Gegevens Beveiliging
Afhankelijk van de aard van het bedrijf en de waarde en
betekenis van de bedrijfs- en cliëntgegevens kan het belangrijk zijn deze
gegevens te beschermen tegen ongewenst gebruik cq. misbruik. De gegevens
kunnen opgeslagen zijn op analoge media (papier,
microfiches, etc.) en digitale media (CD's,
diskettes, USB sticks, disk en tape storage, enz.). Toegang tot
analoge media beperkt zich tot fysieke, visuele toegang tot het medium,
eventueel met gebruik van optische hulpmiddelen. Toegang tot digitale
gegevens verloopt altijd via software.
Deze visie beperkt zich tot die laatste categorie, zonder afbreuk te doen
aan het belang van bescherming van de eerste categorie gegevens. Het
beschermen van gegevens noodzaakt daardoor onder meer tot het beheersen van
de bevoegdheden voor het gebruik van software en/of de toegang tot gegevens.
Software categorieën
Er is een categorie software (hardware-utilities, systeemsoftware) die die
gegevens kan tonen, wijzigen en verwijderen zonder de bedrijfsmatige
betekenis ervan aan te geven (hoewel deze meestal wél door technisch
specialisten kan worden achterhaald). En er is een categorie software
(bedrijfsapplicaties) die de gegevens
kan selecteren, relateren, tonen, verzenden, ontvangen, wijzigen en verwijderen terwijl steeds de
juiste en volledige betekenis ervan wordt getoond binnen de context van de
bedrijfsvoering. Omdat beide categorieën risico's voor het bedrijf kunnen
vormen dienen ze beide onderworpen te zijn aan het Gegevens Beveiligings
beleid.
Gestructureerde en
ongestructureerde gegevens
Numerieke en alfabetische
gegevens betreffende bedrijfstransacties en bedrijfsvoering zijn meestal
gestructureerd in tabellen, relaties, velden, attributen, etc. Denk aan
een orderdatabase of een grootboek. De betekenis van deze gegevens wordt pas
duidelijk als ze worden getoond in de context van het bedrijf en het proces.
Dan wordt een getal bv. een klantnummer.
Ongestructureerde
gegevens daarentegen kennen geen vaste indeling en zijn meestal integraal
vastgelegd met de bijbehorende context. Denk aan een Word document en een
Excel grafiek. Ze zijn bij voorkeur volledig zelfverklarend en alle relevante
gegevens staan erin. De applicatie die het document toont hoeft in principe
niet te selecteren, relateren, context tonen, etc. maar dient alleen het document
te tonen en eventuele wijzigingen aan te brengen. Het beveiligen van
gestructureerde gegevens vergt meer inspanning maar geeft ook meer
zekerheid; het vindt in het algemeen plaats op applicatie/database niveau. Het
beschermen van ongestructureerde gegevens is een stuk moeilijker; bijna
iedereen in het bedrijf gebruikt wel Word voor het dagelijks werk terwijl
niet iedereen bepaalde Word documenten mag zien. Beveiliging van
ongestructureerde documenten zal daarom vaak
op documentniveau plaatsvinden, door er een password aan te koppelen of het
in een specifieke folder te plaatsen en alleen geautoriseerde personen
toegang te geven tot die folder.
Gegevens en informatie
Digitaal vastgelegde,
gestructureerde, gegevens zeggen de lezer in het algemeen niets tenzij ze in
de juiste context worden geplaatst en de betekenis van de gegevens wordt
toegevoegd. Pas dan zijn gegevens informatief voor de lezer, dragen ze bij
aan diens kennis en inzicht en kunnen diens handelen beïnvloeden. Gegevens
vormen de "fysieke" basis van de informatie die zich vormt door de
waarneming van de lezer. Gegevens kunnen de ene lezer informeren en de
andere niet. Daarom dient beveiliging toegepast te worden op de gegevens
zelf; gegevensbeveiliging i.p.v. informatiebeveiliging.
Bevoegdheden
Een bevoegdheid is de
mogelijkheid van de houder ervan tot het uitvoeren van een enkele specifieke
applicatiefunctie welke een bepaalde vorm van toegang geeft tot specifieke
gegevens. Bevoegdheden worden bij voorkeur op een zo laag mogelijk individueel
toewijsbaar niveau gedefinieerd.
Uitgangspunten voor
gegevensbeveiliging (voorbeelden, niet limitatief)
- Elk gegeven heeft een
eigenaar
- Gegevens zijn eigendom van de functie die die gegevens primair gebruikt
voor het uitoefenen van de toegewezen operationele verantwoordelijkheid.
Bv. het hoofd van de afdeling orderverwerking is eigenaar van de gegevens
in de orderdatabase en het hoofd van de afdeling relatiebeheer is eigenaar
van de gegevens in de relatiesdatabase. De eigenaar is ook meestal degene
die de kosten van het gebruik van de bijbehorende applicatie betaalt,
wijzigingen accepteert, en de revenuen ervan incasseert
- de eigenaar bepaalt welke afdelingen en
personen zijn gegevens, én dus de daarvoor noodzakelijke applicaties, mag
gebruiken (eigen medewerkers zijn primaire gebruikers, anderen zijn
gastgebruikers)
- de direct hierarchisch leidinggevende van
een medewerker is persoonlijk verantwoordelijk voor de bevoegdheden van
diens medewerkers
- het functioneel toewijzen/verwijderen van de
bevoegdheden van medewerkers kan door de direct leidinggevende worden
gedelegeerd, de verantwoordelijkheid ervoor niet
- de daadwerkelijke uitvoering van
wijzigingen in bevoegdheden kan door de direct leidinggegvende worden
gedaan indien dit geen specifieke technische kennis vereist (meest
efficient) of door een verantwoordelijke security administrator
- gegevensbeveiliing is een onderdeel van
een specifieke ICT service (bv. "boekhouding" of "orderverwerking") en bij
voorkeur geen service op zich (het toekennen van bevoegdheden aan personen
kan op verschillende manieren invloed hebben op de SLA in termen van
kosten, licenties, capaciteit, etc.)
De scope en diepgang, en dus
de kosten, van het Gegevens Beveiligings Beleid moeten in verhouding staan
tot de operationele risico's van financiele en reputatieschade die kunnen
voortvloeien uit misbruik van gegevens. Eerst dient dus een analyse te
worden gemaakt van de aanwezige gegevens en de risico's die daaraan kleven.
Vervolgens kunnen maatregelen worden genomen om die risico's te beheersen.
Die maatregelen kunnen worden gerangschikt naar organisatorisch- en
infrastructureel Gegevensbeveiligings Beleid.
Organisatorisch
Gegevensbeveiligings Beleid (voorbeelden, niet limitatief)
- gebruik maken van Role Based Access
Control (RBAC)
- gebruik maken van Two-Factor
authentication
- gebruik maken van Single-Sign-On
- toepassen van functiescheiding
- afdwingen van een strong password
- afdwingen van een periodieke password
wijziging door de houder
- weigeren van toegang na 3 mislukte
inlogpogingen, eventueel gevold door lockout van de user-id
- uitvoeren van periodieke vergelijkingen
tussen actuele user database en bv. de gegevens van personeelszaken
(reconciliatie)
- toepassen van een initieel password bij
password reset door beheerder direct gevolgd door gedwongen password
wijziging door houder
- toepassen van Chinese Walls
- toepassen van dual control bij uitvoering
van security administratie
- toepassen van meerdere autorisatieniveaus
op transactieniveau (applicatieve informatiebeveiliging)
- niemand mag eigen bevoegdheden wijzigen
- registreren van alle mutaties in
bevoegdheden (wie, voor wie, wanneer, etc.)
- rapporteren van incidenten en formuleren
van verbeteracties
Infrastructureel
Gegevensbeveiligings Beleid (voorbeelden, niet limitatief)
- toepassen van encryptie bij transport
en/of opslag van gegevens
- toepassen van password encryptie voor
opslag en transport
- toepassen van een toegangscontrolesysteem
voor terreinen, gebouwen en ruimtes
- gebruik maken van Role Based Access
Control (RBAC)
- gebruik maken van Two-Factor
authentication (authenticatie op basis van kennis en bezit)
- virusbestrijding
- inbraakpreventie
Deze
pagina is het laatst bijgewerkt op
13-12-2007 18:30:11.
