Januari/Februari
2002: Informatie beveiliging
Deze maand de volgende
stelling:
---
“Organisaties beveiligen hun informatie om risico’s te
verminderen.”
---
Ik weet niet of
je wel eens met een specialist gesproken hebt over de beveiliging van
je huis. Het eerste dat deze man of vrouw je verteld is dat niemand
de zekerheid kan geven dat je huis inbraakvrij is. Zij spreken dan ook
in termen van vertraging: het moet langer duren voordat inbrekers binnen
zijn.
Het aanbrengen van
een 2e vergrendeling op een raam of het vervangen van een holle buitendeur
is nodig omdat een inbreker dan meer tijd nodig heeft om door dat raam
of die deur naar binnen te dringen. Die tijd dient om minder ervaren
inbrekers te ontmoedigen en/of om de tijd te hebben om maatregelen te
nemen (bijvoorbeeld door een meldkamer de politie te laten bellen).
Dit gaat zelfs zo ver dat je op basis van een verklaring van de beveiligingsvakmens
dat alle risicopunten van je huis voldoende beveiligd zijn de verzekeringsmaatschappij
een lagere premie vraagt voor je inbraakverzekering.
Informatie beveiliging
heeft te maken met risico’s die organisaties denken te lopen met
hun informatie. Als je dat zo zegt lijkt het wel een cryptische omschrijving,
iets magisch. In de praktijk spreek je al gauw in termen van firewalls,
crypto apparatuur, password controles, calculators enz.. Toch praten
we dan niet over essenties, maar over oplossingen.
Cruciaal is het
woord informatie. Als we weten wat informatie is kunnen we ook bedenken
welke risico’s we met informatie lopen en of we die risico’s
toelaatbaar vinden.
Volgens het ISO
Technical Report 9007 zijn die gegevens informatie, die betekenis hebben
in een bepaalde context. Die context wordt de Universe of Discourse
(UoD) genoemd. De UoD is daarbij dat deel van de wereld waar we ons
mee bezighouden, of waar we interesse in hebben. In de praktijk spreken
we meestal over een deel van een organisatie, een hele organisatie of
zelfs over een combinatie van organisaties.
Stel je werkt voor
een organisatie die keukens fabriceert en verkoopt. Je mag aannemen
dat je in-koopprijs van te verwerken hout, de eigen omzetcijfers, de
cijfers van concurrenten en het feit dat dit jaar vooral keukens in
de kleuren blauw en geel verkocht worden informatie is. Ook mag je aannemen
dat de diepte van de haven van Sydney (Australië), de hoogte van
de Himalaya en een beschrijving van hoe een heupoperatie uitgevoerd
dient te worden geen informatie is. Tenzij de organisatie bijvoorbeeld
ook operatietafels voor heupoperaties wil gaan maken.
Informatiebeveiliging
gaat over risico’s die gelopen worden t.a.v. informatie. Dus,
hoe belangrijk is het dat de concurrent niet te weten komt wat onze
inkoopprijs is, wat onze omzetcijfers zijn en wat we weten van onze
klanten en concurrenten. Zijn er bijvoorbeeld redenen waarom we die
informatie niet gewoon op internet zetten? Moeten we geld uitgeven om
maatregelen te treffen om die informatie weg te houden van mensen en
organisaties die de informatie niet mogen hebben? En zo ja, hoeveel
geld moet dat dan zijn?
Als je om een huis
heen loopt is voor een getraind oog goed te zien welke risico’s
er zijn voor in-braak. Bij informatie is dat een stuk lastiger. Een
paar voorbeelden:
- Als je 2 niet
met elkaar verbonden PC’s te dicht bij elkaar zet is het in
principe mogelijk om via de ene PC er achter te komen wat op de andere
gebeurt via stralingsmeting.
- Als je met een
PC werkt die bij een raam staat zou iemand aan de overkant van de
straat te we-ten kunnen komen waar je mee bezig bent.
- Als je informatie
over de telefoon naar de andere kant van de wereld zendt, ongeacht
of dat via spraak, computerkoppeling, fax enz. is, dan kan die informatie
onderschept worden.
- Kan iemand bijvoorbeeld
je kantoor binnenlopen en informatie meenemen?
- Moet je gegevens
beschermen die voor jou geen informatie is? Als iemand die gegevens
krijgt kan hij/zij immers denken dat het om informatie gaat en daar
bijvoorbeeld uit afleiden dat je binnenkort operatietafels gaat maken.
En dat terwijl die gegevens er alleen zijn omdat een werknemer het
voor haar dochter wilde uitprinten en vergeten is om het document
te verwijderen.
Ook voor informatiebeveiliging
geldt dat het geld dat je stopt in maatregelen alleen tot vertraging
zal leiden, nooit tot absolute veiligheid. Stel dat je inderdaad die
kooi van Faraday laat bouwen rond je IT infrastructuur en je vergeet
dat je holle deuren in je gebouw hebt waar een inbreker makkelijk door
binnen kan komen. Wat is dan het nut van die investering? Om die reden
zijn er beveiligingsspecialisten die vaak zeer uitgebreide software
(bijvoorbeeld Cramm) tot hun beschikking hebben om alle risico’s
in hun onderlinge relatie in kaart te brengen. Veel werk, maar het half
doen en kwetsbare plekken hebben heeft ook weinig zin.
Informatiebeveiliging
heeft dus alles te maken met het werk van de informatie architect. Een
hoofd-taak van de informatie architect is immers vast te stellen wat
informatie is. Informatie beveiligers borduren daar, net als informatie
analisten, applicatie-ontwikkelaars, IT-Architecten en IT-Business-architecten,
functioneel beheerders, E-business specialisten enz., met hun specifieke
kennis op voort.
Het is eigenlijk
vreemd dat discussies over informatie beveiliging altijd met technische
concepten en argumenten gevoerd wordt. Over de risico’s die een
organisatie loopt met de gegevens die voor hen van belang zijn dient
het management expliciet te beslissen. Vaak wordt van directies en managers
verwacht dat ze weten wat die technieken zijn en wat ze in hun onderlinge
relatie voor de organisatie betekenen. Dit soort beslissingen wordt
dan ook veel te weinig voorbereid in termen van informatie. En dat terwijl
er vaak hoge kosten mee gemoeid zijn.
De uitkomst van
een informatie beveiligingsonderzoek past bij de informatie architectuur
van de orga¬ni¬satie. De informatie architect zal het beeld
van de informatie aangevuld zien met de relevante, vaak zeer specialistische
beveiligingsaspecten. Het beeld dat zo ontstaat kan als basis dienen
voor een goede en effectieve inzet van IT en andere manieren van oplossen.
Inclusief een integraal van crypto-apparatuur, airgaps, database-tabelbeveiliging,
veiligheidszones, gebruikersprofielen, fysieke toegangsbeveiliging,
beveiligingscalculators, virusbeveiliging en ga zo maar door.
Organisaties beveiligen
hun informatie om risico’s die ze denken te lopen als die informatie
in handen komt van “verkeerde” mensen en organisaties in
te dammen. De stelling is dus juist. Daarbij bestaat 100% veiligheid
niet en gaat het om zeer complexe zaken met vele aspecten. Het indammen
van risico’s kan daarom hoge kosten met zich brengen. E.e.a. kan
in termen van de gegevens die informatie zijn naar de organisatie vertaald
worden en dat gebeurt nog veel te weinig. Daarmee zijn de discus-sies
op dit gebied vaak nog veel complexer dan absoluut noodzakelijk is.