Bij beveiliging gaat het niet alleen om technische aspecten. Waar het vooral veelal aan ontbreekt is goed management. Het gaat erom dat je snel oppikt waar de knelpunten liggen. En natuurlijk moet je niet direct helemaal over je toeren raken bij de eerste de beste panieksituatie, net zomin als je verkopers mag geloven op hun mooie blauwe ogen.

Als je mij vraagt waar je je op moet concentreren om het veiligheidsrisico te verkleinen, dan kan ik je, zonder de details te kennen over wat er in je bedrijf speelt, de volgende adviezen geven.

1. Vergeet nooit dat veiligheid vooral gaat over de data. We doen niet wat we doen om onze gebruikers, computers of software te beschermen. We doen het - inclusief het beschermen van de gebruikers tegen zichzelf - om de data te beschermen. Als iemand een veiligheidsprobleem of -oplossing te berde brengt, bedenk dan vooral wat voor impact het heeft op de data.

2. Definieer eisen en gaten. Begin met het definiëren van het algemene probleem. Breng alle relevante zakelijke en juridische eisen in kaart. Soms gaat dit keurig van boven naar beneden, maar andere keren heeft elke afdeling van de zaak verschillende eisen. Meestal is er overigens spraken van een combinatie van de twee.

Nadat je de eisen hebt gedefinieerd, moet je je concentreren op de gaten. Waar kunnen de huidige processen worden verbeterd? Wat ontbreekt er? Wat wordt er goed gedaan en wie is daarbij betrokken? Bedenk dat je mensen die zich betrokken voelen meestal wel meer verberingen kunt toevertrouwen. Betrek er ook managers bij, de IT-afdeling, eindgebruikers en de broodnodige andere departementen, zoals de juridische afdeling.

Van elk potentieel beveiligingsgat moet worden bekeken hoe gevaarlijk het is. Berekeningen van het beveiligingsrisico moeten rekening houden met het werkelijke gevaar, het potentiële gebied dat gevaar loopt en de potentiële kosten als het verkeerd loopt. Gaten die het hoogste beveiligingsrisico vormen moeten het eerste worden gedicht. Vanzelfsprekend kun je daarbij niet voorbij gaan aan de politieke gevoeligheden. Soms moet je een project eerder aanpakken, gewoon omdat iemand van de bovenste verdieping wil dat het wordt gedaan.

3. Stel kosten en doelen vast. Nu je de risico's hebt geïdentificeerd en de potentiële schade die door elk gat kan worden toegebracht, kun je gaan bepalen hoeveel het kost om elk gat te dichten. Als de prijs van de oplossing hoger is dan de potentiële schade, dan is het misschien geen project om je al te veel zorgen over te maken. Je moet daar realistisch in zijn. Over het algemeen heb je meerdere doelen en projecten op stapel staan (en projecten die al onderweg zijn) dan je af kunt maken in een bepaalde periode. Minder belangrijke projecten mogen dus in de wacht.

Het is belangrijk om elk project te verbinden aan het veiligheidsrisico dat het moet verhelpen, en om daar dan een aantal verwachtingen aan te verbinden. Er is weinig zo beschamend dan veel geld uit te geven om een bepaalde dreiging weg te nemen, om diezelfde dreiging de volgende dag werkelijkheid te zien worden. Neem dat maar van me aan.

4. Ontwikkel een plan. Creëer doelen en projecten voor de korte, de midden en de lange termijn met behulp van de informatie die je tot je beschikking hebt. Verbind ieder project aan de eisen die de onderneming stelt en aan strategische doelen. Breng rapport uit over je strategie en tactiek aan het management. Van hen heb je namelijk de goedkeuring nodig en zij moeten achter je staan in het geval je stevig in moet grijpen en je daardoor in conflict komt met bepaalde afdelingen.

5. Houd de statistieken bij. Als je te maken krijgt met het hogere management, dan moet je de status van je afdeling bondig kunnen samenvatten. Hoeveel securityincidenten zijn er geweest? Wat waren de kosten per incident? Hoeveel aanvallen zijn er geweest? Hoeveel websites zijn er besmet? Statistieken en taartdiagrammen zijn misschien saai, maar je hebt ze heel hard nodig als je het hogere management ergens van wilt overtuigen. Laat de statistieken zien die goed uitdrukken waar de risico's zitten voor het netwerk.

6. Inventariseer de omgeving. Als mensen denken aan inventariseren, dan denken ze alleen aan het tellen van computers, platformen en andere apparaten. Dat zijn inkoppers. Maar goede beveiligingsmensen moeten vooral de omgeving goed begrijpen die ze moeten beveiligen. Begin dus bij elk toegangspunt. Dat betekent dus internettoegang, VPN verbindingen, inbelverbindingen, WAN verbindingen, partnerlinks enzovoort.

Inventariseer vervolgens de verschillende soorten gebruikers. Wie heeft toegang nodig tot welke data? Dan hebben we het bijvoorbeeld over interne gebruikers (met en zonder privileges), externe gebruikers, partners, klanten, leveranciers, etcetera. Het idee is om precies uit te vinden welke hoofdgroepen er zijn en tot welke informatie die toegang moeten hebben.

7. Lokaliseer je data. Houd bij waar de data precies staat, op welke servers en op welke locaties. Hoeveel databases zijn er, wat voor soort databases zijn dat en waar zijn ze opgeslagen? Wat voor backupmedia worden er gebruikt en waar worden ze ondergebracht? Is het gebruikers toegestaan om data op hun eigen media (usb geheugensticks, draagbare harde schijven, writable cd's) op te slaan? Zo niet, doen ze het dan toch? Dit is geen kleine opdracht. Want wie weet echt waar al zijn data is? Gebruik hier je beste inzicht als beginpunt. Van daaruit kun je verder gaan.

8. Classificeer de data. Je kunt hier je eigen categorieën maken of generieke termen gebruiken zoals Openbaar, Privé en Vertrouwelijk. Als een enkele database data bevat uit meerdere categorieën, classificeer die database dan helemaal als 'gevoelig'.

9. Creëer veiligheidsdomeinen. Met alle gegevens die je nu hebt verzameld kun je verschillende domeinen definiëren. Logisch dan wel fysiek kun je nu een scheiding aanbrengen tussen verschillende typen gebruikers en de data waar ze mee moeten werken. Een paar simpele voorbeelden: mensen van buiten het bedrijf die bij openbare informatie kunnen, zouden geen toegang mogen hebben tot privé of vertrouwelijke data en gewoon personeel mag geen toegang hebben tot de cijfers van het management. Zulke domeinen kunnen met allerlei middelen worden gecreëerd, met firewalls, routers, ethernet switches, VPN protocollen, database contols, encryptie, noem maar op.

10. Start een security saneringscyclus. Heb je de omgeving, de projecten en de doelen eenmaal in de vingers, dan kan de cyclus er ongeveer zo uitzien: inventariseer eerst de bestaande en toekomstige objecten, zoals computers, gebruikers, groepen en dergelijke. Kijk vervolgens hoeveel objecten je minstens nodig hebt om aan de eisen van de zaak te voldoen. Beveilig tot slot de overgebleven objecten, al naar gelang ze gedefinieerd zijn door je projecten en doelen, en bepaal en manage er de lifecycle van.

11. Bepaal de lifecycle van objecten. Object lifecycle managment houdt ook in dat je processen en controle creëert en verbeterd rond het aanvragen en het aanmaken van objecten, dat je verandering en de verplaatsingen van objecten kunt beheren en dat je de afschrijving van objecten documenteert (zodat ze niet voor altijd rond blijven hangen). Toevoegingen, verplaatsingen, veranderingen en verwijderingen moeten goed in de gaten worden gehouden. Dat houdt in dat veranderingen gemonitord moeten worden, dat je gewaarschuwd moet worden als je in actie moet komen, en dat je alles goed moet kunnen controleren.

Drie open deuren

Zoals altijd besluit ik mijn beveiligingsadviezen met een paar open deuren: een groot deel van de beveiligingsrisico's van objecten kan uitgesloten worden (1) door te voorkomen dat gebruikers er malware op installeren (maakt niet uit hoe je dat voor elkaar krijgt), (2) door goed te patchen (niet alleen het besturingssysteem maar ook de applicaties) en (3) door Secure Development Lifecycle binnenshuis te halen. Voorkomen dat er malware wordt geïnstalleerd houdt de meeste client-side aanvallen buiten de deur. Het implementeren van SDL verkleint de risico's aan de serverkant, en beter patchen helpt aan alle kanten.

Nu hoor ik je al ietwat sarcastisch al zeggen, "Is dat alles?" Ja, welkom in onze wereld.

Bron: Techworld