Informatie is voor elk bedrijf een van de levensaders. Als informatie niet meer beschikbaar is, onopgemerkt veranderd is, beschadigd of ongezien gekopieerd is, komt de bedrijfsvoering in zware problemen. Met de komst van Internet hebben niet alleen de eigen medewerkers toegang tot de informatie. Met een beetje pech lekt de Internet-aansluiting informatie naar buiten en kunnen ongewenste bezoekers ook een kijkje binnen komen nemen.

Door Leo Willems, Chief Security Officer van TUNIX Internet Security & Opleidingen

Natuurlijk is iedereen tegenwoordig bekend met de gevaren die komen vanaf het Internet. Wormen, virussen en hackers worden tegengehouden met een firewall aan de voordeur van het bedrijfsnetwerk. Maar waarom die bescherming? Gerenommeerde onderzoeksbureaus rapporteren immers dat de grootste schade wordt aangericht vanuit een organisatie zelf en in mindere mate vanaf buiten veroorzaakt wordt. Uit dit gegeven wordt nog wel eens de conclusie getrokken dat beveiligen zinloos is. Het probleem is echter dat er appels met peren worden vergeleken: een inbraak via Internet heeft een heel andere karakter dan een inbraak via het bedrijfsnetwerk:

De aard van de aanvallen is anders, je kunt niet het één doen en het ander laten. Het begint ermee dat veel bedrijven de vraag “hoe veilig is de interne organisatie voor mijn netwerk?” niet stellen. Als de vraag wel wordt gesteld, is de eerste gedachte: "daar denken we liever niet over na" want iedereen voelt op z'n klompen aan dat er wel wat loos zal zijn. Dat leidt tot een negatief gevoel en daarom worden er snel excuses bedacht om de vraag maar niet te hoeven beantwoorden. Cliches: ik vertrouw mijn personeel, ik ben verzekerd, we hebben toch virusscanners, enzovoort. Maar keer even terug naar de eerste regel van dit artikel die in de kern is: verlies van informatie kost handenvol geld. Is verminderd rendement of bedrijfssluiting een optie voor de eigenaar? Het antwoord hierop is altijd nee.

De kunst is om risico's te minimaliseren: dat kan door de potentiele schade te beperken en door de kans op schade te verkleinen. Welke eenvoudige verbeteringen helpen al:

• Een open deur: patch systemen en monitor logfiles.

• Segmenteer het interne netwerk. Breng een interne firewall aan tussen het kantoornetwerk en de servers van het bedrijf.

• Laat alleen verkeer toe op de benodigde services en niet op alle diensten. Met deze maatregel wordt de kans op propagatie van een incident verkleind. Aangezien de oorzaak van incidenten meestal bij PC's in het kantoornetwerk ligt, zijn de servers beter beschermd.

• Geef de interne firewall een extra netwerk-pootje (DMZ) en plaats daar de laptops van medewerkers achter, of plaats laptops in het kantoornetwerk in een eigen VLAN. Deze maatregel voorkomt ook dat incidenten om zich heen grijpen en beperkt de toegang voor niet ge-authoriseerde medewerkers.

• Een intranet firewall heeft als voordeel dat gebruik en misbruik geregistreerd worden en daarmee komt een formele stap in zicht: auditeerbaarheid. Een volgende maatregel kan een intrusion detection systeem zijn of zelfs een quarantaine netwerk waarin PC's die zich misdragen (of van mensen die dat doen) worden opgesloten.

• Zorg op PC's maar met name op laptops voor personal firewalls, anti-virus en anti-spyware software maar zeker ook: data-versleuteling. Er zijn tal van file- en disc-encryptie producten te koop die voorkomen dat een gestolen laptop uw bedrijfsgeheimen prijsgeeft.

Deze maatregelen helpen ongetwijfeld en zijn door een systeembeheerder goed uit te voeren als hij of zij maar tijd krijgt. Maar alleen technische maatregelen zullen niet voldoende zijn. Er dient geinvesteerd te worden in informatiebeleid. Dat is geen ICT (-techniek) en dat beleid hoort dan ook thuis bij de directie en het management.

Informatiebeleid is geen rakettechnologie. Een belangrijk deel van het werk is simpelweg lijstjes maken. Lijstjes van machines, lijstjes van diensten, functies (mensen), sleutels, pasjes, toegangsrechten enzovoort. En bij die lijstjes de risico's en schade noteren als dat punt op het lijstje uitvalt of nog maar beperkt functioneert. Pas daarna kunnen maatregelen genomen worden en kunnen de kosten van de maatregelen worden onderbouwd en de noodzaak aangetoond. Vanuit deze positie is het vormen van beleid voor continuiteit, integriteit, beschikbaarheid en exclusiviteit niet zo'n theoretische aangelegenheid meer en kan begonnen worden met een cyclus van meten, rapporteren en verbeteren.

Tenslotte komen we bij het grootste risico: de mens. Mensen maken fouten. Soms expres maar meestal per ongeluk en zelfs onbewust. Een deel van het informatiebeveiligingsbeleid zal gericht moeten zijn op de mensen in het bedrijf, van portier tot directeur. Stel een gedragscode op. Niet alleen voor Internet-gebruik maar voor alle informatie en spullen van het bedrijf. Leer mensen de waarde van informatie en leer ze gevaarlijke situaties onderkennen: als mensen hun beveiligingsbewustzijn gaan ontwikkelen dan blijken ze vaak de beste waakhonden!

Kijk voor meer informatie over informatiebeveiliging op www.tunix.nl.