Vroeger was het echt niet allemaal beter, maar sommige zaken waren wél makkelijker. Kijk maar eens naar het verloop van de gegevensstroom van het toetsenbord, dat via de CPU naar het scherm loopt. Dit zit nu vol gevaren. In een gesloten systeem, zoals de goeie ouwe alleenstaande pc, was er nagenoeg geen risico. Vandaag de dag gaat elke toetsaanslag wie weet waar naartoe, gegevensverwerking kan plaatsvinden op een ander continent en werknemers zitten zelden gewoon elke dag achter hun laptop op het bedrijfsnetwerk. Het beveiligen van online gegevens is een lastig punt, bovendien is elke zwakke schakel in gegevensbeheer een essentieel probleem.
Uittekenen van de gegevensstroom
Het is een open deur, maar wel waar: hoe meer je gegevens verspreid zijn, hoe meer risico ze lopen. Mede daarom is de cloud nog steeds niet erg geliefd bij de Nederlandse belastingbetalers. Met het gebruik van cloud-applicaties heb je steeds minder controle over je data. Het is niet genoeg om alleen maar te weten waar en hoe je gegevens door het systeem gaan. Probeer ook eens het beveiligingsprofiel van de verschillende processen die gebruikt worden boven tafel te krijgen. Dat zal bijna niet gaan, maar is wel nodig. Anders loopt je organisatie een onaanvaardbaar hoog risico.
De eerste stap bij het goed beveiligen van bedrijfsdata is het classificeren je data, zodat je vast kunt stellen welke gegevens het best beveiligd moeten zijn. Waarschijnlijk leidt dit tot de conclusie dat het overgrote deel van de bedrijfsgegevens niet kritisch, achterhaald of verouderd is. Hoewel je deze gegevens nog steeds moet beschermen, heeft dat geen prioriteit. Wat er vervolgens overblijft, zijn de kroonjuwelen: gevoelige financiële, commerciële en persoonsgegevens. De databases waarin deze zijn opgeslagen moeten beveiligd zijn tegen ongeautoriseerde toegang.
Opslag: hier, daar, overal
Gegevens moeten ergens staan. Wanneer je weet welke data de meeste aandacht verdient, moet je bepalen waar je deze gegevens opslaat. Dat kan intern in je RAM-geheugen, binnen een network-attached storage (NAS)-oplossing of gearchiveerd op tape of disk. Als je de data toevoegt, gaat deze echter een eigen leven leiden en dat maakt de zaak ingewikkeld. Een kassasysteem, bijvoorbeeld, slaat de ruwe gegevens op in silo A, verwerkt deze in kubus B en distribueert ze dan naar applicaties C tot en met Z. Tussen elk knooppunt liggen verbindingen, en dus een risico.
Als de gegevens zijn opgeslagen achter een firewall is het proces is relatief eenvoudig. Je kunt je eigen toegangsregels invoeren, de netwerkactiviteit in de gaten houden en actie ondernemen als er iets geks gebeurt. Bovendien kan je kunt een groot deel van deze activiteiten automatiseren. Organisaties die serieus werk maken van beveiliging kunnen ook een opstelling maken van interne netwerkindelingen en de segmenten beschermen met een eigen firewall (internal segmentation firewalls, ISFW). Maar ook in een gesloten systeem dreigt gevaar.
Houd de ‘insluiper’ tegen
Systeembeheerders gebruiken over het algemeen het database management systeem (DBMS) om privileges te schrijven en toe te kennen voor specifieke datasets binnen de organisatie. Tot zover is er niets aan de hand. Maar naarmate mensen zich binnen de organisatie bewegen, veranderen de rollen, eisen en toestemmingen. Het is essentieel dat databasebeheerders privileges (binnen het toegangsbeleid) regelmatig kunnen lezen en schrijven om te waarborgen dat alleen de juiste mensen of rollen toegang krijgen tot gevoelige gegevens. Anders kan een werknemer na een rolwisseling een ‘insluiper’ zijn die toegang krijgt of houdt tot databases waar hij niet (meer) mag komen.
Hulp is beschikbaar
Er zijn richtlijnen die helpen om door deze processtromen te navigeren. Zo is de ISO/IEC 27002-standaard specifiek ontwikkeld om databasebeheerders te helpen bij het volgen en beveiligen van gegevens. Leveranciers van beveiligingsoplossingen spelen hierop in door de principes van deze standaard in te bouwen in hun producten. Ook ITIL (voorheen een acroniem voor Information Technology Infrastructure Library) bevat een sectie over beveiligingsbeheer, gebaseerd op ISO/IEC 27002, die een beschrijving geeft voor de gestructureerde aansluiting van informatiebeveiliging in de managementorganisatie.
Welke standaard je ook aanhangt, het blijft belangrijk dat je een overzichtelijk plan hebt van je data, waar het naartoe gaat, wie er toegang toe heeft en wat zij ermee kunnen doen. Vervolgens is er een maatwerkproces nodig om beveiliging toe te voegen aan elk van de eindhaltes en verbindingen die de data onderweg neemt. Dat is mogelijk met een beleid dat zo gedetailleerd mogelijk beschrijft wie waar toegang heeft tot de gegevens, hoe men deze gebruikt en hoe zij van punt A naar punt Z komen. Als je deze processen kunt uittekenen, ben je goed op weg naar het identificeren van mogelijke dreigingen en het verminderen van de risico’s. Probeer het eens op een groot ouderwets schoolbord of whiteboard. Net als vroeger, wel zo makkelijk.
Vincent Zeebregts, Country Manager Fortinet
