Workshop Informatiebeveiliging “Not my problem”

NotMyProblem

Vandaag ben ik in de Bilt bij de MBO raad voor een workshop Informatiebeveiliging. De eerste sessie werd gehouden door Leonie Verhoeff.

Leonie 

Ze begon met een schets van de activiteiten van vorig jaar. De producten van de werkgroep zijn hier terug te vinden. Tips:

– Er zijn webquests waarin studenten zelf met veilig internetten aan de slag gaan.

– Community’s voor beleid omtrent beveiliging: Warp Biedt o.a. ondersteuning bij het maken van beleidskeuzes en verhoogde bewustwording op het gebied van ICT-beveiliging

Filmpje dat helpt bij bewustwording. Voor docenten en studenten… Het filmpje is er natuurlijk al een tijd, maar is ook bij ons misschien niet genoeg onder de aandacht gebracht. Het komt van het productiehuis van ROC MN.

Hans 

Vervolgens hield Hans Labruyere van LBVD een presentatie. Hij benadrukt dat informatiebescherming vaak ervaren wordt als “Niet Mijn Probleem”. Als er een incident is waarbij informatie op straat ligt, dan ligt automatisch bij IT de schuld. Dus ervaren zij het vaak maar als “mijn probleem”… Als informatie van levensbelang is, dan kan het niet anders dan dat de beveiliging ervan niet alleen het probleem is van een IT dienst.

De business (lees onderwijs) moet zelf ook kunnen aangeven welke informatie vitaal is en welke dus beschermd moet worden. Techniek maakt dit vervolgens mogelijk. Overigens is slechts een gedeelte van de bescherming technisch te regelen. Veel bescherming hangt af van het gedrag van mensen. Uitwisseling van gebruikersnamen, praten over vertrouwelijke informatie waar anderen bij zijn, sticky notes op het beeldscherm, het op straat zetten van je pc bij het huisvuil etc…

Hoe wordt nu iets van “niet mijn probleem” toch “gedeeltelijk mijn probleem”? Niet door alleen iemand naar binnen te halen die een beleidstuk helpt schrijven. Hoe verhoog je “awareness”?

– Eén manier is door incidenten in beeld te brengen. Justitie die usb-sticks kwijtraakt etc. Beperking is wel dat men denkt: dat overkomt mij niet, dat gebeurt alleen bij een ander. Het is wel een eerste stap.

– Verdergaand: Vooropgezette incidenten in scene zetten. Men voelt dan eerder de noodzaak om informatiebeveiliging in te zetten. Als jezelf iets overkomt…

Vevolgens gaf Annemarie Calavon van het Alfa college een presentatie hoe informatiebeveiliging daar is verlopen:

1 het doen van een nulmeting op het gebied van organisatorische, fysieke en technische beveiliging.

2 stappen van aanpak: strategische bewustwording -> beleid -> tactische bewustwording -> implementatie -> handhaving -> beoordeling.

3 Vervolgens is er een assessment gedaan.

Ook zij hebben een vooropgezet incident laten plaatsvinden, door een “mystery guest” te laten binnenkomen die zich voordeed als iemand die brandveiligheid controleerde. Zonder hinder kreeg deze toegang tot ruimtes met vertrouwelijke dossiers. Verder heeft men “ervaring opgedaan”, door een ongewenste website hack tijdens de open dagen. De site was “aangepast” wat leidt tot imagoverlies, wat op zijn beurt weer leidt tot veminderde aanmelding van studenten.

In ieder geval bedankt voor de open inkijk in andermans organisatie!

———————————————————————————————

De mens als zwakke schakel bij het inschatten van risico’s.

LBVD begon met een beetje psychologie om het onderwerp in te leiden. In groepen mensen die samenwerken, ook op het gebied van beleid, zijn vaak een aantal processen mogelijk:

– Polarisatie: risicomijdend of risiconemend.

– Groupthink: men voelt zich schijnbaar unaniem, onkwetsbaar. Beslisstrategie is vaak gebrekkig. Dit kan voorkomen worden door niet vroegtijdig tot consensus te komen, mispercepties te corrigeren en mogelijke alternatieven te blijven bespreken.

– Tunnelvisie: andere meningen negeren, te snel komen tot oplossingen etc.

Angst voor risico’s kan allerlei verdedigingsmechansimen in werking zetten. Gunstige uitkomsten worden overdreven, ongunstige geminimaliseerd of men vertoont vermijdingsgedrag. Terwijl rationele overwegingen juist zo belangrijk zijn bij het inschatten van risico’s.

Jeroen van Dongen vervolgde met een casus om dit te illustreren. “Hoeveel karakters moeten onze wachtwoorden hebben?” is niet de juiste vraag om te starten. Voor het maken van risicoanalyses zijn allerlei tools beschikbaar, maar de volgende stappen moet je doorlopen:

1. Maak een model van het systeem, met daarin de geboden functionaliteit en actoren (gewenste en ongewenste).

2. Zoek problemen: uitval, onrechtmatige toegang, niet integere data etc…

3. Hoe erg is erg? Als het systeem uitvalt, als iemand onrechtmatig toegang krijgt, hoe erg is dat? En waarin druk je dat uit? Euro’s? Deelnemers of medewerkers die weggaan? Zo kwantificeren lukt vaak niet. Kwalitatief wel. Maak categorieën van gradaties “erg”.

4. Maak een risicomatrix (met waarschijnlijkheid en impact/severity op de assen)

Risk Matrix

Vertaal zo deze verkregen informatie naar schade voor de organisatie. Waarschijnlijkheid en impact van risico’s zijn moeilijk, kwantitatief, in te schatten zonder allerlei statische studies. Vandaar dat de matrix 5 categorieën gebruikt. De inhoud van zo’n categorie kan zijn: impact very low = lastig t/m impact very high = fataal voor de organisatie.

Vervolgens laat hij zien hoe je dit methodisch doet. Daarnaast is deze risico matrix ook bekend vanuit Prince2 projectmethodiek om de risico’s te inventariseren.

————————————————————-

Case: Beveiliging bij de rechtbank van Arnhem.

Sabine Zegers was “legal hacker’ bij de rechtbank voor het testen van beveiliging.Ze schetste de situatie omtrent gedetineerden en rechtszalen. Daarnaast illustreerde ze het begrip “social engineering”, doordat de bekendste hackers vooral eerst om informatie vragen …. voor ze gaan inbreken.

Definitie Social Enginering: het van mensen ontfutselen en verkrijgen van vertrouwelijke informatie met behulp van sociale vaardigheden.

Zelf heeft ze dit getest door bij een organisatie binnen te lopen, en men haar verwelkomde als de “nieuwe stagiare” en men pas in laat stadium er achter kwam dat ze de boel belazerde. Verder moet informatiebeveiliging hand in hand gaan met fysieke beveiliging.

Het verhogen van bewustzijn omtrent beveiliging heeft men geprobeerd te bereiken door een beveiligingsweek te organiseren. Op allerlei ludieke manieren kwamen zo aspecten aan bod.