Informatiebeveiliging begint aan de top

Informatiebeveiliging is niet simpelweg met een tijdelijk project of een technische tool te regelen: het is een proces dat continu aandacht vereist. Niet alleen van IT en de securitymanager, maar juist in de bestuurskamer. Mark Tissink, trainer, coach en security-expert, vertelt over de actuele ontwikkelingen, issues en oplossingen.

Nederlandse organisaties zijn uiterst kwetsbaar voor digitale aanvallen, waarschuwde de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) in de recente editie van het Cybersecurity Beeld Nederland (CSBN). “Organisaties worden nog steeds succesvol aangevallen met eenvoudige methoden. Incidenten hadden voorkomen kunnen worden en schade had beperkter kunnen zijn door het nemen van basismaatregelen”, aldus het CSBN.

Security updates niet uitgevoerd

Minister Grapperhaus van Justitie en Veiligheid gooide er recent nog een schepje bovenop: in een vragenuur met de Tweede Kamer noemde hij bedrijven die het installeren van security updates uitstellen “ongelofelijke oliebollen”. Aanleiding voor zijn uitspraak was het nieuws over de lekken in VPN-verbindingen dat de Volkskrant in oktober bekend maakte. De krant onthulde dat de interne verbindingen van talloze bedrijven en instellingen in Nederland – waaronder luchtvaartmaatschappij KLM, oliemaatschappij Shell, baggerbedrijf Boskalis, defensiebedrijf IAI, het ministerie van Justitie en Veiligheid en de Luchtverkeersleiding Nederland – maandenlang onvoldoende beveiligd waren, doordat belangrijke security updates niet tijdig waren uitgevoerd.

Niet zomaar klakkeloos updaten

De installatie van security updates klinkt als een van de eenvoudige basismaatregelen waarover de NCTV schrijft. Toch is deze informatiebeveiliging niet altijd zo simpel als het lijkt, waarschuwt Mark Tissink. “Een organisatie moet altijd goed kijken wanneer en hoe je de updates het beste kunt installeren. Het kost ook tijd om te testen of alles na de installatie weer goed werkt. Je kunt niet zomaar klakkeloos gaan updaten. Het hoeft dus niet erg te zijn dat security updates niet onmiddellijk worden uitgevoerd, als er maar andere maatregelen zijn getroffen om met de actuele kwetsbaarheden om te gaan.”

Verantwoordelijkheid ligt ook bij de leverancier

Tissink ziet ook een belangrijke rol en verantwoordelijkheid voor leveranciers en dienstverleners. “De aanbieders van software, netwerken en systemen zouden zich moeten afvragen: wat willen we onze klanten precies bieden? Brengen we deugdelijke oplossingen op de markt die voldoende veilig zijn? Zien we privacy en beveiliging als onderdeel van ons maatschappelijk verantwoord ondernemerschap, of zelfs als unique selling point? Of beknibbelen we op de kwaliteit van de programmering, waardoor er lekken in codes kunnen ontstaan? Geven we voldoende aandacht aan security updates en hoe lang bieden we die aan? Bij veel leveranciers gaat de gebruikershandleiding en service niet verder dan de installatie – over veilig beheer hoor je nauwelijks iets.”

Standaard een te laag beveiligingsniveau

Voor gebruikers is het vaak lastig om te beoordelen of ze een goed product aanschaffen, denkt Tissink. “We zien wel wat we met een app of systeem kunnen doen, maar over de werking van een product hebben we heel weinig kennis. Dat geldt voor producten en diensten in organisaties, maar het begint er al met de manier waarop we als consumenten omgaan met bijvoorbeeld internet en telefoons. Veel applicaties en apparaten staan standaard ingesteld op een laag beveiligingsniveau; we moeten er dus actief mee aan de slag om ze echt veilig te maken. We weten doorgaans niet hoe dat werkt. Of we kiezen voor het gemak van bijvoorbeeld vooraf ingevulde inlognamen en wachtwoorden. Bijvoorbeeld vanuit de gedachte: ik heb niets te verbergen. Of: mij overkomt toch niets.”

Informatiebeveiliging en toegangsbeheer

Naast het uitvoeren van security updates is ook het gebruik van wachtwoorden een terugkerend thema in de actuele discussies over informatiebeveiliging en toegangsbeheer. Tijdens de recente One Conference in Den Haag stelde de NCTV dat wachtwoorden niet goed werken en het daarom hoog tijd is voor authenticatie met behulp van tokens en biometrische gegevens. “We Are Going to Kill Passwords (or at Least Try)” was de veelzeggende titel van de presentatie van Koen Sandbrink van de NCTV.

Naast wachtwoorden ook inzet van biometrie

Tweefactor- of zelfs multifactor-authenticatie komt al steeds meer voor, signaleert Tissink. “Het gaat dan niet alleen over wat je weet, namelijk een wachtwoord, maar ook over de unieke kenmerken van jou als individu, of zelfs over de plekken waar je je bevindt of de apparaten die je gebruikt. Om een gebruiker te identificeren – en uiteindelijk te autoriseren – worden dan ook steeds meer attributen gevraagd. Denk aan gegevens zoals een vingerafdruk, iris of stem.”

Wachtwoorden veilig bewaren in een wachtwoordkluis

Wachtwoorden zullen er voorlopig nog wel blijven, denkt Tissink. “Dan is wel de vraag voor organisaties: welk wachtwoordbeleid hebben we, hoe verwerken we het beleid effectief in onze werkwijzen, hoe kunnen we multi-authenticatie daadwerkelijk toepassen in onze systemen en in de systemen die we via leveranciers gebruiken (bijvoorbeeld in de cloud)? Maar ook: hoe kunnen we het gebruikers makkelijker maken om wachtwoorden te gebruiken, bijvoorbeeld met bijvoorbeeld een wachtwoordkluis?”

Leiderschap aan de top

Vraagstukken rond informatiebeveiliging worden in veel organisaties sterk technisch ingestoken. Maar in essentie gaat het om het leiderschap op managementniveau, benadrukt Tissink. “Als de top het thema niet belangrijk vindt, dan gaat het niet leven in de organisatie en worden er ook geen budgetten, middelen en mensen voor vrijgemaakt. Neem de ontwikkeling en implementatie van nieuwe software. De capaciteit die daaraan wordt toegekend heeft een directe impact op het niveau van informatiebeveiliging dat kan worden gerealiseerd. Product owners moeten binnen die kaders bijvoorbeeld de afweging maken: kiezen we vooral voor nieuwe features die we snel kunnen uitrollen, of investeren we serieus in de beveiliging in de IT-infrastructuur?” Ook de keuze om in kennis van medewerkers te investeren, bijvoorbeeld door technische beheerders een training over hacken te laten volgen, wordt op managementniveau gemaakt.

Informatiebeveiliging serieus nemen

Voor veel managers is informatiebeveiliging een van de vele uitdagingen waarmee ze te maken hebben: als onderdeel van risicogestuurd werken zijn naast informatiebeveiliging bijvoorbeeld ook dataprotectie, privacy en business continuity belangrijke aandachtspunten. Is het nu de taak van securitymanagers en andere betrokkenen bij informatiebeveiliging om het onderwerp op de managementagenda te zetten? Tissink benadrukt dat een succesvolle aanpak staat of valt met het commitment aan de top. “Securitymanagers kunnen het bestuur overtuigen op inhoud: door hen de juiste vragen te stellen en mee te nemen in het risicoproces. Maar uiteindelijk moet er een cultuur ontstaan die informatiebeveiliging – net als andere bedrijfsrisico’s – serieus neemt. En dat begint toch echt in de bestuurskamer. Daar worden namelijk de missie, visie en doelen van de organisatie bepaald. Wat vindt de organisatie nu écht belangrijk en hoe investeren we daarin?”

IT ondersteunt de business

Naast het commitment van de top noemt Tissink ook de samenwerking tussen de IT-afdeling en andere teams als een succesfactor. “Veel organisaties beleggen informatiebeveiliging bij IT – dat is logisch en goed. Maar de business is een belangrijke driver. Uiteindelijk draait informatiebeveiliging om het (veilig) automatiseren van bedrijfsprocessen op een veilige en betrouwbare manier. Daarmee ondersteunt IT de business – en komen de vraagstukken dus ook voort uit de behoeften van de business.”

Wet- en regelgeving als driver

Sinds juni is in de Europese Unie de Cybersecurity Act van kracht. In de verordening zijn de oprichting en het takenpakket van een Europees instituut voor cyber security vastgelegd. ENISA wordt het onafhankelijke agentschap voor de coördinatie en samenwerking tussen de lidstaten en de EU-instellingen, -agentschappen en -organen. Daarnaast regelt de Cybersecurity Act een kader voor certificering van de cyberveiligheid van ICT-producten, -diensten en -processen. De certificering is in eerste instantie vrijwillig. Uiterlijk in 2023 maakt de Europese Commissie bekend of bepaalde producten, diensten en processen verplicht over een keurmerk moeten beschikken.

Risico op boete zet informatiebeveiliging hoger op de agenda

Ontwikkelingen zoals de Cybersecurity Act kunnen een impuls geven aan de verbetering van de informatiebeveiliging van producten, diensten en oplossingen, denkt Tissink. “Een keurmerk voor bijvoorbeeld Internet of Things-oplossingen geeft gebruikers meer zekerheid over de kwaliteit van de security. Nieuwe wet- en regelgeving, zoals de Algemene Verordening Gegevensbescherming (AVG), kan er ook voor zorgen dat het thema informatiebeveiliging hoger op de agenda komt binnen de organisatie. Dat heeft niet altijd zo zeer te maken met de concrete privacyrisico’s, maar vooral met het risico dat bestuurders met forse boetes te maken krijgen, zoals bij de AVG het geval is.”

Veilig beheer komt na de technische oplossing

Tools zijn nooit de enige oplossing voor informatiebeveiliging, vindt Tissink. “Tools zijn een middel om een probleem op te lossen. Maar dan moeten we dus wel eerst het probleem helder hebben. Informatiebeveiliging start daarom met het inzichtelijk maken van de risico’s. Pas daarna kunnen we kijken naar zaken zoals tooling en compliance. In sommige gevallen kunnen technische oplossingen afdoende zijn om de risico’s te beheersen, maar de vervolgvraag is dan: hoe zorgen we voor een veilig beheer?”

Cont(r)acten met clouddiensten

Tissink geeft het voorbeeld van clouddiensten. “Sommige organisaties weten in eerste instantie niet precies welke clouddiensten ze gebruiken en hoe die onderling zijn gekoppeld. Het proces van informatiebeveiliging begint dan bij de vraag: wat hebben we allemaal in huis? Cloudproviders zijn letterlijk dagelijkse bezig met security, dat geeft vertrouwen. Maar voor het periodieke onderhoud staan securitymanagers en hun collega’s aan de lat. Hoe weten we dat de cloud provider regelmatig security updates toepast? Hebben we contractuele afspraken over beveiliging en hoe willen we daar als organisatie mee omgaan? Hoe afhankelijk zijn we van de leverancier en hoe uniek is de dienstverlening die we afnemen? Wat gebeurt er met onze data als een dienstverlener failliet gaat, of fuseert met een ander bedrijf?”

Het is tijd voor authenticatie met behulp van tokens en biometrische gegevens

Onbekendheid met informatiebeveiliging

“Informatiebeveiliging is de laatste jaren niet wezenlijk vernieuwd, maar de terreinen waarop we het toepassen zijn zeker veranderd”, signaleert Tissink. “Ontwikkelingen in bijvoorbeeld het Internet of Things, big data, clouddiensten en biometrische authenticatiee maken het ingewikkeld om als gebruikers precies te begrijpen hoe we er veilig mee omgaan. Dat is een maatschappelijk probleem, dat directe impact heeft op organisaties. Als je je als consument onvoldoende bewust bent van manieren om veilig met digitale middelen om te gaan, dan liggen veilige werkwijzen op de werkvloer nu eenmaal ook niet voor de hand.”

Informatiebeveiliging is geen project maar een continue proces

“Begin met het inzichtelijk maken van de risico’s waar de top van de organisatie van wakker ligt, zoals business continuity”, adviseert Tissink securitymanagers. “Vertaal die risico’s vervolgens naar zaken waar jij daadwerkelijk iets aan kunt doen. Soms is dat een kwestie van een tool toepassen. Soms komen er ook nieuwe beleidsplannen bij kijken, of moet er processen worden ingericht en activiteiten worden ontwikkeld om medewerkers bewuster te maken van de risico’s en oplossingen. In alle gevallen is een continue aanpak essentieel: informatiebeveiliging is nu eenmaal geen project, maar een proces waar je steeds mee bezig blijft.”

Bron: https://www.securitymanagement.nl/informatiebeveiliging-begint-aan-de-top