Archief - De topics van lang geleden

Wetten en regels vanuit beveiligingsperspectief.

28-07-2007, 13:36 door Jan-Hein, 3 reacties
Risk management bestaat uit beveiligen en verzekeren.
Beveiligen is de preventie van ongewenst gedrag van het target proces
systeem (PS).
Verzekeren is het a priori vrijwillig verdelen van de schade van
ongewenst gedrag over verschillende (andere) PS's.
Wij beperken ons hier tot beveiligen.

Beveiliging kent een technische en een sociale component.
In de technische beveiliging wordt getracht om de niet menselijke
delen van het PS binnen de specs te houden door keuze en
configuratie van componenten.
In de sociale component van beveiliging wordt geprobeerd om mensen
zich aan hun eigen afspraken te laten houden.

De ICT beveiliger moet dus niet alleen de technische componenten
van het PS goed begrijpen, maar ook de afspraken tussen de
betrokken mensen.
Voor dit laatste aspect, dat we met wet- en regelgeving zullen
aanduiden, heb ik persoonlijk altijd weinig interesse gehad, omdat ik
het ten onrechte als een gegeven beschouwde, waar de technici maar
mee te werken hebben.
Een stel absurde voorstellen voor “aanscherping” van de regels
hielpen me uit die droom, en wat verder nadenken leidt dan tot de
volgende vraag:

Wat is vanuit beveiligingsperspectief de ideale juridische omgeving van
ICT gebruik?

Wetgeving, en zelfs handhaving, zijn processen die inherent
achterlopen bij maatschappelijke processen, waaronder het gebruik
van ICT.
Omdat de veranderingen in ICT en het gebruik daarvan relatief snel
gaan, wordt de natuurlijke afstand tussen de juridische en de echte
wereld in de ICT sterker gevoeld dan in veel andere maatschappelijke
processen.
Je kunt dan de ontwikkeling van ICT en het gebruik ervan proberen te
beteugelen (eventueel zelfs juridisch), of je kunt het
aanpassingsproces in wet- en regelgeving (en handhaving) proberen
te versnellen.
Het eerste is vermoedelijk voor niemand een serieus voorstel, en het
tweede bijna onmogelijk.
Is er nog een derde optie denkbaar?
Een soort wetgeving die informatie systematisch onderscheidt van
zaken als informatiedragers en informatie technologie, en daardoor
minder snel aan ontwikkelingen hoeft te worden aangepast, zonder
deze te remmen?

Als je zonder verwijzing naar technische details van
informatieverwerking de spelregels kunt formuleren, dan kun je
voorkomen dat verwarde politici de wereld daadkrachtig voor de voeten
gaan lopen (met keihard optreden uiteraard), wat de ICT professional
veel ellende kan besparen.
Daarnaast hoeft een ICT beveiliger zich iets (een beetje, maar toch)
minder zorgen te maken over de gadgets die onverantwoordelijke
gebruikers over een jaar aan het netwerk willen hangen, want ook voor
die nieuwe onmisbare toepassing zijn de spelregels eigenlijk al
duidelijk, al is het maar binnen zijn eigen jurisdictie.

Op dit moment zijn voor vanzelfsprekende regels (bv “gij zult niet
stelen”) verbazend veel formuleringen nodig, die zich vrijwel uitsluitend
onderscheiden door de techniek van het voorgeschreven of verboden
gedrag.
Kennelijk is in het gebruikte voorbeeld het woord “stelen” dus niet
duidelijk, en wordt dat op een onhandige manier opgevangen.
Ik kan me nog voorstellen dat je het eigendomsrecht voor informatie
anders wilt formuleren dan het eigendom van fysieke objecten, en
misschien dat je in beide categorieen zelfs verder onderscheid maakt,
zoals we bijvoorbeeld voor huizen wel doen.
Maar als je de beschikkingsrechten (eigendom) eenmaal helder hebt,
dan is een onvrijwillige overdracht daarvan niet zo moeilijk te begrijpen,
ongeacht de gebruikte techniek.
Misschien kunnen we dus met minder wetgeving juist duidelijker
aangeven wat precies de bedoeling is.

In het hier gebruikte voorbeeld:
Eigendom van informatie is de mate waarin een mens het gebruik
ervan aan andere mensen kan verbieden: de beperking van
beschikkingsrechten.
De juridische component daarvan, het eigendomsrecht, is de mate
waarin die mens door de anderen in de groep (jurisdictie) wordt
toegestaan om het gebruik ervan te verhinderen.
Een eigenaar kan een ander mede-eigenaar van de informatie maken,
en daarbij (extra) beperkingen opleggen aan de rechten van de nieuwe
mede-eigenaar; dat is gewoonlijk allemaal door de groep toegestaan.
Als de nieuwe mede-eigenaar zijn beperkingen negeert, dan is dat een
ongewenste overdracht van rechten.
Of dat nu mondeling, via de tam-tam, of via de meest populaire
techniek van over 1000 jaar gebeurt, lijkt niet veel uit te maken voor het
ge/verbod.

De handhaving van de wet is mogelijk gevoeliger voor de techniek.
Zo is het klassieke mondelinge verraad na duizenden jaren nog steeds
niet onder de duim te krijgen, en via moderne communicatie
technieken vaak veel eenvoudiger te achterhalen.
Als je aan opsporingsbevoegdheden grenzen wilt stellen, dan kun je
niet meer vertrouwen op “natuurlijke” technische beperkingen, en zul je
als wetgever duidelijker moeten zeggen wat je wilt.
Ook dit moet kunnen zonder verwijzingen naar specifieke technieken.

Stel dat de organisatie die je wilt beveiligen in zulke woorden zijn
regels voor ICT gebruik beschrijft, dan heeft de beveiliger er een
krachtig instrument bij.
Je kunt dan voor elke stap in een bedrijfsproces snel nagaan waar de
afspraken het kwetsbaarst zijn voor overtreding, en wat de effecten zijn
van technische veranderingen.
Merk op, dat zo'n heldere beschrijving geen beveiligingsbeleid is, maar
de totstandkoming en het onderhoud ervan regelt.

Welke elementaire geboden (bv “niet stelen”) en begrippen
(bv “eigendom”) zijn er vanuit het perspectief van de ICT beveiliging
nodig voor een stabiele (weinig verandering), beknopte, duidelijke
regelgeving nodig?
Ik kan me voorstellen, dat daarbij wordt gekeken naar aspecten als
genereren, (mate van) delen, en vernietigen.
Als we dit goed op een rijtje hebben, dan kunnen we de mensen die
zich verantwoordelijk voelen voor de regelgeving concreet helpen en
daarmee onszelf het leven veel eenvoudiger maken.
Reacties (3)
28-07-2007, 15:01 door Anoniem
De kern van het probleem is het volgende. Heb je bedrijfs beveiliging
kan de invoer makkelijker plaats vinden. Omdat zij bij het personeel
horen van het bedrijf zelf.

Beveiligings personeel dat wordt ingehuurd wordt het een heel ander
verhaal. Omdat hier beveiliging buiten het personeel van het bedrijf
staat. En dan is de communicatie tussen beveiliging en ict personeel
haast onmogelijk.

Een mooi voorbeeld hier van is het keycard systeem dit wordt beheerd
door ICT medewerkers. Maar de beveiliging krijgt hier geen toezicht
op. Wat wel weer bij een ander bedrijf kan.

Hoe kan je een protocol ontwikkelen als de applicaties en de
mogelijkheden er niet voor zijn? Dan heeft het ook geen nut
om het toe te passen. En zou je bedrijven alleen maar opzadelen
met onnodige kosten.

Dan heb je nog ander probleem. Wanneer beveiliging
betrokken wordt met ICT personeel. Heb je het probleem dat
het toezicht vertroebeld op het ICT personeel. En dan staat het haaks
op de taken waarvoor beveiligings personeel is ingehuurd.

Ik denk persoonlijk wel dat er meer communicatie moet komen
tussen ICT en beveiligings personeel. En gesprekken zouden
moeten komen hoe ICT meer kan doen voor de beveiliging..
Beveilgings personeel horen juist controle uit te voeren.
En niet het ICT personeel zelf. Tevens zou het ook een ontlasting
zijn voor werkzaamheden van het ICT personeel maar dat is mijn
mening.

En dan heb je nog een andere factor de locatie. Wat als het een open of gesloten gebouw is. Als er meerdere bedrijven in een pand werken
wetgeving zou hier van toepasbaar kunnen zijn als het zou gaan
om verbetering van het het risico beleid. Tot op heden is het wonderbaarlijk dat dit zelfs niet van toepassing is in het bhv plan.
Want stel je neemt een gebouw van 18 verdiepingen waarin 13 andere
bedrijven een bhv plan hebben. Dan heb je complete chaos op nood
uitgangen als 13 bedrijven hun bhv plan uitvoeren. En dit alleen omdat bedrijven gewoon niet samen willen werken.

Dit is net zo voor ict personeel van al die bedrijven. Die ieder opzich een keycard systeem hebben wat net zo goed door de beheerder van het pand zou kunnen beheerd worden.
29-07-2007, 14:27 door Jan-Hein
@ Solid:
Mijn excuses voor dit misverstand, maar ik dacht niet aan verschillen
tussen ICT beveiliging en overige beveiliging.
Mijn vraag is: wat zou voor ICT beveiliging de beste juridische
omgeving zijn?
29-07-2007, 20:29 door Anoniem
Mijn vraag is: wat zou voor ICT beveiliging de beste juridische
omgeving zijn?

Oops. Ik heb overheen gelezen denk ik.
Ik denk dat de beste juridische omgeving voor ICT beveiliging van niet
afhankelijk van het risico beleid van een bedrijf kan zijn.

Een netwerk voor een overheid heeft een totaal andere omgeving
als bv een uwv of een ziekenhuis. Ze hebben wel veel gemeen
en denk dat je die punten die ze gemeen hebben de beste juridische
omgeving zijn.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.