Centric connect.engage.succeed

Informatiebeveiliging: een complexe puzzel?

Geschreven door Gerard Stroeve - 17 september 2014

Gerard Stroeve
Begin jaren tachtig was Rubiks kubus een ware rage. Overal waar je keek, zag je mensen in de weer met de puzzel ontworpen door de Hongaarse uitvinder Ernő Rubik. De gekleurde breinkraker was mateloos populair. Zo populair zelfs, dat er in 1982 voor het eerst wereldkampioenschappen kubusdraaien werden georganiseerd. Het huidige wereldrecord stamt uit 2013 - de Nederlander Mats Valk loste de puzzel op in slechts 5,55 seconden.

Op het eerste gezicht lijkt Rubiks kubus een haast onoplosbare puzzel. Veel puzzelaars wagen zich er niet eens aan. Ook informatiebeveiliging is zo’n complexe puzzel die bovendien heel mooi in de vorm van een kubus is weer te geven. In deze blogpost ontdekt u hoe u, aan de hand van Rubiks kubus, die complexe puzzel een stuk behapbaarder maakt. Daarvoor plaats ik op elk van de kubusassen één aspect van informatiebeveiliging.

De vorm van informatie

Op de zijden van de eerste as projecteren we de diverse vormen van de informatie: digitaal, analoog en kennis.

Steeds meer informatie is tegenwoordig digitaal. In IT-systemen, op uw netwerk, maar ook op informatiedragers als disks, usb-sticks en back-uptapes. Toch wordt veel informatie ook nog op andere wijze vastgelegd. Denk aan papieren documenten en informatie op bijvoorbeeld whiteboards. Voor het gemak noem ik die informatie analoog. En tenslotte is informatie vaak opgeslagen in de hoofden van de medewerkers, in de vorm van kennis. Informatie over werkwijzen, collega’s en de organisatie. Maar ook fragmenten van de gegevens die in de eerder genoemde vormen vastgelegd is.

De kernaspecten van informatiebeveiliging

Op de zijden van de tweede as zetten we de kernaspecten van informatiebeveiliging: vertrouwelijkheid, integriteit en beschikbaarheid.

De vertrouwelijkheid geeft de mate aan waarin alleen geautoriseerde personen of processen de informatie mogen kennen en gebruiken. De integriteit van informatie wordt bepaald door de juistheid, de volledigheid en de correctheid in tijd van (de verwerking van) informatie. In hoeverre is de informatie (nog) gelijk aan hoe die zou moeten zijn en bedoeld is? En de beschikbaarheid tenslotte, wordt bepaald door de mate waarin de informatie op de juiste momenten toegankelijk is voor de juiste personen en processen. De vertrouwelijkheids-, integriteits- en beschikbaarheidseisen (VIB) van uw informatiestromen bepalen mede welke beheersmaatregelen u moet treffen.

Beheersmaatregelen

Op de zijden van de derde as zetten we de beheersmaatregelen. Deze vallen typisch binnen drie categorieën: mens, techniek en organisatie.

U kunt bijvoorbeeld techniek inzetten om IT-kwetsbaarheden aan te pakken, maar ook om ruimtes automatisch af te sluiten of ongeregeldheden snel te signaleren. Een ander belangrijk beheerselement is de mens zelf: het stimuleren van bewustzijn en training van medewerkers zijn menselijke maatregelen, maar bijvoorbeeld ook de fysieke surveillance. Tenslotte is ook organisatie een beheerselement. Daarmee doel ik op taken, verantwoordelijkheden, afspraken, processen en procedures.

De beveiligingskubus

Met het invullen van deze drie dimensies van informatiebeveiliging is een complete beveiligingskubus gevormd. Deze beslaat in feite het hele speelveld van informatiebeveiliging voor elke afzonderlijke informatiestroom - een speelveld met 27 unieke aandachtsgebieden. Elk blokje vertegenwoordigt een combinatie van vorm, aspect en maatregel. Zo is er een blokje dat het raakvlak vertegenwoordigt van digitale informatie en de technische maatregelen die integriteit ervan moeten waarborgen, maar ook een blokje dat staat voor de organisatorische maatregelen die de beschikbaarheid van uw analoge kennis moeten waarborgen.

Ieder blokje van de kubus speelt zijn eigen rol in het informatiebeveiligingslandschap. Toch wordt het speelveld in de praktijk helaas vaak gereduceerd tot één enkel blokje. Onder invloed van de media, technologische actualiteiten en onterechte aannames, wordt er vooral gekeken naar de bescherming van de vertrouwelijkheid van digitale informatie en worden maatregelen uitsluitend in de techniek gezocht. Effectieve informatiebeveiliging geeft echter elk afzonderlijk blokje van de kubus de aandacht die het verdient.

Toegegeven, in de praktijk zijn de afmetingen van de afzonderlijke blokken zelden gelijk. Zo kan bepaalde informatie binnen uw organisatie bijvoorbeeld vooral in papieren vorm aanwezig zijn, terwijl andere informatie vooral digitaal is. Ook kan de beschikbaarheid van bepaalde informatie zwaarder wegen dan de integriteit ervan. Maar hoe u de puzzel ook wendt of keert: deze puzzel telt 27 blokjes en om de puzzel op te lossen moeten ze allemaal op de juiste plek zitten.

Integrale aanpak voor informatiebeveiliging

Succesvolle informatiebeveiliging benadert de puzzel dus in zijn geheel. Door van tevoren al uw informatiestromen te bestuderen en te classificeren, legt u de basis voor een succesvol informatiebeveiligingsbeleid. Een beleid dat rekening houdt met de verschillende behoeften van alle vormen van informatie en daaraan de juiste maatregelen koppelt. Alleen als u alle puzzelstukjes de aandacht geeft die zij verdienen, kunt u de puzzel als geheel oplossen.

Tot slot

Wat veel mensen niet weten, is dat Rubiks kubus vanuit iedere willekeurige positie binnen slechts 20 draaiingen op te lossen is. De kunst, zo kan iedere fanatieke kubusdraaier u uitleggen, is om de complete kubus eerst goed te bestuderen. Als je van tevoren weet welke stappen je moet zetten om de puzzel op te lossen, kun je ze zo snel en effectief mogelijk zetten. Het wereldrecord kubusdraaien kwam dan ook niet zomaar uit de lucht vallen. Omdat hij zich goed had voorbereid, wist Mats precies wat hem te doen stond.

Gerard Stroeve is als Manager Security & Continuity Services verantwoordelijk voor de diensten die Centric levert op het gebied van informatiebeveiliging en continuïteitsmanagement. Vanuit zijn rol als managementadviseur heeft hij veel organisaties geholpen bij het opstellen van beleid, het analyseren van bedrijfsrisico’s en het opstellen van beveiligings- en continuïteitsplannen. Ook begeleidt hij organisaties bij de certificering voor de ISO 27001-norm.

Meer weten over informatiebeveiliging?

Download de whitepaper informatiebeveiliging en lees meer over de 10 succesfactoren van informatiebeveiliging.

Download de whitepaper over informatiebeveiliging

     
Schrijf een reactie
  • Captcha image
  • Verzenden