ITSX:Tijd voor beleid

Update 28 – ITSX –September 2016

In de ITSX-rubriek vertelt Ralph Moonen, directeur van ITSX, hoe je met succes een informatiebeveiligingsbeleid invoert en deze up-to-date houdt.

ITSX helpt haar klanten regelmatig met het schrijven of updaten van het informatiebeveiligingsbeleid. Hierbij valt op dat het begrip ‘beleid’ niet eenduidig wordt geïnterpreteerd. Voor de een is beleid een stukje op de intranetsite over hoe je een wachtwoord moet kiezen, voor de ander betekent het een heel stelsel aan maatregelen onderbouwd door risicomanagement. Wat moet er nu in een beleid staan, en hoe zorg je ervoor dat het up-to-date blijft?



Structuur
Allereerst is het van belang te beseffen dat beleid inderdaad op diverse niveaus naast elkaar kan, en moet bestaan. Zowel technische inrichtingsdocumenten als raamwerkstukken zijn nodig om informatiebeveiliging in de organisatie de juiste plek te geven.

Dit kan worden weergegeven als een piramidestructuur waarbij op het hoogste niveau algemene uitspraken van het management worden gedaan over het hoe en waarom van informatiebeveiliging. Het niveau daaronder definieert de standaard waaraan op diverse onderwerpen moet worden voldaan (bijvoorbeeld ‘logische toegangsbeveiliging’ of ‘applicatieontwikkeling’). In deze laag worden maatregelen benoemd om risico’s te verkleinen. Richtlijnen en procedures vormen de onderste twee lagen van de beleidsstructuur.


Grafiek 1: Beleidsstructuur

ISO27001
Deze structuur (zie grafiek 1) leent zich goed voor de ISO27001 standaard. Die schrijft immers voor dat het beleid op het hoogste niveau wordt bepaald door een Information Security Management System (ISMS). Daaronder kunnen controls (maatregelen) worden benoemd, al dan niet geselecteerd uit de ISO27002 standaard.

Een ander belangrijk aspect uit de ISO27001 standaard is dat er gebruik gemaakt wordt van een continue verbetercyclus. Dit heeft als doel dat het beleid regelmatig wordt getoetst en gewijzigd wanneer nodig. De omgeving veranderd tenslotte en ook de taken en verantwoordelijkheden wijzigen regelmatig. Een veelgebruikte opzet van zo’n verbetercyclus is de zogenaamde Deming Cyclus, ook wel Plan-Do-Check-Act (PDCA) genoemd. Hierin wordt periodiek aandacht gegeven aan aspecten die invloed hebben op het beleid.
Ook als je niet van plan bent om ISO27001 in te voeren is het gebruik van de PDCA-cyclus (zie grafiek 2) vaak aan te raden. Het is niet voor niets een standaard management-tool op veel gebieden.



Valkuilen
Iedereen die met dit onderwerp bezig is, zal kunnen beamen dat het niet altijd eenvoudig is om deze cyclus ook daadwerkelijk te doorlopen. Vaak verdwijnt het beleid naar de achtergrond en is de neiging sterk om te concentreren op dagelijkse operationele zaken. Zeker als er geen incidenten zijn of een periode waarin er weinig ontwikkelingen zijn in de IT-voorzieningen. Het borgen van de PDCA-cyclus is dan toch erg nuttig. Dit kan onder andere door het opstellen van een meerjarenplan, en het doorlopen van de PDCA-fases onderdeel te maken van de jaarplannen van de medewerkers en hierop te sturen.

Een andere valkuil is het ontbreken van draagvlak binnen (onderdelen van) de organisatie. Informatiebeveiliging wordt vaak gezien als een IT-feestje. Op managementniveau wordt vaak het belang ervan wel ingezien, maar niet uitgedragen. We zien het vaak gebeuren dat hoger management vindt dat het beleid niet voor hen geldt. Dit helpt niet bij het inbedden van het beleid in de dagelijkse operatie, laat staan dat het de awareness vergroot...

Informatiebeveiliging wordt vaak gezien als een IT-feestje. Op managementniveau wordt vaak het belang ervan wel ingezien, maar niet uitgedragen.

Een derde aspect dat regelmatig tot onduidelijkheden leidt, is het gebrek aan een goede governancestructuur. Wie is precies verantwoordelijk voor wat? In grotere organisaties is dit vaak zeer lastig te zeggen omdat in veel gevallen overlap bestaat met andere functies, zoals riskmanagement, informatiemanagement en operatie. Maar juist dan is het van groot belang dat het hoogste niveau van het beleid hierin zeer helder is. Voor allerlei taken en verantwoordelijkheden dient te worden vastgelegd welke functies in de organisatie een rol spelen. Een standaardmethode uit de gereedschapskist van de manager is de zogenaamde RACI-matrix. RACI is een afkorting van: Responsible, Accountable, Consulted en Informed. In de cellen van de matrix kunnen de rollen worden benoemd die deze functie hebben. Oftewel wie is er verantwoordelijk? Wie kun je erop aanspreken? Wie kun je om advies vragen en wie moet je informeren?


Succes!
De bovenstaande drie elementen (structuur, PDCA-cyclus en een duidelijke vastlegging van taken en verantwoordelijkheden) zijn in onze ervaring kritieke factoren voor het succesvol invoeren van een informatiebeveiligingsbeleid. Sterker, dit geldt voor alle vormen van beleid. Ook voor risicomanagement, financieel beleid en operationele organisaties kunnen deze elementen worden toegepast. Toch zijn deze standaard managementgereedschappen niet altijd bekend of worden ze mondjesmaat toegepast.

De consultants van ITSX hebben de kennis en ervaring om deze tools toe te passen bij de invoering van een solide beleid. En mocht er binnen uw organisatie behoefte zijn om hiermee aan de slag te gaan in het kader van informatiebeveiliging, privacy, of information risk management dan horen wij dat graag van u.

‘Wachtwoordbeleid’ is vaak het eerste wat genoemd wordt als wij onze klanten vragen wat ze al aan beleid hebben. Het is ook een zeer zichtbaar stukje regelgeving, want alle gebruikers hebben ermee te maken. Toch zien we dat juist dit deel vaak achterloopt bij de ontwikkelingen en door gebruikers als zeer restrictief wordt ervaren. Hoeveel tekens moet een wachtwoord zijn? Hoeveel cijfers en leestekens moeten erin staan? Hoe vaak moet hij worden gewijzigd? Het is makkelijk je te verliezen in dergelijke details. Het blijkt uit diverse stukken onderzoek dat juist de meer restrictieve regels, slechte wachtwoorden in de hand werken!
Veel organisaties gaan er daarom toe over om wachtwoorden aan simpelere, maar betere regels te onderwerpen:
Wachtwoorden verlopen niet zomaar
meer.
• Wachtwoorden hebben minder complexiteitsregels.
• Lange en zeer lange wachtwoorden worden aangemoedigd.
• Wachtwoorden worden getoetst aan lijsten van veelgebruikte wachtwoorden (blacklisting).
• In het geval van twijfel (login op raar tijdstip, vanaf vreemd IP-adres, of vanaf onbekend apparaat) wordt een tweede factor (bijv. SMS, email of zelfs Facebook login) ingezet.

Tijd om ook uw beleid aan te passen?

 

 

 

@Secura 2018
Webdesign Studio HB / webdevelopment Medusa