Opensource antecedentenonderzoeken
What has been seen cannot be unseen
Een antecedentenonderzoek is een onderzoek naar incidenten uit het verleden.
(bron: wikipedia: http://nl.wikipedia.org/wiki/Antecedentenonderzoek )
Inleiding
Voor een achtergrondonderzoek kun je kostbare recherchebureaus inhuren en ik raad je aan dat te doen als je dat nodig acht. Voor onderzoeken naar de betrouwbaarheid van de kandidaten in een sollicitatieprocedure kun je (als je geen ruim budget hebt) heel veel informatie zelf verzamelen of toetsen.
Voorwaarden
Voordat je een antecedentenonderzoek begint heb je de kandidaat expliciet toestemming gevraagd om dit onderzoek te mogen uitvoeren, of je hebt aan het begin van de procedure bekend gemaakt dat dit onderzoek deel uitmaakt van de sollicitatieprocedure. Dit maakt deel uit van de NVP sollicitatiecode.[1]
Een achtergrondonderzoek is een ander onderzoek dan een assessment waarbij wordt bekeken of iemand in een team past of voldoende (kennis)niveau heeft om een functie te kunnen vervullen. Bij een antecedentenonderzoek probeer je een beeld te vormen van de integriteit van de kandidaat om problemen in de toekomst te voorkomen. Uiteraard zul je zo’n onderzoek met de nodige zorgvuldigheid moeten uitvoeren, omdat er anders claims over discriminatie op je af kunnen komen.
Antecedentenonderzoeken voer je uit om te weten wat voor mensen je in huis haalt. Een achtergrondonderzoek hoef je niet voor alle sollicitanten uit te voeren. Je kunt je waarschijnlijk wel beperken tot de vertrouwensfuncties (systeem- en netwerkbeheer, medewerkers veiligheid en medewerkers HR), voorbeeldfuncties (management) en financiële functies (inkopers, controllers, medewerkers financiële administratie). Uitzonderingen op en toevoegingen aan dit rijtje zijn natuurlijk altijd mogelijk, maar geef jezelf er goed rekenschap van op welke gronden je besluit iemand uit dit rijtje niet aan een antecedentenonderzoek te onderwerpen.
Uitvoering
Deze onderzoeken kun je beginnen met het gebruik van zoekmachines en open bronnen (google, facebook, twitter, hyves, linkedin, e.d.). De kandidaat zal je eveneens aanknopingspunten geven voor een onderzoek, bijvoorbeeld zijn cv en andere door hemzelf aangeleverde informatie. Tot slot kun je gebruik maken van besloten bronnen, bijvoorbeeld door een recherchebureau in te huren.
Het doel van het onderzoek zou het valideren moeten zijn van de door de kandidaat aangeleverde informatie. Dat kun je doen door in het algemeen netjes en correct te handelen en bijvoorbeeld hoor en wederhoor toe te passen. In de praktijk is dat niet altijd even eenvoudig.
Een nadeel van het gebruik van social media als bron voor een antecedentenonderzoek is dat je veel meer informatie vindt dan wenselijk is in een sollicitatieprocedure. Omdat je toegang hebt tot de privésfeer van een persoon kun je kennis opdoen over de gezondheid, het seksuele leven en de geloofsovertuiging van een persoon. In relatie tot de functie waarop de kandidaat solliciteert kan het hebben van deze kennis ongewenst zijn. Een manier om dit dilemma te omzeilen is de volgende.
Laat de sollicitant een vragenformulier zo volledig mogelijk invullen (benadruk het belang van de volledigheid) en toets deze informatie. Gegevens die kunnen worden gevraagd zijn:
- Ex-werkgevers de afgelopen 7 tot 10 jaar
- Alle woonadressen de afgelopen 10 jaar
- Eventuele veroordelingen en andere relevante informatie
- Geboortedatum
- Scholen en gevolgde opleidingen
- Behaalde diploma’s
- Laat de sollicitant het ingevulde formulier “naar waarheid en volledigheid” ondertekenen en expliciet akkoord gaan met een nader onderzoek
Stel een onderzoeker aan met de opdracht de geleverde informatie te valideren. Geef deze onderzoeker de opdracht mee om expliciet te kijken naar een aantal punten die negatief zouden zijn als zij worden aangetroffen (overmatig drankgebruik voor een voorbeeld functie, blijk geven van gokschulden of (online) pokerspeler op toernooien bij een financiële functie, en dergelijke) en geef eveneens een aantal pluspunten op waarnaar gezocht moet worden. Geef daarnaast aan welke informatie niet in het rapport mag worden opgenomen als deze wordt aangetroffen tijdens het onderzoek (eventuele ziektegeschiedenis, afkomst en dergelijke, informatie die niet relevant is voor het goed vervullen van de functie). Laat de onderzoeker de informatie van het formulier controleren bij de opgegeven referenties (zelf de contactgegevens opzoeken) en zeker stellen dat er geen sprake is van een persoonsverwisseling.
Conclusie
Het doel van het onderzoek is zekerheid te verkrijgen over de waarachtigheid van het cv van de kandidaat, niet om te roeren in het privé leven van iemand anders. Uiteindelijk zal het rapport van de onderzoeker een bevestiging van aangetroffen positieve en/of negatieve punten bevatten, samen met een conclusie over de juistheid en volledigheid van de in het cv aangeleverde informatie. Laat de kandidaat de resultaten van het onderzoek zien en vraag eventueel om opheldering van onbegrepen zaken.
Tot slot
Blijf altijd correct en ga er vanuit dat de sollicitant te goeder trouw is. Het zou jammer zijn als een geschikte kandidaat zicht terugtrekt door een negatief gevoel als gevolg van een onhandig uitgevoerd achtergrondonderzoek.
Data Loss Prevention, praktische maatregelen
Waarom zou je aan Data Loss Prevention (DLP) doen, hoe kun je gegevens nu verliezen, hoe voorkom je dat en waar zitten de knelpunten.
Een doorsnede van de verhalen van leveranciers afgezet tegen de praktijk van een informatiebeveiliger.
Redenen om aan DLP te doen.
Er zijn verschillende redenen om maatregelen met betrekking tot DLP te treffen, maar die hangen af van een aantal factoren. Als je organisatie aan de beurs genoteerd is heb je te maken met specifieke regelgeving. Afhankelijk van de aard van je bedrijf heb je mogelijk bedrijfsgeheimen die je liever voor jezelf houdt. Daarnaast heb je als organisatie een bepaalde verantwoordelijkheid tegenover je klanten, je aandeelhouders en je personeel. Een mooi woord daarvoor is ‘due diligence’, goed ondernemerschap.
Dataverlies
Een organisatie kan gegevens op veel verschillende manieren verliezen. Bij de meeste daarvan merk je het op zijn best als het al te laat is. Gegevens lekken op allerlei manieren uit je bedrijfsomgeving, door pc’s, laptops en werkstations uit het bedrijfsnetwerk die zijn besmet met kwaadaardige software.
Datadragers, zoals USB apparaten, mobiele apparaten (pda’s, telefoons, tablet pc’s, etc.), CD/DVD roms, backuptapes, oude en af te voeren hardware of papier kunnen allen vertrouwelijke informatie bevatten die niet buiten de organisatie bekend mag worden.
Je business partners (software ontwikkelaars, ondersteuners, onderaannemers) kunnen je gegevens kwijtraken, bijvoorbeeld door ontevreden werknemers in hun organisatie.
Je eigen medewerkers kunnen bedrijfsgeheimen op straat leggen door (te) veel informatie te delen via social media (Facebook, Hyves, LinkedIn, Twitter, Yammer, BrightIdea, etc.). Data die onbeschermd verstuurd wordt via Internet of traditionele post kan worden onderschept en in verkeerde handen komen.
Cloud computing providers (ASP en SAAS providers) kunnen configuratie fouten maken in hun software, te laat zijn met het doorvoeren van security updates, backup en restore procedures slecht uitvoeren waardoor je gegevens verloren kunnen gaan, zelf onvoldoende uitwijkmogelijkheden hebben waardoor bij een brand jouw gegevens verloren gaan, gegevens niet goed verwijderen van defecte hardware of failliet gaan waardoor je niet meer bij je gegevens kunt.
Tot slot loop je het risico dat informatie bij onbekende derden terecht komt als je werken op afstand (telewerken, het nieuwe werken) toestaat. Al met al genoeg mogelijkheden om als organisatie dataverlies te lijden. Gelukkig is voor een groot deel van deze bedreigingen tegenmaatregelen bedenken.
Tegenmaatregelen
De meeste maatregelen kun je eenvoudig zelf bedenken. Over het algemeen komt het er op neer dat je wat sterker gaat controleren op de naleving van de maatregelen die je al hebt. Een mooi woord hiervoor is governance. Denk daarbij aan het gecontroleerd uitvoeren van changes op de firewall, alle laptops voorzien van een volledig versleutelde harde schijf , beperking van de rechten tot het versturen van gegevens, (betere) afspraken met leveranciers, et cetera.
Om een echte stap voorwaarts te maken en de kans aanzienlijk te verkleinen dat geclassificeerde gegevens de bedrijfsomgeving verlaten, zul je je aandacht moeten richten op de gebruikers. Maak duidelijk welke belangen zij en de organisatie hebben om voorzichtig met vertrouwelijke informatie om te gaan. Geef aan wat de mogelijkheden zijn, welke gereedschappen hiervoor gebruikt kunnen worden en welke consequenties er zijn verbonden aan het niet nakomen van de afspraken. Train je personeel regelmatig in het gebruik van de middelen. Een voorbeeld hiervan is het opstellen van een bedrijfspolicy hoe om te gaan met social media (Facebook, LinkedIn, Hyves, Twitter en dergelijke). Maak duidelijk dat de organisatie achter het gebruik op de juiste wijze staat. Bied informatie en advies hoe om te gaan met social media in relatie met het werk.
Zorg voor tools waarmee data kan worden versleuteld voordat deze wordt verzonden. Regel in de ICT infrastructuur het logmanagement grondig in. Log niet alleen de noodzakelijke handelingen, maar controleer de logging op ongewenste activiteiten en neem zonodig gepaste maatregelen. Filter email- en internetverkeer (geautomatiseerd) op inhoud, bijvoorbeeld het gebruik van tevoren vastgestelde termen of zinsneden.
Maatregelen in de praktijk
Ga na of de tegenmaatregelen in verhouding zijn met de (bedrijfs)risico’s. Schaf eventueel een integrale DLP oplossing aan. Een dergelijk pakket software is aan te sluiten op de ICT infrastructuur en dekt de technische maatregelen af. Houd in het achterhoofd dat de menselijke factor met deze oplossing niet wordt meegenomen.
Maatregelen ter verhoging van het gebruikersbewustzijn bestaan uit trainingen en voorlichting over de genomen (zichtbare) maatregelen. Bied de gebruikers gereedschappen zoals winzip of winrar om beveiligde bestanden te kunnen maken.
Pas de contracten aan voor de afvoer van hardware en archiefvernietiging. Stel eisen inzake DLP aan cloud service providers en application service providers (SAAS / ASP).
Aandachtspunten
Als organisatie moet je niet de illusie hebben dat je hiermee verlies van gegevens totaal kunt voorkomen. Het achterlaten van een tas of koffer met dossiers in de trein sluit je niet uit.
Je kunt wel je gebruikers trainen en zorgen dat zij op een bewuste wijze met de bescherming van bedrijfsgegevens omgaan. Mocht zich een incident voordoen dan kan niemand zich beroepen op zijn onwetendheid.
Cloud Computing Risico’s en risicoreductie
Inleiding
In dit overzicht staan de verschillende aandachtspunten rond Cloud Computing gegroepeerd rond het thema risico’s en risicoreductie. Doel van het overzicht is helderheid te verschaffen over de punten waar een organisatie aan moet denken als die structureel gebruik gaat maken van Cloud Computing.
Bronnen
Bronnen voor dit overzicht zijn onder meer informatie uit documentatie van ENISA, Berkely University en de Cloud Security Alliance.
Cloud Computing
In dit overzicht gebruik ik de volgende definitie van Cloud Computing.
De Cloud scheidt applicatie en informatiebronnen van de onderliggende structuur en de mechanismen om ze te leveren. Deze definitie beperkt zich hier tot Software as a Service (SaaS). Andere XaaS Cloud Computing vormen zijn hiermee uitgesloten van de beschouwingen in dit overzicht.
De overgang naar Cloud Computing gaat gepaard met emotie. Een organisatie geeft zijn data ‘weg’ aan een externe partij en wat overblijft is een gevoel van verlies van controle. Control wil zeggen dat er deugdelijke controles aanwezig zijn en dat hun effectiviteit bewezen is. De rationele component bij een overgang naar Cloud Computing regelt dat er contracten zijn met mantelovereenkomsten en SLA’s, dat de beveiliging ingebouwd is en dat verantwoordelijkheden worden overgedragen.
Business belangen
Cloud Computing komt niet uit de lucht vallen en het is geen IT speeltje maar de business belangen spelen een grote rol. Toch moet goed worden beoordeeld in hoeverre de business belangen niet worden belemmerd door de overgang naar de Cloud. Dat kan door de verschillende bedrijfsprocessen en de daarmee gepaard gaande informatie te beoordelen op geschiktheid voor Cloud Computing. Ruwweg zijn er drie vormen mogelijk: geschikt, na aanpassing geschikt en ongeschikt. Verder zijn er verschillende vormen van Cloud Computing mogelijk tussen de beide uitersten Private Cloud en Public Cloud, denk hierbij aan Private Cloud (intern of on site), Private Cloud (extern, inclusief dedicated of gedeelde infrastructuur), Hybride omgevingen, Community en Public Cloud. De organisatie moet eerst per bedrijfsproces of -applicatie bepalen of dit geschikt is voor de Cloud. Daarna volgt de vaststelling welk type Cloud het meest geschikt is.
Voor het bepalen in hoeverre een bedrijfsproces of –applicatie geschikt is voor de Cloud, is de beantwoording van de volgende vragen essentieel.
Opbouw van een autorisatiematrix
Een bedrijf dat groot genoeg is om controle van de boeken te krijgen, met meerdere werknemers in dienst, heeft een autorisatiematrix nodig. Dit kan al een heel eenvoudig lijstje zijn:
| Inboeken | Uitboeken | Factureren | Accorderen | Betalen | |
| Jan | V | X | X | X | V |
| Piet | X | V | X | X | X |
| Kees | X | X | V | X | X |
| Clara | X | X | X | V | X |
Het doel van een autorisatiematrix moet zijn inzicht te krijgen (en te houden) in de rollen die een medewerker heeft. Dit doe je bijvoorbeeld om mogelijke frauduleuze handelingen te voorkomen. Iemand zowel de rechten geven op het accorderen als het betalen van facturen vertoont grote gelijkenis met het verhaal van de vastgebonden kat op het spek.
In grotere organisaties geldt dat het moeilijk is om overzicht te houden over het aantal en de soort uitgegeven rechten. Door rechten aan rollen te koppelen knip je het probleem al in kleine stukken. Medewerkers kunnen een of meer rollen vervullen en hebben daardoor automatisch rechten. In de autorisatiematrix zorg je ervoor dat rollen geen conflicterende rechten hebben en dat rollen zelf niet met elkaar in conflict mogen zijn. Je houdt de autorisatiematrix alleen in stand als je er een goed beheerproces omheen bouwt.
Medewerkers veranderen van functie binnen een bedrijf, maar het komt zelden voor dat de rechten (autorisaties) van deze medewerkers worden aangepast. Een andere veel voorkomende bron van vervuiling is dat een nieuwe medewerker een kopie van het profiel van zijn voorganger krijgt. Zeker als deze voorganger een rijke historie binnen het bedrijf heeft, zal de nieuwe medewerker veel extra rechten krijgen die hij niet nodig heeft voor het uitvoeren van zijn functie.
De meest zekere methode om te voorkomen dat een medewerker teveel rechten heeft is om zijn rechten af te nemen als hij een nieuwe functie gaat vervullen. Daarna kunnen hem de rechten worden toegekend die bij zijn nieuwe functie horen.
Als je dit verder uitwerkt ben je al aardig op weg in de richting van een RBAC (Role Based Access Control) traject.
CBP-SIOD: 1-0
In 2009 heeft het College Bescherming Persoonsgegevens (CBP) een onderzoek verricht bij de Sociale Inlichtingen en Opsporings Dienst (SIOD), onderdeel van het ministerie van SZW. De SIOD doet onderzoek naar fraude onder uitkeringsgerechtigden en maakt hierbij gebruik van gekoppelde bestanden met persoonsgegevens. Bij het onderzoek van het CBP werd de nadruk gelegd op een aantal aspecten uit de Wet bescherming persoonsgegevens (Wbp). Het rapport is leesbaar en bevat relevante informatie over de wijze waarop het CBP het onderzoek heeft uitgevoerd. Datzelfde rapport laat enkele vragen onbeantwoord. Vandaar dat ik wat dieper inga op de onderzoekswijze en op zoek ga naar onbeantwoorde vragen.
Toen de SIOD begon met het inrichten van een organisatie en het opstellen van een onderzoeksmethode om uitkeringsfraude te herkennen hebben zij het CBP hierbij betrokken. Dit wekt de indruk dat de onderzoeksmethode de initiële goedkeuring heeft van het CBP.
Het CBP heeft de uitgangpunten in de documenten van de SIOD getoetst. Daarnaast heeft het CBP een of meer huisbezoeken afgelegd en medewerkers op verschillende locaties geïnterviewd. Het conceptrapport met de bevindingen is gedeeld met het ministerie van SZW en op basis van (toelichtende) antwoorden is de definitieve versie vastgesteld. Dit lijkt mij een correcte wijze van onderzoeken, waarbij ik er gemakshalve van uit ga dat het CBP zich netjes heeft gemeld bij de SIOD met een verzoek om interviews af te mogen nemen en niet in het geniep heeft gehandeld.
Bij het lezen van het rapport vroeg ik mij meteen af wat de aanleiding is geweest voor het onderzoek. Zelfs als dit is afgesproken in het voorgaande traject, dan zou je hier nog steeds een verwijzing naar deze afspraak verwachten.
De onderzoekers zijn diep in de door de SIOD toegepaste werkwijze gedoken. Wat ik niet aantrof is een beoordeling van de mate waarin het geoorloofd is dat bestanden (van uitkeringsgerechtigden, waterverbruik en kadastergegevens) worden gekoppeld. Tevens blijkt nergens dat er toestemming is van de in deze registraties opgenomen personen, of dat zij over de koppeling geïnformeerd zijn. In het rapport staat wel een bevinding dat men over de koppeling voor het SIOD onderzoek geïnformeerd had moeten worden. Mijn punt gaat echter over de bronbestanden, vóór de koppeling. Daar heeft het CBP een kans laten liggen.
Een andere vraag waar het CBP niet over schrijft heeft betrekking op de doelbinding, proportionaliteit en subsidiariteit. Is de schending van de privacy wel voldoende beperkt en waren er geen lichtere middelen mogelijk om kennelijke frauduleuze praktijken in beeld te brengen? Zelfs als dit in orde is dan nog was het een goed punt geweest van de onderzoekers van het CBP om dit mee te nemen in de rapportage.
Ik zie nieuwe mogelijkheden (en risico’s, afhankelijk van je standpunt) voor de “slimme” elektriciteitsmeters die op afstand kunnen worden uitgelezen. Wie zegt dat big brother SIOD niet meeleest?
Onzinnige IB maatregelen – akkoord voor inloggen
In de serie onzinnige informatiebeveiligingsmaatregelen, vandaag het akkoord voor inloggen.
Enkele bedrijven hebben deze maatregel ingevoerd, waarbij je als gebruiker voor of na het inloggen akkoord moet gaan met de gedragscode op het netwerk. Dit is de digitale variant van het bordje “Verboden toegang, art. 461 W.v.Sr.”. Dat is tevens de zwakte van het systeem. Als je als organisatie hieraan begint, dan dien je er wel voor te zorgen dat je op alle digitale toegangen een dergelijk bordje zet. Anders kan iemand die zich toegang heeft verschaft via een onbekend kanaal stellen dat hij niet wist dat het niet mocht, er hing immers geen bordje.
Door aan gebruikerszijde deze melding te plaatsen laat je de gebruikers een of twee extra handelingen verrichten voordat zij op het netwerk zijn. Dit wordt al snel een routine, zonder dat de tekst wordt gelezen of begrepen. Dat komt het beveiligingsbewustzijn niet ten goede en is een verkeerde manier van toepassen van het informatiebeveiligingsbeleid.
Verder kun je je afvragen wanneer je de melding moet tonen, voor of na het inloggen. Voor het inloggen zou betekenen dat een gebruiker nog kan weigeren. Maar hij heeft een overeenkomst of opdracht, waarin al de zaken met betrekking tot beveiliging zijn geregeld. Niet accorderen is geen optie en de maatregel voegt niets toe. Na het inloggen tonen heeft evenmin een toegevoegde waarde, men is immers – logisch gezien – al binnen. Dat is het hetzelfde als een portier binnenzetten om ongewenste gasten buiten te houden.
Organisaties die iets met een akkoord verklaring willen doen kunnen dat beter regelen met algemene voorwaarden voor het gebruik van IT middelen. Door die jaarlijks te ondertekenen, bijvoorbeeld tijdens integriteitssessies of door het bij de beoordelingsgesprekken op de agenda te zetten, wordt eveneens voldaan aan het kenbaarheidsprincipe. “Ik wist het niet” is daarmee geneutraliseerd.
Gebruikers die zich regelmatig actief akkoord verklaren zijn zich daar veel meer van bewust dan degenen die dagelijks een vakje aanvinken en op OK klikken.
Instant messaging in een bedrijfsomgeving
Veel grotere bedrijven, waaronder (delen van) de rijksoverheid maken gebruik van instant messaging (IM). Dat kan voor intern gebruik zijn, of om contacten te onderhouden met de buitenwereld. Er zijn verschillende aanbieders van enterprise oplossingen voor IM. Zij onderscheiden zich bijvoorbeeld door IM protocollen van andere leveranciers te ondersteunen, virusprotectie of beheer van accounts.
Logging
Een functionaliteit die veel van deze producten hebben is het loggen (registreren) van verbindingen. Dan kan zowel centraal (op de server) als lokaal (bij de client op de desktop) zijn ingesteld. Iemand die deze blog volgt voelt hem al aankomen, hier zit een privacy luchtje aan.
Van e-mail weten we dat er registratie plaatsvindt bij het verzenden en ontvangen van e-mailberichten. De mails zelf worden vastgelegd in de mailbox. Dat moet ook wel, anders heb je er niets aan. E-mail kan gebruikt worden als bewijsgevend materiaal. Voor IM, dat niet echt is ingeburgerd in het bedrijfsleven, zou je soortgelijke regels verwachten. Toch komen de meeste clients met een voorinstelling waarbij de logging uitstaat.
Accounts
Een bedrijf zal eveneens zelf het beheer van de IM accounts willen uitvoeren, om de professionele uitstraling te kunnen handhaven. Dit is natuurlijk vooral van belang bij externe contacten. Iemand met de alias ‘lekkerding88@hotmail.com’ komt net zo serieus over als ‘leethaxor@yahoo.com’. Gesteld dat een accountmanager een dergelijke IM account gebruikt bij zijn zakelijke contacten, dan zal dat de professionele uitstraling van de organisatie nadelig beïnvloeden.
Het controleren van de bedrijfspolicy met betrekking tot de naamgeving is een ding. Een organisatie zal het eveneens niet waarderen als een ex-medewerker de accountnaam ‘janssen-bedrijfsnaam@hotmail.com’ blijft hanteren na zijn vertrek. Centraal beheer van IM accounts is een belangrijk punt. Bij het selecteren van de enterprise oplossing voor IM moet beheer van accounts deel uitmaken van de oplossing.
Beleid
IM berichten zijn vaak kort en informele krabbels, waarbij vastlegging – vanuit gebruikerstandpunt bezien – niet nodig of gewenst is. Voor bedrijven kan dat anders zijn, zeker als er contacten met externe partijen worden onderhouden met behulp van IM. Centrale logging van dat IM verkeer kan dan zeker gewenst zijn, bijvoorbeeld voor bewijsvoering. Meestal gaat hierbij de voorkeur naar het vastleggen van de gegevens bij de client software. Dat levert trouwens wel problemen op bij ontslag van een medewerker.
Voor mailboxen zijn vaak protocollen ingeregeld waarbij eisen zijn geformuleerd over de omstandigheden waaronder een mailbox wordt geopend, om de privacy van de medewerker te beschermen. Bij IM moet dit eveneens geregeld worden, de werkgever kan hier een belang hebben, zoals het nakomen van afspraken met derde partijen die door betrokken medewerker zijn gemaakt. Een methode om dit te borgen is het opstellen van voorwaarden voor het gebruik van IM. Daaronder kan het vastleggen van IM conversaties horen, net als richtlijnen voor het gebruik van de account.
Als dit proces goed is ingeregeld, zal het privacy luchtje niet gaan stinken.
Draagplicht van toegangspassen
Regelmatig duikt de discussie op over de draagplicht van toegangspassen in een bedrijf of organisatie. Uitgangspunt hierbij is wel dat een organisatie deze passen al heeft en dat ze zijn voorzien van een pasfoto. Het voordeel van dergelijke passen is dat ze – mits regelmatig onderhouden – een goed intern identificatiemiddel vormen en vaak van meerdere functies zijn voorzien. De betaalfunctie (chipknip) is daar een voorbeeld van. Nadelen zijn er ook. Deze passen zijn verhoudingsgewijs duur en hebben een infrastructuur nodig om goed te kunnen werken. Daarbij moet er eveneens beheer worden uitgevoerd wat het nodige kost.
Een bedrijf dat besluit de draagplicht in te voeren voor toegangspassen wordt direct geconfronteerd met allerlei weerstanden. Veel mensen vinden of voelen dat zij in hun persoonlijke levenssfeer worden geraakt. Dat is een verzwarende factor bij de controle op naleving van het beleid.
De kans dat een dergelijke maatregel gaat werken is nog het grootst in een strak geleide hiërarchische organisatie waar men overwegend in bedrijfskleding loopt en werkt. Zelfs dan is zichtbaar commitment van het management nodig om van deze maatregel een succes te maken. De herkenbaarheid van bezoekers zal alleen goed werken als de draagplicht strikt gehandhaafd wordt. Natuurlijk moet bij het invoeren van deze maatregel nadrukkelijk gekeken worden naar de beoogde veiligheidsopbrengst. Het management en de afdeling informatiebeveiliging dienen goed in beeld te hebben wat er met deze zware maatregel beschermd moet worden.
Mocht een volledige draagplicht niet haalbaar zijn, dan zijn er enkele compenserende maatregelen mogelijk waardoor het vereiste beveiligingsniveau alsnog benaderd kan worden. Hierbij kun je denken aan het steeds begeleiden van bezoekers en het afschermen van ruimtes met (bijvoorbeeld) vertrouwelijke informatie. Deze ruimtes zijn dan niet te betreden met een bezoekerspas. Verder moet in alle ruimtes met vertrouwelijke informatie een cleandesk policy van kracht zijn, waardoor informatielekkage wordt bemoeilijkt. Om meelifters (piggy-backing) bij het betreden van een vertrouwelijke zone tegen te gaan kun je denken aan de invoering van mantraps of eenpersoons sluizen.
Voorkomen van misbruik van passen die toegang geven tot de vertrouwelijke zones is een ander fenomeen. Je kunt dit beheersen door aanvullende eisen te stellen aan de bezoeker. Bijvoorbeeld het vragen van een pincode of gebruikmaken van biometrische identificatie. Alweer, de kosten van de beveiliging moeten in balans zijn met de waarde van hetgeen beschermd wordt.
De sterkste maatregel die een organisatie in kan zetten wordt gevormd door het eigen personeel. Als iedereen het belang begrijpt van cleandesk, het begeleiden van bezoekers en onbekenden durft aan te spreken, dan is de kans op ongewenst bezoek het kleinst.
Daar kan geen draagplicht tegenop.
Need to know – nice to know
Lang niet alle informatie binnen een bedrijf of organisatie is voor iedereen bestemd. Denk aan de personeelsdossiers, R&D afdeling of de financiële gegevens. Binnen applicaties, zoals een management informatiesysteem, geldt hetzelfde. Lang niet alle gegevens mogen of hoeven voor iedereen beschikbaar te zijn. Meestal is daar wel iets voor geregeld en hebben gebruikers een account met daaraan gekoppeld de rollen die bepalen waar iemand inzage heeft. In een iets betere situatie is aan die account een wachtwoord gekoppeld, zodat een aanvaller net wat meer informatie nodig heeft voordat hij bij de vertrouwelijke gegevens van de organisatie kan komen.
Bedrijven en organisaties die wat langer hebben nagedacht over gegevens en toegang beschikken over een autorisatiematrix. Hierin staan rollen, rechten en functies aangegeven. Uit dit schema moet blijken dat een gebruiker geen conflicterende rechten heeft, zoals zowel goedkeuringsrechten als betaalrechten voor facturen.
Het komt veel voor dat de autorisatiematrix bestaat en van origine goed is ingeregeld. Dat er later bij een audit negatieve bevindingen worden afgegeven heeft alles te maken met onvoldoende of geen beheer van de autorisatiematrix. Vaak gaat dit al fout doordat de accounts van vertrokken of overgeplaatste medewerkers niet worden verwijderd. Mensen die hun carrière binnen het bedrijf hebben gemaakt verzamelen in de loop van de tijd veel aanvullende rechten. Regelmatig komt het voor dat een nieuwe medewerker een kopie van de rechtenverzameling van zijn voorganger krijgt, zodat hij in ieder geval genoeg rechten heeft om zijn werk te kunnen doen. Nadeel van deze werkwijze is dat er binnen de kortste keren geen overzicht meer is van de rechtenstructuur. De autorisatiematrix is nutteloos geworden en de organisatie loopt risico’s bij zijn informatiebeheer.
Om de zaak weer in de hand te krijgen moet een onevenredig grote inspanning worden verricht. Eerst moet worden bepaald aan welke functies welke rollen moeten zijn gekoppeld, daarna moeten de rechten per rol worden vastgesteld en tot slot moeten de rechten en rollen door de beheerders worden toegekend. Als klap op de vuurpijl moet het beheer worden ingeregeld.
Deze werkzaamheden kan een organisatie voorkomen door een goed beheer van de autorisatiematrix, het tijdig verwijderen van overbodige accounts en het intrekken van rechten bij functiewijzigingen.
Zo gaat een organisatie met zijn informatiebeheer van nice to know naar need to know.
Vreemde hardware
Een onderschatte dreiging voor de integriteit en beschikbaarheid van ICT omgevingen wordt gevormd door ongeautoriseerde (of onbekende) apparatuur. Hier kun je je van alles bij voorstellen. Van privé van huis meegenomen servers (dan kan ik zelf even wat uitproberen), hubs, switches en routers (dat is toch veel praktischer dan alle wall outlets te patchen en het werkt ook nog eens sneller dan wachten op die IT’ers), WiFi hotspots direct op het netwerk, laptops met allerlei “vreemde” besturingssystemen, privé pc’s zonder enige vorm van endpoint security met alle gevolgen van dien, pc’s met allerhande services actief die hun best doen het netwerk over te nemen (DHCP servers, DNS servers, etc.) en pc’s met gereedschappen om daadwerkelijk toegang tot de dataservers te forceren.
Je kunt als informatiebeveiliger beleid formuleren tot je een ons weegt en communiceren tot je erbij neervalt, maar hier helpen alleen technische maatregelen. Het werkt trouwens wel goed als je daar een beleid voor hebt dat helder is gecommuniceerd. Doelgroep van de communicatie wordt gevormd door de usual suspects: externe medewerkers (consultants), ontwikkelaars en technische ondersteuning (bv. printer onderhoudsmonteurs).
Voor de technische kun je denken aan NAC. Network Access Control komt in veel smaken, ik ga in het op het security model, zonder mij druk te maken over merken. Bij NAC wordt een pc aangemeld bij de Active Directory (AD) (of repository die deze beheerdienst uitvoerd). Hierna wordt eenmalig een certificaat aangemaakt op basis van de geregistreerde pc naam en het MAC adres. Bij de volgende maal aanmelden checkt het controlestation de geldigheid van het certificaat. Afhankelijk van het resultaat worden toegangsrechten uitgedeeld of de netwerktoegang geblokkeerd. Bij detectie van een pc zonder certificaat gaat er uit compliance overwegingen een melding naar de afdeling security. Zo blijf je op de hoogte van de beveiligingsopbrengst van je maatregel en kun je eventuele trends vroegtijdig detecteren.
Voordeel van preregistratie is dat iedere machine bekend is bij beheer en is opgenomen in de Configuration Management Database (CMDB). Gebruikers (of vreemden) die geen beheerrechten hebben op de AD kunnen geen pc’s registreren. Zo verklein je de kans op ongeautoriseerde apparatuur in je netwerk.
Op dit thema zijn variaties mogelijk. Want je wilt misschien wel de externe medewerkers toegang tot Internet bieden. Een niet-geregistreerde computer (zonder certificaat) krijgt dan geen rechten op het datacenter, maar kan automatisch gerouteerd worden naar de internetzone. Verder kun je een pc die zich aanmeld bij de autorisatieserver op de aanwezigheid en status van de endpoint security software. Mocht de pc niet voldoen aan je eisen, stuur hem dan naar een sandboxomgeving en installeer (push) de updates. Daarna kan de pc zich opnieuw aanmelden en zal hij, na geslaagde authenticatie en autorisatie, toegang krijgen tot de gewenste netwerkbronnen.
Zoals je ziet kun je op relatief eenvoudige wijze snel een grote beveiligingswinst boeken en een aantal risico’s voor je omgeving verkleinen of neutraliseren. Je moet het alleen even doen.
Informatiebeveiliging 