Informatie beveiliging nu of nooit
04-12-2003,15:41 door
Als uw organisatie bij ieder informatie beveiligings incident de rommel snel opruimt, de schuldigen straft, de helden eert en vervolgens overgaat tot de orde van de dag, heeft u een probleem. Het kan zo niet eeuwig doorgaan, zeker niet nu uw organisatie aan alle zijden elektronisch geopend wordt. Het invoeren en verbeteren van informatiebeveiliging vereist structurele maatregelen en gaat alle lagen van de organisatie aan. Het is een proces waarin drie vragen centraal staan: waar staat de organisatie nu, wat is het einddoel en wat is de kortste weg daarheen? Om deze vragen te beantwoorden, beschrijft dit artikel een groeimodel voor de verbetering van informatiebeveiliging. Het uitgangspunt hiervan vormen de leerprocessen van de betrokkenen bij het verbeteren van de informatiebeveiliging. De auteurs grijpen terug op ervaringen die onder andere zijn opgedaan bij het Ministerie van VROM.
Informatiebeveiliging nu of nooit
door Jaap van der Wel en Anton Griffioen
E-commerce, loketten op het Internet; in allerlei verschijningsvormen neemt het belang van de informatievoorziening toe. Informatiebeveiliging wint daardoor aan belang. Ook stelt de wet- en regelgeving, denk aan de privacywetgeving, steeds hogere eisen. Dit terwijl bedrijven en overheid voortdurend worden geconfronteerd met informatiebeveiligingsincidenten. Het besef dat informatiebeveiliging veel verder gaat dan een goed wachtwoord dringt gelukkig door bij het management. Maar hoe pakken we het aan?
Geen recept
Helaas, een eenduidig recept bestaat niet. Elke organisatie heeft haar eigen cultuur, haar eigen primaire processen en eigen bedrijfsvoering. Bovendien zijn er grote verschillen in de mate waarin informatiebeveiliging is geïmplementeerd binnen organisaties. Eén kenmerk hebben alle organisaties gemeen: verbeteren van de beveiliging is een veranderingsproces. Op basis van onze praktijkervaring hebben we een instrument ontwikkeld waarmee het begin en het einde van het proces kan worden bepaald alsmede de veranderstrategie voor het bereiken van het einddoel. Dit artikel geeft een eerste aanzet voor dit instrument in de vorm van een groeimodel voor de verbetering van informatiebeveiliging. Uitgangspunt vormen de leerprocessen die de betrokkenen doormaken bij het verbeteren van de informatiebeveiliging en bij het vasthouden van het eenmaal bereikte niveau.
Wie realiseren informatiebeveiliging?
In de meest eenvoudige organisatie van informatiebeveiliging wordt men bij de uitvoering van het werk geconfronteerd met problemen en moet men die maar zien op te lossen. Pas als er zich ongelukken voordoen, ziet het management in dat de uitvoerders dit karwei niet alleen kunnen opknappen en raken steeds meer organisatieniveaus en specialisten betrokken, te weten:
Figuur 1 Betrokkenen en hun rollen bij het realiseren van informatiebeveiliging
Elk van de betrokkenen moet de juiste attitude en ervaring hebben op het gebied van informatiebeveiliging. In eerste instantie bakent ieder zijn eigen taken af. Tussen de taken ontstaan daarbij doublures en hiaten; het bereiken van het juiste samenspel kost jaren. Het gedrag van de actoren verschilt in elke fase van het groeimodel.
Het groeimodel.
Het groeimodel (zie figuur 2) beschrijft de inrichting van de informatie-beveiliging. Het model kent vijf fasen, elk met haar eigen karakteristieken:
Figuur 2: Groeimodel voor de invoering van informatiebeveiliging
Gedurende het doorlopen van de fasen ontwikkelt een organisatie de aanpak van informatiebeveiliging van een niet-georganiseerd verband (fase 1), naar een steeds uitgebreidere informatiebeveiliging (fase 2 en 3), totdat de kosten een rem op de ontwikkelingen zetten. Daarop wordt de doelmatigheid en de effectiviteit van de beveiliging bevorderd met rationalisering van de aanpak door de inzet van specialisten, de ontwikkeling van standaards, en dergelijke voor de bestaande systemen (fase 4). In fase 5 wordt deze aanpak uitgebreid naar de gehele life cycle van organisatie en informatievoorziening, door de beveiliging integraal onderdeel te laten zijn van de ontwikkeling. De kosten van informatiebeveiliging zijn dan een niet meer te onderscheiden onderdeel geworden van de realisatiekosten. Figuur 3 brengt de geschetste ontwikkeling kwalitatief in beeld. Enige relativering van deze grafiek is op zijn plaats omdat de inspanning die nodig is om een fase te doorlopen per organisatie verschilt. Een organisatie die al een hoge mate van standaardisatie in de ICT en de bedrijfsvoering heeft, zal sneller naar fase 4 kunnen doorstoten dan een organisatie waar standaardisatie nog geen gestalte heeft gekregen.
Figuur 3: Effectiviteit en kosten
Informatiebeveiliging nu of nooit
door Jaap van der Wel en Anton Griffioen
E-commerce, loketten op het Internet; in allerlei verschijningsvormen neemt het belang van de informatievoorziening toe. Informatiebeveiliging wint daardoor aan belang. Ook stelt de wet- en regelgeving, denk aan de privacywetgeving, steeds hogere eisen. Dit terwijl bedrijven en overheid voortdurend worden geconfronteerd met informatiebeveiligingsincidenten. Het besef dat informatiebeveiliging veel verder gaat dan een goed wachtwoord dringt gelukkig door bij het management. Maar hoe pakken we het aan?
Geen recept
Helaas, een eenduidig recept bestaat niet. Elke organisatie heeft haar eigen cultuur, haar eigen primaire processen en eigen bedrijfsvoering. Bovendien zijn er grote verschillen in de mate waarin informatiebeveiliging is geïmplementeerd binnen organisaties. Eén kenmerk hebben alle organisaties gemeen: verbeteren van de beveiliging is een veranderingsproces. Op basis van onze praktijkervaring hebben we een instrument ontwikkeld waarmee het begin en het einde van het proces kan worden bepaald alsmede de veranderstrategie voor het bereiken van het einddoel. Dit artikel geeft een eerste aanzet voor dit instrument in de vorm van een groeimodel voor de verbetering van informatiebeveiliging. Uitgangspunt vormen de leerprocessen die de betrokkenen doormaken bij het verbeteren van de informatiebeveiliging en bij het vasthouden van het eenmaal bereikte niveau.
Wie realiseren informatiebeveiliging?
In de meest eenvoudige organisatie van informatiebeveiliging wordt men bij de uitvoering van het werk geconfronteerd met problemen en moet men die maar zien op te lossen. Pas als er zich ongelukken voordoen, ziet het management in dat de uitvoerders dit karwei niet alleen kunnen opknappen en raken steeds meer organisatieniveaus en specialisten betrokken, te weten:
- Het facilitair management. Hieronder valt het management van het rekencentrum, de softwareontwikkel- en beheersorganisatie, de huishoudelijke dienst, de financiële functie, et cetera. Deze groep is verantwoordelijk voor de uitvoering van een relatief belangrijk deel van de beveiligingsmaatregelen.
- Het lijnmanagement. Dit management bepaalt het gewenste beveiligingsniveau voor het eigen (deel van het) bedrijfsproces en ziet toe op de uitvoering van de benodigde maatregelen.
- De directie. De directie stelt de gewenste betrouwbaarheid vast als onderdeel van een bedrijfsstrategie, stelt prioriteiten, verdeelt taken en wijst budgetten toe. Ook stelt de directie de hoofdlijnen van de aanpak vast.
- Het beveiligingsmanagement. Dit coördineert en controleert de beveiligingsactiviteiten. Het verzamelt kennis en ervaring over informatiebeveiliging, waardoor de aanpak van beveiliging effectiever wordt. Deze functie kan bij meerdere organisatieonderdelen zijn belegd maar ook in een gespecialiseerde functie, zoals een IT-security officer.
Figuur 1 Betrokkenen en hun rollen bij het realiseren van informatiebeveiliging
Elk van de betrokkenen moet de juiste attitude en ervaring hebben op het gebied van informatiebeveiliging. In eerste instantie bakent ieder zijn eigen taken af. Tussen de taken ontstaan daarbij doublures en hiaten; het bereiken van het juiste samenspel kost jaren. Het gedrag van de actoren verschilt in elke fase van het groeimodel.
Het groeimodel.
Het groeimodel (zie figuur 2) beschrijft de inrichting van de informatie-beveiliging. Het model kent vijf fasen, elk met haar eigen karakteristieken:
- Fase 1: Ad-hoc, waarin een organisatie ontstane problemen oplost en overgaat tot de orde van de dag.
- Fase 2: Speerpunt-informatiebeveiliging, waarin een organisatie de belangrijkste problemen voorkomt door de meest kwetsbare onderdelen van een beveiliging te voorzien.
- Fase 3: Afdelingsgewijs gemanaged, waarbij een organisatie een analyse maakt van de totale bedrijfssituatie en voor in principe alle afdelingen van het bedrijf de beveiliging inricht met vergelijkbare procedures zoals die van de vorige fase. Iedere afdeling krijgt voor het eerst met een systematische aanpak van beveiliging te maken. Door gebrek aan de noodzakelijke ervaring ontstaat een maatwerkaanpak rondom de al bestaande beveiliging uit de vorige fase.
- Fase 4: Strategisch gemanaged, waarbij een organisatie op basis van een strategische visie een doelmatige beveiligingsarchitectuur inricht. Een kenmerkend verschil met de vorige fase is de uitgebreide inzet van classificatienormen en standaardmaatregel-pakketten in plaats van de maatwerkbeveiliging per gebruikersafdeling.
- Fase 5: Pro-actieve beveiliging, waarin beveiliging één van de ontwerpaspecten is van nieuwe organisaties, informatievoorzieningen en ICT-architectuur. In plaats van de inhaalslag van de vorige fasen, wordt de beveiliging voor de gehele lifecycle systematisch ingericht.
Gedurende het doorlopen van de fasen ontwikkelt een organisatie de aanpak van informatiebeveiliging van een niet-georganiseerd verband (fase 1), naar een steeds uitgebreidere informatiebeveiliging (fase 2 en 3), totdat de kosten een rem op de ontwikkelingen zetten. Daarop wordt de doelmatigheid en de effectiviteit van de beveiliging bevorderd met rationalisering van de aanpak door de inzet van specialisten, de ontwikkeling van standaards, en dergelijke voor de bestaande systemen (fase 4). In fase 5 wordt deze aanpak uitgebreid naar de gehele life cycle van organisatie en informatievoorziening, door de beveiliging integraal onderdeel te laten zijn van de ontwikkeling. De kosten van informatiebeveiliging zijn dan een niet meer te onderscheiden onderdeel geworden van de realisatiekosten. Figuur 3 brengt de geschetste ontwikkeling kwalitatief in beeld. Enige relativering van deze grafiek is op zijn plaats omdat de inspanning die nodig is om een fase te doorlopen per organisatie verschilt. Een organisatie die al een hoge mate van standaardisatie in de ICT en de bedrijfsvoering heeft, zal sneller naar fase 4 kunnen doorstoten dan een organisatie waar standaardisatie nog geen gestalte heeft gekregen.
