Want laten we eerlijk zijn: 2011 stond (mede door Webwereld) sterker in het teken van informatiebeveiliging dan ooit tevoren. Dat gaat volgend jaar niet anders zijn. Een gedegen menu is dus van groot belang.

“We zien dat de steeds grotere afhankelijkheid van ict steeds zichtbaarder worden in de incidenten", zegt Paul Overbeek, partner bj OIS Information Risk & Security Management en docent aan onder andere de Technische Universiteit Eindhoven. Op 30 en 31 januari is hij een van de sprekers tijdens de Masterclass Informatiebeveiliging, georganiseerd door Webwereld en IIR. “Als er een storing is bij Vodafone, dan staat de tram in Utrecht stil."

Wat ligt daar aan ten grondslag? “De aanvallers worden professioneler en hebben professionele middelen tot hun beschikking. Het romantische beeld van de puber met cola en een zak chips heeft al nooit bestaan." Dat betekent meer voorbereiding voor de beveiligingsprofessionals. Hun directe tegenstanders zijn immers gelijkwaardig in zowel kunde als technologie.

“Het tweede punt is dat we anno 2012 nog steeds niet in staat zijn veilige systemen te bouwen", treurt Overbeek. “De ontwerpprincipes voor veilige systemen bestaan al sinds de jaren 60 en zijn heel eenvoudig, maar worden bij nieuwe systemen toch keer op keer overboord gezet." Hij verwijt dat aan de opleidingen. “Die concentreren zich alleen maar op antivirus en toegangsbeheersing. Maar dat is maar het topje van de ijsberg. We lopen achter de feiten aan, met een 'o god o god, er gaat weer iets kapot'-mentaliteit."

Wat bedrijven volgens Overbeek nodig hebben, is een proces voor information security management. “Daar hoort ook risk management bij." Een aantal sectoren, zoals de banken, hebben het al (“wellicht niet op het niveau dat je zou willen", zegt Overbeek er nog bij). Maar het meest geleden wordt er bij het midden- en kleinbedrijf.

Maar hoe kom je tot zo'n proces? Volgens de kookbijbel van de informatiebeveiliging en topkok Overbeek dien je ongeveer dit recept aan te houden.

Basisvulling (vanuit de processen, niet vanuit de techniek)

Benodigd:

- 1 flinke scheut processen, slechts een snufje techniek (LET OP: niet andersom)

- Een eetlepel noodzakelijkheidsgevoel. Prop in kalkoen en dicht af met naald en draad

Om een risico aan te kunnen voelen, moet je eerst weten wat het risico voor de organisatie kan zijn. Niet alleen de directe schade moet worden ingeschat, maar ook de indirecte schade die veel lastiger te vatten is. Maar daarnaast moet er ook iets met die schattingen gebeuren. Dat dit niet altijd serieus wordt genomen, is volgens Overbeek omdat de beveiliging vaak vanuit de IT-organisatie wordt ingevlogen.

“De IT-organisatie is op zichzelf al een kostenpost, een lastpak", zegt hij. “Als zij ook nog eens een aanvraag doen voor investeringen in beveiliging, dan wordt dat dus als de zoveelste kostenpost gezien." Het moet volgens Overbeek worden omgedraaid. “De verantwoordelijkheid hoort bij het line management te liggen. Zij horen de risico's heel bewust te ervaren." Dat kan alleen als de gevolgen concreet worden neergezet.

“Technische risico's zijn belangrijk, maar zeggen een manager niets. Hen moet je concreet duidelijk maken wat de gevolgen voor het bedrijf zijn." Als voorbeeld noemt hij een fabrikant van babyvoeding waar een recept verkeerd was ingevoerd. Het risico moet je dan niet definiëren: 'in ons systeem kan een onoplettend iemand een verkeerd recept invoeren', maar: 'De invoer van een verkeerd recept kan leiden tot het gedwongen terugroepen van de complete productie'.

Voeg standaarden toe en laat een beetje sudderen

Benodigd:

incident-management, backup en controle (evt. andere kruiden naar smaak)

Een eigen bouillon van informatiestandaarden (Europees ISO27000-gekruid, specifieke kruiden naar keuze)

Je hebt minimaal incident-management, backup en controle op die eerste twee nodig, en je moet doelen stellen. Moet moeten de genoemde risico's worden vermeden? Wat moet het personeel allemaal weten? Welke opleidingen moeten ze genieten? “Je stelt met dit alles eigenlijk een baseline op voor informatiebeveiliging", zegt Overbeek.

Die baseline is onderhand gestandaardiseerd in de Code voor Informatiebeveiliging, welke volgens Overbeek door 90 procent van de Europese bedrijven wordt aangewend. “Ik vergelijk het altijd met de verkeersregels. 's Ochtends denk je ook niet: 'ga ik nou links rijden of ga ik rechts rijden?' Iedereen rijdt rechts, zonder te weten waarom nou eigenlijk."

Verplicht bijgerecht: Risicomanagement, afgeblust met maatregelen

Benodigd:

Een room van risicomanagement opgeklopt met risicokwalificatie

Een set van maatregelen in vloeibare vorm (technisch of niet-technisch, naar smaak)

De basis is algemeen en nog niet bedrijfsspecifiek. Dat wordt het als je het risicomanagement toevoegt. “Wat is het bedrijfsperspectief, wat zijn de bedrijfsrisico's en welke doelstellingen streef je na?" Pas daarna zet je een set van maatregelen op, en niet andersom, zo waarschuwt Overbeek. “Stel dat je doelstelling is dat er geen vreemde mensen het pand mogen binnenkomen", noemt Overbeek. “Dan kun je iemand bij de deur zetten, of misschien een pasjessysteem invoeren. Een niet-technische of een technische oplossing dus."

Optioneel bijgerecht (voor vegetariërs en schoonfamilie)

Benodigd:

Afhankelijk van eetwensen en eventuele allergieën van individuele gasten

LET OP: presentatie en rijke smaak belangrijk

In sommige gevallen dien je je processen voor specifieke klanten aan te passen. Wat zijn hun behoeften? Wat voor compliance heeft hij nodig? “Hoe moet de klant aantonen dat hij de hele handel beheerst?" is de vraag die volgens Overbeek in dat soort gevallen gesteld dient te worden. Uiteraard geldt dat ook de instanties die over jouw organisatie waken: hoe bewijs je aan hen dat je alles volgens de regels doet? Dat moet presentabel zijn.

Toetje van controle

LET OP: avond van tevoren klaarmaken

Benodigd:

Controle-hiërarchie, nacht in de koelkast

De controles op je processen voer je uiteraard pas uit als het proces er ligt. Maar het is volgens Overbeek van belang dat je de controles ruim van tevoren inricht, nog voordat de processen zijn ingevoerd. “De controles beginnen al op de werkvloer", zegt Overbeek. “De directe leidinggevende voert daar controles uit. Vervolgens heb je de interne controle, die feitelijk dubbel werk verricht op wat de lijnmanager dient te doen, zoals iemand ook de accountant moet controleren." Voor het topmanagement moet er een internal audit worden uitgevoerd. “En dan heb je natuurlijk de external audit", waarbij een externe het uiteindelijk gerecht controleert.