ICT moet de handschoen van informatiebeveiliging oppakken

Frans M. Kanters en Herbert Boland

``Informatiebeveiliging gaat eindelijk uit de IT-hoek weg.'' ``Nee, het
gaat juist richting IT.'' Twee tegenovergestelde meningen die allebei
waar zijn. Want wat zijn de belangrijkste trends op dit moment in het
vakgebied, en hoe kun je deze waarnemen op een evenement als ICT
Security Management 2000? We doen in dit artikel een poging.

Als je zo dicht met je neus op het vak zit valt het niet altijd
eenvoudig om de ontwikkelingen te zien. Informatiebeveiliging wordt heel
langzaam ook door de lijnorganisatie en het senior management als
aandachtspunt herkend. Maar aan de andere kant is het ook zo dat de
IT-organisatie nadrukkelijk de handschoen moet oppakken en leidend moet
zijn in het aangaan van de dialoog met de organisatie. Waarom: anders
doet niemand het! Want het lijkt er toch sterk op dat de lijnorganisatie
op suggesties wacht van IT, en IT op haar beurt vraagt: waar moeten we
nu eigenlijk voor gaan zorgen? Wordt hier de spreekwoordelijke hete
aardappel heen en weer geschoven? Waarschijnlijk niet. Het is domweg een
kwestie van de juiste modus vinden van een dialoog en vaststellen over
welke variabelen we het moeten gaan hebben. Vertalen van ``business
continuity'' in beschikbaarheid, exclusiviteit en integriteit. In deze
fase verkeren veel organisaties. En om nu te wachten tot iedere
organisatie een majeur beveiligingsincident overkomt gaat toch ook wat
ver.

Informatiebeveiligers, als je van deze functionaris zou mogen spreken,
zien informatiebeveiliging als voorwaardenscheppend voor de
bedrijfsvoering. Sterker nog, zonder beveiliging in de toekomst geen
business meer, zonder of met de E.

Don't feel e-secured

In de plenaire openingsrede van Robert Vos staat het gevoel van
bescherming centraal. In tegenstelling tot wat wordt gedacht is
beveiliging een blijvend punt van aandacht, ondanks veel
geoperationaliseerde oplossingen. ``So you feel e-secured; that don't
impress me much'' maakt Vos' boodschap compleet. Er is een aantal
alarmerende trends waar te nemen, van steeds geraffineerder wordende
methodieken tot gecompliceerde netwerkaanvallen zoals DDos.
Informatiebeveiliging wordt vaak gezien als kostenpost die weinig of
niets opbrengt. Vos stelt terecht dat de Return of Investment (ROI)
duidelijk waarneembaar moet zijn. In deze strategie past duidelijk de
filosofie dat men eerst de belangrijkste gaten moet dichten. Concentreer
je op de belangrijkste primaire centrale informatiesystemen die de
kernactiviteit van het bedrijf vormen is dan ook zijn devies. Dit kost
minder en levert dus per definitie hogere meeropbrengsten uit diezelfde
primaire processen. In termen van risicobijdragen noemt hij een aantal
interessante cijfers. Wist u dat, vertaald in kwetsbaarheid, het netwerk
30 procent van de zwakke plekken oplevert en 70 procent van de aanvallen
uit- of aanlokt? Bij de host is het precies andersom: 70 procent van de
zwakke plekken is aanleiding voor 30 procent van de aanvallen. In termen
van externe - versus interne aanvallen is ook een interessante
verschuiving waar te nemen. Tot voor kort kwam het leeuwendeel van de
aanvallen van binnenuit een organisatie. Dit is aan het verschuiven,
aanvallen van externe origine zijn stijgend. De totalen naderen elkaar
in rap tempo. Vos introduceert het begrip security programma, een
samenhangend geheel van maatregelen, procedures en richtlijnen gericht
op informatiebeveiliging. Primair doel van een dergelijk programma is
het adresseren van de werkelijke operationele risico's. Dit is een
logisch gevolg van de insteek ``focus op beveiliging van primaire
processen en -systemen''. Maar waar leg ik nu security vast? Wie maak ik
verantwoordelijk?

Beheerorganisatie

Security moet de beheerorganisatie in, zoveel is op de conferentie wel
duidelijk gemaakt. We refereren maar even aan de lezingen van Marcel
Spruit en Paul Peursum. Volgens Peursum staat informatiebeveiliging nu
op het niveau waar beheer tien jaar geleden stond. We moeten deze
voorsprong in ons voordeel laten werken. Dus maak als IT-er afspraken
met de organisatie (de `klant' zoals dat zo mooi wordt genoemd in de
IT-servicewereld) in termen van beschikbaarheid (dat kan mooi via een
SLA), integriteit en vertrouwelijkheid. Omdat de laatste twee moeilijk
zijn te meten moet je over de genomen maatregelen rapporteren en
periodiek controles uitvoeren (legal hacken met een Tiger Team, om iets
te noemen) en de uitslagen aan de organisatie melden. Maar de
bedrijfsprocessen zijn leidend. Beveiligingseisen en bijpassende
IT-maatregelen zijn daaraan gerelateerd. En waak er voor om geen honderd
procent oplossing te beloven. Want IT kan nooit alles voor de
organisatie opknappen. Over het inrichten van een organisatie zegt
Peursum: leg de verantwoordelijkheid in de lijn en zet securitytaken in
functieprofielen. Maak niet de fout om een aparte security organisatie
in te richten!

Topmanagement

De insteek van Ruud Goudriaan van ING bood een zelfde gezichtspunt. ING
Corporate IT heeft vanuit de bekende BS7799, maar dan in gereviseerde
Engelse vorm, een Information Security Policy opgesteld. Goudriaan geeft
aan dat naast centraal beleid er groepsbeleid en werkvloerbeleid is
opgesteld. Hierbij is een onomwonden commitment van het topmanagement
essentieel.

Diezelfde securitytaak staat of valt met het vormgeven van de
controleerbaarheid van informatiebeveiliging. Deze controleerbaarheid
staat volgens de lezing van Fred de Koning van Paardekooper & Hoffman
nog in de kinderschoenen, of om zijn woorden te gebruiken ``is een
verwaarloosd terrein''. Volgens De Koning is de inbedding van
controleerbaarheid alleen mogelijk als men dit op een aantal niveaus
regelt. Start hiermee bij de opstelling van het beveiligingsplan. De
controleerbaarheid of controleerbare vastlegging stelt eisen. Voor een
aantal te beveiligen processen zijn deze identiek. Dit levert een soort
baseline op. Echter, een aantal processen noopt tot het uitvoeren van
extra analyses, simpelweg omdat de eisen niet in een baseline zijn te
vangen. Dit lijkt op de zogenaamde ijsbergmethode: het onderliggende ijs
valt onder de baseline en de zichtbare toppen van de ijsberg vereisen
een extra analyseslag. Eindconclusie: zorg voor een goed vastgelegde
controlemogelijkheid. Maak hierbij gebruik van bestaande loggings en
andere mogelijkheden zoals een audit trail van de request binnen change
management.

En het wordt er de komende jaren niet gemakkelijker op. Rinke Smedinga
van Roccade Public stond namelijk stil bij het beveiligen van ketens, in
zijn geval voornamelijk vanuit het overheidsperspectief. De
één-loketgedachte is hiervan een mooi voorbeeld. Hij somde de effecten
op:

verbreding van perspectief en horizon

een sterkere onderlinge afhankelijkheidsrelatie

er komen nieuwe afhankelijkheidsrelaties bij

dilemma: wie stuurt de keten?

toename van standaardisatie

verschuiving van de macht.

Hij vatte daarna de succesfactoren samen: de inzet van ICT binnen ketens
maakt veel mogelijk, maar IT service management dient het mogelijke
terug te brengen tot het acceptabele en er zal meer aandacht aan
noodplannen en risicomanagement moeten worden besteed.

Bewustwording

Fred van Noord boeide zijn gehoor met zijn bijdrage over bewustwording.
Want wat heeft het voor zin om alle systemen dicht te gooien en te
bewaken met een single sign-on operatie wanneer de gebruiker het enige
password op een briefje onder zijn toetsenbord legt? En als een
systeembeheerder een password over de telefoon aan Pietje doorgeeft die
meldt dat hij een dagje thuis werkt, maar dat hij zijn login en password
niet bij de hand heeft? Als een hacker deze praktijken toepast is hij
een ``Social Engineer''. Steve Mitnick was er een kampioen in.
Bewustwording dus. Misschien geen trend, maar er moet veel meer aandacht
aan worden geschonken.

Bewustwording kweek je met cultuur. Zorg voor een juiste cultuur en de
beveiligingsgraad stijgt zienderogen. Een cultuur van
veiligheidsbewustzijn wordt gedragen op drie niveau's: individueel, op
de afdeling en op het niveau van het management. Loop bij Hollandse
Signaal maar naar binnen en je weet ogenblikkelijk dat deze organisatie
op veiligheid is ingesteld. Op alle niveau's. Was het GAK dit ook
geweest, dan had er niet een vertrouwelijk databestand zo lang voor de
buitenwereld open gestaan. De ochtendkranten bieden ons bijna dagelijks
dergelijke incidenten aan bij het eerste kopje thee.

Pseudo ID's

Wat men ook van de Registratiekamer mag vinden, van hun positie en
mening, een lezing van John Borking biedt altijd weer een verfrissende
en soms angstige kijk in de keuken van technische ontwikkelingen op het
vlak van elektronische bescherming en bewaking, die vergaande
economische en maatschappelijke gevolgen kunnen hebben. Momenteel maakt
de Registratiekamer zich sterk voor privacy enhancing technologies, PET.
De gedachte erachter is dat iedereen op het grote Internet of op een WAN
of LAN zich automatisch beschermd mag weten, en niet via een gunst van
de een of andere provider, dienstverlener of IT-afdeling. De filosofie
van PET is dat gegevensstructuren met informatie over personen (in een
relationele database bijvoorbeeld) worden opgebroken in domeinen. Voor
een bepaald domein is een bepaalde doelgroep aangewezen die toegang mag
hebben tot de data. Als er gegevensuitwisseling moet plaatsvinden tussen
domeinen onderling, dan wordt er gewerkt met pseudo-ID's, een soort
masker waarachter de indentiteit van de persoon in de database is
verborgen. Alleen geautoriseerde gebruikers mogen relaties tussen
domeinen leggen. Denk daarbij aan het voorbeeld van een ziekenhuis. De
portier hoeft niets te weten van de kwalen van mevrouw Jansen, maar
alleen de kamer waar zij ligt. De verpleegster op haar beurt hoeft geen
toegang te hebben tot de bloedgegevens, maar alleen de medicatie. Het
door de Registratiekamer voorgestelde PET-model is inmiddels ook door
ISO als standaard overgenomen, en inmiddels in zo'n dertien ziekenhuizen
ingevoerd.

Borking blijft het een vervelende zaak vinden dat alle
informatietechnologie die wij gebruiken wordt gemaakt door Amerikanen.
Denk bijvoorbeeld maar aan browsers. Amerikanen denken niet na voor ze
iets maken, wij Europeanen wel. Dat betekent dat we dus nu eigenlijk
zijn opgezadeld met iets waarover slechts in een laat stadium is
gestudeerd om ook de rechten van de gebruiker te borgen. En dat kost nu
grote moeite om het ongedaan te maken Dit geldt in het algemeen voor
beveiliging: verschillende sprekers stelden dat het pas iets wordt als
beveiliging al in de systeemontwerpfase wordt meegenomen. Waarmee de
beruchte kloof tussen ontwikkeling en beheer nog breder lijkt te
worden."

Volgens Borking kleven er aan het elektronische zakendoen nog hele
bijzondere aspecten waarmee we nog moeten leren omgaan. Hij wijst op het
volledige ontbreken van lichaamstaal bij elektronische onderhandelingen.
Sterker nog, je weet niet eens hoe de ander er uit ziet, hoe deze
spreekt of luistert. Het is wetenschappelijk aangetoond dat we onbewust
beslissingen van lichaamstaalsignalen laten afhangen. Of we wel of niet
een aankoop doen kan sterk afhangen van deze onbewuste waarnemingen. Op
Internet ontbreken deze volledig. Hoe ziet een concept als
betrouwbaarheid er op Internet uit? Kun je dat alleen nog maar kopen met
een certificaat van clubs als Verisign, KvK of Norea?

Imago

Informatiebeveiliging worstelt met een slecht imago: saai, stoffig, te
duur, beperkend, geen baten, louter IT-zaak, big brother en zo kunnen we
nog wel doorgaan. Het stereotype beeld van honden, prikkeldraad,
camera's doet het vakgebied geen goed. Het logo van dit evenement moet
de volgende keer beslist anders. Als men zich er niet in heeft verdiept
denk je dat beveiligen vooral een fysieke aangelegenheid is. En daarmee
begeeft men zich op glad ijs. Want door firewalls te installeren, single
sign-on te implementeren, backupprocedures te herzien kan men de
organisatie een vals gevoel van veiligheid geven. Uiteindelijk zit het
toch tussen de oren. De mens staat immers centraal. Juist binnen
informatiebeveiliging.

Om achter de trends te komen en deze te vertalen naar de eigen
uitdagingen helpt het om een conferentie als ICT Security Management
2000 te bezoeken. 240 deelnemers is een heel behoorlijke score voor een
tweedaags evenement. Een paar mindere lezingen mochten het animo niet
frustreren, een flink aantal ontbrekende powerpoints in de handout en
geschuif in het programma evenmin. En dat er een kleine informatiemarkt
was maakte het evenement eigenlijk alleen maar krachtiger. Het
`wereldje' kan vergenoegd vaststellen dat ze nu ook veel nieuwe,
onbekende gezichten ziet. En dat werd wel eens tijd.

Frans M. Kanters is managing partner bij ICT Adviesbureau Kanters & De
Jong (e-mail f.m.kanters@kj.nl) en Herbert Boland is hoofdredacteur van
Informatiebeveiliging Praktijkjournaal en IT Beheer Praktijkjournaal
(e-mail h.boland@wkths.nl).

Met dank aan Itbeheerplein, waar het artikel in Word formaat stond. We hebben het voor het gemak van de lezer hier in een formaat dat voor elk OS leesbaar is overgenomen.