Data Loss Prevention, praktische maatregelen

januari 17, 2011 at 11:30 am (Achtergrond, Cloud computing, Oplossingen, Problemen) (, , , , , )

Waarom zou je aan Data Loss Prevention (DLP) doen, hoe kun je gegevens nu verliezen, hoe voorkom je dat en waar zitten de knelpunten.

Een doorsnede van de verhalen van leveranciers afgezet tegen de praktijk van een informatiebeveiliger.

Redenen om aan DLP te doen.

Er zijn verschillende redenen om maatregelen met betrekking tot DLP te treffen, maar die hangen af  van een aantal factoren. Als je organisatie aan de beurs genoteerd is heb je te maken met specifieke regelgeving. Afhankelijk van de aard van je bedrijf heb je mogelijk bedrijfsgeheimen die je liever voor jezelf houdt. Daarnaast heb je als organisatie een bepaalde verantwoordelijkheid tegenover je klanten, je aandeelhouders en je personeel. Een mooi woord daarvoor is ‘due diligence’, goed ondernemerschap.

Dataverlies

Een organisatie kan gegevens op veel verschillende manieren verliezen. Bij de meeste daarvan merk je het op zijn best als het al te laat is. Gegevens lekken op allerlei manieren uit je bedrijfsomgeving, door pc’s, laptops en werkstations uit het bedrijfsnetwerk die zijn besmet met kwaadaardige software.

Datadragers, zoals USB apparaten, mobiele apparaten (pda’s, telefoons, tablet pc’s, etc.), CD/DVD roms, backuptapes, oude en af te voeren hardware of papier kunnen allen vertrouwelijke informatie bevatten die niet buiten de organisatie bekend mag worden.

Je business partners (software ontwikkelaars, ondersteuners, onderaannemers) kunnen je gegevens kwijtraken, bijvoorbeeld door ontevreden werknemers in hun organisatie.

Je eigen medewerkers kunnen bedrijfsgeheimen op straat leggen door (te) veel informatie te delen via social media (Facebook, Hyves, LinkedIn, Twitter, Yammer, BrightIdea, etc.). Data die onbeschermd verstuurd wordt via Internet of traditionele post kan worden onderschept en in verkeerde handen komen.

Cloud computing providers (ASP en SAAS providers) kunnen configuratie fouten maken in hun software, te laat zijn met het doorvoeren van security updates, backup en restore procedures slecht uitvoeren waardoor je gegevens verloren kunnen gaan, zelf onvoldoende uitwijkmogelijkheden hebben waardoor bij een brand jouw gegevens verloren gaan, gegevens niet goed verwijderen van defecte hardware of failliet gaan waardoor je niet meer bij je gegevens kunt.

Tot slot loop je het risico dat informatie bij onbekende derden terecht komt als je werken op afstand (telewerken, het nieuwe werken) toestaat. Al met al genoeg mogelijkheden om als organisatie dataverlies te lijden. Gelukkig is voor een groot deel van deze bedreigingen tegenmaatregelen bedenken.

Tegenmaatregelen

De meeste maatregelen kun je eenvoudig zelf bedenken. Over het algemeen komt het er op neer dat je wat sterker gaat controleren op de naleving van de maatregelen die je al hebt. Een mooi woord hiervoor is governance. Denk daarbij aan het gecontroleerd uitvoeren van changes op de firewall, alle laptops voorzien van een volledig versleutelde harde schijf , beperking van de rechten tot het versturen van gegevens, (betere) afspraken met leveranciers, et cetera.

Om een echte stap voorwaarts te maken en de kans aanzienlijk te verkleinen dat geclassificeerde gegevens de bedrijfsomgeving verlaten, zul je je aandacht moeten richten op de gebruikers. Maak duidelijk welke belangen zij en de organisatie hebben om voorzichtig met vertrouwelijke informatie om te gaan. Geef aan wat de mogelijkheden zijn, welke gereedschappen hiervoor gebruikt kunnen worden en welke consequenties er zijn verbonden aan het niet nakomen van de afspraken. Train je personeel regelmatig in het gebruik van de middelen. Een voorbeeld hiervan is het opstellen van een bedrijfspolicy hoe om te gaan met social media (Facebook, LinkedIn, Hyves, Twitter en dergelijke).  Maak duidelijk dat de organisatie achter het gebruik op de juiste wijze staat.  Bied informatie en advies hoe om te gaan met social media in relatie met het werk.

Zorg voor tools waarmee data kan worden versleuteld voordat deze wordt verzonden. Regel in de ICT infrastructuur het logmanagement grondig in. Log niet alleen de noodzakelijke handelingen, maar controleer de logging op ongewenste activiteiten en neem zonodig gepaste maatregelen. Filter email- en internetverkeer (geautomatiseerd) op inhoud, bijvoorbeeld het gebruik van tevoren vastgestelde termen of zinsneden.

Maatregelen in de praktijk

Ga na of de tegenmaatregelen in verhouding zijn met de (bedrijfs)risico’s. Schaf eventueel een integrale DLP oplossing aan. Een dergelijk pakket software is aan te sluiten op de ICT infrastructuur en dekt de technische maatregelen af. Houd in het achterhoofd dat de menselijke factor met deze oplossing niet wordt meegenomen.

Maatregelen ter verhoging van het gebruikersbewustzijn bestaan uit trainingen en voorlichting over de genomen (zichtbare) maatregelen. Bied de gebruikers gereedschappen zoals winzip of winrar om beveiligde bestanden te kunnen maken.

Pas de contracten aan voor de afvoer van hardware en archiefvernietiging. Stel eisen inzake DLP aan cloud service providers en application service providers (SAAS / ASP).

Aandachtspunten

Als organisatie moet je niet de illusie hebben dat je hiermee verlies van gegevens totaal kunt voorkomen. Het achterlaten van een tas of koffer met dossiers in de trein sluit je niet uit.

Je kunt wel je gebruikers trainen en zorgen dat zij op een bewuste wijze met de bescherming van bedrijfsgegevens omgaan. Mocht zich een incident voordoen dan kan niemand zich beroepen op zijn onwetendheid.

Advertenties

Permalink Geef een reactie

Cloud Computing Risico’s en risicoreductie

november 24, 2010 at 11:11 am (Achtergrond, Beleid, Cloud computing, Oplossingen, Privacy, Problemen) (, , , , , , , , , , )

Inleiding

In dit overzicht staan de verschillende aandachtspunten rond Cloud Computing gegroepeerd rond het thema risico’s en risicoreductie. Doel van het overzicht is helderheid te verschaffen over de punten waar een organisatie aan moet denken als die structureel gebruik gaat maken van Cloud Computing.

Bronnen

Bronnen voor dit overzicht zijn onder meer informatie uit documentatie van ENISA, Berkely University en de Cloud Security Alliance.

Cloud Computing

In dit overzicht gebruik ik de volgende definitie van Cloud Computing.

De Cloud scheidt applicatie en informatiebronnen van de onderliggende structuur en de mechanismen om ze te leveren. Deze definitie beperkt zich hier tot Software as a Service (SaaS). Andere XaaS Cloud Computing vormen zijn hiermee uitgesloten van de beschouwingen in dit overzicht.

De overgang naar Cloud Computing gaat gepaard met emotie. Een organisatie geeft zijn data ‘weg’ aan een externe partij en wat overblijft is een gevoel van verlies van controle. Control wil zeggen dat er deugdelijke controles aanwezig zijn en dat hun effectiviteit bewezen is. De rationele component bij een overgang naar Cloud Computing regelt dat er contracten zijn met mantelovereenkomsten en SLA’s, dat de beveiliging ingebouwd is en dat verantwoordelijkheden worden overgedragen.

Business belangen

Cloud Computing komt niet uit de lucht vallen en het is geen IT speeltje maar de business belangen spelen een grote rol. Toch moet goed worden beoordeeld in hoeverre de business belangen niet worden belemmerd door de overgang naar de Cloud. Dat kan door de verschillende bedrijfsprocessen en de daarmee gepaard gaande informatie te beoordelen op geschiktheid voor Cloud Computing. Ruwweg zijn er drie vormen mogelijk: geschikt, na aanpassing geschikt en ongeschikt. Verder zijn er verschillende vormen van Cloud Computing mogelijk tussen de beide uitersten Private Cloud en Public Cloud, denk hierbij aan Private Cloud (intern of on site), Private Cloud (extern, inclusief dedicated of gedeelde infrastructuur), Hybride omgevingen, Community en Public Cloud. De organisatie moet eerst per bedrijfsproces of -applicatie bepalen of dit geschikt is voor de Cloud. Daarna volgt de vaststelling welk type Cloud het meest geschikt is.

Voor het bepalen in hoeverre een bedrijfsproces of –applicatie geschikt is voor de Cloud, is de beantwoording van de volgende vragen essentieel.

Lees de rest van dit artikel »

Permalink Geef een reactie

Opbouw van een autorisatiematrix

juli 30, 2010 at 3:48 pm (Achtergrond, Beleid, Oplossingen) (, , , , , )

Een bedrijf dat groot genoeg is om controle van de boeken te krijgen, met meerdere werknemers in dienst, heeft een autorisatiematrix nodig. Dit kan al een heel eenvoudig lijstje zijn:

Inboeken Uitboeken Factureren Accorderen Betalen
Jan V X X X V
Piet X V X X X
Kees X X V X X
Clara X X X V X

Het doel van een autorisatiematrix moet zijn inzicht te krijgen (en te houden) in de rollen die een medewerker heeft. Dit doe je bijvoorbeeld om mogelijke frauduleuze handelingen te voorkomen. Iemand zowel de rechten geven op het accorderen als het betalen van facturen vertoont grote gelijkenis met het verhaal van de vastgebonden kat op het spek.

In grotere organisaties geldt dat het moeilijk is om overzicht te houden over het aantal en de soort uitgegeven rechten. Door rechten aan rollen te koppelen knip je het probleem al in kleine stukken. Medewerkers kunnen een of meer rollen vervullen en hebben daardoor automatisch rechten. In de autorisatiematrix zorg je ervoor dat rollen geen conflicterende rechten hebben en dat rollen zelf niet met elkaar in conflict mogen zijn. Je houdt de autorisatiematrix alleen in stand als je er een goed beheerproces omheen bouwt.

Medewerkers veranderen van functie binnen een bedrijf, maar het komt zelden voor dat de rechten (autorisaties) van deze medewerkers worden aangepast. Een andere veel voorkomende bron van vervuiling is dat een nieuwe medewerker een kopie van het profiel van zijn voorganger krijgt. Zeker als deze voorganger een rijke historie binnen het bedrijf heeft, zal de nieuwe medewerker veel extra rechten krijgen die hij niet nodig heeft voor het uitvoeren van zijn functie.

De meest zekere methode om te voorkomen dat een medewerker teveel rechten heeft is om zijn rechten af te nemen als hij een nieuwe functie gaat vervullen. Daarna kunnen hem de rechten worden toegekend die bij zijn nieuwe functie horen.

Als je dit verder uitwerkt ben je al aardig op weg in de richting van een RBAC (Role Based Access Control) traject.

Permalink 1 reactie

Instant messaging in een bedrijfsomgeving

juni 14, 2010 at 6:39 pm (Beleid, Oplossingen, Privacy) (, , , , , , , , )

Veel grotere bedrijven, waaronder (delen van) de rijksoverheid maken gebruik van instant messaging (IM). Dat kan voor intern gebruik zijn, of om contacten te onderhouden met de buitenwereld. Er zijn verschillende aanbieders van enterprise oplossingen voor IM. Zij onderscheiden zich bijvoorbeeld door IM protocollen van andere leveranciers te ondersteunen, virusprotectie of beheer van accounts.

Logging
Een functionaliteit die veel van deze producten hebben is het loggen (registreren) van verbindingen. Dan kan zowel centraal (op de server) als lokaal (bij de client op de desktop) zijn ingesteld. Iemand die deze blog volgt voelt hem al aankomen, hier zit een privacy luchtje aan.

Van e-mail weten we dat er registratie plaatsvindt bij het verzenden en ontvangen van e-mailberichten. De mails zelf worden vastgelegd in de mailbox. Dat moet ook wel, anders heb je er niets aan. E-mail kan gebruikt worden als bewijsgevend materiaal. Voor IM, dat niet echt is ingeburgerd in het bedrijfsleven, zou je soortgelijke regels verwachten. Toch komen de meeste clients met een voorinstelling waarbij de logging uitstaat.

Accounts
Een bedrijf zal eveneens zelf het beheer van de IM accounts willen uitvoeren, om de professionele uitstraling te kunnen handhaven. Dit is natuurlijk vooral van belang bij externe contacten. Iemand met de alias ‘lekkerding88@hotmail.com’ komt net zo serieus over als ‘leethaxor@yahoo.com’. Gesteld dat een accountmanager een dergelijke IM account gebruikt bij zijn zakelijke contacten, dan zal dat de professionele uitstraling van de organisatie nadelig beïnvloeden.

Het controleren van de bedrijfspolicy met betrekking tot de naamgeving is een ding. Een organisatie zal het eveneens niet waarderen als een ex-medewerker de accountnaam ‘janssen-bedrijfsnaam@hotmail.com’ blijft hanteren na zijn vertrek. Centraal beheer van IM accounts is een belangrijk punt. Bij het selecteren van de enterprise oplossing voor IM moet beheer van accounts deel uitmaken van de oplossing.

Beleid
IM berichten zijn vaak kort en informele krabbels, waarbij vastlegging – vanuit gebruikerstandpunt bezien – niet nodig of gewenst is. Voor bedrijven kan dat anders zijn, zeker als er contacten met externe partijen worden onderhouden met behulp van IM. Centrale logging van dat IM verkeer kan dan zeker gewenst zijn, bijvoorbeeld voor bewijsvoering. Meestal gaat hierbij de voorkeur naar het vastleggen van de gegevens bij de client software. Dat levert trouwens wel problemen op bij ontslag van een medewerker.

Voor mailboxen zijn vaak protocollen ingeregeld waarbij eisen zijn geformuleerd over de omstandigheden waaronder een mailbox wordt geopend, om de privacy van de medewerker te beschermen. Bij IM moet dit eveneens geregeld worden, de werkgever kan hier een belang hebben, zoals het nakomen van afspraken met derde partijen die door betrokken medewerker zijn gemaakt. Een methode om dit te borgen is het opstellen van voorwaarden voor het gebruik van IM. Daaronder kan het vastleggen van IM conversaties horen, net als richtlijnen voor het gebruik van de account.

Als dit proces goed is ingeregeld, zal het privacy luchtje niet gaan stinken.

Permalink Geef een reactie

Vreemde hardware

maart 31, 2010 at 9:11 pm (Oplossingen, Techniek) (, , )

Een onderschatte dreiging voor de integriteit en beschikbaarheid van ICT omgevingen wordt gevormd door ongeautoriseerde (of onbekende) apparatuur. Hier kun je je van alles bij voorstellen. Van privé van huis meegenomen servers (dan kan ik zelf even wat uitproberen), hubs, switches en routers (dat is toch veel praktischer dan alle wall outlets te patchen en het werkt ook nog eens sneller dan wachten op die IT’ers), WiFi hotspots direct op het netwerk, laptops met allerlei “vreemde” besturingssystemen, privé pc’s zonder enige vorm van endpoint security met alle gevolgen van dien, pc’s met allerhande services actief die hun best doen het netwerk over te nemen (DHCP servers, DNS servers, etc.) en pc’s met gereedschappen om daadwerkelijk toegang tot de dataservers te forceren.

Je kunt als informatiebeveiliger beleid formuleren tot je een ons weegt en communiceren tot je erbij neervalt, maar hier helpen alleen technische maatregelen. Het werkt trouwens wel goed als je daar een beleid voor hebt dat helder is gecommuniceerd. Doelgroep van de communicatie wordt gevormd door de usual suspects: externe medewerkers (consultants), ontwikkelaars en technische ondersteuning (bv. printer onderhoudsmonteurs).

Voor de technische kun je denken aan NAC. Network Access Control komt in veel smaken, ik ga in het op het security model, zonder mij druk te maken over merken. Bij NAC wordt een pc aangemeld bij de Active Directory (AD) (of repository die deze beheerdienst uitvoerd). Hierna wordt eenmalig een certificaat aangemaakt op basis van de geregistreerde pc naam en het MAC adres. Bij de volgende maal aanmelden checkt het controlestation de geldigheid van het certificaat. Afhankelijk van het resultaat worden toegangsrechten uitgedeeld of de netwerktoegang geblokkeerd. Bij detectie van een pc zonder certificaat gaat er uit compliance overwegingen een melding naar de afdeling security. Zo blijf je op de hoogte van de beveiligingsopbrengst van je maatregel en kun je eventuele trends vroegtijdig detecteren.

Voordeel van preregistratie is dat iedere machine bekend is bij beheer en is opgenomen in de Configuration Management Database (CMDB). Gebruikers (of vreemden) die geen beheerrechten hebben op de AD kunnen geen pc’s registreren. Zo verklein je de kans op ongeautoriseerde apparatuur in je netwerk.

Op dit thema zijn variaties mogelijk. Want je wilt misschien wel de externe medewerkers toegang tot  Internet bieden. Een niet-geregistreerde computer (zonder certificaat) krijgt dan geen rechten op het datacenter, maar kan automatisch gerouteerd worden naar de internetzone. Verder kun je een pc die zich aanmeld bij de autorisatieserver op de aanwezigheid en status van de endpoint security software. Mocht de pc niet voldoen aan je eisen, stuur hem dan naar een sandboxomgeving en installeer (push) de updates. Daarna kan de pc zich opnieuw aanmelden en zal hij, na geslaagde authenticatie en autorisatie, toegang krijgen tot de gewenste netwerkbronnen.

Stroomschema NAC

Zoals je ziet kun je op relatief eenvoudige wijze snel een grote beveiligingswinst boeken en een aantal risico’s voor je omgeving verkleinen of neutraliseren. Je moet het alleen even doen.

Permalink Geef een reactie

Fysieke beveiliging – de gelaagde kokosnoot

maart 3, 2010 at 10:10 am (Achtergrond, Oplossingen, Techniek) (, , )

Ondanks het jerichomodel dat uitgaat van de bescherming van de data en de muren wil slechten, kunnen muren nuttig zijn. Een goed voorbeeld is het toepassen van muren (en deuren) om de toegang tot je datacenter te beveiligen. Probeer maar eens een gemiddeld hosting center binnen te komen. Je komst moet al van tevoren zijn aangekondigd, je wordt begeleid, krijgt een bezoekersbadge en je bewegingen worden vastgelegd op film.

Met je pas kom je niet verder dan het ontvangstgedeelte en (als je geluk hebt) de koffiekamer. Dan blijkt de gelaagde beveiliging te werken. Klanten die zelf hun servers of rackspace beheren hebben toegang tot een deel van de serverzaal en hun rack. Alleen de beheerders in dienst van het datacenter komen in de beheerruimte met toegang tot de gehoste servers.

Dergelijke organisaties hebben hun logische en fysieke beveiliging gebaseerd op het kleurenmodel of stoplichtmodel.  Dat bestaat uit een viertal ringen met verschillende kleuren. De buitenste ring is wit en staat voor de openbare of publieke ruimte. Dan komt de groene ring, het algemene bezoekersdeel uit het voorbeeld. Het deel van het gebouw dat toegang biedt tot de controlroom en de serverruimtes is de oranje zone. De controlroom en de serverruimtes zelf zijn de rode zones.

In de semantiek van het stoplichtmodel mag een element in een ring slechts aan een ring van één niveau hoger en één niveau lager grenzen. Groen aan rood mag dus niet. Ook rode zones moeten onderling gescheiden zijn door minimaal een oranje zone.

Dit model is natuurlijk ook te projecteren op een digitale representatie. Zo is de Demilitarized Zone (DMZ) van een netwerk infrastructuur te vergelijken met de groene zone (wit is het internet, de publieke ruimte). Na de binnenste firewall kom je in de oranje zone met de werkstations. De data- en applicatieservers staan in de rode zone. Iedere laag is met een of meer firewalls afgeschermd van de andere, wat een zeker niveau van beveiliging oproept en waardoor het schema er uitziet als een gelaagde kokosnoot.

In de werkelijke wereld gebruik je daarom goed hang- en sluitwerk, paslezers en eventueel mantraps of sluizen voor de toegang tot de rode zones. Digitaal werp je drempels op met firewalls, rechtenstructuren, wachtwoorden en biometrie.

In de beveiliging geldt de stelregel: “Als je beter beveiligt dan de buren, dan gaan ze naar de buren – en niet naar jou”.

Permalink Geef een reactie

Wachtwoorden – nuttig?

februari 16, 2010 at 12:03 pm (Achtergrond, Oplossingen, Techniek) (, , , , , )

Amex, een van de amerikaanse creditcardmaatschappijen, verplicht zijn klanten om zwakke wachtwoorden te gebruiken. Ze mogen alleen letters (hoofd- en kleine letters) en cijfers toepassen. Dit verhoogt niet alleen de kans op het goed raden van wachtwoorden of de kans dat een woordenboekaanval slaagt, maar zo worden de kosten voor de creditcard gebruikers ook hoger. Jaarlijks betalen mensen met een creditcard een bedrag voor het gebruik. Daarbij inbegrepen is een soort verzekeringspremie tegen het misbruik. Winkeliers en bedrijven die creditcards accepteren betalen  een bedrag per transactie, maar ook om de kaart te mogen accepteren. Door nu wachtwoorden zwakker te maken zal de kans op misbruik stijgen. Dit betekent een stijging van verlieskosten voor de creditcard maatschappij. Zij moeten fraudeonderzoeken starten en de kosten verhalen. Hierdoor zullen de kosten voor de gebruikers, winkels en bedrijven stijgen.

In Japan worden two-factor authentication systemen afgedaan als te zwak, terwijl in Europa hooguit sms authenticatie gebruikt wordt – terwijl het gsm protocol al gekraakt is. In het land van de rijzende zon gebruiken ze bloedvatfingerprints als biometrische eigenschap. Deze techniek is beter en betrouwbaarder dan de gummibeertjes vingerafdruk, de onsmakelijke oorscan of de enge irisican die met een foto is te misleiden.

Hier gebruiken we sterke wachtwoorden bij banken, met hoofd- en kleine letters, cijfers en leestekens. Alleen dat onthouden, daar  heb je een truukje voor nodig: tel ze bij elkaar op. Maak bijvoorbeeld gebruik van een vast getal (datum, geluksgetal, of iets dergelijks) en een steeds wisselend woord. Combineer dit met een vast patroon en voeg hier een leesteken aan toe.
Voorbeeld:
BakSteen + 05121954 = 05Bak12Steen1954?
Nog een voorbeeld:
WaterFles + 05121954 = 05Water12Fles1954?

Zo krijg je een wachtwoord dat zowel sterk is als goed te onthouden voor een mens.
In de top 10 van ergerlijke beveiligingsmaatregelen wordt het “onzinnige wisselen van wachtwoorden” genoemd. Ik vraag mij dan af wat daar onzinnig aan is. Het argument “als een wachtwoord niet geraden is hoef je het niet te wijzigen” vind ik zwak. Als wachtwoorden geraden kunnen worden zijn ze zwak en moeten ze regelmatig worden gewisseld om de periode waarin misbruik mogelijk is te beperken. Voor sterke wachtwoorden geldt hetzelfde, omdat ze waardevolle informatie beschermen.

Daarnaast wil het niet zeggen dat een wachtwoord niet is geraden als er geen misbruik van bekend is. Dat wil alleen maar zeggen dat het misbruik niet bekend is.

Permalink Geef een reactie

Security in cloud computing

februari 13, 2010 at 6:00 pm (Achtergrond, Problemen, Techniek) (, , , , )

Cloud computing is “in”. Alleen een afspraak of contract met je directe leverancier, misschien nog een contactpersoon in je organisatie en alle techniek de deur uit. De ideale oplossing voor al je beheerproblemen – als alles werkt. In de praktijk zijn er veel haken en ogen te vinden bij cloud computing of outsourcing van je applicaties. Want bij intern beheer weet je bijvoorbeeld wie er aan je spullen zit. Je weet zeker dat je grootste concurrent niet zijn databases in hetzelfde datacenter heeft draaien als jij. Of als je applicatie het niet doet, dan weet je de verantwoordelijke manager snel te vinden. Verder weet je zeker dat je gegevens niet in andere landen terecht komen, waar andere regels gelden voor geheimhouding of schending van privacy.

Bij cloud computing is dat een ander verhaal. De beheerpartij kan de apparatuur weer ergens anders hebben onder gebracht en ook de datalijnen kunnen elders zijn uitbesteedt. Zelf kan de technische partij die de apparatuur huisvest een parallel datacentrum hebben in een land hier ver vandaan – buiten de EU en de daaraan verbonden wetgeving. Ongewild en ongeweten kun je zo risico’s lopen met de vertrouwelijkheid van je gegevens. De Amerikaanse wetgeving gaat heel anders om met privacybescherming en datastromen dan de EU wetgeving.

Voordat je je bedrijfskritische applicaties onderbrengt in ‘the cloud’ moet je je er van bewust zijn dat ook deze dienstenleveranciers fouten maken en dat je daar last van kunt ondervinden. Denk aan de storing in 2009 bij Google, waardoor Google-docs enkele uren niet beschikbaar was. Bij eigen beheer of intern beheer heeft een organisatie de mogelijkheid prioriteiten te stellen die van invloed (kunnen) zijn op de oplossingssnelheid van incidenten. Bij cloud applicaties (SAAS) ben je een van de vele klanten in de rij en kun je alleen afwachten en hopen dat de dienst weer snel beschikbaar wordt.

Ook al loop je met je hoofd in de cloud, let ook op de aardse zaken.

Permalink Geef een reactie

Jericho in een kokosnoot met uien

februari 8, 2010 at 5:47 pm (Oplossingen, Techniek) (, , , )

We hebben al geruime tijd (sinds de middeleeuwen) het kokosnoot model voor beveiliging. Daarbij hoort een harde buitenkant (kasteelmuur, stadswallen, firewall) met een zachte binnenkant. Zo worden de waardevolle zaken (het serverpark, de bedrijfsgegevens) met veel maatregelen afgeschermd van de buitenwereld (het Internet). In moderne organisaties kom je nog wel eens het uienmodel tegen, dat is een minder geslaagde vorm van gelaagde beveiliging – bij iedere laag die je afpelt gaan je ogen erger tranen. Zij hebben hun best gedaan, maar zonder goed na te denken over de correcte uitvoering van het geheel.

Het principe van gelaagde beveiliging – meerdere ongelijksoortige beveiligingslagen achter elkaar – is wel goed, maar op zichzelf tegenwoordig onvoldoende om schade door informatieverlies te voorkomen. Tot slot het Jericho-model, dat als uitgangspunt heeft dat alle verdedigingswerken kunnen worden geslecht: de IT omgeving wordt hybride, binnen wordt buiten en buiten komt binnen. Alleen de belangrijke gegevens worden beschermd: ‘protect the data’.

In mijn optiek wil je een combinatie van de drie modellen. Dat doe je door een robuuste gelaagde beveiliging op te bouwen, die niet eenvoudig is af te pellen. De gevoelige of vertrouwelijke informatie voorzie je van aanvullende beveiligingsmaatregelen. Zo beveilig je niet meer dan nodig en verminder je het risico op gegevensverlies of imagoschade aanzienlijk.

Het principe van dataclustering bestaat al een tijd, maar omdat het complex is om op te zetten gebeurt het maar zelden. Bij het Jericho-model gaat men uit van data-tagging. Dat wordt ook door het College Bescherming Persoonsgegevens aangewezen als een manier om vertrouwelijke informatie te herkennen.

Een gelijkwaardig resultaat met minder inspanning vanuit de organisatie kan worden bereikt door de servers of databases met vertrouwelijke informatie te clusteren. Door hier extra toegangscontrole op te zetten wordt hetzelfde resultaat bereikt – toegang tot vertrouwelijke informatie op ‘need to know’ basis. Voordeel van deze methode is dat het geen opdruk op de organisatie geeft (opvoeden van gebruikers voor het gebruik van tagging, beheer helpdesk, etc.).

Permalink Geef een reactie