Door: drs. Steven Boekee, Kwaliteitsmanager
Hoe is het gesteld met jullie Informatiebeveiliging?
“Een kijkje in de keuken bij Newcom en Exploratio”
De afgelopen periode krijgen we deze vraag regelmatig. Informatiebeveiliging is niet simpel en de digitale ontwikkelingen gaan snel. Met de opkomst van de nieuwe Europese privacywet (AVG) hebben we sinds 2018 passende maatregelen om misbruik, verlies, onbevoegde toegang, ongewenste openbaarmaking en ongeoorloofde wijziging tegen te gaan. Ons managementsysteem voor informatiebeveiliging (ISMS) is ISO 27001 gecertificeerd en ingericht met een strenge monitoring. Daarbij hanteren we fundamentele beveiligingsprincipes van beschikbaarheid, integriteit en vertrouwelijkheid. We houden door het implementeren van passende maatregelen op 13 gebieden vat op de informatiebeveiligingsrisico’s.
Het onderwerp informatiebeveiliging heeft onze continu aandacht en ook wij zitten, net als iedereen, in een continu leerproces. Ons ISMS geeft ons de mogelijkheid continu te werken aan het plannen, uitvoeren, beheersen, monitoren en het verbeteren van het managen van informatiebeveiligingsrisico’s. In dit artikel lichten we ons informatiebeveiligingsbeleid toe en staan we stil bij de drie fundamentele beveiligingsprincipes en de 13 gebieden met passende maatregelen.
Drie fundamentele beveiligingsprincipes
Allereerst zetten we de fundamentele beveiligingsprincipes binnen Newcom en Exploratio uiteen. Daarna gaan we in op de passende maatregelen op 13 gebieden die we cyclisch uitvoeren.
Om informatiebeveiliging effectief door te voeren binnen een organisatie, zijn de maatregelen, processen en beveiligingsprogramma’s allemaal te herleiden naar drie fundamentele beveiligingsprincipes: Beschikbaarheid, Integriteit en Vertrouwelijkheid. Deze beveiligingsprincipes worden ook wel aangeduid als de BIV-driehoek. Alle beveiligingsmaatregelen, mechanismen en controles worden geïmplementeerd om een of meer van deze principes in te vullen.
- Beschikbaarheid – Beschikbaarheid heeft alles te maken met de tijdigheid, continuïteit en robuustheid van de data. Zijn de systemen en data beschikbaar voor de gebruikers op de momenten dat zij beschikbaar moeten zijn? Om de beschikbaarheid te garanderen binnen organisaties, zijn veel verschillende maatregelen denkbaar, zoals back-ups, firewalls, uitwijkplannen, et cetera.
- Integriteit – Integriteit is de mate waarin informatie actueel en zonder fouten is. Kenmerken van integriteit zijn de juistheid en de volledigheid van informatie. Elke ongeautoriseerde verandering van data kan de de integriteit van de data in gevaar brengen. Alle maatregelen die erop zijn gericht om de juistheid en volledigheid van informatie te beschermen, beschermen daarmee de integriteit.
- Vertrouwelijkheid – Vertrouwelijkheid, ook wel exclusiviteit genoemd, refereert naar alle onderwerpen en processen die betrekking hebben op de beschikbaarheid van informatie. De basisvraag bij dit principe is: ‘wie kan bij welke informatie?’ Vertrouwelijkheid heeft daarom te maken met alle maatregelen die ervoor zorgen dat het noodzakelijke niveau van geheimhouding binnen een organisatie geborgd wordt.
Maatregelen binnen Newcom en Exploratio
Binnen Newcom & Exploratio hebben we te maken met een grote digitalisering van data en informatie van klanten. De organisatie werkt volledig digitaal. Binnen Newcom en Exploratio wordt informatiebeveiliging gerealiseerd door het implementeren van passende maatregelen op de volgende 13 gebieden.
- Interne organisatie – De eindverantwoordelijkheid voor informatiebeveiliging binnen Newcom als gehele organisatie ligt op het hoogste niveau, bij de directie. Daarnaast is een managementsysteem voor informatiebeveiliging opgezet waarbij doelen en checks ten aanzien van informatiebeveiliging ingericht zijn. In dit managementsysteem staat ook beschreven wie verantwoordelijk is voor welke doelen en wie de monitoring op deze doelen uitvoert. Het monitoren, beheersen en aanpassen van het managementsysteem voor informatiebeveiliging (ISMS) is door Directie gedelegeerd naar de Kwaliteitsmanager.
- Veilig personeel – Binnen Newcom en Exploratio zijn medewerkers het grootste kapitaal. Voor, tijdens en ook na beëindiging van het dienstverband staat informatiebeveiliging ook centraal. In alle contracten is bijvoorbeeld de verantwoordelijkheid voor informatiebeveiliging opgenomen. Ook is elke medewerker op de hoogte van de Newcom Security Card. En er is bijvoorbeeld een autorisatieprotocol als een medewerker toch uit dienst gaat.
- Beheer van bedrijfsmiddelen – Aan medewerkers stellen we bedrijfsmiddelen beschikbaar. Daar zijn regels voor opgesteld en worden ook gemonitord (bijvoorbeeld downloaden illegale software). Ook dienen wachtwoorden halfjaarlijks te worden veranderd.Het grootste risico van Newcom is het hacken van de database. Hiervoor zijn verschillende beveiligingslagen opgebouwd. Er is een beperkt aantal computers/laptops die toegang kunnen krijgen tot de beheerstools. Deze laptops zijn allen beveiligd en ook de betreffende sleutels die nodig zijn om bij de beheerstools te komen zijn extra beveiligd met behulp van wachtwoorden. Daarnaast is er een beperkt aantal fysieke locaties waarvan af je toegang kunt krijgen met de betreffende computer/laptop tot de beheerstools. Op deze wijze zijn er verschillende beveiligingslagen ingebouwd die allemaal doorbroken moeten worden voordat men toegang heeft tot de database. Deze stapeling van maatregelen is van groot belang om dit grootste risico te voorkomen.
- Beveiliging van en werken met mobiele apparatuur – In een digitale wereld is het ook belangrijk dat eenvoudig tijds- en plaats onafhankelijk gewerkt kan worden. Daarom hebben alle vaste medewerkers de beschikking over een eigen laptop. Binnen Newcom zijn verschillende soorten laptops (en verschillende type besturingssystemen) actief. Ongeacht het type besturingssysteem is het belangrijk dat laptops en pc’s voldoende beveiligd zijn en alle beveiligingsupdates zijn geïnstalleerd. Elke laptop en pc is voorzien van een actuele firewall en virusscanner en er vindt kloksynchronisatie plaats op alle laptops. Ook is ‘clear screen-beleid’ belangrijk, zeker als gewerkt wordt op andere locaties dan op kantoor, bijvoorbeeld thuis, onderweg of bij klanten.
- Toegangsbeveiliging – Binnen Newcom heeft iedereen zo veel mogelijk dezelfde toegangsrechten en is alles voor iedereen inzichtelijk. Er is minimaal een 6-ogenprincipe als het gaat om toegangsrechten voor bepaalde onderdelen. In die zin is niemand onmisbaar en zijn er altijd minimaal 3 personen die toegang hebben tot een systeem. Ook is alles vastgelegd (visie, strategie, doelen, etc.). Bij wegvallen van een sleutelfiguur (bv. directie) kan alles in principe doorgaan.Sommige functies hebben meer toegang tot systemen dan andere functies. Het IT-team heeft bijvoorbeeld toegang tot ontwikkelsystemen en de ontwikkelomgeving dan de onderzoekers die alleen in de productieomgeving werken. Ook heeft het IT-team toegang tot systeemfuncties van applicaties en kunnen zij daarin wijzigingen aanbrengen. Dit zijn geen bevoorrechte toegangsrechten, maar dit is inherent aan de functie.
Er zijn vele lagen ingebouwd om de database te beschermen tegen hacken, maar gezien dit het grootste risico van Newcom is, blijft dit continu een proces van verbeteringen en aanscherpingen in de informatiebeveiliging. De kans dat de database gehackt wordt is laag. Maar de impact is hoog. Er zijn al diverse beheersmaatregelen ingericht die zorgen voor continu een nieuwe beveiliging laag. Slechts bepaalde type sleutels leiden tot toegang tot de database en alleen met behulp van bepaalde protocollen en systemen en locaties kan je toegang krijgen tot deze database.
Binnen Newcom zijn diverse cryptografische beheersmaatregelen geïmplementeerd:
-
- E-mails worden altijd via tls-verbindingen verzonden; e-mails worden dus altijd versleuteld verzonden;
- Alle webapplicaties zitten achter ssl (https://);
- Bescherming van de database tegen hacking door verschillende beheersmaatregelen te stapelen; als één beheersmaatregel omzeild wordt, is de database nog steeds niet toegankelijk.
- Fysieke beveiliging & beveiliging van de omgeving – De kantoren van Newcom en Exploratio zijn fysiek beveiligd met behulp van sloten, hekken en alarmsystemen. Beide kantoren, zowel Enschede als Amsterdam, zijn overzichtelijk voor wat betreft onbevoegde toegang. Men komt niet ongezien binnen en als men niet aanwezig is, zijn altijd de alarmsystemen ingeschakeld. Er staan geen servers.
- Beveiliging bedrijfsvoering – Er zijn diverse procedures voor het bedienen van informatieverwerkingsvoorzieningen en communicatievoorzieningen. De belangrijkste procedures zijn hieronder beschreven. Er is specifieke aandacht voor het behandelen en verwijderen van media.Risico’s ten aanzien van postverwerking zijn nihil. Er komen weinig poststukken fysiek binnen; de meeste post wordt digitaal verzonden. Daarnaast worden laptops en computers voldoende onderhouden en zijn deze voorzien van actuele beveiligingssoftware.
Back-ups, beheer van computerruimten en onderhoud van apparatuur (servers) zijn uitbesteed en de verantwoordelijkheid hiervan ligt bij een externe partij, te weten Combell (in Benelux gevestigd). De volgende maatregelen hanteert Combell voor het maken van reservekopieën:
-
- Elke 24 uur wordt een kopie van de back-up van de bestanden en database opgeslagen in een secundair datacentrum.
- Back-upfrequentie en retentie van bestanden:
- Tot 7 dagen terug: 1 per dag (7 back-ups)
- Tot 30 dagen terug: 1 per week (3 back-ups)
- Back-upfrequentie en retentie van databases:
- Tot 4 dagen terug: iedere 3 uur (32 back-ups)
- Tot 14 dagen terug: 1 per dag (10 back-ups)
- Tot 3 maanden terug: 1 per week (8 back-ups)
- Communicatiebeveiliging – Er zijn diverse maatregelen getroffen om zo goed mogelijk met communicatiebeveiliging om te gaan. Ook is in alle contracten geheimhouding opgenomen. Daarnaast is al het mailverkeer passend beschermd binnen Newcom. E-mails worden verstuurd vanuit de Contacttool of vanuit de eigen mail, maar worden altijd via een versleutelde verbinding (https://) verstuurd.
- Ontwikkeling en onderhoud van informatiesystemen – Newcom heeft een aantal tools en systemen die zelf ontwikkeld zijn en die we continu blijven ontwikkelen. Ook worden soms geheel nieuwe systemen ontwikkeld. De eisen en procedures die binnen Newcom gelden met betrekking tot informatiebeveiliging gelden voor de gehele organisatie. Dit geldt dus ook bij het inrichten van nieuwe of uitbreidingen van bestaande informatiesystemen. Bij de IT-ontwikkeling wordt altijd het OTAP-principe gehanteerd. Dit betekent dat er scheiding is tussen ontwikkeling, testen, acceptatie en productie. De ontwikkel-, test- en productieomgeving binnen de eigen ontwikkelde tool Exploratio zijn voldoende van elkaar gescheiden en beveiligd. Nieuwe features worden eerst ontwikkeld, dan getest en vervolgens live gezet in de productieomgeving. Bij verwachte kwetsbaarheden wordt de beveiliging nog extra getest voordat het in de productieomgeving live wordt gezet. Daarnaast wordt ook de continuïteit gecheckt (werken alle functies nog en gaan er geen functies verloren?).Binnen Exploratio is de beveiliging geregeld door middel van zogenoemde factory-lagen. Op die manier waarborgen we dat programmeurs niet iedere seconde van de dag de veiligheid hoeven te checken. Het framework van de tool zelf (de architectuur van de tool) is vanuit veiligheid in gedachte opgezet. Dit betekent dat automatisch een autorisatie/access control plaatsvindt waar een check plaatsvindt op ‘mag ik deze handeling uitvoeren (authenticatie)?’ en ‘mag ik deze handeling uitvoeren op dit object (access control)?’. De tools die Newcom zelf ontwikkeld heeft zijn voldoende beschermd en beveiligd om ook op openbare netwerken te gebruiken.
- Leveranciersrelaties – Newcom heeft twee leveranciers die impact hebben op de informatiebeveiliging van systemen die Newcom gebruikt. Dit zijn Oxcillion en Combell. Het grootste risico ligt bij Combell omdat Newcom daar de hosting van productieservers geregeld heeft en daar de database opslag plaatsvindt.Aan beide leveranciers is een checklist met betrekking tot informatiebeveiliging toegestuurd. In deze checklist zijn belangrijke punten opgenomen in het kader van informatiebeveiliging waarop men antwoord moet geven of men daar wel/niet/deels aan voldoet. Per leverancier is beoordeeld of er risico’s zijn in het niet voldoen aan het punt op de checklist. De risico’s zijn als laag beoordeeld. Er zijn geen extra acties benodigd. Deze checklist zal periodiek verstuurd worden naar de belangrijkste leveranciers.
- Beheer van informatiebeveiligingsincidenten -Indien sprake is van informatiebeveiligingsincidenten wordt altijd op het hoogste niveau van de organisatie, directieniveau, geschakeld. Vervolgens wordt een impactanalyse gedaan en worden vervolgacties bepaald. Informatiebeveiligingsincidenten of mogelijke informatielekken worden geregistreerd in het logbestand.
- Informatiebeveiliging van bedrijfscontinuïteitsbeheer – Indien sprake is van een ongunstige situatie, bijvoorbeeld een crisis of een ramp, en het kantoor niet bereikbaar is, zijn de belangrijkste functies online (in de cloud) opgeslagen of opgeslagen op servers die extern gehost zijn.De belangrijkste leverancier met betrekking tot informatiebeveiliging, Combell, is gecheckt op de aanwezigheid van een geteste uitwijkprocedure in geval van calamiteiten. Ook is nagegaan hoe de fysieke beveiliging van de technische ruimten bij Combell zijn en of adequate branddetectie, blusmiddelen en een noodstroomvoorziening aanwezig is. Er is geen aanleiding om dit nog verder te onderzoeken.
- Naleving – Er is een managementsysteem voor informatiebeveiliging opgezet. Hierin zijn doelstellingen ten aanzien van informatiebeveiliging opgenomen en de wijze waarop dit gemonitord wordt, wanneer dit gedaan wordt en door wie. Dit managementsysteem wordt gevolgd en hiervan wordt continu opnieuw de effectiviteit bepaald. De informatie uit het managementsysteem voor informatiebeveiliging komt in ieder geval halfjaarlijks op de agenda van het kwaliteitsoverleg (inclusief de resultaten van de monitoring van de doelstellingen). Ook worden alle beheersmaatregelen volgens, in overeenstemming met ISO27001 doorlopen om te beoordelen of we hieraan voldoen.
‘Informatiebeveiliging is geen eenmalige activiteit, maar een continu en organisch proces. Sinds 2018 heeft dit nog meer onze aandacht gekregen en steken we er structureel ook veel tijd en moeite in.
We krijgen vaak de vraag: ‘zijn datalekken helemaal te voorkomen?”. Het eerlijke antwoord is nee. Informatiebeveiliging gaat feitelijk over het identificeren en beoordelen van risico’s en impact. Aan beide kanten werken we systematisch. We weten waar onze risico’s liggen en doen er alles aan om dat te voorkomen. Onze structurele pentesten zijn daar onder andere een goed voorbeeld in. Ook hebben we protocollen die snel uit te voeren zijn als er toch impact is. De risico’s zijn daardoor laag en de impact zo laag mogelijk. De techniek ontwikkelt snel, dus de informatiebeveiliging is en blijft een continu proces. We zijn er letterlijk dagelijks mee bezig en dat zal ook zo blijven’
Neil van der veer, directeur