Toegangsbeveiliging ISO 27001

Robin Beiler – Managing Consultant

Waar hebben we het over

Bij informatiebeveiliging binnen de ISO 27001 is het zaak de juiste personen op de juiste momenten toegang te geven tot de juiste middelen en informatie. Vandaag de dag speelt dat rond de toegang tot digitale middelen als systemen en data. Maar het geldt ook voor de fysieke toegang. De toegang tot gebouwen maar met name ruimtes waar (digitale) informatie is opgeslagen.

 

Diefstal en ransomware

Door de ontwikkeling van de digitale omgevingen komt diefstal van intellectuele eigendommen of het gijzelen ervan steeds vaker voor. Ook de toename van bijvoorbeeld thuiswerken maakt dat de beveiligingsrisico’s toenemen.

 

De BIV

BIV staat voor Beschikbaarheid, Integriteit en Vertrouwelijkheid. Hij zijn de drie pijlers onder informatiebeveiliging.

  • Bij Beschikbaarheid gaat het om de letterlijke beschikbaarheid van de informatie. Kan de organisatie bij de informatie.
  • Integriteit staat voor de juistheid, actualiteit en volledigheid van de informatie. Klopt dat wat op je scherm staat ook met de werkelijkheid.
  • Vertrouwelijkheid is het onderwerp wat gaat over het beschermen van de informatie. Zorgen dat alleen bevoegde personen toegang hebben tot de informatie.

 

Toegangsbeveiliging op orde

Het goed organiseren van de toegangsbeveiliging gaat in een aantal stappen:

  1. De eerste is zicht hebben op de belangrijke middelen
    Welke middelen (inclusief data) zijn belangrijk voor de continuïteit van de organisatie. Zonder deze middelen komt de organisatie letterlijk tot stilstand. Het is praktisch om te kijken of u deze in logische groepen kan bundelen. Evalueer de groepering nogmaals als u de stappen 2 en 3 hieronder hebt gedaan.
  2. Risicoanalyse
    Hoe groot is de kans dat er wat gebeurt met die middelen. Daarbij kijkt u ook naar de impact. Hoe groot is die als het gebeurt. Het stuk over de risicoanalyse gaat hier dieper op in
  3. Prioritering
    Vervolgens brengt u een prioritering aan. De middelen met de grootste risico’s bovenaan. Die hebben als eerste aandacht nodig.
    Nb. We hebben het in dit stuk over de toegangsbeveiliging. De risicoanalyse en prioritering helpen u ook om acties te formuleren om de risico’s te verkleinen. Lees, de kans dat het gebeurt of de impact ervan.
  4. Opstellen van een autorisatiematrix
    De vierde stap is het opstellen van de autorisatiematrix en het beheer van de toegangsrechten. Wie mag waarbij. Het adagium daarbij is ‘alleen toegang geven tot die informatie die nodig is voor het uitvoeren van zijn of haar werk’. Liever minder dan meer.

Tip:
Ken de autorisaties op het niveau van groepen in plaats van individuele personen. Die groepen zijn veelal op basis van de functies binnen de organisatie. Dat maakt het beheer ervan veel eenvoudiger en overzichtelijker. Ook het aanpassen van de autorisaties bij het intern wisselen van functie of bij uit dienst gaan is daarmee eenvoudiger. Ook de rol van HR is hier belangrijk.  Zij moeten tijdig de mutaties doorgeven.

Scheiding van verantwoordelijkheden

Vanuit de ISO 27001 bekeken is het belangrijk om zaken te scheiden. Maak verschillende mensen of functies verantwoordelijk voor het bepalen en inrichten van de autorisaties en anderen verantwoordelijk voor het toekennen ervan. Daarmee minimaliseer je de kans dat bij het toekennen iemand meer toegang krijgt dan nodig.

 

Multi-factor wachtwoorden

Over wachtwoorden is veel te doen. Allereerst het kiezen van een veilig wachtwoord. Namen van de kinderen en hun geboortejaar is niet alleen voor de gebruiker makkelijk ook voor de hackers. Ook het opslaan van wachtwoorden is iets om een besluit over te nemen. Password managers zijn handige tools hierbij. Niet in de laatste plaats de multi-factor wachtwoorden. Die tillen de beveiliging in één keer naar een hoger niveau. We hebben een tijdje geleden een blog geschreven over wachtwoorden.

Buiten de organisatie

Er ligt ook steeds meer data buiten de organisatie. Bijvoorbeeld bij Cloudleveranciers. Het voert te ver dat u ook voor hen een autorisatiematrix gaat opstellen. Nog even los van het feit of dat kan omdat u geen goed beeld heeft van hun organisatie.

Het maken van goede afspraken lost dat grotendeels op. Eventueel aangevuld met de voorwaarde dat de leverancier ISO 27001 of NEN 7510 gecertificeerd is. U kunt nog een stap verder gaan en zelf een screening of audit uitvoeren om zelf een beeld te krijgen van de manier waarop zijn met de veiligheid van uw informatie omgaan.

 

Fysieke beveiliging

Bij de fysieke beveiliging gaat het om het beveiligen van het pand en de middelen tegen ‘dreigingen’ van buiten af. Dat is een ruim begrip want dat kan gaan over weersinvloeden, brand maar ook inbraak. Wat daar ook onder valt is toegang van onbevoegden tot (delen van) het pand. Bezoekers maar ook eigen medewerkers.

Ook hier is de stelregel van toepassing: alleen toegang geven tot die ruimtes waarvoor dat nodig is. Deel het gebouw op in zones en bepaal welke functiegroepen daar toegang toe hebben. Maak ook van de bezoekers een functiegroep. Het gebruik van functiegroepen maakt ook hier het beheer overzichtelijk en eenvoudig.

Wat belangrijk en essentieel is bepaalt u aan de hand van de risico-inventarisatie, het categoriseren ervan met behulp van de kans en impact en vervolgens het bepalen van de juiste maatregelen om ze te minimaliseren.

De norm vraagt ook om richtlijnen te bepalen over het ‘omgaan’ met kostbare en voor de continuïteit essentiële zaken. Dat kan variëren van laptops en telefoons tot de fysieke beveiliging van de stroomvoorziening en het internet.

 

Beleid is nodig…

Voor de ISO 27001 is het belangrijk dat u alle keuzes en beslissingen rond het bovenstaande vastlegt in helder beleid. Welke risico’s ziet u? Welke maatregelen en oplossingen neemt u als antwoord daarop? Inclusief de wijze waarop u de autorisaties en verantwoordelijkheden organiseert. Maar ook keuzes en afspraken met betrekking tot het versleuteld opslaan en delen van data is wat in een beleid thuishoort.

 

ISO 27001 heeft inhoudelijk geen mening

Inhoudelijk heeft ISO 27001 geen mening. De norm geeft u geen tips of handvatten over de inhoudelijke kant van de oplossingen. Wel zegt de norm dat de oplossing logisch en afdoende moet zijn in relatie tot het risico.

Wat de norm belangrijk vindt is dat er goed gekeken is naar de situaties en de risico’s. Zijn die in kaart gebracht en zijn er passende keuzes zijn gemaakt. Keuzes die zijn vastgelegd in beleid. Beleid dat vervolgens is uitgerold binnen de organisatie en wat in de praktijk ook wordt opgevolgd. Een regelmatige audit helpt u om dat aan te tonen.

Blog geschreven door Robin Beiler, Managing consultant

Deel dit bericht:

ISO 27001 & Annex A

ISO 27001 Annex A bevat 93 beheersmaatregelen voor informatiebeveiliging, onderverdeeld in organisatorische, mensgerichte, fysieke en technologische m...

Klaar om je security, privacy en continuity
binnen jouw organisatie te verbeteren?

Heb je een vraag over onze diensten?

Wij bellen je graag binnen 24 uur terug. Neem gerust en geheel vrijblijvend contact met ons op!