelding 1 laat in hoofdlijnen zien welke varianten er zijn op het gebied van technische beveiligingsonderzoeken.
De meest tot de verbeelding sprekende vorm is de ‘penetratietest’. Een penetratietest houdt in dat aanwezige kwetsbaarheden worden misbruikt om zodoende vertrouwelijke informatie te verkrijgen. Vest weet als geen ander dat deze vorm van testen in de praktijk nogal wat impact heeft. Volwassen organisaties waarbij informatiebeveiliging een kritieke factor speelt, zullen zonder aarzelen een penetratietest laten uitvoeren. De kwetsbaarhedenscan is de meest basale vorm van testen. Er wordt grotendeels op geautomatiseerde wijze onderzoek gedaan naar de aanwezigheid van bekende kwetsbaarheden. Tussen de diepgang van de penetratietest en de oppervlakkige breedte van de kwetsbaarhedenscan, kan de securitytest worden gepositioneerd. Het uitvoeren van een technische beveiligingstest is per definitie een momentopname. Dagelijks worden nieuwe kwetsbaarheden bekend en komen er nieuwe risico’s bij die invloed kunnen hebben op het risicoprofiel van uw organisatie. Streef naar een balans tussen de kosten van een beveiligingstest en het risico dat u wilt afdekken.
Zwakste schakel
U kunt met man en macht organisatorische en technische maatregelen implementeren, maar dat werkt alleen wanneer uw medewerkers weten op welke wijze zij geacht worden hiermee om te gaan. Het bewustzijn van medewerkers in dezen is mogelijk nog belangrijker dan alle organisatorische en technische maatregelen bij elkaar. Denk bijvoorbeeld aan het Nieuwe Werken, waarbij uw medewerkers altijd en overal kunnen inloggen op het bedrijfsnetwerk en informatie kunnen delen. Zonder twijfel gemakkelijk voor uw medewerkers, maar zijn ze zich ook bewust van geïnteresseerde medereizigers in de trein, in het vliegtuig, in wachtruimtes enzovoort? Zijn ze dat niet, dan vormen ze de zwakste schakel in uw beveiliging. Techniek maakt het gebruik van mobiele apparaten tot een prettige ervaring, maar vormt tegelijkertijd met de huidige resolutie en omvang van de schermen een risico voor ‘shoulder surfing’.
Zes blinde mannen
Informatiebeveiliging staat niet op zichzelf, maar is een organisatiebrede aangelegenheid. De afbeelding aan het begin van dit artikel representeert een eeuwenoud (Indisch) verhaal over zes blinde mannen en een olifant. Elk van de blinde mannen stond voor een ander deel van de olifant en nam door te voelen een ander object waar. Omdat niet één van hen het geheel kon ‘overzien’, konden ze niet weten dat ze met een olifant te maken hadden. Op basis van de individuele waarneming vormde ieder zijn eigen waarheid. Het grote geheel ontbrak. Deze metafoor geldt ook voor informatiebeveiliging. Wanneer het grote geheel kan worden overzien, kan een gepaste balans tussen organisatorische, technische en menselijke aspecten worden gevonden.
