Aspecten IT Beheer en EDP Audit
Beveiliging en beheer computer en systemen in een kleine omgeving
PBA wil u graag overtuigen van de noodzaak voor het intensiveren van actie op het terrein van informatie en beveiliging van uw systeem en daarop aanwezige gegevens.
VRAAG 1 : Wie kan nog zonder Computersysteem? Deze vraag is intussen echt overbodig! De stelling over beveiliging van IT is nu :
Beveiliging van IT is onmisbaar in moderne bedrijfsvoering en zelfs intussen mogelijk ook, vanwege de afhankelijkheid daarvan, in vele kleine zelfstandige bedrijven en privé huishoudingen!
VRAAG 2: Is de ontvangen en/of intussen al erg lang opgeslagen informatie altijd betrouwbaar ?
De kernvraag bij ontvangen informatie is hier: Komt de verkregen informatie overeen met de werkelijkheid ? Is deze informatie nog betrouwbaar, gezien de aanwezige externe koppelingen op internet en uitwisseling van gegevens naar en van uw weinig van beveiliging bewust zijnde relaties?
___________________________________________________________________
PBA wijst u met deze informatie graag op een aantal attentiepunten, welke aangeven hoe groot dit aspect van belang is.
De belangrijkste economische machten op onze aarde hebben het ingezien:
- SOX is een Amerikaanse wetgeving van na 2000, als reactie op onbeheerst management in de jaren voor 2000 in de USA, die regelt dat verantwoordelijkheid voor externe rapportage van een bedrijf bij het management ligt en deze wet schrijft een minimaal level van detaillering van te rapporteren gegevens informatie.
- IFRS is een europees, meer financieel gericht, antwoord op SOX uit de eerste jaren na 2000 en regelt europees voorschrijven van inrichting en opbouw cijfers in rapportage – tot voor kort wel met name geldend als voorschrift naar beursgenoteerde bedrijven.
PBA oriënteerde zich ook al in 2000 op het gebrek aan risico aspecten en te nemen maatregelen rond security in de bedrijfsorganisatie en de organisatie van processen en rond gebruikte systemen, dus ruim voordat de nieuwe wetgeving SOX van kracht was.
Wat zijn verder de van belang zijnde aspecten waaraan aandacht inzake veiligheid van data en systemen gegeven moet worden? Waarom gaat het?
Betrouwbare informatie voorziening
Informatie, welke uit de geautomatiseerde systemen wordt gegenereerd, moet voldoen aan kwaliteitseisen. Deze zijn door de gebruiker vast te stellen op basis van een aantal belangrijke criteria welke liefst ook onafhankelijk kunnen worden beoordeeld.
Daarvoor dient minimaal kennis aanwezig te zijn van de in de te beoordelen bedrijfshuishouding van kracht zijnde primaire processen en de daarin doorlopende datastromen.
Doelstelling informatiebeveiliging is continuiteit van het bedrijf en schadebeperking.
HOE: Risico-analyse en maatregelen beperking beveiligingsincidenten!
Uitgerekend is al eens in 2004 door mensen van de UvA wat de geschatte kosten toen waren welke worden besteed aan beveiliging in de dagelijkse praktijk.
Men kwam op een verklaarbaar minimum bedrag > 1 miljard Euro in Nederland.
Dit werd aannemelijk gemaakt door inschatting dat het aantal benodigde fte’s voor beheersing op netwerken met bijv. minimaal 100 aansluitingen minimaal 1 fte is van gemiddeld 80.000 euro, leidend tot een geschat bedrag van ½ mlrd
- Min 500 bedrijven met 10 fte maal 80.000 = 400 miljoen
- Min 1500 bedriiven met 1 fte maal 80.000 = 120 miljoen
en daarbovenop minstens gelijke kosten voor aanpassingen software.
In dit geval komen daarbovenop nog de niet gemeten gevolgen voor de kleinere bedrijven in het MKB. Deze kosten zijn tot op heden niet te inventariseren, aangezien deze organisaties hiervan minder registreren of verzuimen de logging op systemen op dit gebied te analyseren.
U zult zeggen:
Dat deert mij niet.
Ik zie er nooit wat van!
???? Maar waarom verzekert u zich dan tegen beroeps- of andere gevolgschade ????
Mijn antwoord en advies is echter:
Doe het minimale en voorkom onnodige schade.
Neem maatregelen in uw organisatie door actief begeleiden en/of voorschrijven van regels.
BASIC MAATREGELEN VOOR GECONTROLEERD BEHEER in kleine omgevingen:
In elk geval is op korte termijn direct al door u als kleine gebruiker een aantal basic maatregelen te nemen. Dat zijn als sinds jaren de volgende basic maatregelen:
Gebruiksvoorwaarden regelen voor gebruikers
- afspraken hoe men omgaat met systemen en informatie en mensen bewust maken van risico’s uit verkeerd gebruik voor de organisatie.
Beheersing van remote access / laptop
- Bekend mag worden verondersteld dat gebruik van systemen op afstand en laptopaansluiting risico’s opleveren vanwege mogelijke besmetting elders en/of openzetten systeem voor onbevoegden.
Controle op draadloos computergebruik
- Systeem kent logging. Gebruik dat en analyseer op onbevoegd gebruik, als dat nodig is vanwege bekend draadloos gebruik van het systeem.
Actief tegengaan van Sabotage, intern of via externe lijnen
- gebruik antivirus- en anti spamsoftware immer en altijd en beheers dat gebruik op kosten en baten!
Audit & Control op basis van beleid met een actief wachtwoordbeleid
- maak een beleidsdocument en let op effectiviteit wachtwoordgebruik
Maatregelen voor bescherming van informatie, zoals backup en logging
- Maak beschermingsmaatregelen effectief door minimaal zorgen voor herstelmogelijkheden achteraf en logging van activiteiten
Ter nadere verklaring nog het volgende:
___________________________________________________________________
Europese en internationale ontwikkelingen in afgelopen jaren:
Europees bleek in het verleden de organisatie een struikelblok vanwege de diversiteit in gewenste aanpak in diverse europese belangrijke landen. In 2004 is op europees niveau een nieuw opgerichte instantie ( European Network and Information Security Agency – ENISA) opgericht. Dit is echter geweest na veel geharrewar over bevoegdheden en taakgebieden. Europa is nog geen eenheid. Dat weten we recent nog nadrukkelijker. In Europa liep organisatie van beveiliging tot nu toe op tegen landelijk georganiseerde instanties, die veelal verschillende regelgeving per land kennen, maar ook op de soevereiniteit in handelen van hun land staan.
In de USA leek dit sinds jaren beter georganiseerd. Symantec was in staat om op basis van geldende regels ter plekke direct lijngebruik te beoordelen, zeker als het bekende/beruchte gebruikersprofielen ( hackers / virusverspreiders) betreft. In de USA blijkt echter de laatste jaren dat andere zaken de juistheid van opgeleverde data frustreren. De onbeheerste financiële sector heeft roet in het eten gegooid, maar dat heeft geen directe relatie met beheer van IT.
In de USA was het op IT technisch vlak mogelijk om nationaal een grote actie te ondernemen op het beveiligingsterrein tegen aanvallen op netwerken van public netfacilities tijdens de omvangrijke stroomstoring 2003. Dat was en is in Europa vrijwel niet te doen zonder vooraf europabreed alles gepland en georganiseerd te hebben, hetgeen weer als onacceptabele kosten wordt beschouwd.
______________________________________________________________
Ik wijs u ook nog even op een reeds ouder maar nog zeer actueel verhaal over data security!
Uitkomsten Information Security Survey in 2004
met, ondanks hoge uitval, weinig verrassende uitkomsten
Remmende factoren voor een effectieve beveiliging zijn geweest:
- hoge kosten (60%),
- tijdgebrek en training/opleiding(40%),
- complexiteit materie(25%),
- awareness management en daarmee tevens aandacht en steun!
De downtime van systemen bij > 50 % van responderende organisaties.
- Voor > 20 % > 24 uren ( verlies van minimaal 8 werkuren )
- Voor > 30 % > 12 uren ( verlies van minimaal 4 werkuren )
In de survey werd vastgesteld dat er diverse redenen waren voor Onvoldoende / niet passende wijze van beveiliging, maar in de loop van de recente jaren is dit deels om praktische redenen opgepakt door de industrie zelf.
De belangrijkste tekortkomingen waren:
A. Technisch inpasbaar en nu al meest door grote industrie opgepakt
- Ongecontroleerd gebruik van password en logons;
- Beperkt gebruik van softwarematige oplossingen voor
toegangscontrole in toepassingen voor zowel PC als ook op Mainframe;
- Beperkt gebruik toetsenblokkering - single sign on-software - smartcards;
B. Oplossing kostbaar, maar nu deels wettelijk afgedwongen
- Inzicht vooraf in mate van beveiliging slecht als gevolg van
gebrekkige organisatie en onvoldoende kennis van risico’s;
Informatiebeveiliging nodig ? Hoe pak ik dat nu aan ?
Stel om te beginnen de kans op storing vast!
Hoe bepaal ik wat de kans op een ongewenste storing is ?
Op ICT terrein zijn er tools voorhanden, maar is de organisatie op orde ?
Organisatorische aspecten hebben invloed op informatie, ofwel direct via de invoer en verwerking op computersystemen ofwel door onvoldoende aanvoer van voor eindinformatie benodigde data.
Bij complexere organisatie volgt, indien positief beantwoord:
Audit op Interne Organisatie, zonodig in combinatie met een gerichte IT audit!
Bepaal de risico’s en gevolgen op gehele informatie verzorging
(bron-transport-opslag-rapportage-interpretatie), na eerst vaststellen van interne en externe kwaliteitskenmerken.
Zoek uit wat de gevolgen zijn indien interne kwaliteitseisen van de gebruiker, zoals snelheid, beschikbaarheid en integriteit niet worden gehonoreerd.
Vergeet niet dat aanvullende eisen van externe partijen zoals bv. overheid en instanties, rond de betrokken informatie dwingend zijn voorgeschreven.
Stappenplan om afhankelijkheid van IT te peilen
1. 1. Bepaal de afhankelijkheid van ICT en/of applicatiesystemen.
Kan het bedrijf tijdelijk of zelfs langere tijd zonder de systemen?
Zijn de kosten op te brengen om eventuele ICT storingen op te vangen?
2. 2. Bepaal de informatie stromen in het bedrijf, die van belang zijn.
Primaire processen en de daarin onderkende activiteiten en knelpunten moeten bekend zijn om risico’s te kunnen inschatten!
3. 3. Bepaal het risico dat een belangrijke verstoring kan optreden.
Kwantificeer en kwalificeer de risico’s en beoordeel het nut van maatregelen daarop. Een beperkte risico analyse is onontkoombaar, indien er sprake is van onderkend risico in de procesverwerking. Geschiedt dit m.b.v. IT dan is een edpaudit een “must”!
4. 4. Ga ook na welke verstoringen tijdig zelf kunnen worden verholpen.
De essentie van het nut van IT beveiliging is vaak al redelijk in beeld, maar de vraag is: Hoelang kan de organisatie zonder haar ICT systemen ?
De kosten voor het oplossen van een storing zijn bepalend voor het nemen van maatregelen vooraf of niet ?
___________________________________________________________________
Maatregelen, welke genomen worden, moeten zijn gebaseerd op
1. doelstelling en eisen bedrijf, zoals vastgelegd in bedrijfsplan of statuten.
2. Afhankelijk omvang, aanstellen van een beveiligingsfunctionaris met de juiste bevoegdheden of vetrouwen van directie/management.
3. Management staat achter het beveiligingsbeleid, en toont zich zichtbaar ondersteunend richting het overige personeel !
4. Het belang van genomen maatregelen rond de beveiliging en of het bewust zijn van de risico’s is voor alle, medewerkers,
inclusief tijdelijke /nieuwe bekend, omdat instructies onderdeel zijn van lopende procedures !
5. Kennis intern van de organisatie van uw bedrijf, zowel hierarchisch als procesmatig en bij voorkeur, ook systeemtechnisch !
Overigens let wel goed op, want ICT-professionals zijn vaak -
a. Overtuigende verkopers met kennis van zaken
b. Overrompelend en to the point
c. Oplossingsgerichte doeners
d. Onnavolgbaar in hun handelingsnelheid
- Maar in principe uiteraard meestal deskundig en het is veel waard om het oordeel van de professionals te weten !
Neem tijd voor beslissingen en weeg af op basis van kosten en baten, maar beoordeel ook de toegevoegde waarde reeeel.
Vraag bij twijfel een second opinion, maar besef immer dat...
Het belang van tijdige informatie en daarop passende systeembeveiliging cq verantwoord beheer van ICT systemen vraagt weliswaar soms grote investeringen,
maar die betalen zich veelal terug op termijn !
Normen voor IT beheer
IT professionals hanteren vaak ITIL met IT service support en IT service delivery
Belangrijke zaken zijn hierin opgenomen.als:
Configuratie management ;Helpdesk ; Probleem management; Change management ; Software Control & Distribution
Cost management; Capacity management; Availability management; Contingency planning; Service level management
IT beschikt over ITIL, voor Organisatie zijn er kwaliteitstools nodig.
Die zijn echter niet algemeen toepasbaar vanwege grote verscheidenheid in structuren van organsiaties en zij zijn ook nog niet uitgebreid afgestemd met nieuwe regelgeving.
Snelheid, beschikbaarheid en integriteit van bedrijfsdata ervaart de gebruiker als essentieel om als informatieafnemer / klant goed te kunnen opereren.
Dat is de primaire kwaliteitseis op het gebied van organisatie
De informatiebeheerder (IB) vraagt namens de gebruiker
Kwaliteit voor, tijdens en na verwerking.
Hij heeft daarbij ook een handzame kwaliteitbeheerstool nodig.
Immers: Welke mate van afwijking in verkregen informatie is acceptabel ?
Wie bepaalt dat en welke randvoorwaarden gelden daarbij en voldoet het basismateriaal (volledig en juiste kwaliteit ) daarvoor.
Management en haar adviseurs
Hoe gaan management, auditors, maar ook gebruikers om met recente initiatieven zoals gezamenlijk gebruik van data of webvergaderen via telefoon of net.
Physieke uitwisseling van goederen en geld vindt plaats op basis van online muteren.
De risico’s nemen toe door veel initiatieven met online gebruik van data, direct leidend tot real time leveringen.
----------------------------
Kennen wij de gevolgen van tekorten in de beveiliging van onze systemen
en van onze informatie ?
----------------------------
Wat is de invloed van SOX - IFRS - TABAKSBLATT op de specifieke organisatie?
----------------------------
Onderzoeken wijzen uit dat het tekort aan beveiliging met name veroorzaakt wordt door te hoge kosten t.o.v. Budget en door tijdgebrek cq onvoldoende interne Capaciteit !
Bedenk :
Een investering in preventie leidt op den duur tot minder schadekosten, maar kan al direct tot afname van momenteel als vaste kosten onderkende lasten leiden.
Denk aan kosten onderhoud en beheer !
SLOTCONCLUSIE:
Benadering en doelstelling beveiliging
- Behoud rust in de benadering van security en neem geen overhaaste beslissing.
- Weeg noodzaak tot afscherming van uw systeem af op basis van financieel en organisatorisch belang.
- Beveiliging voldoet minimaal aan wettelijke eisen en dit beperkt grote organisaties meer dan kleine.
Ga aan het werk met als doelstelling:
- Verantwoord en gecontroleerd beheer van informatie systemen en verkregen informatie is een eis.
- Snelheid, beschikbaarheid en schaalbaarheid is bij gebruikers maatgevend, maar wordt echter bepaald door hun wensen - en ervaringenniveau.
- Het vermogen om intern adequaat te kunnen reageren op verstoringen is mede bepaald door genoemd wensen - en ervaringenniveau. Maw: Medewerkers moeten bewust gemaakt worden van de risico’s en mogelijkheden om deze te beperken / voorkomen!
- Het belang van tijdige en correcte informatie en passende beveiliging vraagt, naast formeel beheer van ICT op basis van bv ITIL, investeringen in kennis eigen organisatie en processen en passende maatregelen om risico’s te verminderen !
- De ervaring is dat veel bedrijven ruime aandacht schenken aan backup / recovery / toegangsbeveiliging, maar toch extra risico lopen door onvoldoende beveiliging op uit de processen verwerkte informatie en er blijkt vaak onvoldoende kennis van de eigen organisatie en pijnpunten in processen !
TENSLOTTE:
PBA kan en wil u graag helpen op basis van rijke ervaring
Analyse van de organisatie van de informatie beveiliging middels een audit op primaire processen;
Beoordeling van de bedrijfsorganisatie en haar informatie voorziening, zonodig met edpaudit op de systemen;
Risico analyse middels vaststellen kwaliteitseisen, inventariseren van risico’s en gevolgen en voorstellen van passende maatregelen;
Opzet van een business continuity plan, incl. voorstel technische maatregelen en schade minimalisering;