Toegangsbeveiliging ISO 27001

Mischa Puyenbroek

Mischa Puyenbroek – Business Consultant

Toegangsbeveiliging binnen de ISO 27001

Waar hebben we het over

Bij informatiebeveiliging in het kader van ISO 27001 is het zaak om de juiste personen op de juiste momenten toegang te geven tot de juiste middelen en informatie. Informatiebeveiliging heeft in de eerste plaats betrekking op toegang tot digitale middelen zoals systemen en data. Daarnaast is beveiliging van toepassing op fysieke toegang tot gebouwen, in het bijzonder ruimtes waar (digitale) informatie is opgeslagen.

 

Diefstal en ransomware

Door de ontwikkelingen op het gebied digitale omgevingen en de toenemende complexiteit ervan komt diefstal van intellectuele eigendommen en het gijzelen ervan steeds vaker voor. Daarnaast zijn de beveiligingsrisico’s toegenomen door onder andere het massale thuiswerken.

 

BIV-classificatie

BIV staat voor Beschikbaarheid, Integriteit en Vertrouwelijkheid. Het zijn de drie pijlers onder informatiebeveiliging.

  • Bij beschikbaarheid gaat het om de letterlijke beschikbaarheid van de informatie, met andere woorden: heeft de organisatie toegang tot de informatie.
  • Integriteit staat voor de juistheid, actualiteit en volledigheid van de informatie, met ander woorden: komt hetgeen je op je scherm ziet overeen met de werkelijkheid.
  • Vertrouwelijkheid heeft betrekking op het beschermen van de informatie en is dus een belangrijk thema voor dit stuk over toegangsbeveiliging.

 

Toegangsbeveiliging op orde

Om tot een goede toegangsbeveiliging te komen, moeten de volgende stappen worden doorlopen:

  1. Breng de belangrijke middelen in kaart
    Welke middelen (inclusief data) zijn belangrijk voor de continuïteit van de organisatie? Zonder deze middelen komt de organisatie letterlijk tot stilstand. Probeer deze in logische groepen te bundelen en evalueer deze indeling grondig nadat u de stappen 2 en 3 hieronder heeft doorlopen.
  1. Risicoanalyse
    Hoe groot is de kans dat er iets met deze middelen gebeurt? Maak hierbij ook een inschatting van de mogelijke impact die dit heeft op de organisatie. Het stuk over de risicoanalyse gaat hier dieper op in.
  1. Prioritering
    Breng vervolgens een prioritering aan, waarbij de middelen met de grootste risico’s bovenaan komen te staan. Die hebben als eerste aandacht nodig.

NB: we hebben het in dit stuk over toegangsbeveiliging. De risicoanalyse en prioritering helpen u in dit verband tevens om acties te formuleren om de risico’s (lees: de kans dat het gebeurt of de impact ervan) te verkleinen.

  1. Stel een autorisatiematrix op
    De vierde stap is het opstellen van de autorisatiematrix met daarin antwoord op de vraag ‘Wie krijgt toegang tot welke informatie?’ Het adagium hierbij is: ‘Geef alleen toegang tot die informatie die iemand nodig heeft voor het uitvoeren van zijn of haar werk’. En liever minder dan meer. Hoe u een autorisatiematrix kunt opstellen, leest u hier.

Tip:
Ken autorisaties toe op groepsniveau in plaats van individuele personen. Die groepen worden bepaald op basis van de verschillende functies binnen de organisatie. Dit maakt het beheer van de autorisaties veel eenvoudiger en overzichtelijker. Hetzelfde geldt voor het aanpassen van de autorisaties wanneer iemand intern een andere functie krijgt of uit dienst treedt. De rol van HR is hier cruciaal aangezien zij tijdig de relevante mutaties moeten doorgeven.

Autorisatie matrix

Scheiding van verantwoordelijkheden

Vanuit ISO 27001 bekeken is het belangrijk om zaken te scheiden. Maak verschillende mensen of functies verantwoordelijk voor het bepalen en inrichten van de autorisaties en anderen voor het toekennen ervan. Op die manier beperk je de kans dat iemand meer toegang krijgt dan nodig tot een minimum.

 

Buiten de organisatie

Data is in toenemende mate ook buiten de organisatie opgeslagen, bijvoorbeeld bij cloudleveranciers. Het voert te ver om ook voor hen een autorisatiematrix op te stellen, nog los van het feit dat dit praktisch vrijwel onmogelijk is.  

Het maken van goede afspraken lost dit grotendeels op, eventueel aangevuld met de voorwaarde dat de leverancier ISO 27001- of NEN 7510-gecertificeerd is. U kunt nog een stap verder gaan en zelf een screening of audit uitvoeren om een goed beeld te krijgen van de manier waarop deze partijen met (de veiligheid van) uw informatie omgaan.

 

Cryptografie

De toegang tot informatie kan ook fysiek worden beperkt door bijvoorbeeld cryptografie. Dit versleutelen van uw data kan ook worden toegepast op het versturen van uw informatie. Denk aan encrypted zip-files met wachtwoorden of beveiligde verbindingen en applicaties.

 

Beleid is nodig

Voor ISO 27001 is het belangrijk dat u alle keuzes en beslissingen met betrekking tot bovenstaande vastlegt in helder beleid. Welke risico’s ziet u? Welke maatregelen en oplossingen neemt u als antwoord daarop? Neem hierin ook de manier waarop u de autorisaties en verantwoordelijkheden organiseert mee, evenals de keuzes en afspraken met betrekking tot het versleuteld opslaan en delen van data.

 

ISO 27001 heeft inhoudelijk geen mening

Inhoudelijk heeft ISO 27001 geen mening. De norm geeft u geen tips of handvatten ten aanzien van de inhoudelijke kant van de oplossingen. Wel stelt de norm dat de oplossing logisch en afdoende moet zijn in relatie tot het risico en dat er goed gekeken is naar de situaties en de risico’s. Zijn die in kaart gebracht en zijn er passende keuzes gemaakt? En zijn die keuzes vastgelegd in beleid? Dat beleid moet vervolgens binnen de organisatie zijn uitgerold en in de praktijk worden opgevolgd. Een periodieke audit helpt u om dit aan te tonen.

Blog geschreven door Mischa Puyenbroek, Business Consultant

MEER LEZEN OVER ISO 27001?

Neem een kijkje op de kennispagina ISO 27001

Toegangsbeveiliging ISO 27001

Mischa Puyenbroek

Mischa Puyenbroek – Business Consultant

Toegangsbeveiliging binnen de ISO 27001

Waar hebben we het over

Bij informatiebeveiliging in het kader van ISO 27001 is het zaak om de juiste personen op de juiste momenten toegang te geven tot de juiste middelen en informatie. Informatiebeveiliging heeft in de eerste plaats betrekking op toegang tot digitale middelen zoals systemen en data. Daarnaast is beveiliging van toepassing op fysieke toegang tot gebouwen, in het bijzonder ruimtes waar (digitale) informatie is opgeslagen.

 

Diefstal en ransomware

Door de ontwikkelingen op het gebied digitale omgevingen en de toenemende complexiteit ervan komt diefstal van intellectuele eigendommen en het gijzelen ervan steeds vaker voor. Daarnaast zijn de beveiligingsrisico’s toegenomen door onder andere het massale thuiswerken.

 

BIV-classificatie

BIV staat voor Beschikbaarheid, Integriteit en Vertrouwelijkheid. Het zijn de drie pijlers onder informatiebeveiliging.

  • Bij beschikbaarheid gaat het om de letterlijke beschikbaarheid van de informatie, met andere woorden: heeft de organisatie toegang tot de informatie.
  • Integriteit staat voor de juistheid, actualiteit en volledigheid van de informatie, met ander woorden: komt hetgeen je op je scherm ziet overeen met de werkelijkheid.
  • Vertrouwelijkheid heeft betrekking op het beschermen van de informatie en is dus een belangrijk thema voor dit stuk over toegangsbeveiliging.

 

Toegangsbeveiliging op orde

Om tot een goede toegangsbeveiliging te komen, moeten de volgende stappen worden doorlopen:

  1. Breng de belangrijke middelen in kaart
    Welke middelen (inclusief data) zijn belangrijk voor de continuïteit van de organisatie? Zonder deze middelen komt de organisatie letterlijk tot stilstand. Probeer deze in logische groepen te bundelen en evalueer deze indeling grondig nadat u de stappen 2 en 3 hieronder heeft doorlopen.
  1. Risicoanalyse
    Hoe groot is de kans dat er iets met deze middelen gebeurt? Maak hierbij ook een inschatting van de mogelijke impact die dit heeft op de organisatie. Het stuk over de risicoanalyse gaat hier dieper op in.
  1. Prioritering
    Breng vervolgens een prioritering aan, waarbij de middelen met de grootste risico’s bovenaan komen te staan. Die hebben als eerste aandacht nodig.

NB: we hebben het in dit stuk over toegangsbeveiliging. De risicoanalyse en prioritering helpen u in dit verband tevens om acties te formuleren om de risico’s (lees: de kans dat het gebeurt of de impact ervan) te verkleinen.

  1. Stel een autorisatiematrix op
    De vierde stap is het opstellen van de autorisatiematrix met daarin antwoord op de vraag ‘Wie krijgt toegang tot welke informatie?’ Het adagium hierbij is: ‘Geef alleen toegang tot die informatie die iemand nodig heeft voor het uitvoeren van zijn of haar werk’. En liever minder dan meer. Hoe u een autorisatiematrix kunt opstellen, leest u hier.

Tip:
Ken autorisaties toe op groepsniveau in plaats van individuele personen. Die groepen worden bepaald op basis van de verschillende functies binnen de organisatie. Dit maakt het beheer van de autorisaties veel eenvoudiger en overzichtelijker. Hetzelfde geldt voor het aanpassen van de autorisaties wanneer iemand intern een andere functie krijgt of uit dienst treedt. De rol van HR is hier cruciaal aangezien zij tijdig de relevante mutaties moeten doorgeven.

Autorisatie matrix

Scheiding van verantwoordelijkheden

Vanuit ISO 27001 bekeken is het belangrijk om zaken te scheiden. Maak verschillende mensen of functies verantwoordelijk voor het bepalen en inrichten van de autorisaties en anderen voor het toekennen ervan. Op die manier beperk je de kans dat iemand meer toegang krijgt dan nodig tot een minimum.

 

Buiten de organisatie

Data is in toenemende mate ook buiten de organisatie opgeslagen, bijvoorbeeld bij cloudleveranciers. Het voert te ver om ook voor hen een autorisatiematrix op te stellen, nog los van het feit dat dit praktisch vrijwel onmogelijk is.  

Het maken van goede afspraken lost dit grotendeels op, eventueel aangevuld met de voorwaarde dat de leverancier ISO 27001- of NEN 7510-gecertificeerd is. U kunt nog een stap verder gaan en zelf een screening of audit uitvoeren om een goed beeld te krijgen van de manier waarop deze partijen met (de veiligheid van) uw informatie omgaan.

 

Cryptografie

De toegang tot informatie kan ook fysiek worden beperkt door bijvoorbeeld cryptografie. Dit versleutelen van uw data kan ook worden toegepast op het versturen van uw informatie. Denk aan encrypted zip-files met wachtwoorden of beveiligde verbindingen en applicaties.

 

Beleid is nodig

Voor ISO 27001 is het belangrijk dat u alle keuzes en beslissingen met betrekking tot bovenstaande vastlegt in helder beleid. Welke risico’s ziet u? Welke maatregelen en oplossingen neemt u als antwoord daarop? Neem hierin ook de manier waarop u de autorisaties en verantwoordelijkheden organiseert mee, evenals de keuzes en afspraken met betrekking tot het versleuteld opslaan en delen van data.

 

ISO 27001 heeft inhoudelijk geen mening

Inhoudelijk heeft ISO 27001 geen mening. De norm geeft u geen tips of handvatten ten aanzien van de inhoudelijke kant van de oplossingen. Wel stelt de norm dat de oplossing logisch en afdoende moet zijn in relatie tot het risico en dat er goed gekeken is naar de situaties en de risico’s. Zijn die in kaart gebracht en zijn er passende keuzes gemaakt? En zijn die keuzes vastgelegd in beleid? Dat beleid moet vervolgens binnen de organisatie zijn uitgerold en in de praktijk worden opgevolgd. Een periodieke audit helpt u om dit aan te tonen.

Blog geschreven door Mischa Puyenbroek, Business Consultant

MEER LEZEN OVER ISO 27001?

Neem een kijkje op de kennispagina ISO 27001