Nieuws

dinsdag 15 november 2016

Security requirements... maar welke?

Door: Kees Mastwijk, business area manager Security Management


Het is een onderwerp dat security officers, privacy officers en IT afdelingen bekend voor zal komen, het opstellen van security/privacy requirements: ‘Welke beveiligingseisen moeten we stellen aan dat nieuwe systeem dat in gebruik genomen gaat worden?’ Of: ‘We gaan een nieuwe SaaS oplossing aanschaffen, welke maatregelen moeten we nemen om de klantgegevens die hierin worden opgeslagen te beveiligen volgens de privacywetgeving?’

In onze dagelijkse werkzaamheden bij opdrachtgevers merken we dat het vinden van een gepast niveau van het beveiligen van de informatie en informatiesystemen als lastig wordt ervaren. En dat zelfde geldt voor het opstellen van beveiligingseisen/security requirements.

Bestaande normen
Het opstellen van security/privacy requirements is niets anders dan het stellen van beveiligingseisen aan informatie, informatiesystemen of een nieuw project. Er zijn goede bronnen waarin security requirements al zijn bedacht en benoemd. Neem bijvoorbeeld de ISO27002 norm. Deze norm bevat een lange lijst met beveiligingsmaatregelen die genomen kunnen worden. Niet alleen technische maatregelen zijn hierin opgenomen, ook organisatorische maatregelen zoals het opstellen van een informatiebeveiligingsbeleid zijn opgenomen. Het screenen van personeel is een voorbeeld van een andere organisatorische maatregel uit de ISO norm. En zo is ook de maatregel opgenomen dat er ‘een analyse en specificatie plaats dient te vinden van informatiebeveiligingseisen voor nieuwe informatiesystemen of de uitbreiding van bestaande informatiesystemen’. Maar zijn deze maatregelen ook toepasbaar voor het project waarvoor de security requirements moeten worden opgesteld? Zijn deze concreet genoeg om in het project op te nemen?

Daarnaast de ISO norm kunnen we putten uit meer technische standaarden en normen. Neem bijvoorbeeld OWASP Application Security Verification Standard (OWASP ASVS). Deze standaard beschrijft beveiligingseisen voor web applicaties. Hierbij wordt een onderverdeling gemaakt in drie niveaus van eisen. Van basis eisen die voor elke web applicatie van toepassing zijn (niveau 1), eisen die van toepassing zijn voor web applicaties die vertrouwelijke informatie bevatten (niveau 2), tot en met niveau 3, van toepassing op web applicaties die kritisch zijn en het hoogte niveau van beveiliging vereisen.

Maar kan het project iets met een (potentieel) erg lange lijst aan security requirements, worden de eisen ook begrepen?

Risico-analyse
Een goede manier om tot een gepaste set aan maatregelen (security requirements) te komen is door het uitvoeren van een risico analyse. In een risico analyse kijken we naar de verschillende factoren die iets tot een risico maken. Een onderdeel van een risico analyse is het in kaart brengen van kwetsbaarheden. Een maatregel kan de kans dat de kwetsbaarheid wordt misbruikt, verkleinen. Andere maatregelen kunnen juist de impact verkleinen.

Door de risico’s voor het betreffende project in kaart te brengen wordt ook duidelijk welke maatregelen getroffen moeten worden. De te nemen maatregelen zijn dan de security requirements voor het project.

Mogelijk is er in uw organisatie beleid voor bepaalde beveiligingsaspecten. Denk aan wachtwoordbeleid, of een beleid voor back-up. Hoe verhouden de security requirements zich dan tot deze beleidsdocumenten? Een uitkomst van de risico analyse kan zijn dat er moet worden voldaan aan deze beleidsdocumenten, en is dit dus een security requirement.

Een van de belangrijkste voordelen van deze manier van werken is dat een maatregel altijd terug te herleiden is naar een risico. Het project krijgt niet te maken met een lange lijst aan eisen waarvan van de helft van de eisen niet wordt begrepen waarom deze eisen van toepassing zijn. Het betrekken van medewerkers in de risico analyse zorgt tegelijkertijd voor awareness.

Het uitvoeren van risico analyses is mogelijk geen best practice in uw organisatie. Probeer de risico analyse een keer uit bij een project dat zich hier voor leent. Houd het zeker de eerste keren eenvoudig en bekijk wat werkt, en wat niet werkt. Een eenvoudige risico analyse kan al worden uitgevoerd in workshop vorm met enkele medewerkers.

Print

Nieuwsbrief

Blijf op de hoogte van de laatste ontwikkelingen en schrijf je in voor de Vest nieuwsbrief!

Inschrijven nieuwsbrief


 


Security 15 Minutes Live

Met Marc Hullegie

IT Tomorrow

met Marc Hullegie