richardk/iso27diy-corp
1
0
Fork 0
Code Issues Pull requests Projects Releases Packages Wiki Activity Actions
iso27diy-corp/Canvas Method/RW WP NIS 2 Blinde vlek.md

8.8 KiB
Raw Blame History

Hoe voorkom je dat je risico's mist?

Ondanks forse investeringen in informatiebeveiliging zien organisaties zich geconfronteerd met datalekken en cyberaanvallen, meestal door onbelichte kwetsbaarheden. De gangbare manieren om risico's te identificeren hebben blijkbaar blinde vlekken. Hoe komt dat, en wat is eraan te doen?

Verstandige organisaties richten hun informatiebeveiliging in, om zich te beschermen tegen relevante risico's. Er zullen weinig organisaties van omvang zijn die ransomware, phishing en social engineering niet op het netvlies hebben. Naast deze bedreigingen door steeds professioneler handelende externe partijen, ontstaan er ook risico's door onzorgvuldig handelen en 'insider threats', bijv. door (ex-) medewerkers die hun gram willen halen. Al deze risico's hebben gemeen dat er, bewust of onbewust, gebruik wordt gemaakt van kwetsbaarheden in de bedrijfsvoering, met mogelijk schade als gevolg.

Om de risico's beheersbaar te maken, moeten we de kwetsbaarheden in kaart hebben. Organisaties kunnen daarvoor verschillende middelen inzetten.

Een van de meest bekende is het periodiek laten uitvoeren van een 'Pen-test', of penetratietest, door een gespecialiseerd bureau. Hier trachten specialisten kwetsbaarheden te vinden in de technische infrastructuur van de organisatie. In pentest-rapportages vinden we kwetsbaarheden als verouderde softwareversies, verkeerd geconfigureerde database-toegang, en systeemwachtwoorden in configuratiebestanden. Hiermee hebben we de technische kwetsbaarheden in beeld.

We kunnen ook audits laten uitvoeren op het managementsysteem voor de informatiebeveiliging. Daarbij wordt gekeken naar lacunes in de beleidsvorming m.b.t. informatiebeveiliging, gevallen waarin de implementatie van de maatregelen niet overeenkomt met wat in het beleid beschreven is, en situaties waarin de controle op naleving van het beleid tekortschiet. Hiermee vinden we organisatorische kwetsbaarheden en afwijkingen ten opzichte van de beschreven werkelijkheid.

Maar in iedere organisatie zijn er processen en incidentele verwerkingen die de beschreven werkelijkheid nooit halen. Zowel in de IT organisatie als in het primaire proces. In alle delen van de organisatie. Dat komt omdat ze organisch ontstaan, meestal als gevolg van veranderende of onverwachte omstandigheden, soms als gevolg van onwerkbare procedures. Enkele voorbeelden:

  • Een kinderopvang-organisatie moet de opvang-uren per kind rapporteren aan verschillende gemeentes in de regio. Volgens beleid moet dit met versleutelde bestanden. Een deel van de gemeentes lukt het structureel niet om de bestanden te openen, de deadline nadert. De bestanden worden naar die gemeentes onversleuteld verstuurd, om problemen met toeslagen te voorkomen. Dit wordt de gangbare werkwijze.
  • De Nederlandse Zorgautoriteit (NZa) haalt de landelijke pers als blijkt dat een voor iedereen toegankelijke netwerkschijf vol staat met vertrouwelijke dossiers. De schijf, ooit bedoeld als vrije plek om bijv. foto's van bedrijfsuitjes te delen, werd al snel gebruikt als noodoplossing om gemakkelijk omvangrijke werkbestanden te delen met collega's.
  • De röntgenscanner van een zelfstandig behandelcentrum koppelt, na een door de fabrikant uitgevoerde software-update, niet meer met het EPD. De patiëntnummers worden handmatig overgenomen om de relatie tussen dossier en foto's te behouden.
  • Omdat de werkstations in de Operatiekamers zeer traag opstarten, logt de secretaresse iedere ochtend alvast alle artsen in, zodat ze meteen aan het werk kunnen. Daarvoor heeft ze alle wachtwoorden in haar agenda geschreven.

Al deze kwetsbaarheden hebben iets gemeen, namelijk dat ze voortkomen uit improvisatie. Die improvisatie is nodig, omdat het werk doorgang moet vinden, en de omstandigheden doorgaans sneller veranderen dan systemen aankunnen.

Hoe kunnen we ook deze risico's in beeld krijgen en beheersen?

Participatief risicomanagement

De oplossing ligt in het actief betrekken van medewerkers bij het risicomanagement, door hen 'in hun kracht te zetten', zoals dat in de gezondheidszorg genoemd wordt. Medewerkers moeten zich bewust worden van hun actieve rol bij het identificeren van risico's, het wegen van de ernst ervan (kans x mogelijke impact), en het samen met collega's bedenken van oplossingen of dit nu binnen het eigen team kan, of met hulp van de IT-afdeling, leveranciers of ketenpartners.

Een effectieve manier om dit te bereiken is door gestructureerde workshops te organiseren. In deze workshops doorlopen de deelnemers een aantal stappen die hen helpen om risico's systematisch in kaart te brengen.

Allereerst worden de doelen van de organisatie en de doelen van de informatiebeveiliging besproken. Die kunnen verschillen per organisatie of per team. Een organisatie die sterk gericht is op marketing, zal het vrijelijk combineren van bestanden (beschikbaarheid en toegankelijkheid) mogelijk een hogere prioriteit geven dan vertrouwelijkheid. Voor een scholengemeenschap zal vertrouwelijkheid mogelijk op één staan, terwijl voor de verwerking van stemmen in de Tweede Kamerverkiezingen integriteit van gegevens het belangrijkste aspect is.

Vervolgens komt de context van de afdeling of het team aan bod. Wie zijn de belangrijkste belanghebbenden? Welke veranderingen in de organisatie of de maatschappij hebben invloed op het werk? Is er nieuwe wet- en regelgeving, of veranderende organisatorische kaders, die invloed hebben op de informatieverwerking?

Dan worden de belangrijkste werkzaamheden van het team besproken, voor wat betreft informatieverwerking. Waar komen gegevens vandaan, waar moeten ze naar toe, en welke systemen worden er gebruikt om de gegevens te bewerken?

Nu de basis voor de dialoog is gelegd, kunnen de deelnemers aan de slag met de kern van de workshop: wat zijn de zaken waar men zich zorgen over maakt, betreffende informatieverwerking in relatie tot de doelen en de context? De risico's en de daaronder liggende kwetsbaarheden worden besproken, geclusterd en gewogen op kans en impact. Vervolgens worden de risico's gerangschikt op prioriteit.

Tot slot bespreken de deelnemers wat er met die risico's moet gebeuren. Moeten er maatregelen op gezet worden? Kunnen ze vermeden worden door het werk anders in te richten? Of zijn ze acceptabel?

De uitkomst van zo'n workshop is een inventarisatie van actuele risico's binnen de bedrijfsprocessen, ongeacht of dit formeel gemandateerde processen zijn, of improvisaties uit noodzaak. Naast de risico's zijn er concrete maatregelen benoemd, die geïmplementeerd kunnen worden en daarna op hun effectiviteit beoordeeld moeten worden.

Door medewerkers op deze manier te activeren, worden ze 'eigenaar' van de risico's binnen hun eigen team. Ze gaan zich bewuster gedragen bij veranderingen: introduceer ik hier een nieuw risico? Is het nodig om anderen hierbij te betrekken? Wat kan ik hier zelf doen om de boel veilig te houden?

Van belang is een goede verslaglegging van wat besproken is, en het delen van de resultaten met degenen die verantwoordelijk zijn voor de portefeuille informatiebeveiliging op organisatieniveau. Wanneer het implementeren van maatregelen moet gebeuren door, of met behulp van, andere afdelingen, moet het voor de deelnemers aan de workshop helder zijn, wat er met hun inbreng gebeurt. Daarvoor is het ook belangrijk dat het succes meetbaar wordt gemaakt.

Conclusie

Pentests en audits zijn waardevolle instrumenten om technische en organisatorische kwetsbaarheden te identificeren, maar ze hebben een blinde vlek: de informele werkelijkheid op de werkvloer. Deze blinde vlek kan ingevuld worden door medewerkers actief te betrekken in het managen van risico's binnen hun eigen team of afdeling. Dit kan met gestructureerde workshops waarin een dialoog ontstaat over context, proces, risico's en maatregelen.

Participatief risicomanagement in Trustbound GRC

Trustbound heeft de door Thinking Security Works ontwikkelde Canvas Methode gedigitaliseerd binnen haar GRC-oplossing. Daarmee is het mogelijk om de workshops op een scherm te faciliteren, op een digibord in een workshopruimte of remote via Teams. Deelnemers kunnen hun inbreng delen via digitale post-its, terwijl de verslaglegging automatisch plaatsvindt. De afgesproken acties en actiehouders vloeien direct in het projectmanagement van TrustBound GRC, zodat de opvolging en voortgang gemonitord kunnen worden.

Voorbeelden en quotes

Voorbeelden en quotes:

  • Het Haga-ziekenhuis haalt in september 2019 de pers, als dienstoverdrachten gevonden worden in een winkelwagentje: ze waren gebruikt als boodschappenbriefje.
  • "Het is voor onze gebruikers heel gemakkelijk om kwetsbaarheden in het proces te introduceren. Wij komen dat pas te weten als het fout gaat." CISO van de Belastingdienst
  • "Oh, u bent van de automatisering? Als u wat wilt weten komt u maar bij mij hoor! Ik heb alle wachtwoorden van de chirurgen in mijn agenda staan." Secretaresse van de OK.