Samenvatting H23
23.1
Informatie wordt vaak omschreven als de (subjectieve) betekenis die mensen
toekennen aan gegevens. Informatie bestaat onder meer uit mondelinge, schriftelijke
en digitale gegevens. Veel maatschappelijke processen zijn afhankelijk van informatie (denk aan
administratie, geldstromen, telefoonverkeer). Ook wordt informatie gebruikt voor
het monitoren en besturen van vitale objecten (zoals bruggen en energiecentrales).
Verder is informatie in organisaties noodzakelijk voor het goed laten functioneren
van de organisaties en de ketens waarin zij participeren. Het is dus erg belangrijk om
alle informatie goed te beveiligen om zo onder andere de sociale en fysieke veiligheid
te waarborgen
23.2
Allereerst wordt er voor informatiebeveiliging
gekeken naar de bedreigingen. De
bedreigingen worden getoond in de
incidentencyclus ->
We onderscheiden twee groepen
bedreigingen:
1. Menselijk en organisatorisch falen
Mensen maken fouten. De schade blijft meestal beperkt. Maar kleine menselijke
fouten komen in totaal zo vaak voor dat ze samen een groot probleem kunnen
vormen. Verder is de kans op fouten soms groter als anders (bijv. bij inwerken
nieuwe mensen, bij een te hoge werkdruk), dit noemen we de organisatorische
fouten. Echter zijn niet alle menselijke fouten onopzettelijk. Mensen kunnen ook
crimineel handelen, zoals stelen, afpersen, saboteren, hacken en spam versturen.
Uit onderzoek is gebleken dat criminelen zich steeds vaker richten op digitale
informatie. Het achterliggende doel kan afpersing of sabotage zijn.
2. Falende informatietechnologie
De informatiebronnen en -stromen worden steeds meer digitaal, dit wordt
gerealiseerd met informatie- en communicatietechnologieën (ICT). Elke laag van
ICT kan ontrafeld raken. De lagen zijn:
Toepassingssoftware en gegevens
Besturingssystemen
Computers en randapparatuur
Netwerken
Toepassingssoftware is kwetsbaar voor bedreigingen. Een belangrijke bedreiging zijn
programmeerfouten (bugs). Sommige fouten hinderen het gebruik of worden op een
andere manier ontdekt, waarna ze herstelt kunnen worden door reparatiesoftware
(patches). Wanneer het even duurt voor de patches klaar zijn, kunnen criminelen
systemen aanvallen, omdat ze weten waar de zwaktes liggen. Andere bedreigingen
die ook voor besturingssystemen gelden, zijn verschillende vormen van malware
(bijv. virussen, spyware, Trojaanse paarden, etc.).
Computers en randapparatuur bestaan voor een deel uit hardware en kunnen dus
getroffen worden door fysieke bedreigingen. Enerzijds bedreigingen van de hardware
zelf (veroudering, slijtage) en anderzijds kan de hardware ook getroffen worden door
bedreigingen van buitenaf. Verder bestaan netwerken ook voor een deel uit
hardware, ook dit kan dus aangevallen worden. Zowel draadloze als bedrade
netwerken zijn af te luisteren. Criminelen kunnen aldus communicatie manipuleren.
23.3
De belangrijke functies voor informatiebeveiliging zijn:
- Lijnmanagement die de informatiebeveiliging organiseert en aanstuurt
- Informatiebeveiligingsfuctionaris/ information security manager die het beleid
voorbereid, risicoanalyses uitvoeren, ondersteunt lijnmanagement, coördineert
informatiebeveiligingsactiviteiten en houdt hierop toezicht.
- (technische) informatiebeveiligingsspecialisten/ (technical) information security
specialists ontwerpen en implementeren informatiebeveiligingsmaatregelen en -
producten
- Auditors toetsen de uitvoering van de informatiebeveiliging
- Alle medewerkers van organisatie voeren de maatregelen en procedures uit.
Informatie is er niet alleen uit het oogpunt van effectiviteit en kosten noodzakelijk, er
is namelijk ook wet- en regelgeving waaraan men moet voldoen (bijv. de Wet
bescherming persoonsgegevens (Wbp)).
Informatiebeveiliging omvat ook het treffen van de benodigde
beveiligingsmaatregelen. Enkele organisatorische maatregelen zijn: - Gedragsregels -> voor medewerkers wordt beschreven wat wel/niet mag en moet
in de organisatie. Dit voorkomt onduidelijkheden en misvattingen
- Toegangsregulering -> er wordt bepaald wie wanneer bij welke informatie mag.
Daarna wordt met procedures en middelen afgedwongen dat medewerkers
alleen bij informatie kunnen waar ze bij mogen.