Data Loss Prevention, praktische maatregelen
Waarom zou je aan Data Loss Prevention (DLP) doen, hoe kun je gegevens nu verliezen, hoe voorkom je dat en waar zitten de knelpunten.
Een doorsnede van de verhalen van leveranciers afgezet tegen de praktijk van een informatiebeveiliger.
Redenen om aan DLP te doen.
Er zijn verschillende redenen om maatregelen met betrekking tot DLP te treffen, maar die hangen af van een aantal factoren. Als je organisatie aan de beurs genoteerd is heb je te maken met specifieke regelgeving. Afhankelijk van de aard van je bedrijf heb je mogelijk bedrijfsgeheimen die je liever voor jezelf houdt. Daarnaast heb je als organisatie een bepaalde verantwoordelijkheid tegenover je klanten, je aandeelhouders en je personeel. Een mooi woord daarvoor is ‘due diligence’, goed ondernemerschap.
Dataverlies
Een organisatie kan gegevens op veel verschillende manieren verliezen. Bij de meeste daarvan merk je het op zijn best als het al te laat is. Gegevens lekken op allerlei manieren uit je bedrijfsomgeving, door pc’s, laptops en werkstations uit het bedrijfsnetwerk die zijn besmet met kwaadaardige software.
Datadragers, zoals USB apparaten, mobiele apparaten (pda’s, telefoons, tablet pc’s, etc.), CD/DVD roms, backuptapes, oude en af te voeren hardware of papier kunnen allen vertrouwelijke informatie bevatten die niet buiten de organisatie bekend mag worden.
Je business partners (software ontwikkelaars, ondersteuners, onderaannemers) kunnen je gegevens kwijtraken, bijvoorbeeld door ontevreden werknemers in hun organisatie.
Je eigen medewerkers kunnen bedrijfsgeheimen op straat leggen door (te) veel informatie te delen via social media (Facebook, Hyves, LinkedIn, Twitter, Yammer, BrightIdea, etc.). Data die onbeschermd verstuurd wordt via Internet of traditionele post kan worden onderschept en in verkeerde handen komen.
Cloud computing providers (ASP en SAAS providers) kunnen configuratie fouten maken in hun software, te laat zijn met het doorvoeren van security updates, backup en restore procedures slecht uitvoeren waardoor je gegevens verloren kunnen gaan, zelf onvoldoende uitwijkmogelijkheden hebben waardoor bij een brand jouw gegevens verloren gaan, gegevens niet goed verwijderen van defecte hardware of failliet gaan waardoor je niet meer bij je gegevens kunt.
Tot slot loop je het risico dat informatie bij onbekende derden terecht komt als je werken op afstand (telewerken, het nieuwe werken) toestaat. Al met al genoeg mogelijkheden om als organisatie dataverlies te lijden. Gelukkig is voor een groot deel van deze bedreigingen tegenmaatregelen bedenken.
Tegenmaatregelen
De meeste maatregelen kun je eenvoudig zelf bedenken. Over het algemeen komt het er op neer dat je wat sterker gaat controleren op de naleving van de maatregelen die je al hebt. Een mooi woord hiervoor is governance. Denk daarbij aan het gecontroleerd uitvoeren van changes op de firewall, alle laptops voorzien van een volledig versleutelde harde schijf , beperking van de rechten tot het versturen van gegevens, (betere) afspraken met leveranciers, et cetera.
Om een echte stap voorwaarts te maken en de kans aanzienlijk te verkleinen dat geclassificeerde gegevens de bedrijfsomgeving verlaten, zul je je aandacht moeten richten op de gebruikers. Maak duidelijk welke belangen zij en de organisatie hebben om voorzichtig met vertrouwelijke informatie om te gaan. Geef aan wat de mogelijkheden zijn, welke gereedschappen hiervoor gebruikt kunnen worden en welke consequenties er zijn verbonden aan het niet nakomen van de afspraken. Train je personeel regelmatig in het gebruik van de middelen. Een voorbeeld hiervan is het opstellen van een bedrijfspolicy hoe om te gaan met social media (Facebook, LinkedIn, Hyves, Twitter en dergelijke). Maak duidelijk dat de organisatie achter het gebruik op de juiste wijze staat. Bied informatie en advies hoe om te gaan met social media in relatie met het werk.
Zorg voor tools waarmee data kan worden versleuteld voordat deze wordt verzonden. Regel in de ICT infrastructuur het logmanagement grondig in. Log niet alleen de noodzakelijke handelingen, maar controleer de logging op ongewenste activiteiten en neem zonodig gepaste maatregelen. Filter email- en internetverkeer (geautomatiseerd) op inhoud, bijvoorbeeld het gebruik van tevoren vastgestelde termen of zinsneden.
Maatregelen in de praktijk
Ga na of de tegenmaatregelen in verhouding zijn met de (bedrijfs)risico’s. Schaf eventueel een integrale DLP oplossing aan. Een dergelijk pakket software is aan te sluiten op de ICT infrastructuur en dekt de technische maatregelen af. Houd in het achterhoofd dat de menselijke factor met deze oplossing niet wordt meegenomen.
Maatregelen ter verhoging van het gebruikersbewustzijn bestaan uit trainingen en voorlichting over de genomen (zichtbare) maatregelen. Bied de gebruikers gereedschappen zoals winzip of winrar om beveiligde bestanden te kunnen maken.
Pas de contracten aan voor de afvoer van hardware en archiefvernietiging. Stel eisen inzake DLP aan cloud service providers en application service providers (SAAS / ASP).
Aandachtspunten
Als organisatie moet je niet de illusie hebben dat je hiermee verlies van gegevens totaal kunt voorkomen. Het achterlaten van een tas of koffer met dossiers in de trein sluit je niet uit.
Je kunt wel je gebruikers trainen en zorgen dat zij op een bewuste wijze met de bescherming van bedrijfsgegevens omgaan. Mocht zich een incident voordoen dan kan niemand zich beroepen op zijn onwetendheid.
Cloud Computing Risico’s en risicoreductie
Inleiding
In dit overzicht staan de verschillende aandachtspunten rond Cloud Computing gegroepeerd rond het thema risico’s en risicoreductie. Doel van het overzicht is helderheid te verschaffen over de punten waar een organisatie aan moet denken als die structureel gebruik gaat maken van Cloud Computing.
Bronnen
Bronnen voor dit overzicht zijn onder meer informatie uit documentatie van ENISA, Berkely University en de Cloud Security Alliance.
Cloud Computing
In dit overzicht gebruik ik de volgende definitie van Cloud Computing.
De Cloud scheidt applicatie en informatiebronnen van de onderliggende structuur en de mechanismen om ze te leveren. Deze definitie beperkt zich hier tot Software as a Service (SaaS). Andere XaaS Cloud Computing vormen zijn hiermee uitgesloten van de beschouwingen in dit overzicht.
De overgang naar Cloud Computing gaat gepaard met emotie. Een organisatie geeft zijn data ‘weg’ aan een externe partij en wat overblijft is een gevoel van verlies van controle. Control wil zeggen dat er deugdelijke controles aanwezig zijn en dat hun effectiviteit bewezen is. De rationele component bij een overgang naar Cloud Computing regelt dat er contracten zijn met mantelovereenkomsten en SLA’s, dat de beveiliging ingebouwd is en dat verantwoordelijkheden worden overgedragen.
Business belangen
Cloud Computing komt niet uit de lucht vallen en het is geen IT speeltje maar de business belangen spelen een grote rol. Toch moet goed worden beoordeeld in hoeverre de business belangen niet worden belemmerd door de overgang naar de Cloud. Dat kan door de verschillende bedrijfsprocessen en de daarmee gepaard gaande informatie te beoordelen op geschiktheid voor Cloud Computing. Ruwweg zijn er drie vormen mogelijk: geschikt, na aanpassing geschikt en ongeschikt. Verder zijn er verschillende vormen van Cloud Computing mogelijk tussen de beide uitersten Private Cloud en Public Cloud, denk hierbij aan Private Cloud (intern of on site), Private Cloud (extern, inclusief dedicated of gedeelde infrastructuur), Hybride omgevingen, Community en Public Cloud. De organisatie moet eerst per bedrijfsproces of -applicatie bepalen of dit geschikt is voor de Cloud. Daarna volgt de vaststelling welk type Cloud het meest geschikt is.
Voor het bepalen in hoeverre een bedrijfsproces of –applicatie geschikt is voor de Cloud, is de beantwoording van de volgende vragen essentieel.
Onzinnige IB maatregelen – akkoord voor inloggen
In de serie onzinnige informatiebeveiligingsmaatregelen, vandaag het akkoord voor inloggen.
Enkele bedrijven hebben deze maatregel ingevoerd, waarbij je als gebruiker voor of na het inloggen akkoord moet gaan met de gedragscode op het netwerk. Dit is de digitale variant van het bordje “Verboden toegang, art. 461 W.v.Sr.”. Dat is tevens de zwakte van het systeem. Als je als organisatie hieraan begint, dan dien je er wel voor te zorgen dat je op alle digitale toegangen een dergelijk bordje zet. Anders kan iemand die zich toegang heeft verschaft via een onbekend kanaal stellen dat hij niet wist dat het niet mocht, er hing immers geen bordje.
Door aan gebruikerszijde deze melding te plaatsen laat je de gebruikers een of twee extra handelingen verrichten voordat zij op het netwerk zijn. Dit wordt al snel een routine, zonder dat de tekst wordt gelezen of begrepen. Dat komt het beveiligingsbewustzijn niet ten goede en is een verkeerde manier van toepassen van het informatiebeveiligingsbeleid.
Verder kun je je afvragen wanneer je de melding moet tonen, voor of na het inloggen. Voor het inloggen zou betekenen dat een gebruiker nog kan weigeren. Maar hij heeft een overeenkomst of opdracht, waarin al de zaken met betrekking tot beveiliging zijn geregeld. Niet accorderen is geen optie en de maatregel voegt niets toe. Na het inloggen tonen heeft evenmin een toegevoegde waarde, men is immers – logisch gezien – al binnen. Dat is het hetzelfde als een portier binnenzetten om ongewenste gasten buiten te houden.
Organisaties die iets met een akkoord verklaring willen doen kunnen dat beter regelen met algemene voorwaarden voor het gebruik van IT middelen. Door die jaarlijks te ondertekenen, bijvoorbeeld tijdens integriteitssessies of door het bij de beoordelingsgesprekken op de agenda te zetten, wordt eveneens voldaan aan het kenbaarheidsprincipe. “Ik wist het niet” is daarmee geneutraliseerd.
Gebruikers die zich regelmatig actief akkoord verklaren zijn zich daar veel meer van bewust dan degenen die dagelijks een vakje aanvinken en op OK klikken.
Instant messaging in een bedrijfsomgeving
Veel grotere bedrijven, waaronder (delen van) de rijksoverheid maken gebruik van instant messaging (IM). Dat kan voor intern gebruik zijn, of om contacten te onderhouden met de buitenwereld. Er zijn verschillende aanbieders van enterprise oplossingen voor IM. Zij onderscheiden zich bijvoorbeeld door IM protocollen van andere leveranciers te ondersteunen, virusprotectie of beheer van accounts.
Logging
Een functionaliteit die veel van deze producten hebben is het loggen (registreren) van verbindingen. Dan kan zowel centraal (op de server) als lokaal (bij de client op de desktop) zijn ingesteld. Iemand die deze blog volgt voelt hem al aankomen, hier zit een privacy luchtje aan.
Van e-mail weten we dat er registratie plaatsvindt bij het verzenden en ontvangen van e-mailberichten. De mails zelf worden vastgelegd in de mailbox. Dat moet ook wel, anders heb je er niets aan. E-mail kan gebruikt worden als bewijsgevend materiaal. Voor IM, dat niet echt is ingeburgerd in het bedrijfsleven, zou je soortgelijke regels verwachten. Toch komen de meeste clients met een voorinstelling waarbij de logging uitstaat.
Accounts
Een bedrijf zal eveneens zelf het beheer van de IM accounts willen uitvoeren, om de professionele uitstraling te kunnen handhaven. Dit is natuurlijk vooral van belang bij externe contacten. Iemand met de alias ‘lekkerding88@hotmail.com’ komt net zo serieus over als ‘leethaxor@yahoo.com’. Gesteld dat een accountmanager een dergelijke IM account gebruikt bij zijn zakelijke contacten, dan zal dat de professionele uitstraling van de organisatie nadelig beïnvloeden.
Het controleren van de bedrijfspolicy met betrekking tot de naamgeving is een ding. Een organisatie zal het eveneens niet waarderen als een ex-medewerker de accountnaam ‘janssen-bedrijfsnaam@hotmail.com’ blijft hanteren na zijn vertrek. Centraal beheer van IM accounts is een belangrijk punt. Bij het selecteren van de enterprise oplossing voor IM moet beheer van accounts deel uitmaken van de oplossing.
Beleid
IM berichten zijn vaak kort en informele krabbels, waarbij vastlegging – vanuit gebruikerstandpunt bezien – niet nodig of gewenst is. Voor bedrijven kan dat anders zijn, zeker als er contacten met externe partijen worden onderhouden met behulp van IM. Centrale logging van dat IM verkeer kan dan zeker gewenst zijn, bijvoorbeeld voor bewijsvoering. Meestal gaat hierbij de voorkeur naar het vastleggen van de gegevens bij de client software. Dat levert trouwens wel problemen op bij ontslag van een medewerker.
Voor mailboxen zijn vaak protocollen ingeregeld waarbij eisen zijn geformuleerd over de omstandigheden waaronder een mailbox wordt geopend, om de privacy van de medewerker te beschermen. Bij IM moet dit eveneens geregeld worden, de werkgever kan hier een belang hebben, zoals het nakomen van afspraken met derde partijen die door betrokken medewerker zijn gemaakt. Een methode om dit te borgen is het opstellen van voorwaarden voor het gebruik van IM. Daaronder kan het vastleggen van IM conversaties horen, net als richtlijnen voor het gebruik van de account.
Als dit proces goed is ingeregeld, zal het privacy luchtje niet gaan stinken.
Draagplicht van toegangspassen
Regelmatig duikt de discussie op over de draagplicht van toegangspassen in een bedrijf of organisatie. Uitgangspunt hierbij is wel dat een organisatie deze passen al heeft en dat ze zijn voorzien van een pasfoto. Het voordeel van dergelijke passen is dat ze – mits regelmatig onderhouden – een goed intern identificatiemiddel vormen en vaak van meerdere functies zijn voorzien. De betaalfunctie (chipknip) is daar een voorbeeld van. Nadelen zijn er ook. Deze passen zijn verhoudingsgewijs duur en hebben een infrastructuur nodig om goed te kunnen werken. Daarbij moet er eveneens beheer worden uitgevoerd wat het nodige kost.
Een bedrijf dat besluit de draagplicht in te voeren voor toegangspassen wordt direct geconfronteerd met allerlei weerstanden. Veel mensen vinden of voelen dat zij in hun persoonlijke levenssfeer worden geraakt. Dat is een verzwarende factor bij de controle op naleving van het beleid.
De kans dat een dergelijke maatregel gaat werken is nog het grootst in een strak geleide hiërarchische organisatie waar men overwegend in bedrijfskleding loopt en werkt. Zelfs dan is zichtbaar commitment van het management nodig om van deze maatregel een succes te maken. De herkenbaarheid van bezoekers zal alleen goed werken als de draagplicht strikt gehandhaafd wordt. Natuurlijk moet bij het invoeren van deze maatregel nadrukkelijk gekeken worden naar de beoogde veiligheidsopbrengst. Het management en de afdeling informatiebeveiliging dienen goed in beeld te hebben wat er met deze zware maatregel beschermd moet worden.
Mocht een volledige draagplicht niet haalbaar zijn, dan zijn er enkele compenserende maatregelen mogelijk waardoor het vereiste beveiligingsniveau alsnog benaderd kan worden. Hierbij kun je denken aan het steeds begeleiden van bezoekers en het afschermen van ruimtes met (bijvoorbeeld) vertrouwelijke informatie. Deze ruimtes zijn dan niet te betreden met een bezoekerspas. Verder moet in alle ruimtes met vertrouwelijke informatie een cleandesk policy van kracht zijn, waardoor informatielekkage wordt bemoeilijkt. Om meelifters (piggy-backing) bij het betreden van een vertrouwelijke zone tegen te gaan kun je denken aan de invoering van mantraps of eenpersoons sluizen.
Voorkomen van misbruik van passen die toegang geven tot de vertrouwelijke zones is een ander fenomeen. Je kunt dit beheersen door aanvullende eisen te stellen aan de bezoeker. Bijvoorbeeld het vragen van een pincode of gebruikmaken van biometrische identificatie. Alweer, de kosten van de beveiliging moeten in balans zijn met de waarde van hetgeen beschermd wordt.
De sterkste maatregel die een organisatie in kan zetten wordt gevormd door het eigen personeel. Als iedereen het belang begrijpt van cleandesk, het begeleiden van bezoekers en onbekenden durft aan te spreken, dan is de kans op ongewenst bezoek het kleinst.
Daar kan geen draagplicht tegenop.
Informatiebeveiliging 