De 10 stappen van informatiebeveiliging – Deel 4: Beveiliging & Afdwingen
Zie hier:- Deel 1: Doel & Inventaris– Deel 2: Prioriteiten & Kwetsbaarheden– Deel 3: Bedreigingen & Risico’s– Deel 4: Beveiliging & Afdwingen– Deel 5: Evalueren & CompliancyStap 7: Beveiliging7.1 Het pandPas nadat de risicoanalyse is uitgevoerd kan er voor technologische oplossen worden gekozen om de geïdentificeerde risico’s af te dekken. Er is een aangepast beleid opgesteld en inzichtelijk gemaakt met een plattegrond, een overzicht van waarvoor de verschillende ruimtes worden gebruikt en welk risico er aan het gebruik van de ruimtes kleeft. Het is nu mogelijk om de verschillende ruimtes technologisch te beveiligen: de kluis is slechts toegankelijk met een code; de archiefruimte kan alleen geopend worden door geautoriseerde pasjes en de verschillende toegangen worden bewaakt door camera’s. Doordat een actuele plattegrond voorhanden is, kan exact bepaald worden hoeveel camera’s nodig zijn en een overschot aan technologie worden voorkomen.Bij de aanschaf en implementatie van de technologie moeten wel diverse mogelijkheden overwogen worden: Wordt er geregistreerd welke werknemer op welk moment zijn of haar toegangspas gebruikt? Kunnen de beelden van de camera’s worden uitgelezen en hoe lang worden deze beelden bewaard? Vervolgens moet het beleid worden aangepast om de toegepaste technologie optimaal te laten functioneren. Bijvoorbeeld hoe vaak de technologie een ‘reset’ nodig heeft en hoe snel een defecte camera moet worden vervangen.7.2. Het netwerkRisico’s voor een computernetwerk kunnen vaak opgelost worden door updates voor software of hardware toe te passen. Dergelijke wijzigingen aan de apparatuur hebben echter soms verstrekkende gevolgen en daarom kan het ook niet altijd meteen. In dat geval verdient het wellicht de voorkeur om (tijdelijk) technologie in te zetten die het risico afdicht en zo dus tijd maakt om de benodigde updates gedegen te testen alvorens toe te passen. Dit soort technologie vereist natuurlijk een investering in tijd en geld. Door een goed beeld van de ernst van het risico kan een goede afweging gemaakt worden: investeren of het risico (tijdelijk) accepteren. De mogelijkheden kunnen naast elkaar worden gezet, waarna de functionaris verantwoordelijk voor de beveiliging het eindoordeel velt over de te nemen stappen.Stap 8: Afdwingen8.1. Het pandHet aanschaffen van de beveiligingscamera’s is één, maar het inzetten ervan is natuurlijk minstens zo belangrijk. Een partij camera’s in de doos gaan het probleem immers niet oplossen. De technologie is in dit geval afgedwongen indien alle kwetsbare ruimtes voorzien zijn van een camera, en u moet erop (laten) toezien dat dit ook gebeurt.Het is heel logisch dat een werknemer die het bedrijf verlaat de sleutel van zijn werkplek retourneert. In het geval van een elektronische toegang, met een code, zal dus moeten worden ‘afgedwongen’ dat deze regelmatig, desnoods automatisch, wordt vernieuwd om het risico van toegang door onbevoegden te vermijden.8.2. Het netwerkWanneer bepaalde technologie gekozen wordt om een risico af te dekken, dan is het toepassen daarvan de volgende stap. Zonder kennis van de inhoud van het netwerk of de systemen is dat onbegonnen werk.Als alle Windows computers een bepaalde vorm van beveiliging nodig hebben, dan moeten ze allemaal in beeld zijn om die beveiliging ook te installeren. En pas wanneer dat overal gebeurd is, kan het risico als afgedekt worden beschouwd.In het volgende deel van deze artikelenreeks gaan we kijken naar evalueren en compliancy.Deze artikelenreeks wordt u aangeboden door DearBytes, adviseur in beveiliging van IT-systemen en kostbare informatie. Al 10 jaar helpen zij als All-Round Security Specialist hun relaties met informatiebeveiliging. Niet alleen met uitgebreide theoretische kennis, maar juist met praktische oplossingen voor bedrijven en organisaties. De tekst is geschreven door Erik Remmelzwaal, algemeen directeur van DearBytes.Meer weten over risicomanagement? Ga naar www.dearbytes.nl/dear360