English version


Nederlandse versie

Steven's weblogs en columns (nederlands)

Iedereen kan informatie van deze weblog overnemen onder de voorwaarde dat hij/zij blijft verwijzen naar deze weblog.

 

Januari/Februari 2002: Informatie beveiliging

Deze maand de volgende stelling:

---
“Organisaties beveiligen hun informatie om risico’s te verminderen.”
---

Ik weet niet of je wel eens met een specialist gesproken hebt over de beveiliging van je huis. Het eerste dat deze man of vrouw je verteld is dat niemand de zekerheid kan geven dat je huis inbraakvrij is. Zij spreken dan ook in termen van vertraging: het moet langer duren voordat inbrekers binnen zijn.

Het aanbrengen van een 2e vergrendeling op een raam of het vervangen van een holle buitendeur is nodig omdat een inbreker dan meer tijd nodig heeft om door dat raam of die deur naar binnen te dringen. Die tijd dient om minder ervaren inbrekers te ontmoedigen en/of om de tijd te hebben om maatregelen te nemen (bijvoorbeeld door een meldkamer de politie te laten bellen). Dit gaat zelfs zo ver dat je op basis van een verklaring van de beveiligingsvakmens dat alle risicopunten van je huis voldoende beveiligd zijn de verzekeringsmaatschappij een lagere premie vraagt voor je inbraakverzekering.

Informatie beveiliging heeft te maken met risico’s die organisaties denken te lopen met hun informatie. Als je dat zo zegt lijkt het wel een cryptische omschrijving, iets magisch. In de praktijk spreek je al gauw in termen van firewalls, crypto apparatuur, password controles, calculators enz.. Toch praten we dan niet over essenties, maar over oplossingen.

Cruciaal is het woord informatie. Als we weten wat informatie is kunnen we ook bedenken welke risico’s we met informatie lopen en of we die risico’s toelaatbaar vinden.

Volgens het ISO Technical Report 9007 zijn die gegevens informatie, die betekenis hebben in een bepaalde context. Die context wordt de Universe of Discourse (UoD) genoemd. De UoD is daarbij dat deel van de wereld waar we ons mee bezighouden, of waar we interesse in hebben. In de praktijk spreken we meestal over een deel van een organisatie, een hele organisatie of zelfs over een combinatie van organisaties.

Stel je werkt voor een organisatie die keukens fabriceert en verkoopt. Je mag aannemen dat je in-koopprijs van te verwerken hout, de eigen omzetcijfers, de cijfers van concurrenten en het feit dat dit jaar vooral keukens in de kleuren blauw en geel verkocht worden informatie is. Ook mag je aannemen dat de diepte van de haven van Sydney (Australië), de hoogte van de Himalaya en een beschrijving van hoe een heupoperatie uitgevoerd dient te worden geen informatie is. Tenzij de organisatie bijvoorbeeld ook operatietafels voor heupoperaties wil gaan maken.

Informatiebeveiliging gaat over risico’s die gelopen worden t.a.v. informatie. Dus, hoe belangrijk is het dat de concurrent niet te weten komt wat onze inkoopprijs is, wat onze omzetcijfers zijn en wat we weten van onze klanten en concurrenten. Zijn er bijvoorbeeld redenen waarom we die informatie niet gewoon op internet zetten? Moeten we geld uitgeven om maatregelen te treffen om die informatie weg te houden van mensen en organisaties die de informatie niet mogen hebben? En zo ja, hoeveel geld moet dat dan zijn?

Als je om een huis heen loopt is voor een getraind oog goed te zien welke risico’s er zijn voor in-braak. Bij informatie is dat een stuk lastiger. Een paar voorbeelden:

  • Als je 2 niet met elkaar verbonden PC’s te dicht bij elkaar zet is het in principe mogelijk om via de ene PC er achter te komen wat op de andere gebeurt via stralingsmeting.
  • Als je met een PC werkt die bij een raam staat zou iemand aan de overkant van de straat te we-ten kunnen komen waar je mee bezig bent.
  • Als je informatie over de telefoon naar de andere kant van de wereld zendt, ongeacht of dat via spraak, computerkoppeling, fax enz. is, dan kan die informatie onderschept worden.
  • Kan iemand bijvoorbeeld je kantoor binnenlopen en informatie meenemen?
  • Moet je gegevens beschermen die voor jou geen informatie is? Als iemand die gegevens krijgt kan hij/zij immers denken dat het om informatie gaat en daar bijvoorbeeld uit afleiden dat je binnenkort operatietafels gaat maken. En dat terwijl die gegevens er alleen zijn omdat een werknemer het voor haar dochter wilde uitprinten en vergeten is om het document te verwijderen.

Ook voor informatiebeveiliging geldt dat het geld dat je stopt in maatregelen alleen tot vertraging zal leiden, nooit tot absolute veiligheid. Stel dat je inderdaad die kooi van Faraday laat bouwen rond je IT infrastructuur en je vergeet dat je holle deuren in je gebouw hebt waar een inbreker makkelijk door binnen kan komen. Wat is dan het nut van die investering? Om die reden zijn er beveiligingsspecialisten die vaak zeer uitgebreide software (bijvoorbeeld Cramm) tot hun beschikking hebben om alle risico’s in hun onderlinge relatie in kaart te brengen. Veel werk, maar het half doen en kwetsbare plekken hebben heeft ook weinig zin.

Informatiebeveiliging heeft dus alles te maken met het werk van de informatie architect. Een hoofd-taak van de informatie architect is immers vast te stellen wat informatie is. Informatie beveiligers borduren daar, net als informatie analisten, applicatie-ontwikkelaars, IT-Architecten en IT-Business-architecten, functioneel beheerders, E-business specialisten enz., met hun specifieke kennis op voort.

Het is eigenlijk vreemd dat discussies over informatie beveiliging altijd met technische concepten en argumenten gevoerd wordt. Over de risico’s die een organisatie loopt met de gegevens die voor hen van belang zijn dient het management expliciet te beslissen. Vaak wordt van directies en managers verwacht dat ze weten wat die technieken zijn en wat ze in hun onderlinge relatie voor de organisatie betekenen. Dit soort beslissingen wordt dan ook veel te weinig voorbereid in termen van informatie. En dat terwijl er vaak hoge kosten mee gemoeid zijn.

De uitkomst van een informatie beveiligingsonderzoek past bij de informatie architectuur van de orga¬ni¬satie. De informatie architect zal het beeld van de informatie aangevuld zien met de relevante, vaak zeer specialistische beveiligingsaspecten. Het beeld dat zo ontstaat kan als basis dienen voor een goede en effectieve inzet van IT en andere manieren van oplossen. Inclusief een integraal van crypto-apparatuur, airgaps, database-tabelbeveiliging, veiligheidszones, gebruikersprofielen, fysieke toegangsbeveiliging, beveiligingscalculators, virusbeveiliging en ga zo maar door.

Organisaties beveiligen hun informatie om risico’s die ze denken te lopen als die informatie in handen komt van “verkeerde” mensen en organisaties in te dammen. De stelling is dus juist. Daarbij bestaat 100% veiligheid niet en gaat het om zeer complexe zaken met vele aspecten. Het indammen van risico’s kan daarom hoge kosten met zich brengen. E.e.a. kan in termen van de gegevens die informatie zijn naar de organisatie vertaald worden en dat gebeurt nog veel te weinig. Daarmee zijn de discus-sies op dit gebied vaak nog veel complexer dan absoluut noodzakelijk is.

Uw naam:
Uw E-mail:
Uw reactie: