Het begrijpelijk maken van security maatregelen is een kunst op zich, hoe autofolders daarbij kunnen helpen

 

Deze blog gaat over het tot stand komen en bruikbaar maken van een set met beveiligingsmaatregelen. Wat moeten we doen als het gaat over beveiligingsmaatregelen. Wat mag wel, wat mag niet? In een afzonderlijke blog wil ik ingaan over de vraag of we overal wel beleid voor moeten en willen schrijven. In verband de vele vragen die we krijgen over beveiligingsmaatregelen is er enorm veel tijd en energie gestoken om tot een werkbare en begrijpelijk set met beveiligingsmaatregelen te komen die ieder die er mee te maken krijgt kan helpen de juiste keuzes te maken.


De trechter

In een eerdere blog ben ik ingegaan op de risico analyse methodiek. Wanneer een risico analyse wordt uitgevoerd dan gaan de uitkomsten van de BIA en de eventueel uitgevoerde dreigings- en kwetsbaarheden analyse in de spreekwoordelijke trechter. Dat levert dan aan de onderkant een set met beveiligingsmaatregelen op die afdoende zouden moeten zijn om de data/het systeem dat onderzocht is te beveiligen.

De maatregelset

Om het gevolg van die trechter actie te kunnen ondersteunen is het dus noodzakelijk om een set met beveiligingsmaatregelen te hebben waaruit je kunt putten om de geconstateerde risico niveaus goed af te dekken. Daarbij spelen een paar zaken:
Allereerst het gebruik van een risico matrix.
Dat betekent dat we vast gelegd hebben welke risico's we wel en niet willen accepteren. Dit kan gaan om risico's met betrekking tot financiële schade, imagoschade, operationele schade, etc.
We hebben te maken met compliancy m.b.t. wetgeving.


Iedereen weet hoeveel energie is gestoken om voor 25 mei 2018 zo goed mogelijk aan de AVG te voldoen.
In november 2018 is daar de Wet Beveiliging Netwerk- en Informatiesystemen (Wbni) bij gekomen voor de kritische sectoren (o.a. Financieel, digitale dienstverlening, transport, energie, water, transport). Voor die bedrijven geldt dat zij aan moeten kunnen tonen dat zij hun informatiebeveiliging onder controle hebben. Een van de middelen die we daarvoor inzetten is de schriftelijke vastlegging van het informatiebeveiligingsbeleid (het Information Security Management System, ISMS) en de set met beveiligingsmaatregelen die daar bij hoort.
De meeste bedrijven hanteren de ISO 27001 voor de inrichting van informatiebeveiliging.

De volgende stap is er voor te zorgen dat we beveiligingsmaatregelen konden toekennen aan de verschillende risico niveaus die uit de risico analyse komen. Ook is het van belang er voor te zorgen dat de beveiligingsmaatregelen eenvoudig vindbaar zijn èn er voor te zorgen dat het helder en concreet beschreven is wat je moet doen.

Het autofolder model



Hierboven zie je het autofolder model:

De Comfortline bevat het basis uitrustingsniveau, in onze maatregelset is dit het basisbeveiligingsniveau. De beveiligingsmaatregelen die altijd uitgevoerd worden.
Comfortline Business bevat alle zaken die de Comfortline heeft, met daarin een aantal extra's. Dit is in ons medium beveiligingsniveau.
Highline, baevat alle opties van de Comfortline en de Comfortline Business en nog een stel extra's. Zo doen we dat ook in onze maatregelset. Bij een hoog risico niveau voegen we een aantal extra maatregelen toe.
Het mooie in dit vergelijk is dat de de Comfortline "Montana velgen" heeft en de Highline niet de "Kingston velgen" er extra krijgt, maar de Kingston velgen de Montana's vervangen.  Een hoger risico niveau betekent dus niet per sé plus-plus-plus, maar kan ook betekenen dat een "zwakkere maatregel" vervangen kan worden door een sterkere maatregel.


Hoe is de maatregelset vorm gegeven?

Zoals al beschreven is de maatregelset gebaseerd op ISO 27001. De ISO is een weinig concreet document. Het is bedacht door mensen uit allerlei bedrijven. Van overheid tot banken, tot grote industrieën. De ISO moet overal bruikbaar zijn. In de praktijk geeft het niet meer dan hoog-over richtlijnen die, als je dat aan een systeembeheerder geeft over het algemeen alleen maar tot vraagtekens leidt.

Wat we bij Blixt hebben gedaan, is in de eerste kolommen het hoog-over ISO statement plaatsen en de onderliggende ISO 27002 clausule die al iets meer richting geeft. Daarmee tonen we aan de internationale standaard te volgen. Daar hebben we een aantal kolommen toegevoegd met daarin een bedrijfsspecifiek referentienummer en de wijze waarop wij in overleg met het bedrijf denken dat deze beveiligingsmaatregel geïmplementeerd moet worden. Het is de kunst om die kolom zo concreet te beschrijven dat iedereen precies begrijpt wat er gedaan moet worden. Om vervolgens voor iedereen duidelijk te maken wanneer die beveiligingsmaatregel van toepassing is, hebben we er kolommen BIVP aan toegevoegd. Beschikbaarheid, Integriteit, Vertrouwelijkheid en Privacy voorzien van een 0,1,2,3 of 4. Daarmee kan je zien of het een baseline maatregel betreft, of dat het een medium of hoog niveau maatregel is en welk security aspect hiermee beveiligd wordt. Daarachter komen nog kolommen waarmee je eenvoudig kunt filteren op bijvoorbeeld data center maatregelen, OT specifieke maatregelen, netwerk beveiliging, Cloud, etc. De beveiligingsmaatregelen voor Cloud Security (ISO 27017) maken standaard deel uit van de maatregelset. Indien gewenst kunnen ook de NEN7510, de BIO of andere standaarden toegepast worden.

Meer weten? Neem dan contact op.