9 September 2015

Is al die aandacht voor informatiebeveiliging wel nodig?

Door Johan op de Coul, docent Hogeschool NOVI

Dat beveiliging van IT-omgevingen belangrijk is, is wel bij iedereen doorgedrongen. Inbraken op IT-systemen van bedrijven, maar ook bij privépersonen, zijn aan de orde van de dag. Of tenminste pogingen daartoe. Naast de belangrijke ‘Code voor Informatiebeveiliging’ (de NEN ISO 27000) als norm voor (adequate) informatiebeveiliging, ontwikkelt de industrie ook steeds meer technische oplossingen om die beveiliging op orde te krijgen. Althans, voor de korte duur, want er heerst een ware ‘wapenwedloop’ tussen boeven en leveranciers van beveiligingssoftware.

Zo’n 25 jaar geleden studeerde ik informatica aan de TU Delft. Toen was internet er al, maar vooral gebruikt in de universitaire wereld. Heden ten dage is het internet niet alleen een snelweg voor informatie, maar ook voor hackers en andere boeven. In die jaren wees Professor Herschberg al op de gevaren van inbraken op systemen (virussen, phissing, e.d. waren toen overigens nog niet uitgevonden). Zijn studenten leerden toen al om – in het kader van hun specialisatie ‘informatiebeveiliging’ – op systemen in te breken. Smakelijk vertelde Herschberg tijdens zijn colleges dat een geslaagde inbraak bij gerenommeerde bedrijven in eerste instantie altijd ten stelligste werd ontkend: “Dat kan gewoon niet, meneer ….”. Daarna kwam toch overleg tot stand om het betreffende bedrijf te informeren waar het lek dan wel niet was gevonden en welke maatregelen Herschberg hen kon aanbevelen.

Tegenwoordig is de sfeer behoorlijk veranderd: bedrijven weten dat zij gerede risico’s voor inbraken lopen (of andere gevaren zoals DDos-aanvallen) en geven handen vol geld uit aan beveiligingsmaatregelen. Zo ook privépersonen. Bedrijven weten dat het niet alleen ‘vervelend’ is dat informatie is gehackt, maar dat dit ook het imago van het bedrijf aantast en misschien ook wel de continuïteit van de onderneming in gevaar kan brengen.

Het lastige van informatiebeveiliging is dat je nooit zeker weet of ‘de deur afdoende op de knip zit’. Je komt er pas achter als het te laat is: je bent slachtoffer geworden. Bovendien is het lastig omdat er niet altijd sporen van een inbraak zijn te vinden. Wat als een insluiper gegevens heeft gekopieerd? Je weet niet wat, en wat hij er voor schade mee kan veroorzaken, aan het bedrijf zelf en/of voor haar relaties. En dan ga ik er maar even vanuit dat een inbraak is geïdentificeerd.

Nu ben ik zelf niet zo technisch en specifiek op de hoogte van alle technische beveiligingsrisico’s en technische beveiligingsmaatregelen. Mijn ervaringen liggen meer op organisatievlak: hoe kan je de IT in een bedrijf optimaal organiseren, al dan niet in samenwerking met (outsourcing-) leveranciers.

Hierbij heb ik geleerd dat technische maatregelen weliswaar lastig zijn te implementeren (en hoge specialistische expertise vragen), maar dat organisatorische maatregelen nog veel lastiger zijn te ontwikkelen, te implementeren en toe te passen (zo niet te bewaken). Dit laatste vraagt ten minste om discipline van IT-medewerkers en gebruikers.

Jaren geleden werkte ik voor Defensie. Als ik documenten van de ene naar een andere locatie wilde transporteren, mocht ik die niet in mijn tas meenemen; er moest altijd een koerier worden ingeschakeld. Tegenwoordig kunnen wij vanaf elke locatie documenten via internet inzien en bewerken. Dat is ‘normaal’ in deze tijden. En met alle informatiebeveiligingsmaatregelen kan dat ook redelijk veilig. Dus: hoezo documenten in je tas meenemen? Toch vindt er nog regelmatig transport van – soms bedrijfskritische – informatie plaats door medewerkers, al dan niet op een USB-stick (met het risico dat die uit je zak valt en in de taxi blijft liggen …). Je kunt je dus afvragen of dat fysieke transport nog wel nodig is.

Naast de technische beveiligingsmaatregelen hangt of staat informatiebeveiliging met organisatorische beveiligingsmaatregelen en het handelen van gebruikers. Zo hebben ook clean screen (als je even naar het toilet gaat) en clean desk (na kantoortijd) policies zeker zin: je voorkomt dat niet-geautoriseerden (soms zelfs collega’s) inzage krijgen in bedrijfskritische of persoonlijke gegevens. Vooral die organisatorische beveiligingsmaatregelen vragen de expertise en de creativiteit van de ontwikkelaars, maar zeker ook de discipline van de gebruikers. Soms zijn die organisatorische maatregelen met technische maatregelen (denk aan: een sessie automatisch laten beëindigen na enige tijd geen activiteit op een Workstation) te ondersteunen. Ik zal nooit vergeten dat wij (ik was hoofd IT bij een groot bedrijf met vele vestigingen) lang hebben gezocht naar een aantal – vermeende – inbraken op ons systeem. Wat was het geval: wij kwamen er achter dat er ’s nachts op ons systeem werd ingebroken. Althans, zo leek het. We konden verder niks vinden, anders dan dat er vreemde mutaties op de database waren ingevoerd. Na lang zoeken kwamen we er eindelijk achter. Op het kantoor werd een sessie nooit (ook niet door het systeem geïnitieerd) beëindigd; het systeem bleef online en de gebruiker aangelogd. Eén van de schoonmakers had familie in het buitenland, zag een terminal online, beëindigde (wel netjes van haar!) de sessie en startte email op. Dat beëindigen van die sessie deed ze echter niet ‘volgens de regels’, hetgeen een melding bij de beheerders opleverde. Hoe moet je deze situatie nu beoordelen? Ongeautoriseerde handelingen van de schoonmaker of ‘de kat op het spek binden’ en slordigheid van de gebruiker?

Informatiebeveiliging is dus een belangrijk – maar ook lastig – vak. Dat wordt ook door NOVI onderkend. Mooi dat door NOVI de basis wordt aangereikt voor de opzet van informatiebeveiliging, zowel de technische als de organisatorische kant.

Als docent bij NOVI stel ik vaak dat iedere student vakken als BIV/AO (Bestuurlijk InformatieVoorziening/Administratieve Organisatie), Informatiseringseconomie en Kwaliteitmanagement zou moeten volgen. Deze vakken presenteren m.i. basiskennis waarin elke IT’er thuis zou moeten zijn. Ik heb ondertussen deze visie herzien: iedere student zou m.i. ook het vak informatiebeveiliging moeten volgen.

Filosofisch kan je stellen: “Heb je dat nou wel nodig?” al die aandacht voor informatiebeveiliging? Helaas, ja! Ook dat behoort bij deze modern times …..

[vc_jumbotron title=”Geïnteresseerd?” margin_top=”70″ margin_bottom=”100″ scroll_animation=”fadeIn” scroll_animation_delay=”0″]Heb jij interesse in de modules Informatiebeveiliging? Laat dan je gegevens achter en wij nemen contact met je op.

[contact-form-7 id=”2334″ title=”Whitepaper”][/vc_jumbotron]

Gerelateerde artikelen