Handleiding IT-beveiliging
Sinds het internet in de jaren 90 zijn doorbraak kende, hebben grote aantallen organisaties hun informatiesystemen beschikbaar gesteld aan partners en leveranciers. Om deze reden, is het van groot belang om te weten welke data extra beschermd moet worden. Ook is het belangrijk om controle te hebben over de gebruikersrechten binnen het informatiesysteem.
In een tijd waarin van huis werken eerder regel dan uitzondering is geworden, moeten medewerkers vanuit externe locaties toegang kunnen hebben tot het informatiesysteem van de organisatie. Hetzelfde is van toepassing wanneer organisaties hun omgeving via het web beschikbaar stellen, bijvoorbeeld in de vorm van een extranet.
Introductie tot beveiliging
Risico ('risque') in de context van beveiliging wordt vaak via de volgende vergelijking weergegeven:
Een bedreiging ('menace') is een gebeurtenis die waarschijnlijk schadelijk is, terwijl kwetsbaarheid ('vulnérabilité'), soms ook wel fouten of breuken genoemd, de mate van blootstelling aan een bepaalde bedreiging vertegenwoordigd. Tot slot staat maatregel ('contre-mesure') voor de acties die worden ondernomen om de bedreiging te voorkomen.
De maatregelen die moeten worden ondernomen, bestaan naast technische oplossingen ook uit trainingen, bewustzijn en heldere richtlijnen. Om een systeem succesvol te beveiligen, moeten alle mogelijke bedreigingen in kaart worden gebracht. Tevens moet de handelswijze van de vijand worden geanalyseerd, om hier indien mogelijk op te kunnen anticiperen. Het doel van dit artikel is om een overzicht te geven van de mogelijke motivaties van hackers, deze te categoriseren en om aan te geven hoe zij werken om zodoende het risico van een aanval te beperken.
Doelstellingen van IT-beveiliging
Onder het begrip informatiesysteem verstaan we: alle data, materialen en software waarmee de organisatie haar data opslaat en verspreidt. Informatiesystemen zijn essentieel voor bedrijven en moeten daarom worden beveiligd.
IT-beveiliging bestaat over het algemeen uit het garanderen dat de data en software van de organisatie enkel gebruikt wordt voor het beoogde doel. De volgende doelstellingen kunnen daarbij geïdentificeerd worden
In eerste plaats de Integriteit, ofwel het garanderen dat de data actueel en correct is. Daarnaast is Vertrouwelijkheid ook een belangrijke doelstelling. Het gaat dan om het garanderen dat data uitsluitend beschikbaar is voor geautoriseerde gebruikers. Een derde doelstelling is de Beschikbaarheid. De technologie moet altijd toegankelijk zijn en op een correcte manier functioneren.
De handelingen die door gebruikers verricht worden moeten ook niet in een later stadium kunnen worden afgewezen het systeem moet garanderen dat alleen geautoriseerde gebruikers toegang hebben.
Behoefte aan een wereldwijde aanpak
De term IT-beveiliging is vaak onderhevig aan metaforen. Het wordt vergeleken met een ketting, waarbij de beveiliging van een organisatie slechts zo sterk is als het beveiligingsniveau van haar zwakste schakel. Zo heeft het bijvoorbeeld weinig nut om versterkte deuren in een gebouw te plaatsen waarvan de ramen wijd openstaan.
Bovenstaande toont aan dat het belangrijk is dat de veiligheidskwestie op wereldwijd niveau wordt aangepast. De volgende onderdelen zijn hierbij essentieel. Gebruikers moeten op de bewust gemaakt worden van de beveiligingsproblemen. Ook moet de veiligheidsimplementatie logisch zijn op het niveau van data, programma's en besturingssystemen.
De communicatieveiligheid richt zich onder andere op netwerktechnologieën, servers en aansluitpunten, terwijl de fysieke beveiliging zich richt op de beveiliging van de materiële infrastructuur, beveiligde ruimtes, ruimtes die toegankelijk zijn voor het publiek, werkplekken en dergelijken.
Implementatie beveiligingsbeleid
De beveiliging van een informatiesysteem is vaak gelimiteerd tot het garanderen van toegang tot de data van een organisatie, waarbij een systeem van authenticatie- en controlemechanismen ervoor zorgt dat gebruikers alleen de rechten hebben die door de system administrator zijn toegekend.
Naarmate informatiesystemen groeien, worden het reglement en de gebruiksinstructies steeds ingewikkelder. IT-beveiliging moet daarom aandachtig bestudeerd worden om te voorkomen dat de gebruikerservaring niet belemmerd wordt.
De eerste stap die een organisatie moet ondernemen, is een helder beveiligingsbeleid vaststellen. De totstandkoming van het beleid kan in de volgende fases worden opgedeeld. In de eerste plaats moeten de beveiligingsbehoeften en de IT-risico's geïdentificeerd worden, als mede de mogelijke gevolgen waar de organisatie mee geconfronteerd kan worden.
Daarna zullen de richtlijnen en procedures uitgestippeld moeten worden, die moeten worden geïmplementeerd ten behoeve van de geïdentificeerde risico's binnen verschillende afdelingen van de organisatie. Vervolgens moeten de kwetsbaarheden van het informatiesysteem en de gevonden fouten binnen de gebruikte programma's gedocumenteerd worden en de te ondernemen stappen en te contacteren personen beschreven.
Het beveiligingsbeleid omvat alle beveiligingsregels die binnen een organisatie bekend zijn. Gezien het beleid van toepassing is op alle (interne en externe) gebruikers, moet deze door leden van het management worden bepaald. Het is daarom niet de verantwoordelijkheid van IT-administrators om gebruikersrechten op te stellen. Deze taak ligt bij hun manager(s). De rol van de IT-administratoren is om ervoor te zorgen dat IT-middelen en hun bijbehorende toegangsrechten in lijn zijn met het beveiligingsbeleid van de organisatie.
Omdat de IT-administrator de enige persoon is die het systeem beheert, dient hij bovendien beveiligingsinformatie aan management te verstrekken. Ook moet de administrator de besluitvormers adviseren over te implementeren strategieën en is hij verantwoordelijk voor communicatie richting gebruikers over eventuele beveiligingsproblemen. De richtlijnen en regels van het beveiligingsbeleid moeten door middel van trainingen en bewustmakingssessies aan gebruikers worden uitgelegd. Echter, beveiliging gaat verder dan kennisoverdracht en omvat de een aantal gebieden, zoals de fysieke en logische beveiligingsmechanismen die aangepast zijn aan de behoeften van de organisatie en de gebruiker, update-procedures, een zorgvuldig geplande backup-strategie, een herstelplan voor calamiteiten en een up-to-date en gedocumenteerd informatiesysteem.
Oorzaken risico's
Risico's worden in twee categorieën opgedeeld:
Actieve risico's: bijvoorbeeld gebruikers die bepaalde functies van het systeem negeren en het niet deactiveren van functies die voor de gebruiker niet relevant zijn.
Passieve risico's: bijvoorbeeld het gebrek aan kennis van gebruikers over de functies van het informatiesysteem.
Afbeelding: © Axsimen - Shutterstock.com
Het document met titel "Handleiding IT-beveiliging" van CCM (nl.ccm.net) is onder voorwaarden van de Creative Commons-licentie gepubliceerd. Je kunt dit artikel kopiëren en kopieën van het artikel aanpassen volgens onze algemene voorwaarden.