Bouwen aan een modern security beleid
Wanneer de afdeling informatica van een universiteit in staat blijkt de ov-chipkaart te kraken, dan is dat nieuws. Maar wanneer men zou melden dat uit onderzoek blijkt dat men met een Leopard tank eenvoudig de geldautomaat uit de gevel van iedere bank kan blazen, dan is geen medium geïnteresseerd. Het fysieke interpreteren vinden we eenvoudig, het inschatten van de virtuele wereld is een stuk lastiger.
Het structurele probleem waar de ICT-industrie mee kampt, is dat het vakgebied zich heeft ontwikkeld van een algemeen hulpmiddel tot een elementair bedrijfsmiddel. Als je ICT als bedrijfsmiddel ziet, zou de universiteit haar onderzoek over de gekraakte ov-chipkaart moeten voorzien van een financiële analyse waarin uitgewerkt wordt welke schade de ov-bedrijven zouden kunnen lijden door deze kraakgevoeligheid. Dan zou onmiddellijk blijken dat er sprake is van een enorme vooruitgang ten opzichte van de fraudegevoeligheid van de papieren strippenkaart, waarna het ineens geen nieuws meer is.
RISICO’S ACCEPTEREN
Omdat ICT een bedrijfsmiddel is geworden, is de overgang van ‘zelf doen’ naar ‘inkopen’ niet te stuiten. Zo ging dat indertijd ook met huisvesting, transport en logistiek. Het gevolg is wel dat het klassieke denken rond security, dat zich beperkt tot het rapporteren of iets al dan niet eenvoudig te kraken is, achterhaald is. Ondernemingen dienen de risico’s rond beveiliging en continuïteit financieel inzichtelijk te maken. Dit kan alleen maar als men ICT als kritisch bedrijfsmiddel op dezelfde wijze gaat aansturen als bijvoorbeeld financiën. Bij financiën accepteert men dat elke debiteur een potentieel betalingsrisico vertegenwoordigt en treft men om die reden voorzieningen, zoals een post ‘dubieuze debiteuren’. Zouden bedrijven elke debiteur met een potentieel risico uitsluiten (zoals nog vaak bij ICT gebeurt), dan was er algauw geen klant meer over.
In vrijwel alle organisaties is informatiebeveiliging gebaseerd op het principe van een harde schil met een weke kern. Hierbij wordt de buitenkant van het eigen systeem voorzien van zware beveiligingsmiddelen zoals firewalls, terwijl wanneer men eenmaal binnen is er geen sprake meer is van centraal gecoördineerde bescherming. Dit principe was logisch in de tijd dat het eigen systeem het uitgangspunt van alles was, maar in een tijd waarin het internet deze rol heeft overgenomen voldoet dit niet meer.
De enige manier om in deze nieuwe situatie een zinvol security beleid te ontwikkelen is door dit een integraal onderdeel te maken van het verwervingsproces van elke ICT-dienst, ongeacht of men die zelf ontwikkelt of inkoopt. Hierbij dient men te accepteren dat honderd procent veiligheid niet te realiseren is, evenmin als honderd procent risicoloos ondernemen bestaat. Anders gezegd, de eerste – en belangrijkste – stap voor een modern security beleid is de erkenning dat elke ICT-dienst onderdeel is van een elementair bedrijfsmiddel waarbij afwegingen dienen plaats te vinden op basis van financiële risicomodellen. Alleen dan is de onderneming in staat verantwoording en rekenschap af te leggen over de wijze waarop ICT-risico’s zich verhouden tot de ondernemingsrisico’s.
INCIDENTENPOLITIEK
De tweede stap is het aanpassen van het algemene ICT-beleid, waarbij er geen onderscheid meer mag worden gemaakt tussen de diensten die men in eigen beheer ontwikkelt en welke men inkoopt. De dynamiek van het huidige economische klimaat brengt met zich mee dat elke keuze die men maakt tussen zelf doen en uitbesteden per definitie een tijdelijke is, die men op elk moment moet kunnen aanpassen aan de dan geldende omstandigheden. Een praktisch gevolg van zo’n beleid is dat elke moderne toepassing dient te beschikken over een autonoom raamwerk waarbinnen zowel de beschikbaarheid als de informatiebeveiliging wordt gewaarborgd, waarbij het niet mag uitmaken of de toepassing in eigen huis of juist buiten de deur draait.
De derde stap is het inrichten van een op financiële principes gebaseerde beheersomgeving. Net als bij de financiële administratie wil je met gestandaardiseerde rapportages permanent inzicht kunnen geven in de herkomst en status van de ICT-bedrijfsmiddelen. Enerzijds om de actuele status van de ICT-diensten te kunnen toetsen aan de geformuleerde doelstellingen, anderzijds om op elk moment verantwoording en rekenschap te kunnen afleggen over de wijze waarop voldaan wordt aan wet- en regelgeving. Dit is een groot verschil met de huidige situatie, waarin de ICT bestaat uit op zichzelf staande hulpmiddelen die aangeschaft zijn op basis van incidenten zonder enige overkoepelende sturing.
De vierde en laatste stap is het ontwikkelen en actueel houden van een security beleid waarin wordt vastgelegd wat de minimale security-eisen zijn die de onderneming stelt aan de algemene ICT-infrastructuur. Dit kan zowel betrekking hebben op de ‘harde’ techniek, zoals servers, storage en networking, als op de ‘zachte’ elementen, zoals processen en procedures. Op basis van deze uitgangspunten kunnen dienstverleners op een objectieve manier met elkaar vergeleken worden en kan men in geval van conflicten een gefundeerd besluit nemen over de te volgen strategie. De eerder genoemde beheersomgeving komt hierbij goed van pas, omdat die de noodzakelijke ondersteuning biedt bij het afwegen van de negatieve waarde van een bepaald risico versus de toegevoegde waarde van de betrokken ICT-service. Zonder dit kader is het succesvol implementeren van een cloudstrategie niet mogelijk omdat men dan wel inzicht heeft in de vaak extreem lage kostprijs, maar deze niet eenduidig weet te confronteren met de bijbehorende risico’s.
KRAKKEMIKKIGE BEVEILIGING
Het zijn turbulente tijden in de wereld van de ICT. Vanwege de oorsprong als ondersteunend hulpmiddel is er binnen het vakgebied veel aandacht voor techniek, zoals de mate van kraakbaarheid van chips. Maar omdat de status als elementair bedrijfsmiddel iets van de laatste jaren is, zijn de bij deze status behorende aandachtsgebieden zoals kostprijstechnieken en financiële modellering nauwelijks ontwikkeld. Dit is de belangrijkste verklaring voor de vele falende projecten en ogenschijnlijk krakkemikkige beveiliging.
Alleen organisaties die in staat blijken te zijn deze nieuwe kennisgebieden te integreren in hun ICT-organisatie zullen weten te profiteren van de vele nieuwe mogelijkheden, inclusief het onder controle houden van de bijbehorende risico’s op het gebied van beveiliging en beschikbaarheid.
Dick van Gaalen is Business Technology Consultant bij HP Nederland.
Lees ook:
> Professionalisering informatievoorziening
> Cloud computing