Handleiding IT-beveiliging

December 2016
Naarmate internetgebruik zich ontwikkelt, stellen alsmaar meer organisaties hun informatiesystemen beschikbaar aan partners en leveranciers. Om deze reden, is het van groot belang om te weten welke data extra beschermd moet worden. Ook is het belangrijk om controle te hebben over de gebruikersrechten binnen het informatiesysteem.

In een tijd waarin van huis werken eerder regel dan uitzondering is geworden, moeten medewerkers vanuit externe locaties toegang kunnen hebben tot het informatiesysteem van de organisatie. Hetzelfde is van toepassing wanneer organisaties hun omgeving via het web beschikbaar stellen, bijvoorbeeld in de vorm van een extranet.

Introductie tot beveiliging

Risico ('risque') in de context van beveiliging wordt vaak via de volgende vergelijking weergegeven:

risico = (bedreiging * kwetsbaarheid) / maatregel


Een bedreiging ('menace') is een gebeurtenis waarvan het waarschijnlijk is dat deze schadelijk is, terwijl kwetsbaarheid ('vulnérabilité', soms ook wel fouten of breuken genoemd) voor de mate van blootstelling aan een bepaalde bedreiging. Tot slot staat maatregel ('contre-mesure') voor de acties die worden ondernomen om de bedreiging te voorkomen.

De maatregelen die moeten worden ondernomen, bestaan naast technische oplossingen ook uit trainingen, bewustzijn en heldere richtlijnen.

Om een system succesvol te beveiligen, moeten alle mogelijke bedreigingen in kaart worden gebracht. Tevens moet de handelswijze van de vijand worden geanalyseerd, om hier indien mogelijk op te kunnen anticiperen. Het doel van dit artikel is om een overzicht te geven van de mogelijke motivaties van hackers, deze te categoriseren en om aan te geven hoe zij werken om zodoende het risico van een aanval te beperken.

Doelstellingen van IT-beveiliging

Onder het begrip informatiesysteem verstaan we: alle data, materialen en software waarmee de organisatie haar data opslaat en verspreidt. Informatiesystemen zijn essentieel voor bedrijven en moeten daarom worden beveiligd.

IT-beveiliging bestaat over het algemeen uit het garanderen dat de data en software van de organisatie enkel gebruikt wordt voor het beoogde doel.

IT-beveiliging kan in de volgende doelstellingen verdeeld worden:

Integriteit: garanderen dat de data actueel en correct is.

Vertrouwelijkheid: garanderen dat data uitsluitend beschikbaar is voor geautoriseerde gebruikers.

Beschikbaarheid: garanderen van het juiste functioneren van het informatiesysteem.

Geen afwijzing: garanderen dat handelingen die door gebruikers verricht worden niet in een later stadium kunnen worden afgewezen.

Authenticatie: garanderen dat alleen geautoriseerde gebruikers toegang hebben tot het informatiesysteem.

Behoefte aan een wereldwijde aanpak

De term IT-beveiliging is vaak onderhevig aan metaforen. Het wordt vaak vergeleken met een ketting, waarbij de beveiliging van een organisatie slechts zo sterk is als het beveiligingsniveau van haar zwakste link. Zo heeft het bijvoorbeeld weinig nut om versterkte deuren in een gebouw te plaatsen waar de ramen wijd openstaan.

Bovenstaande toont aan dat het belangrijk is dat de veiligheidskwestie op wereldwijd niveau wordt aangepast. De volgende onderdelen zijn hierbij essentieel:

Gebruikers bewust maken van beveiligingsproblemen.

Logische veiligheid, bijvoorbeeld veiligheid op het niveau van data, programma's en besturingssystemen.

Communicatieveiligheid: netwerktechnologieën, servers, aansluitpunten etc.

Fysieke beveiliging of de beveiliging van de materiële infrastructuur : beveiligde ruimtes, ruimtes die toegankelijk zijn voor het publiek, werkplekken etc.

Implementatie beveiligingsbeleid

De beveiliging van een informatiesysteem is vaak gelimiteerd tot het garanderen van toegang tot de data van een organisatie, waarbij een systeem van authenticatie- en controlemechanismen ervoor zorgt dat gebruikers alleen de rechten hebben die door de system administrator zijn toegekend.

Naarmate informatiesystemen groeien, worden het reglement en de gebruiksinstructies steeds ingewikkelder. IT-beveiliging moet daarom aandachtig bestudeerd worden om te voorkomen dat de gebruikerservaring niet belemmerd wordt.

De eerste stap die een organisatie moet ondernemen, is een helder beveiligingsbeleid vaststellen. De totstandkoming van het beleid kan in de volgende fases worden opgedeeld:

Identificeren van de beveiligingsbehoeften en de IT-risico's en mogelijke gevolgen waar de organisatie mee geconfronteerd kan worden.

Uitstippelen van de richtlijnen en procedures die moeten worden geïmplementeerd ten behoeve van de geïdentificeerde risico's binnen verschillende afdelingen van de organisatie.

Monitoren en detecteren van de kwetsbaarheden van het informatiesysteem en de gevonden fouten binnen de gebruikte programma's documenteren.

Beschrijven van de te ondernemen stappen en te contacteren personen in het geval een bedreiging ontdekt wordt.

Het beveiligingsbeleid omvat alle beveiligingsregels die binnen een organisatie bekend zijn. Gezien het beleid van toepassing is op alle (interne en externe) gebruikers, moet deze door leden van het management worden bepaald.

Het is daarom niet de verantwoordelijkheid van IT-administrators om gebruikersrechten op te stellen, deze taak ligt bij hun manager(s). De rol van de IT-administrator is om ervoor te zorgen dat IT-middelen en hun bijbehorende toegangsrechten in lijn zijn met het beveiligingsbeleid van de organisatie.

Omdat de IT-administrator de enige persoon is die het systeem beheert, dient hij bovendien beveiligingsinformatie aan management te verstrekken. Ook moet de administrator de besluitvormers adviseren over te implementeren strategieën en is hij verantwoordelijk voor communicatie richting gebruikers over eventuele beveiligingsproblemen.

De richtlijnen en regels van het beveiligingsbeleid moeten door middel van trainingen en bewustmakingssessies aan gebruikers worden uitgelegd. Echter, beveiliging gaat verder dan kennisoverdracht en omvat de volgende gebieden:

Fysieke en logische beveiligingsmechanismen die aangepast zijn aan de behoeften van de organisatie en de gebruiker;

Update-procedures.

Een zorgvuldig geplande backup-strategie.

Een herstelplan voor calamiteiten.

Een up-to-date en gedocumenteerd informatiesysteem.

Oorzaken risico's

Risico's worden in 2 categorieën opgedeeld:

Actieve risico's, bijvoorbeeld gebruikers die bepaalde functies van het systeem negeren en het niet deactiveren van functies die voor de gebruiker niet relevant zijn.

Passieve risico's, bijvoorbeeld het gebrek aan kennis van gebruikers over de functies van het informatiesysteem.


Bekijk ook :

Instructions d'affectation
Instructions d'affectation
Warunki korzystania z serwisu CCM - kwestie prawne
Warunki korzystania z serwisu CCM - kwestie prawne
Ce document intitulé «  Handleiding IT-beveiliging  » issu de CCM (nl.ccm.net) est mis à disposition sous les termes de la licence Creative Commons. Vous pouvez copier, modifier des copies de cette page, dans les conditions fixées par la licence, tant que cette note apparaît clairement.