Basiskennis - Informatie, bedrijfsdoelstellingen en kwaliteitseisen

Uit IBpedia

Inhoud

1 Introductie tot het wiki-boek "Basiskennis" en kennisportaal IBpedia
2 Informatie, bedrijfsdoelstellingen en kwaliteitseisen
3 Gerelateerde IBpedia artikelen

Introductie tot het wiki-boek "Basiskennis" en kennisportaal IBpedia

Dit wiki-hoofdstuk is door vier leden van het PvIB gesschreven om het algehele beveiligingsbewustzijn te vergroten en om te dienen als examenstof voor de opleidingsmodule ISFS. Gegeven de Creative Commons licentie van dit boek kunt u de hoofdstukken uit dit wiki-boek in dezelfde schrijfstijl aanvullen en indien nodig corrigeren. Het voorwoord en informatie over de schrijvers van het oorspronkelijke boek kunt u lezen via (Downloadlink voor het boek).

Kennisportaal IBpedia is een gemeenschappelijke Wiki voor informatiebeveiliging en digitale architectuur. Het is ontstaan vanuit de behoefte om vrije kennisdeling over informatiebeveiliging en digitale architectuur op een hoger niveau te brengen en een aanvulling op bestaande gemeenschappen en non-profit organisaties.

Informatie, bedrijfsdoelstellingen en kwaliteitseisen

Inleiding
Zoals de naam al doet vermoeden gaat informatiebeveiliging over het beveiligen van informatie. Wat beveiliging is wordt verderop uitgelegd, eerst kijken we wat informatie eigenlijk is. Informatie is een breed begrip, waarbij voor het begrip informatie al veel definities zijn gegeven. Vaak zijn deze interpretaties vakgebied- of toepassingsspecifiek. In het kader van dit boek gebruiken we de definitie uit de Dikke van Dale, die informatie omschrijft als: kennis die iemand bereikt.
Voor het begrip informatiebeveiliging gebruiken we de definitie van het Platform voor Informatiebeveiliging (PvIB): Informatiebeveiliging betreft het definiëren, implementeren, onderhouden, handhaven en evalueren van een samenhangend stelsel van maatregelen die de beschikbaarheid, de integriteit en de vertrouwelijkheid van de (handmatige en geautomatiseerde) informatievoorziening waarborgen.

Verschijningsvormen

Kennis die iemand bereikt onderscheidt informatie van gegevens en van data. Data zijn gegevens die in de informatietechniek verwerkt kunnen worden. Gegevens worden pas informatie als deze gegevens geïnterpreteerd kunnen worden tot een zinvolle boodschap. Er zijn oneindig veel verschijningsvormen van informatie waar we dagelijks mee omgaan. Dat kan in de vorm van tekst zijn maar ook in de vorm van gesproken woord en videobeelden. In het kader van informatiebeveiliging moeten we rekening houden met alle verschijningsvormen waarin informatie zich kan manifesteren. Het gaat immers om het beveiligen van de informatie zelf en niet de wijze waarop deze zich manifesteert. De wijze waarop informatie zich manifesteert legt wel beperkingen op aan de maatregelen die nodig zijn om de informatie te beschermen.

Informatiesystemen

Overdracht en verwerking van informatie vindt plaats met behulp van een informatiesysteem. Let hierbij op dat een informatiesysteem niet per definitie een ICT(informatie en communicatietechnologie)-systeem is. Elk systeem dat tot doel heeft informatie over te dragen is een informatiesysteem. Voorbeelden van informatiesystemen zijn dossiers in archiefkasten, de mobiele telefoon en de printer. In het kader van informatiebeveiliging is een informatiesysteem het geheel van middelen, procedures, regels en mensen dat de informatievoorziening voor een bedrijfsproces verzorgt. In toenemende mate zijn dit ICT-systemen waardoor we in de informatievoorziening steeds afhankelijker zijn geworden van het goed functioneren van deze ICT-systemen. Een ICT-systeem bestaat zoals gezegd uit middelen die een bepaalde samenhang hebben. Deze middelen zijn bijvoorbeeld:

De werkplek, bestaande uit de pc met besturingssoftware en programma’s;

Datatransport via een netwerk, bekabeld of niet (wireless);

Centrale servers, bestaande uit de server met een besturingssysteem en programma’s;

Gegevensopslag, bijvoorbeeld schijfruimte, e-mail en databases;

Telefoons met hun centrales en antennes.

In het nieuws

Gebruikers van een smartphone met het Symbian OS S60 worden gewaarschuwd voor de worm Beselo. Deze worm verspreidt zich via mms en bluetooth.
De worm is vermomd als het bestand sex.mp3, love.jpg of beaty.rm, waardoor gebruikers denken dat het een multimediabestand is en daarom de worm installeren. Na installatie verspreid de worm zich verder. Ook kopieert het zich naar de geheugenkaartjes die in het toestel zitten.
F-Secure raadt gebruikers aan om het installatieverzoek te negeren. "Een plaatje heeft geen reden tot een installatieverzoek. Dus ieder plaatje of geluidsbestand dat dit wel doet, is een ander soort bestand dan dat het zich voordoet", schrijft F-Secure.
Bron: www.computable.nl

Waarde van informatie

Zoals al eerder opgemerkt is informatie kennis die iemand bereikt. Informatie die betekenisloos is noemen we immers gegevens. Of iets informatie is of gegevens zijn wordt hoofdzakelijk door de ontvanger van die informatie bepaald. Zo zal voor de ene partij een bepaalde set gegevens niet interessant zijn terwijl een andere partij daar waardevolle informatie uit kan halen. De waarde van informatie wordt daarmee bepaald door de waarde die de ontvanger van deze informatie daaraan toekent.

Informatie als productiefactor

De standaard productiefactoren van een bedrijf of organisatie zijn: kapitaal, (handen)arbeid en grondstoffen. In de informatietechnologie en in de informatiebeveiliging is het gebruikelijk ook informatie als productiefactor te zien. Bedrijven kunnen niet zonder informatie. Een groothandel die zijn klant- en voorraadinformatie verliest komt deze klap meestal niet te boven. Sommige bedrijven, zoals een accountantskantoor, hebben informatie zelfs als enig product.

Beschikbaarheid, Integriteit en Vertrouwelijkheid

Bij het beschermen van de waarde van informatie kijken we naar drie factoren, dit zijn de kwaliteitseisen die we stellen aan informatie. Informatie moet betrouwbaar zijn, dat wil zeggen beschikbaar, integer en vertrouwelijk (BIV). Voor vertrouwelijkheid wordt in sommige organisaties de term exclusiviteit gebruikt. Dan wordt de afkorting BEI gebruikt: beschikbaar, exclusief en integer. In het Engels zijn dit de CIA eisen: confidentiality, integrity, availability.

Bij ieder verzoek om een risicoanalyse uit te voeren of een beveiligingsadvies te geven, zal de adviseur op basis van deze drie pijlers zijn of haar advies uitbrengen.

Uitgangspunt is de invloed die de BIV-eisen hebben op de waarde van de informatie:

Het belang van de informatie voor de bedrijfsprocessen;

De onmisbaarheid van de informatie binnen bedrijfsprocessen;

De herstelbaarheid van de informatie.

Wat we verstaan onder beschikbaarheid, integriteit en vertrouwelijkheid wordt hieronder nader uitgelegd.

Beschikbaarheid

Beschikbaarheid is de mate waarin informatie beschikbaar is voor de gebruiker en het informatiesysteem in bedrijf is op het moment dat de organisatie deze nodig heeft.

Kenmerken van beschikbaarheid zijn:

Tijdigheid. De informatiesystemen zijn beschikbaar gedurende werktijd;

Continuïteit. De medewerkers kunnen doorwerken;

Robuustheid. Er is voldoende capaciteit om alle medewerkers in het systeem te kunnen laten werken.

Voorbeelden van voorzieningen voor beschikbaarheid:
Het beheer en de opslag van gegevens is zodanig dat de kans op het verliezen van informatie minimaal is. Data worden bijvoorbeeld op een netwerkschijf opgeslagen, niet op de harde schijf van de pc;
Er worden back-upprocedures opgesteld. Hierbij wordt rekening gehouden met wettelijke bewaartermijnen. De plaats van de back-up is fysiek gescheiden van het bedrijf om de beschikbaarheid in noodgevallen te waarborgen;
Er worden noodprocedures opgesteld om de werkzaamheden na een grootschalige verstoring zo spoedig mogelijk weer in gang te kunnen zetten.

Integriteit

Integriteit is de mate waarin de informatie actueel en zonder fouten is. Kenmerken van integriteit zijn de juistheid en de volledigheid van de informatie.

In het nieuws
Computercriminelen verkopen via Argentijnse en Maleisische "crimeware servers" de logins van ziekenhuizen en andere zorgverleners, zo beweert beveiligingsbedrijf Finjan. De beveiliger vindt regelmatig allerlei interessante informatie op gehackte servers. Dit keer gaat het om data afkomstig uit ziekenhuizen en zorgverleners, zakelijke informatie van een luchtvaartmaatschappij en via identiteitsdiefstal verkregen Sofi-nummers
Met de gestolen patiëntgegevens kunnen fraudeurs medicijnen en behandelingen krijgen, om die dan weer door te verkopen. Voor de slachtoffers kan dit gevolgen voor de dekking hebben en een vervuiling van het eigen dossier betekenen, met schadelijke en foutieve behandelingen als mogelijk gevolg, aldus Finjan. Het bedrijf vond op de crimeware server de Citrix logins van een Amerikaans ziekenhuis en andere medische instellingen.
Bron: www.security.nl

Voorbeelden van voorzieningen voor integriteit:
Wijzigingen in systemen en data worden geautoriseerd, bijvoorbeeld een medewerker voert een nieuwe prijs in voor een artikel op de website, een andere medewerker controleert de juistheid van die prijs voordat deze gepubliceerd wordt;
Waar mogelijk worden mechanismen ingebouwd die het correcte gebruik van termen afdwingen, bijvoorbeeld een klant wordt altijd ’klant’ genoemd, de term ’customer’ kan niet worden ingevoerd in de database;
Gebruikershandelingen worden vastgelegd (gelogd) zodat gecontroleerd kan worden wie een wijziging in de informatie heeft aangebracht;
Vitale systeemhandelingen, bijvoorbeeld het installeren van nieuwe software, mogen niet door één persoon worden uitgevoerd, door het scheiden van functies en bevoegdheden kan afgedwongen worden dat minstens twee personen nodig zijn voor een wijziging met grote gevolgen;
Integriteit van gegevens kan in belangrijke mate gewaarborgd worden door encryptie technieken, het versleutelen van informatie;
Het beleid en beheer voor encryptie kan in een afzonderlijk beleidsdocument vastgesteld worden.

Vertrouwelijkheid

Vertrouwelijkheid is de mate waarin de toegang tot informatie beperkt is tot een gedefinieerde groep die daar rechten toe heeft. Hieronder vallen ook maatregelen die de privacy beschermen.

Voorbeelden van voorzieningen voor vertrouwelijkheid:
Toegang tot informatie wordt gegeven op basis van ’need to know’, bijvoorbeeld een financieel medewerker hoeft geen verslagen van gesprekken met de klant te zien;
Medewerkers treffen maatregelen om te voorkomen dat informatie terecht komt bij personen die deze informatie niet nodig hebben. Zij zorgen er bijvoorbeeld voor dat op hun bureau geen vertrouwelijke informatie ligt in hun afwezigheid (clear desk policy);
Logisch toegangsbeheer zorgt ervoor dat ongeautoriseerde personen of processen geen toegang krijgen tot de geautomatiseerde systemen, gegevensbestanden en programmatuur. Een gebruiker heeft bijvoorbeeld niet de rechten om instellingen op de pc veranderen, dit wordt geregeld door deze instellingen onzichtbaar te maken voor de gebruiker;
Er zijn functiescheidingen aangebracht tussen de systeemontwikkelings-, verwerkings- en gebruikersorganisatie. Een systeemontwikkelaar kan bijvoorbeeld geen salarisaanpassing doen;
Er zijn strikte scheidingen aangebracht tussen de ontwikkelingsomgeving, de test- en acceptatieomgeving en de productieomgeving (OTAP);
Bij de verwerking en het gebruik van gegevens worden maatregelen getroffen om de privacy van personeel en derden te waarborgen. Personeelszaken (HR) heeft bijvoorbeeld een eigen netwerkschijf die voor overige afdelingen niet toegankelijk is;
Computergebruik door eindgebruikers is omgeven door zodanige maatregelen, dat de vertrouwelijkheid van de informatie gegarandeerd is. Denk bijvoorbeeld aan het wachtwoord voor toegang tot de computer en het netwerk.

Informatiearchitectuur

Informatiebeveiliging heeft een nauwe relatie met informatiearchitectuur. Informatiearchitectuur is het proces dat zich richt op de inrichting van de informatievoorziening binnen een organisatie. Zoals hierboven kort geschetst worden er eisen gesteld aan de informatievoorziening. Informatiebeveiliging kan helpen waarborgen dat de gestelde eisen in de informatiearchitectuur worden gerealiseerd. Informatiearchitectuur richt zich primair op het invullen van de informatiebehoefte van een organisatie en de wijze waarop dit georganiseerd kan worden. Informatiebeveiliging kan dit proces ondersteunen door de integriteit, beschikbaarheid en vertrouwelijkheid van de informatie te waarborgen.

In het nieuws

De nieuwe 787 Dreamliner van Boeing heeft mogelijk een serieus beveiligingsprobleem. Volgens de Amerikaanse Federal Aviation Administration (FAA) is het in theorie mogelijk dat passagiers van het vliegtuig inloggen op het bedieningssysteem van het vliegtuig.
Het blijkt dat er een fysieke verbinding bestaat tussen het computernetwerk dat passagiers internettoegang verschaft, en de computers die de navigatie, communicatie en bediening van het vliegtuig regelen.
Deze fysieke verbinding is een groot veiligheidsprobleem, omdat het hackers potentieel toegang geeft tot de belangrijkste systemen in het vliegtuig. Volgens de FAA is de beste oplossing om de fysieke verbinding volledig te verwijderen.
Boeing heeft aangegeven dat het bedrijf al op de hoogte was van het bericht van de FAA en dat aan een oplossing gewerkt wordt. Volgens Boeing is er echter geen ’volledige’ verbinding tussen het passagiersnetwerk en de vliegtuigsystemen en zou het al onmogelijk moeten zijn om in te loggen. Ict-specialisten hebben daar op gereageerd dat elke softwarematige firewall onvoldoende is om een dergelijk belangrijk systeem te beveiligen.
Bron: www.computable.nl

Bedrijfsprocessen en informatie

In een bedrijfsomgeving is er een nauw verband tussen bedrijfsprocessen en informatie. Een bedrijfsproces is het proces dat voor het bedrijf de basis is van zijn bestaan. In een bedrijfsproces wordt door mensen gewerkt aan een product of een dienst voor een klant. Een bedrijfsproces kent de volgende stappen: input, proces, output.

Er zijn verschillende soorten bedrijfsprocessen:

Het primaire proces, bijvoorbeeld het maken van fietsen of het beheren van geld;

Sturende processen, bijvoorbeeld het plannen van de strategie van het bedrijf;

Ondersteunende processen, bijvoorbeeld inkoop en verkoop of HR.

Informatie is een belangrijke productiefactor geworden in het uitvoeren van bedrijfsprocessen. Eén van de methoden om de waarde van informatie te bepalen is na te gaan welke rol de informatie speelt in de verschillende bedrijfsprocessen. Elk bedrijfsproces stelt zijn specifieke eisen aan de informatievoorziening. Zo zijn er processen die sterk afhankelijk zijn van de beschikbaarheid van informatie, denk aan de website van het bedrijf, terwijl andere processen juist gebaat zijn bij de absolute correctheid van informatie zoals de prijzen van de producten.

Informatieanalyse

Informatieanalyse brengt in kaart op welke wijze een organisatie omgaat met informatie. Hoe ’loopt’ de informatie door de organisatie heen. Bijvoorbeeld een gast heeft zich via de website ingeschreven bij een hotel. Deze informatie is doorgegeven aan de administratie die een kamer vastlegt. De receptie weet dat de gast vandaag zal arriveren. De huishoudelijke dienst weet dat de kamer op tijd schoon opgeleverd moet worden. Bij al deze stappen is het belangrijk dat de informatie betrouwbaar is. Het resultaat van een informatieanalyse kan gebruikt worden om tot een ontwerp te komen voor een informatiesysteem.

Informatiemanagement

Informatiemanagement formuleert en richt het beleid in rondom de informatievoorziening van een organisatie. Daarbij kan een informatiemanager gebruik maken van de informatiearchitectuur en een informatieanalyse. Informatiemanagement is veel breder dan alleen de geautomatiseerde informatieverwerking door een organisatie. In veel gevallen zijn ook de externe communicatie en communicatie met de media onderdeel van de informatiemanagementstrategie.

0 Informatica

De term informatica heeft betrekking op de wetenschap die zich bezighoudt met de logica die gebruikt wordt bij het structureren van informatie en systemen. Daarbij is van belang dat deze kennis ingezet kan worden in het ontwikkelen van programmatuur.

Samenvatting

In dit hoofdstuk heeft u geleerd wat de verschillende verschijningsvormen van informatie en informatiesystemen zijn. U hebt kennis gemaakt met de drie-eenheid Beschikbaarheid, Vertrouwelijkheid en Integriteit. Tot slot heeft u gezien wat het belang van informatiebeveiliging is voor de bedrijfsprocessen, de informatiearchitectuur en informatiemanagement.

Casus

Een autofabrikant heeft gepland dit jaar vijftienduizend auto’s van een bepaald type te bouwen. De fabrikant heeft een tweede model in ontwikkeling. Dit model bevindt zich nog op de tekentafel en enkele zogenaamde kleimodellen zijn gemaakt om de ideeën verder uit te werken.

Deze autofabrikant heeft een groot aantal toeleveranciers voor de fabricage van zijn producten. Zowel bij de aanlevering van onderdelen voor de te bouwen auto’s als bij de ontwikkeling van het nieuwe model wordt veel samengewerkt met de toeleveranciers.

Bedenk aan de hand van deze casus op welke manier de BIV-eisen die gesteld worden aan informatie, een rol spelen bij de bouw en ontwikkeling van een auto. Werk de BIV-eisen uit op de beide genoemde informatiestromen. Kijk ook naar de bedrijfsprocessen en hoe de informatiearchitectuur en het informatiemanagement daar een rol in spelen.

Gerelateerde IBpedia artikelen

Nederlandstalig:

Engelstalig: