Verslag Congres Informatiebeveiliging: honderd procent beveiliging is niet haalbaar

BSI Group Nederland doet verslag van de belangrijkste uitkomsten van het recente Congres Informatiebeveiliging in Amsterdam. Tijdens het congres bogen veiligheidsexperts uit heel Nederland zich over beveiligingsvraagstukken in de ICT en met meer dan 120 bezoekers was de belangstelling groot.

Volgens BSI certificatie en standaardisatie expert Jan van Buiten kwam dat door de aanstaande publicatie van de nieuwe (ISO)norm voor informatiebeveiliging. “De oude norm stamt uit 2005 en dat is een eeuwigheid in deze snel veranderende digitale wereld,” aldus Van Buiten. De sprekers op het congres behandelden een breed scala aan onderwerpen en één van de opvallende conclusies die je als bezoeker kon trekken was dat 100% veiligheid niet haalbaar is, maar dat goede afspraken en richtlijnen zeker sterk bijdragen aan een betere veiligheid.

In 2005 is de norm voor informatiebeveiliging (ISO/IEC 27001) gepubliceerd. Sindsdien is er veel veranderd in de digitale wereld en is informatiebeveiliging steeds belangrijker geworden. Daarom is de norm herzien en wordt hij in oktober opnieuw gepubliceerd. BSI, marktleider op het gebied van onafhankelijke audits en certificering van managementsystemen op ISO/IEC 27001, organiseerde het congres om bedrijven te informeren over de veranderingen in de norm. Maar het congres bleef niet beperkt tot de inhoud van de ISO-norm: alle aspecten van informatiebeveiliging kwamen aan bod in verschillende ‘break out’ sessies met vooraanstaande consultants.

Fox IT
Grootste publiekstrekker was beveiligingsexpert Ronald Prins van Fox-IT. Aan de hand van bekende praktijkvoorbeelden van situaties waar het volledig mis ging, behandelde hij de verschillende aspecten van informatiebeveiliging. De belangrijkste conclusie van zijn betoog was dat 100% veiligheid niet haalbaar is. Je kunt alles in het werk stellen om te voorkomen dat hackers je systemen binnendringen, maar uiteindelijk zal er altijd iemand kunnen zijn die het toch lukt. Daarom kunnen bedrijven misschien beter minder energie steken in preventie en juist meer in het detecteren van bedreigingen en in het reageren op calamiteiten. Eigenlijk is het enige systeem dat 100% veilig is een systeem dat niet bruikbaar is. Je kunt het vergelijken met een atoombunker zonder ingang. Waarschijnlijk ben je er volledig veilig voor straling, maar niemand kan erin om hem te gebruiken: 100% veiligheid is 0% functionaliteit.

Privacy
Interessant was ook de presentatie van Rachel Marbus, Privacy Officer bij de Nederlandse Spoorwegen. Na een grondige analyse van de wettelijke aard van privacy, liet zij de toehoorder zien wat er in de praktijk veilig is en wat niet. Zo is de cloud eigenlijk nooit echt veilig in het licht van de Patriot Act, maar common sense dicteert dat als je niet wilt dat bepaalde data naar buiten komt, je het niet in de cloud moet zetten. Houd je kroonjuwelen altijd binnen. Zet je je data toch in de cloud, praat dan met de juridische afdeling van de cloudaanbieder. Hoe gaan zij bijvoorbeeld met vorderingen van externe partijen om?

ISO 27001
De nieuwe ISO-norm heeft weinig nieuws te bieden wat betreft de gestelde eisen aan organisaties. De richtlijnen zijn hier en daar versimpeld en organisaties hebben iets meer vrijheid bij het invullen ervan. De nieuwe norm verschilt met name van de oude versie door de grotere rol van de context van de organisatie (het vaststellen van de interne en de externe omstandigheden). Daarnaast is er nu een duidelijke eis om geïnteresseerde partijen te raadplegen. Er bestond altijd een zeker gevaar dat organisaties bij het inhuren van een partner niet verder keken dan de ISO certificatie, terwijl die certificering op zich niet heel veel zegt over het beveiligingsniveau van een bedrijf. De norm beschrijft voornamelijk welke soort maatregelen bedrijven moeten nemen om voor certificering in aanmerking te komen, maar kan niet heel specifiek ingaan op de inhoud van de maatregelen, omdat die voor iedere bedrijfstak anders zal zijn.

Nu partijen het gesprek aan moeten gaan over de implementatie van de maatregelen, zal de ISO-norm niet meer het enige criterium zijn bij de selectie, maar moeten bedrijven zich legitimeren, door inzichtelijk te maken hoe ze hun beveiliging hebben ingericht. Tot slot is de rol van het management groter geworden in de nieuwe norm. En dan met name het topmanagement, vanuit de overtuiging dat een goed beveiligingsbeleid gedragen moet worden door de hele organisatie, met het topmanagement als sturende kracht. Zo zag je bijvoorbeeld bij het Diginota incident dat er een hele duidelijke disconnectie bestond tussen het management en de operatie. De nieuwe norm is er nog meer op gericht om dit soort problemen te helpen voorkomen.