TNO Telecom

MIMIS

een management implementatie- methodiek voor informatiebeveiliging

TNO Confidentieel 33319

Datum: Maart 2004 Auteur: D. Welfing

BIT SAS

Winschoterdiep OZ 46 Postbus 15000 9700 CD Groningen www.tno.nl

T 050 582 10 00 F 050 312 24 15

TNO Telecom

fot Applied Scientific Research

© 2004 TNO

Maart 2004 MIMIS

Alle rechten voorbehouden.

Niets uit deze uitgave mag worden vermenigvuldigd en/of openbaar gemaakt door middel van druk, foto-kopie, microfilm of op welke ande- re wijze dan ook, zonder voorafgaande toestemming van TNO.

Indien dit rapport in opdracht werd uitgebracht, wordt voor de rechten en verplichtingen van opdrachtgever en opdrachtnemer verwezen naar de Algemene Voorwaarden voor onderzoeksopdrachten aan TNO, dan wel de betreffende terzake tussen de partijen gesloten overeenkomst Het ter inzage geven van het TNO-rapport aan direct belang- hebbenden is toegestaan.

All rights reserved.

No part of this book may be reproduced in any form, by print, photo- print, microfilm or any other means without the prior written permission from the publisher.

© 2004 TNO

Titelblad

MIMIS

een management implementatiemethodiek voor informatiebeveiliging

Auteur Afstudeerorganisatie Begeleider TNO Telecom

Dick Welfing TNO Telecom Drs. P.J. van der Wulp

Aquamarijnstraat 583 Winschoterdiep OZ 46 Tel. 050-5857785

9743 PP Groningen 9723 CA Groningen P.J.vanderWulp@telecom.tno.nl Tel. 06-27141779 Tel. 050-5857000

dickwelfing@hotmail.com Fax. 050-5857757

http://www.telecom.tno.nl

Opleidingsinstituut Eerste begeleider Tweede begeleider

Rijksuniversiteit Groningen Prof. Dr. Ir. J.L. Simons Drs. J.M. Valens RA Faculteit Bedrijfskunde - TBW Tel. 050-3633253 Tel. 050-3633916 Landleven 5 J.L.Simons@bdk.rug.nl J.M.Valens@bdk.rug.nl

Postbus 800 Kamer 922 Kamer 919

9700 AV Groningen http://www.rug.nl/bdk

Maart 2004 MIMIS

Informatieblad

bij rapport 33319

Titel: MIMIS – een implementatiemethodiek voor informatiebeveiliging

Excerpt: Dit rapport behandelt MIMIS, een implementatiemethodiek voor informatiebeveiliging op basis van de CIB, waarbij in wordt ge- gaan op de aanleiding tot de ontwikkeling, de bouw en de reali- satie en implementatie van deze methodiek.

Auteur: D. Welfing

Reviewer: Drs. P.J. van der Wulp

Afdeling: BIT SAS

Project: Afstudeeropdracht CIB Projectleider: Drs. P. J. van der Wulp

Periode: augustus 2003 tot februari 2004 Opdrachtgever: TNO Telecom

Datum: Maart 2004

Rubricering: TNO Confidentieel

Uitgegeven onder verantwoordelijkheid van: Ing. W.A.P.C. Jansen

Trefwoorden: MIMIS, CIB, ISMS, informatiebeveiliging, BS 7799, ISO 17799, managementsysteem

Verzendlijst: (20x) TNO Telecom Rijksuniversiteit Groningen Drs. P.J. van der Wulp (3x) Prof. Dr. Ir. J.L. Simons (1x) Ir. R. Kerkdijk Drs. J.M. Valens RA (1x)

Ir. F. Fransen Onderwijsbalie RuG (2x digitaal) Dhr. H.J.M. Joosten

Drs. T van Noort Dr. Ir. P. de Jager Ing. W.A.P.C. Jansen Ir. G. Kleinhuis Drs. Ing. H. Hut Ir. J.W. Knobbe Drs. A.P.J. de Jong D. Welfing (3x)

Maart 2004 MIMIS

Inhoud

Voorwoord... 2

Management Samenvatting... 2

Lijst van afkortingen ... 2

1 Inleiding... 2

1.1 Achtergrond ... 2

1.2 TNO... 2

1.2.1 Kerngebied ICT en diensten ... 2

1.2.2 TNO Telecom ... 2

1.3 De Code voor Informatiebeveiliging (CIB)... 2

1.3.1 Doel van de CIB... 2

1.3.2 Geschiedenis ... 2

1.3.3 Huidige versies ... 2

1.3.4 Steun voor de CIB ... 2

1.3.5 CIB Deel 1 ... 2

1.3.6 CIB Deel 2 ... 2

1.4 Het onderzoek ... 2

2 Probleemanalyse... 2

2.1 Aanleiding... 2

2.2 Eerste probleemverkenning ... 2

2.3 Probleemstelling ... 2

2.3.1 Businessdoelstelling ... 2

2.3.2 Onderzoeksvraagstelling ... 2

2.3.3 Randvoorwaarden ... 2

2.3.4 Afbakening ... 2

2.4 Vanuit TNO Telecom... 2

2.4.1 Het ontbreken van een tool ... 2

2.4.2 Conclusie ... 2

2.5 Vanuit de klant ... 2

2.5.1 SatCom ... 2

2.5.2 Epacity ... 2

2.5.3 BU-Transmission Services ... 2

2.5.4 Conclusie ... 2

Maart 2004 MIMIS

TNO Confidentieel 8/65

2.6 Vanuit de literatuur ... 2

2.6.1 Informatiebeveiliging als ‘businessenabler’ ... 2

2.6.2 Implementatie van de CIB... 2

2.6.3 Certificatie van de CIB ... 2

2.6.4 Informatiebeveiliging als proces ... 2

2.6.5 Management van informatiebeveiliging ... 2

2.6.6 Trends in informatiebeveiliging ... 2

2.6.7 Conclusie ... 2

2.7 Samenhang en relevantie... 2

2.8 Waarom een methodiek?... 2

2.8.1 Alternatieven ... 2

2.8.2 Keuze voor een methodiek ... 2

2.8.3 Vanuit TNO Telecom ... 2

2.8.4 Vanuit de klant ... 2

2.8.5 Vanuit de literatuur... 2

2.8.6 Tot slot ... 2

3 Ontwerp van de methodiek ... 2

3.1 Ontwerpdoelstelling... 2

3.2 Ontwerpcriteria... 2

3.3 View op organisaties ... 2

3.3.1 Een modelkeuze naar aanleiding van het eerste criterium... 2

3.3.2 Een modelkeuze naar aanleiding van het tweede criterium ... 2

3.3.3 Een modelkeuze naar aanleiding van het derde criterium ... 2

3.3.4 De uiteindelijke modelkeuze ... 2

3.4 Bouw van de methodiek ... 2

3.5 Stap 1: Elke S invullen met theorie ... 2

3.5.1 Criteria... 2

3.5.2 Aanpak ... 2

3.5.3 Structuur... 2

3.5.4 Strategie... 2

3.5.5 Systemen ... 2

3.5.6 Shared Values ... 2

3.5.7 Skills... 2

3.5.8 Stijl ... 2

3.5.9 Staff... 2

3.5.10 Tot slot…... 2

3.6 Stap 2: Voor elke ISMS-eis relevantie per S aangeven ... 2

3.6.1 Criteria... 2

3.6.2 Aanpak ... 2

3.7 Stap 3: Opstellen van aanbevelingen op basis van de theorietyperingen.... 2

3.7.1 Criteria... 2

3.7.2 Aanpak ... 2

3.8 Output... 2

3.9 Statische en dynamische consistentie ... 2

3.9.1 Statische consistentie ... 2

3.9.2 Dynamische consistentie ... 2

3.9.3 Test van de methodiek... 2

4 Gebruik en toepassing van de methodiek... 2

4.1 Gebruik van de methodiek ... 2

4.1.1 Analoge methode om de methodiek te gebruiken... 2

4.1.2 Digitale methode om de methodiek te gebruiken ... 2

4.2 Toepassing van de methodiek ... 2

5 Conclusies en aanbevelingen... 2

5.1 Beantwoording van de vraagstelling ... 2

5.1.1 Beantwoording van de deelvragen ... 2

5.1.2 Beantwoording van de hoofdvraag... 2

5.2 Conclusies en aanbevelingen ... 2

5.3 Wat te doen met de conclusies en de aanbevelingen? ... 2

Literatuurlijst... 2

Maart 2004 MIMIS

TNO Confidentieel 10/65

Voorwoord

Wat is het toch prachtig om een voorwoord in een rapport te hebben. Een voorwoord biedt de mogelijkheid om enkele persoonlijke dingen te vermelden die niet in een rapport

‘thuis horen’… Ook vind ik het fijn om het voorwoord in de ik-vorm te schrijven, iets wat in een rapport uit den boze is. Dus hierbij wil ik…

…iedereen hartelijk bedanken voor de fijne afstudeerstage die ik heb gehad bij TNO Te- lecom. In de eerste plaats mijn directe begeleider Pieter die mij gedurende de hele stage goed scherp hield, kritisch was en ook nog eens aardig. Een aantal eigenschappen die ik erg heb gewaardeerd tijdens mijn stage. Ook Frank, Richard, Rieks en Thomas hebben mij enorm geholpen bij de kwaliteit van het onderzoek door hun opbouwende kritiek en hun medewerking in het algemeen. Verder wil ik mijn medeafstudeerders bedanken die goed met me meedachten en zorgden voor een zeer aangename sfeer tijdens de soms lange dagen. Jops, Ewald, Tomas, Roel, Dries, Ben, Mirna, Mark en Gerard thanx..! Ook mijn manager Willy wil ik bedanken voor het feit dat ik aanwezig mocht zijn bij het twee- wekelijkse afdelingsoverleg en de mogelijkheid om tijdens het overleg te kunnen vertellen waar ik mee bezig was. En natuurlijk al mijn collega’s binnen de afdeling. Tot slot, van dit toch altijd weer veel te lange dankwoord, wil ik mijn begeleiders John Simons en Jan Valens bij de Rijksuniversiteit Groningen bedanken voor hun opbouwende kritiek op mijn onderzoek. De kritiek heb ik erg gewaardeerd omdat het mij zo nu en dan ook weer in het juiste spoor trok. Ook de vrijheid die ik van hun kreeg heb ik als erg fijn ervaren.

Ik hoop dat u als lezer dit rapport met plezier en interesse zult gaan lezen.

Dick Welfing, Groningen, 26 februari 2004

Maart 2004 MIMIS

TNO Confidentieel 12/65

Management Samenvatting

Dit rapport beschrijft een onderzoek dat van augustus 2003 tot en met februari 2004 is uitgevoerd bij TNO Telecom in Groningen over de ontwikkeling van een implementatie- methodiek voor informatiebeveiliging met behulp van de CIB. Het onderzoek is uitgevoerd in de vorm van een afstudeeronderzoek door een bedrijfskundestudent van de Rijksuni- versiteit Groningen

CIB staat voor de Code voor Informatiebeveiliging en bestaat uit twee delen. Deel 1 is gevuld met concrete controls voor informatiebeveiliging en deel 2 bevat de specificatie voor een managementsysteem voor informatiebeveiliging (ISMS - Information Security Management System) Deze specificatie bestaat uit eisen waaraan een ISMS moet vol- doen. De methodiek richt zich op deel 2: het ISMS.

Vanaf 1999 heeft KPN TNO Telecom (toen nog KPN Research) in verschillende trajecten gevraagd te adviseren bij het implementeren van CIB. Deze implementaties bij KPN- organisaties liepen in het verleden niet altijd vlekkeloos. Als een van de mogelijke oorza- ken is geïdentificeerd dat de kennis over organisaties binnen TNO Telecom niet toerei- kend is. Na deze constatering is het idee geopperd om een generieke organisatiespeci- fieke methodiek voor het opzetten van een ISMS te ontwikkelen.

De onderzoeksvraagstelling luidt:

“Waarom is (gezien vanuit de literatuur en de problemen bij TNO en haar klanten) juist een methodiek nodig om een ISMS te implementeren, hoe ziet deze methodiek er uit en hoe dient deze methodiek toegepast te worden bij een ISMS-implementatietraject?”

Allereerst moest een model gevonden worden aan de hand waarvan een goed beeld ten aanzien van de verschillende typen organisaties kon worden verkregen. Er is gekozen voor het 7S-model van McKinsey. Het 7S-model vormt de kapstok waaraan de methodiek is opgehangen.

De ontworpen methodiek is MIMIS genoemd en er is een gelijknamige tool ontwikkeld waarmee de toepassing van de methodiek kan worden geautomatiseerd.

Na het onderzoek kunnen de volgende conclusies kunnen getrokken:

• De CIB blijkt een uitstekend vertrekpunt voor de invulling van informatiebeveili- ging en de interesse van KPN voor de CIB is terecht.

• De oorspronkelijke doelstelling, het opleveren van een methodiek voor ISMS- implementatie, is gehaald.

• De methodiek kan worden toegepast bij de lopende CIB-certificeringstrajecten.

De volgende aanbevelingen kunnen worden gedaan:

• Het verdient de voorkeur om een interne test uit te voeren waarbij informatiebe- veiligingsexperts kritisch kijken naar de inhoud van de methodiek.

• Het verdient de voorkeur om een externe test uit te voeren waarbij TNO- consultants de inhoud van de methodiek tijdens het gebruik verbeteren.

• Een vervolgonderzoek naar het gebruik van de juiste bedrijfskundige theorieën is wenselijk, maar niet noodzakelijk.

Maart 2004 MIMIS

TNO Confidentieel 14/65

Lijst van afkortingen

BSI British Standardisation Institute

BU Business Unit

CIB Code voor Informatiebeveiliging (ook wel “de Code”) HRM Human Resource Management

IEC International Electrotechnical Commission ISMS Information Security Management System ISO International Standardisation Organisation

IT Informatie Technologie

KPN Koninklijke PTT Nederland

MIMIS Management Implementation Method for Information Security MS Managementsysteem

NEN Nederlandse Norm

NNI Nederlands Normalisatie-Instituut PDCA Plan-Do-Check-Act

R&D Research and Development

TNO Toegepast Natuurwetenschappelijk Onderzoek

TS Transmission Lines

1 Inleiding

Dit rapport is een beschrijving van het onderzoek dat van augustus 2003 tot en met fe- bruari 2004 is uitgevoerd bij TNO Telecom in Groningen. In dit eerste hoofdstuk wordt ingegaan op de achtergrond van het onderzoek, de organisatie van TNO en TNO Tele- com, de CIB-norm (Code voor Informatiebeveiliging) en het onderzoek.

1.1 Achtergrond

TNO Telecom is voortgekomen uit KPN Research, er is daarom van oudsher primair gericht op TNO’s grootste klant: KPN. Bij KPN Corporate, de strategische top van KPN, is in 2002 besloten om KPN-breed informatiebeveiliging in te voeren, aan de hand van de CIB-norm. De CIB is de Nederlandse vertaling van de British Standard 7799 (BS 7799).

De CIB bestaat uit twee delen. Deel 1 bestaat uit concrete controls, verdeeld in tien hoofdsecties, waarmee aan informatiebeveiliging invulling kan worden gegeven. Deel 2 is een beschrijving van de specificaties waar een managementsysteem voor informatiebe- veiliging het Information Security Management System (ISMS) aan moet voldoen. Deze specificatie van een ISMS bestaat uit eisen die zijn opgebouwd rond de Plan-Do-Check- Act-managementcyclus.

TNO Telecom heeft in het verleden geadviseerd in verschillende projecten die ten doel hadden de CIB te implementeren. Deze implementatie liep in het verleden niet geheel vlekkeloos. Er werd gesteld dat men niet een goed beeld heeft van de organisatie van de klant en hierdoor niet een organisatiespecifiek advies kan geven. Ook de CIB-norm bleek te globaal en men zocht naar een methodiek waarmee een CIB-implementatie in de prak- tijk beter zou gaan verlopen. Met name de oninzichtelijk wolk van verschillende typen organisaties bemoeilijkt de implementatie. TNO Telecom wil graag een methodiek die het globaal gedefinieerde ISMS implementeert in grote organisaties, waarbij de wolk inzichte- lijker moet worden.

Begin 2003 werd een afstudeeropdracht gedefinieerd voor een bedrijfskundestudent die invulling zou moeten geven aan de bovengenoemde methodiek. Deze is terug te vinden in bijlage A. Grafisch is de opdracht als volgt weer te geven:

Figuur 1: Grafische weergave van het probleem.

Om een beter beeld te krijgen van de situatie word in de volgende paragrafen dieper in gegaan op TNO, TNO Telecom en de CIB-norm.

Maart 2004 MIMIS

TNO Confidentieel 18/65

1.2 TNO

De Nederlandse organisatie voor Toegepast Natuurwetenschappelijk Onderzoek (TNO) is opgericht in 1932. Op 1 mei van dat jaar trad de TNO-wet in werking en op 10 mei werd het eerste bestuur geïnstalleerd. De wet die ten grondslag lag aan de vorming van TNO is gedateerd op 30 oktober 1930. TNO is opgericht om onderzoek toepasbaar te maken voor bedrijven en overheden. TNO heeft dan ook een onafhankelijke positie waarmee men objectieve, wetenschappelijk gefundeerde oordelen kan geven. Men heeft een vooraanstaande positie in de internationale wetenschap en ontwikkelt samen met onder andere universiteiten nieuwe kennis. TNO neemt ook deel aan een groot aantal projecten van het R&D-programma van de Europese Unie.

TNO maakt geen deel uit van het overheidsapparaat. TNO is een zelfstandige instelling met onder meer een eigen financieel beleid, personeelsbeleid, commercieel beleid, en- zovoorts. Zo kent TNO ook een eigen pensioenvoorziening. TNO heeft wel een nauwe relatie met de Nederlandse centrale overheid. TNO vervult een aantal maatschappelijke taken en ontvangt overheidsfinanciering om op verscheidene gebieden te kunnen inves- teren in nieuwe kennis en bij te dragen aan de oplossing van maatschappelijke proble- men. De overheidsfinanciering bedraagt circa 30% van de totale omzet.

De minister van Onderwijs, Cultuur en Wetenschappen is binnen het kabinet de aange- wezen verantwoordelijke voor TNO-aangelegenheden. Hij verschaft TNO de basisfinan- ciering, die bedoeld is voor kennisinvestering. Wanneer TNO op een specifiek voor een andere ministerie relevant gebied onderzoek verricht, dan dragen andere ministeries ook bij aan de financiering van TNO. Naast financiering voor kennisontwikkeling stelt de over- heid financiering beschikbaar voor enkele nauwkeurig omschreven taken die TNO zijn opgedragen. Het gaat hierbij om financiering voor het defensieonderzoek en financiering voor het beheer en het beschikbaar stellen van gegevens betreffende de Nederlandse ondergrond (geo-informatie). De overheidsfinanciering wordt voor een periode van vier jaar vastgesteld op basis van het eens in de vier jaar uit te brengen strategisch plan van TNO.

TNO fungeert dus als een kennisorganisatie voor bedrijven, overheden maar ook maat- schappelijke organisaties en telt meer dan 5400 medewerkers. Omdat innovatie van le- vensbelang is, zowel voor bedrijven en overheden als voor de economische ontwikkeling van Nederland is TNO onmisbaar in de moderne Nederlandse economie. De werkzaam- heden van TNO vallen uiteen in een aantal hoofdgroepen (dit geldt in het algemeen voor alle disciplines):

• contractresearch

• het geven van specialistische advisering

• het verlenen van licenties op octrooien en specialistische software

• het testen en certificeren producten en diensten

• het geven van een onafhankelijk kwaliteitsoordeel

Naast de, bij wet opgerichte, publiekrechtelijke organisatie TNO is er nog de holding- maatschappij TNO Management BV. Deze richt nieuwe bedrijven op om innovaties naar de markt te brengen die anders onbenut zouden blijven. Enkele voorbeelden voor TNO Telecom zijn: www.ypca.nl, www.klipping.nl en www.sping.nl.

TNO concentreert zich op vijf kerngebieden waarbinnen alle verschillende disciplines van TNO vallen. Deze vijf kerngebieden zijn:

1. Kwaliteit van leven

2. Defensie en maatschappelijke veiligheid

3. Geavanceerde producten, processen en systemen

4. Duurzaam ruimtegebruik en milieu 5. ICT en diensten

1.2.1 Kerngebied ICT en diensten

ICT en diensten is het vijfde kerngebied waar TNO Telecom binnen valt. TNO biedt inno- vatieve toepassingen op het gebied van bedrijfsprocessen en informatiemanagement.

Daarnaast bezit TNO veel kennis over informatiebeveiliging - zoals risicoanalyses, en- cryptie en gegevensbescherming. Er is bovendien veel expertise aanwezig op het gebied van e-learning en het gedrag van gebruikers van software. Zo heeft TNO een testfaciliteit voor de gebruiksvriendelijkheid van Internetsites. Ook op gebieden als infrastructuren, netwerken, embedded systems en het ontwerpen van hardware kan TNO uitkomst bie- den. Tenslotte test, evalueert en certificeert TNO als onafhankelijke partij ICT-producten en -diensten. De instituten die producten en diensten leveren op het terrein van ICT en diensten zijn:

• TNO Fysisch en Elektronisch Laboratorium

• TNO Strategie, Technologie en Beleid

• TNO Technische Menskunde

• TNO Telecom

• TNO TPD

Het businesscentrum TNO Multimedia en telecommunicatie bundelt de expertise van de verschillende TNO-instituten op deze twee gebieden, waarbij certificeren een dienst is van TNO Certification.

1.2.2 TNO Telecom

TNO Telecom is één van de vijftien instituten van TNO en rapporteert aan de Raad van Bestuur van TNO. TNO Telecom is een jonge organisatie waarvan de gemiddelde leeftijd van de 350 medewerkers ligt rond de 29 jaar. TNO Telecom bestaat uit twee vestigingen:

een in Delft en een in Groningen. Medewerkers werken in zogenaamde 'dedicated teams' die samen het hele traject van idee tot marktintroductie bestrijken. Zo zijn er teams die zich voornamelijk richten op innovaties, kennisopbouw en consultancy, en teams die veelal in samenwerking met externe partners, innovaties omzetten in een nieuw product of nieuwe dienst. De speerpunten zijn Mobiel, Vast en Data/IP. Er wordt samengewerkt met opdrachtgevers; de divisies van KPN en externe partners, zoals nationaal en interna- tionaal toonaangevende instituten, operators, universiteiten, en collega-R&D labs.

Volgens een citaat van de eigen website typeert TNO Telecom zichzelf als:

"...het centrum van innovatie en de plaats waar markt en technologie elkaar ontmoeten."

1.3 De Code voor Informatiebeveiliging (CIB)

CIB staat in dit geval niet voor 'Chronische Inflammatoire Bindweefselziekten' www.cibliga.com, of 'Centrum voor Interfarmaceutische Diensten in België' www.cib- pharma.be. CIB staat voor Code voor Informatiebeveiliging, waarbij informatiebeveiliging binnen de CIB-norm wordt gedefinieerd als:

“…het behoud van vertrouwelijkheid, integriteit en beschikbaarheid van informatie.”

Maart 2004 MIMIS

TNO Confidentieel 20/65

De code voor informatiebeveiliging: 2000 (CIB:2000) bestaat uit twee delen, namelijk;

Deel 1: Code voor Informatiebeveiliging;

Deel 2: Specificatie voor managementsystemen voor informatiebeveiliging Eigenaren van de norm zijn het Ministerie van Economische Zaken, het Ministerie van Verkeer en Waterstaat en het Nederlands Normalisatie-Instituut (NNI). Bij deze laatste ligt ook het copyright.

1.3.1 Doel van de CIB

Het doel van de beveiligingscode is het creëren van een algemene richtlijn voor bedrijven wat betreft de ontwikkeling, implementatie en beoordeling van effectief informatiebeveili- gingsbeheer om zodoende zekerheid te scheppen bij het zaken doen tussen bedrijven onderling.

1.3.2 Geschiedenis

In 1993 hebben onder voorzitterschap van het Britse Ministerie van Handel en Industrie een aantal vooraanstaande Engelse bedrijven (onder andere British Telecom, Shell In- ternational Petroleum Company en Unilever) en het British Standards Institution (BSI) samengewerkt aan de ontwikkeling van een beveiligingsrichtlijn. De beveiligingsrichtlijn is vervolgens in Engeland geïntroduceerd onder de naam "Code of Practice for Information Security Management".

De huidige CIB:2000-norm is gebaseerd op deze Britse norm BS 7799:1999 die bindend is op het moment wanneer door onduidelijkheden of onjuistheden de CIB:2000-norm tekort schiet. Deze uiteindelijke Nederlandse versie is in 1995 tot stand gekomen door de Engelstalige beveiligingsrichtlijn te vertalen op initiatief van een aantal grote Nederlandse bedrijven en instanties (onder andere de Nederlandse Philips Bedrijven, TNT Post Groep, Shell Nederland, Unilever, KEMA en de Nederlandse Vereniging van Banken). Het initia- tief stond onder toezicht van de NEN normcommissie ondersteund door het Ministerie van Economische Zaken, het Ministerie van Verkeer en Waterstaat en de Nederlandse Vereniging van Banken. Inmiddels kunnen bedrijven in Nederland zich op basis van de CIB laten certificeren door de KEMA of KPMG waarna een certificaat uitgereikt kan wor- den.

1.3.3 Huidige versies

Deel 1 is uitgekomen als een ISO-norm onder de naam ISO/IEC 17799:2000. De meest gebruikte versie van deel 2 is de BS 7799-2:2002. Deze twee documenten zijn leidend als het gaat om informatiebeveiliging. Het Nederlandse bedrijfsleven noemt de twee do- cumenten samen, enigszins onterecht, de CIB. De echte CIB is slechts de vertaling van de BS 7799 (deel 1 en 2) uit 1999, maar omdat de huidige versies uiteindelijk vertaald worden in het Nederlands en toch zullen verschijnen onder de naam CIB, heeft men er voor gekozen om de CIB-benaming te handhaven.

1.3.4 Steun voor de CIB

De CIB heeft veel aandacht gekregen van grote bedrijven en industriële concerns werle- dwijd. Naast de eerder genoemde bedrijven uit Engeland en Nederland hebben ook veel andere bedrijven hun steun uitgesproken voor de standaard. Een aantal andere bedrijven onderzoekt of zij de CIB ook als standaard gaan overnemen. Bovendien beveelt de Eu- ropese Commissie de ISO-standaard aan als methode voor de beveiliging van informa- tiesystemen.

1.3.5 CIB Deel 1

Zoals gezegd bestaat de CIB uit twee delen, waarbij het eerste deel zich meer concen- treert op de concrete invulling van de CIB op operationeel niveau. Globaal worden in Deel 1 de volgende tien hoofdsecties onderscheiden:

1. Beveiligingsbeleid

2. Organisatie van de beveiliging

3. Classificatie en beheer van de bedrijfsmiddelen 4. Personeel

5. Fysieke beveiliging en omgeving 6. Computer- en netwerkbeheer 7. Toegangsbeveiliging

8. Ontwikkeling en onderhoud van systemen 9. Continuïteitsplanning

10. Toezicht

Per hoofdsectie worden, binnen een aantal relevante onderwerpen, op heel concreet niveau een aantal puntsgewijze controls weergegeven die men kan implementeren in een organisatie.

1.3.6 CIB Deel 2

Deel 2 zijn de specificaties waaraan een ISMS moet voldoen. In de BS 7799-2:2002 wordt een ISMS gedefinieerd als

“…that part of the overall management system, based on a business risk approach, to establish, implement, operate, monitor, review, maintain and

improve information security.”

CIB-Deel 2 en de BS 7799-2 behelzen de organisatie van informatiebeveiliging. Doelstel- ling is een managementkader te realiseren voor informatiebeveiliging. Men werkt met het PDCA-model om het ISMS vorm te kunnen geven binnen de organisatie. Zie figuur 2.

Figuur 2: Het PDCA-model in het ISMS (bron: BS 7799-2:2002).

Maart 2004 MIMIS

TNO Confidentieel 22/65

Een korte toelichting van de verschillende PDCA-stappen binnen de continue ontwikke- ling, het onderhoud en de verbetering van het ISMS:

• Plan Stel het ISMS vast.

Stel vast beveiligingsbeleid; beveiligingsdoelen; voor risk management relevante processen en procedures en verbeter informatiebeveiliging in overeenstemming met het algemene organisatiebrede beleid en doelen.

• Do Implementeer het ISMS en maak het operationeel.

Implementeer en operationaliseer het beveiligingsbeleid, de controls, processen en procedures.

• Check Monitor en herzie het ISMS.

Beoordeel (wanneer toepasbaar) gemeten procesperformance en vergelijk deze met beveiligingsbeleid, beveiligingsdoelstellingen en praktische ervaring en rap- porteer de resultaten aan het management.

• Act Onderhoud en verbeter het ISMS.

Neem corrigerende en preventieve acties gebaseerd op de resultaten van de managementreview om zo continue verbetering van het ISMS te bereiken.

De specificatie voor een ISMS bestaat dus uit eisen die kort, puntsgewijs, veelomvattend, krachtig en in duidelijke, informatieve bewoordingen in een aantal paragrafen weergeeft hoe een ISMS kan worden opgezet. Hier wordt op getoetst wanneer het tot een daad- werkelijke certificatie komt.

Deel 2 van de BS 7799:2002 (BS 7799-2:2002) is als volgt opgebouwd:

Hoofdstuk 0 Introductie Hoofdstuk 1 Scope

Hoofdstuk 2 Referenties met andere documenten Hoofdstuk 3 Termen en definities

Hoofdstuk 4 Het ISMS

Hoofdstuk 5 Managementverantwoordelijkheid Hoofdstuk 6 Managementreview van het ISMS Hoofdstuk 7 ISMS verbetering

Met name hoofdstuk vier is essentieel voor het opzetten van een ISMS. Hoofdstuk vier bestaat uit de belangrijkste eisen waarop een ISMS wordt gecertificeerd. De hoofdstuk- ken vijf, zes en zeven gaan in op specifieke, ondersteunende onderdelen van het ISMS.

Tot slot zijn in de bijlagen van de BS 7799-2:2002 de controls (uit deel 1) samengevat, is er een ‘guidance on use’ opgenomen en worden overlappingen tussen de ISO

9001:2000, ISO 14001:1996 en de OECD principles aangegeven.

De complete set van eisen uit hoofdstuk 4 is weergegeven in bijlage B Dit vormt de be- langrijkste beschrijving van hoe men een ISMS opzet.

1.4 Het onderzoek

Samengevat wil KPN organisatiebreed doen aan informatiebeveiliging en heeft men er- voor gekozen om CIB in te voeren. TNO Telecom is benaderd om KPN hierin van advies te voorzien. Echter bij TNO ontbreekt het aan een generieke, organisatiespecifieke tool waarmee een ISMS kan worden opgezet. TNO Telecom heeft moeite met de verschillend georganiseerde organisaties van de klant.

Men ziet zelf een mogelijke oplossing in de ontwikkeling van een methodiek waarmee de eerder genoemde problemen uit paragraaf 1.1 kunnen worden opgelost zodat het opzet- ten van een ISMS beter kan worden uitgevoerd dan voorheen. Het onderzoek richt zich op het ontwerpen van deze methodiek en zal worden uitgevoerd in de vorm van een af- studeeronderzoek van een bedrijfskundestudent van de Rijksuniversiteit Groningen met een informatiebeveiligingsexpert van TNO Telecom als directe begeleider.

2 Probleemanalyse

In dit tweede hoofdstuk wordt ingegaan op de aanleiding voor het onderzoek, een eerste probleemverkenning op basis waarvan een probleemstelling is te definiëren, de heersen- de problemen en relevante aspecten bekeken vanuit TNO Telecom, de klant en de litera- tuur. Daarna worden de samenhang en de relevantie van alle problemen bepaald en wordt verteld waarom er voor gekozen is om uiteindelijk een methodiek als oplossing te ontwerpen.

2.1 Aanleiding

De aanleiding voor dit onderzoek is onder te verdelen in een aantal aspecten. Allereerst de problemen die zich voordoen bij TNO Telecom en ten tweede de problemen bij de klanten van TNO Telecom. Als derde worden door experts in literatuur ontwikkelingen aangegeven die van toepassing zijn op CIB en informatiebeveiliging in het algemeen.

Daaruit blijkt dat informatiebeveiliging ‘hot’ is. Deze drie aspecten worden in dit onder- zoek de kijkrichtingen van het onderzoek genoemd. De drie kijkrichtingen zijn weergege- ven in de paragrafen 2.4, 2.5 en 2.6.

2.2 Eerste probleemverkenning

Om tot een probleemstelling te komen is een eerste verkenning van de kijkrichtingen uitgevoerd. Door middel van een aantal interviews met TNO-consultants die in eerdere stadia consultancyprojecten hebben gedaan bij KPN ten aanzien van CIB-implementatie en het lezen van verslagen van dergelijke implementatietrajecten is een goede indruk verkregen van de problemen die spelen bij zowel de klant als bij TNO Telecom. Door een tiental relevante artikelen te lezen werd een groter inzicht verkregen in de problematiek en de overige aspecten en trends op informatiebeveiligingsgebied en kon de problema- tiek in een groter geheel geplaatst worden. Een kort overzicht van problemen ten aanzien van een ISMS-implementatie en relevante aspecten van informatiebeveiliging in het al- gemeen, die naar voren kwamen naar aanleiding van oriënterende interviews en een eerste literatuurstudie:

Problemen vanuit TNO Telecom:

• TNO Telecom vindt de specificaties voor een ISMS uit de BS 7799-2:2002 te globaal gedefinieerd.

• Het ontbreekt TNO Telecom aan bedrijfskundige kennis, zodat een ISMS- implementatie in verschillende organisatievormen stroef verloopt.

• TNO Telecom heeft niet een middel om het generieke deel, wat bij elke imple- mentatie terugkomt, te ondervangen.

Problemen bij de klant:

• Het ontbreekt bij de klant vaak aan brede ondersteuning ten aanzien van de im- plementatie; (management)commitment.

• Het ontbreekt de klant aan motivatoren.

• Het ontbreekt de klant aan securityawareness.

Maart 2004 MIMIS

TNO Confidentieel 26/65

Vanuit de literatuur:

• Ondernemingen zijn voor hun strategische doelstelling steeds vaker aangewezen op hun informatievoorziening [Spruit2000].

• De indruk bestaat dat informatiebeveiliging niet voldoende aandacht krijgt [Over- beek2002-2].

• CIB is een uitstekend vertrekpunt voor het inrichten van een informatiebeveili- gings-proces [Roos2000].

• CIB-certificatie maakt de kwaliteit en aandacht voor informatiebeveiliging zicht- baar [Roos2000].

• CIB-certificatie is een eenvoudig maar krachtig managementinstrument [Roos2000].

2.3 Probleemstelling

Naar aanleiding van een eerste probleemverkenning binnen de drie kijkrichtingen werd de volgende probleemstelling gedefinieerd. De probleemstelling bestaat uit een busi- nessdoelstelling, een onderzoeksvraagstelling met deelvragen en randvoorwaarden waar het onderzoeksproduct en onderzoeksproces aan moeten voldoen. Vervolgens volgt de afbakening die logisch volgt uit de randvoorwaarden.

2.3.1 Businessdoelstelling

De businessdoelstelling is de doelstelling die naar aanleiding van de afstudeeropdracht- omschrijving in overleg met TNO Telecom is geformuleerd.

2.3.2 Onderzoeksvraagstelling

De onderzoeksvraagstelling staat centraal in het onderzoek en is een veelomvattende zin die ook te splitsen is in drie hoofdvragen die weer gespecificeerd zijn in deelvragen.

TNO Telecom wil professioneel advies geven over de wijze waarop informatiebeveiliging binnen verschillende grote organisatievormen ingestoken kan worden en wil dat hiervoor een methodiek wordt opgeleverd waarmee men een ISMS kan implementeren.

In één volzin:

Waarom is (gezien vanuit de literatuur en de problemen bij TNO en haar klanten) juist een methodiek nodig om een ISMS te implementeren, hoe ziet deze methodiek er uit en hoe dient deze methodiek toegepast te worden bij een ISMS-implementatietraject?

Of in drie vragen:

1. Waarom is (gezien vanuit de literatuur en de problemen bij TNO en haar klanten) juist een methodiek nodig om een ISMS te implementeren?

2. Hoe ziet deze methodiek er uit?

3. Hoe dient deze methodiek toegepast te worden bij een ISMS-implementatietraject?

Naar aanleiding van vraag 1:

Deelvraag 1: Wat is de samenhang en de relevantie van de problemen en aspecten?

Deelvraag 2: Waarom een methodiek?

Naar aanleiding van vraag 2:

Deelvraag 3: Wat is een goede view op organisaties?

Deelvraag 4: Wat is de structuur van de methodiek?

Deelvraag 5: Hoe moet de methodiek gebouwd worden?

Naar aanleiding van vraag 3:

Deelvraag 6: Hoe moet de methodiek worden gebruikt?

Deelvraag 7: Wie moet de methodiek hoe toepassen?

2.3.3 Randvoorwaarden

Binnen de randvoorden is een tweedeling te maken. Namelijk productrandvoorwaarden die iets zeggen over de voorwaarden waaraan het onderzoeksproduct (de op te leveren methodiek) moet voldoen, terwijl de procesrandvoorwaarden ingaan op de randvoor- waarden van het onderzoeksproces om tot een onderzoeksproduct te komen.

De productrandvoorwaarden zijn tot stand gekomen tijdens diverse interviews met de opstellers van de afstudeeropdracht (ir. Richard Kerkdijk en ir. Frank Fransen), de afstu- deerbegeleider (drs. Pieter van der Wulp) en TNO-consultants (Rieks Joosten en drs.

Thomas van Noort) die in eerdere stadia CIB hebben geprobeerd in te voeren bij de klant. Ook opmerkingen naar aanleiding van een eerste presentatie tijdens een afde- lingsoverleg zijn hierin meegenomen. De procesrandvoorwaarden zijn door de onderzoe- ker vastgesteld om de verschillende partijen, TNO Telecom en de Rijksuniversiteit Gro- ningen op de hoogte te houden.

De randvoorwaarden zullen steeds als basis dienen voor het vaststellen van ontwerpcri- teria tijdens de ontwerpfase.

Verderop in dit rapport wordt herhaaldelijk aangegeven dat er overleg plaatsvindt met TNO Telecom. Dit heeft plaats gevonden tijdens het wekelijkse overleg met de afstudeer- begeleider en tijdens vergaderingen, presentaties en interviews met TNO-consultants en andere belanghebbenden.

2.3.4 Afbakening

Om niet te verzanden in grote hoeveelheden werk en toch een kwalitatief goed onder- zoek te kunnen doen en een goed product op te kunnen leveren, is een goede afbake- ning van belang. In overleg met TNO Telecom is gekomen tot de volgende afbakening.

• De methodiek dient te worden ontworpen voor de organisaties van de huidige klanten en potentiële klanten. Dit zijn grote organisaties waarvoor IT een grote rol speelt.

• De methodiek wordt ontworpen en gebouwd, het daadwerkelijke invoeren en uit- gebreid testen behoort niet tot het onderzoek.

• De methodiek concentreert zich alleen op hoofdstuk 4 van de BS 7799-2:2002.

In de afstudeeropdrachtomschrijving is duidelijk aangegeven dat de methodiek ontwor- pen dient te worden voor grote organisaties. Specifieke karakteristieken van kleine orga-

Productrandvoorwaarden

1. De methodiek mag niet in plaats van de specificaties van een ISMS worden gebruikt, moet maar juist een aanvulling zijn op deze specificaties.

2. De methodiek moet relatief eenvoudig (zonder het hebben van veel bedrijfskundige kennis) door niet bedrijfskundigen kunnen worden toegepast.

3. De methodiek moet ook werken voor niet-KPN klanten.

4. De methodiek moet statisch en dynamisch consistent zijn.

5. De methodiek moet eenvoudig te onderhouden zijn.

Procesrandvoorwaarden

1. Gedurende de opdracht wordt er intensief gecommuniceerd met eindgebruikers en be- langhebbenden.

2. De begeleiding vanuit de universiteit en TNO wordt periodiek op de hoogte gehouden van de voortgang van de opdracht (de universiteit twee à drie wekelijks en TNO Telecom wekelijks).

3. De voortgang van de ontwikkeling van de methodiek en de vorming van het eindrapport is zichtbaar op de netwerkschijf van de afdeling.

Maart 2004 MIMIS

TNO Confidentieel 28/65

nisaties worden dan ook niet meegenomen in het ontwerp van de methodiek. De metho- diek wordt, gezien de beperkte onderzoekstijd van zes maanden, alleen ontworpen en gebouwd. Het contact met klanten en de daadwerkelijke in gebruik name van de metho- diek wordt niet meegenomen. Verder concentreert de methodiek zich op hoofdstuk vier van de BS 7799-2:2002, omdat met name deze ISMS-eisen een organisatiespecifieke aanpak vergen. De eerste drie hoofdstukken vormen een inleiding en de hoofdstukken vijf, zes en zeven gaan in op specifieke, ondersteunende onderdelen van het ISMS. Deze hoofdstukken bevatten ook eisen waaraan het ISMS moet voldoen, maar ze zijn niet zo- zeer organisatiespecifiek. De hoofdstukken vijf, zes en zeven stellen meer eisen aan de ondersteunende processen dan aan het managementsysteem op zich.

2.4 Vanuit TNO Telecom

Vanuit deze eerste kijkrichting wordt de problematiek van TNO Telecom bekeken. TNO Telecom wil vanuit haar consultancyrol organisaties begeleiden die CIB willen implemen- teren. Implementatie blijkt moeilijk te zijn.

2.4.1 Het ontbreken van een tool

Informatiebeveiligingsconsultants van TNO Telecom stellen zelf dat het wellicht handig zou zijn als TNO Telecom beschikt over een soort tool waarmee men CIB kan implemen- teren in verschillende typen (grote) organisaties. Blijkbaar lukt het niet met alleen de CIB- norm en de specificatie voor een ISMS in de hand, maar is iets nodig wat de CIB-/ISMS- implementatie vergemakkelijkt. Een tool dus die past op de verschillende typen organisa- ties met al hun karakteristieken. TNO Telecom heeft zelf niet de benodigde bedrijfskundi- ge kennis in huis en wil graag dat met een bedrijfskundige blik kritisch naar dit probleem gekeken wordt. Het ontbreken van de koppeling tussen de CIB, met daarbinnen het ISMS, enerzijds en anderzijds de verschillende typen organisaties is het daadwerkelijke probleem van TNO Telecom.

2.4.2 Conclusie

De problemen bij TNO Telecom ten aanzien van het opzetten van een ISMS bij de klant zijn als volgt samen te vatten. TNO Telecom blijkt grote moeite te hebben om variaties in organisaties bij de klant op te vangen door een gebrek aan bedrijfskundige kennis. De implementatie kan men om deze reden niet organisatiespecifiek inrichten. Bijvoorbeeld wanneer een klant relaties heeft met externe partners (outsourcing). Daar komt bij dat de verschillende KPN-divisies qua organisatiestructuur sterk op elkaar lijken. Bepaalde eer- ste stappen uit de verschillende implementatietrajecten komen hierdoor sterk overeen.

TNO Telecom heeft echter niet iets voorhanden wat het overeenkomende deel opvangt zodat niet steeds het wiel opnieuw moet worden uitgevonden.

2.5 Vanuit de klant

Zoals eerder werd aangegeven, komt TNO Telecom voort uit KPN Research. Vandaar dat KPN de grootste klant is. Immers tachtig procent van alle consultancyopdrachten wordt uitgevoerd bij KPN. Ook heeft TNO Telecom, toen als KPN Research, een aantal CIB-projecten uitgevoerd met wisselende resultaten. In deze tweede kijkrichting volgt een overzicht van drie organisaties binnen KPN waar geprobeerd is CIB in te voeren.

2.5.1 SatCom

De eerst KPN-organisatie waar men een Security Policy (CIB was toen nog redelijk on- bekend) wilde opzetten was SatCom. Dit speelde in 1999. SatCom is een KPN-bedrijf dat zich bezighield met satellietcommunicatie. In 1999 was CIB in ontwikkeling en gaande weg dit project werd alles onder de CIB-noemer geschoven. Vandaar dat dit een van de

eerste CIB-projecten zou zijn. Een aantal mensen van KPN Research werd op dit project gezet, maar het duurde niet lang of men zag er van af om CIB in te voeren bij SatCom.

De belangrijkste reden was dat op hoog managementniveau de beschrijving van proces- sen niet overeen kwam met procesbeschrijvingen op lagere niveaus. Dat zijn problemen die op te lossen zijn met een kwaliteitssysteem zoals ISO 9000. De eindconclusie was dan ook dan men bij SatCom eerst maar eens moest weten waar men over sprak voordat überhaupt aan Security gedacht kon worden. CIB belandde in de la omdat men geen idee had wat men er mee aan moest.

2.5.2 Epacity

De tweede organisatie is Epacity. Ook weer KPN. Dit is een bedrijf die voor grote, mid- delgrote en kleine bedrijven VPN’s (Virtual Private Networks) realiseert. Zoals de naam

‘private’ ook al suggereert is informatiebeveiliging hier een hot issue. Ook hier is begin 2001 geprobeerd CIB in te voeren. Inmiddels was CIB gangbaar en de Raad van Bestuur van KPN had besloten dat CIB KPN-breed ingevoerd diende te worden. De stafafdeling KPN Security kon hierbij assisteren. KPN Research werd op deze klus gezet.

Ook hier kwamen een aantal problemen naar voren. Met de Security-bril op werd niet genoeg naar de business gekeken (oftewel, wat levert Security op voor de business?) Er is altijd een cash-outeffect, beveiliging kost nou eenmaal geld. Er moet dus een voordeel tegenover staan wil men commitment krijgen vanuit het hogere management. En dan kan het weliswaar opgedragen zijn door de Raad van Bestuur, zolang het niet concreet iets oplevert is de prioriteit laag ondanks het feit dat men het belangrijk vindt. Zo lang de bu- siness het belang van informatiebeveiliging niet ziet, vindt goede informatiebeveiliging niet plaats. Het management wordt niet afgerekend op de mate van informatiebeveiliging.

Pas wanneer informatiebeveiliging linken heeft met de te behalen targets van het mana- gement, dan gebeurt er wat. Zo kan het management afgerekend worden daadwerkelijke incidenten ten aanzien van informatiebeveiliging. Concreet: wanneer het eens mis gaat, of wanneer de klanttevredenheid afneemt door een gebrek aan informatiebeveiliging. Of nog beter; wanneer de invoering van informatiebeveiliging een target is geworden. Dit voorgaande speelde onder andere bij Epacity. Wat voor SatCom gold, geldt ook voor Epacity; men kende de eigen organisatie niet, waardoor het heel moeilijk is om CIB te implementeren.

2.5.3 BU-Transmission Services

De derde organisatie is de Business Unit Transmission Services (BU-TS) van KPN. BU- TS houdt zich bezig met het leveren van verbindingen voor bedrijven (leased lines).

TNO’s consultancyrol bij BU-TS ten aanzien van CIB is nog steeds actueel. TNO kiest hier nadrukkelijk voor een andere insteek waarbij meer de nadruk wordt gelegd op de business, dus wat het voordeel is voor de organisatie. Zo wordt voor elk voorstel bekeken hoeveel geld de invoering van de betreffende CIB-control oplevert en hoeveel de consul- tancyinspanning van TNO kost.

2.5.4 Conclusie

Naast deze drie CIB-trajecten wordt in interne KPN- en TNO-rapporten [Kerkdijk2002]

melding gemaakt van een aantal problemen die ook in de voorgaande trajecten al naar voren kwamen. Deze problemen en de problemen bij de drie eerder genoemde klanten levert de volgende lijst op:

1. Het ontbreekt vaak aan managementcommitment waardoor onvoldoende resour- ces worden vrijgemaakt. Dit komt voort uit een gebrek aan security awareness.

2. Toezeggingen aan klanten met betrekking tot CIB en of CIB-certificatie worden vaak niet afgestemd met de Business Lines.

Maart 2004 MIMIS

TNO Confidentieel 30/65

3. Het ontbreekt bedrijfsonderdelen die met de CIB willen gaan werken aan een startpunt.

4. Bij de bedrijfsonderdelen is vaak niet bekend wat de samenhang is tussen het beveiligingsbeleid van KPN (Security) en de CIB.

5. Het ontbreekt de bedrijfsonderdelen vaak aan benodigde CIB-expertise en infor- matiebeveiliging in algemene zin. Bovendien is vaak niet helder waar dergelijke expertise binnen KPN wel beschikbaar is.

6. Daarnaast speelt het feit dat slechts op basis van klanteisen initiatieven worden ontplooid om CIB implementaties te starten. Kennelijk ontbreekt het aan motiva- toren om ook beveiliging van de interne bedrijfsvoering op deze wijze in te rich- ten.

Figuur 3: …Gebrek aan security awareness bij het management.

2.6 Vanuit de literatuur

De derde kijkrichting is die vanuit de literatuur. In een tiental recente artikelen over infor- matiebeveiliging in het algemeen en de CIB in het bijzonder komen steeds de volgende onderwerpen naar voren:

• informatiebeveiliging als ‘businessenabler’

• implementatie van de CIB

• certificatie van de CIB

• informatiebeveiliging als proces

• management van informatiebeveiliging

• trends

2.6.1 Informatiebeveiliging als ‘businessenabler’

Een trend van de laatste tijd is dat organisaties informatiebeveiliging steeds meer zien als een businessenabler en dat is inmiddels doorgedrongen tot het hoogste niveau binnen organisaties [edp.nl2003]. Dat houdt concreet in dat men op strategisch niveau met in- formatiebeveiliging een mogelijkheid ziet om ‘business te maken’, dus geld te verdienen of juist te besparen. Daar komt bij dat ondernemingen voor het realiseren van hun strate- gische doelstellingen steeds meer afhankelijk worden van hun informatievoorziening [Spruit2000].

Hierbij fungeert de markt bij de ontwikkeling van het vakgebied informatiebeveiliging als een drijvende kracht [Roos2000]. Een concreet voorbeeld hierbij is dat de gereedmaking

van een organisatie voor certificering aan de CIB vaak gezien wordt als een vorm van het benutten van concurrentievoordeel [edp.nl2003]. Zo kan een organisatie die een deel van haar IT-omgeving wil uitbesteden, steeds vaker de eis stellen dat de partij aan wie outsourcing kan plaats gaan vinden, gecertificeerd is aan de CIB voor Informatiebeveili- ging [edp.nl2003].

Wanneer beveiliging dan daadwerkelijk op strategisch niveau gepositioneerd wordt, om (onder meer) invulling te geven aan beveiliging als businessenabler, wordt er gesproken van Security Governance. Met Security Governance wordt dan aangeduid dat;

1. beveiliging toegevoegde waarde moet leveren aan bedrijfsdoelstellingen;

2. dat onderliggende risico’s moeten worden gemanaged 3. en dat de overall performance moet worden gemeten.

[edp.nl2003]

2.6.2 Implementatie van de CIB

Er zit toekomst in de CIB door de steeds groter en belangrijker wordende stroom van informatie en de daarbij behorende groeiende vraag vanuit de markt naar informatiebe- veiliging. De opmars van met name e-business zal het gebruik van managementstan- daarden als de CIB een krachtige impuls geven omdat spelers in de nieuwe economie steeds sterker afhankelijk worden van de betrouwbaarheid van de beschikbaarheid van hun zakenpartners [Roos2000]. Daar komt bij dat informatiebeveiliging nog volop in ont- wikkeling is. De CIB is een van de weinige systematische, gestructureerde standaarden die invulling geeft aan informatiebeveiliging. De CIB is dus, als verzameling van ‘best practices’, een uitstekend vertrekpunt voor het inrichten van de informatiebeveiliging bin- nen en tussen organisaties [Roos2000].

De daadwerkelijke implementatie blijkt voor nogal wat problemen te zorgen. Dit bleek ook al uit eerdere CIB-trajecten binnen KPN. Naast de eerder aangestipte problemen hangt de snelheid van implementatie samen met de prioriteitstelling en het veranderingsvermo- gen van de organisatie [Roos2000].

2.6.3 Certificatie van de CIB

Betekent een CIB-certificaat dat er geen informatiebeveiligingsincidenten plaats kunnen vinden? Uiteraard niet: de CIB wordt als basisset voor beveiligingsmaatregelen gebruikt [Overbeek1999], maar een certificaat is nog geen garantie dat een organisatie vrij is van informatiebeveiligingsincidenten. Integendeel, het certificaat is alles behalve een veilig- heidsgarantie; het geeft aan dat de organisatie een minimumniveau aan maatregelen getroffen heeft [Roos2001]. Roos Lindgreen geeft in zijn artikel Informatiebeveiliging als beheerst proces [Roos2000] al aan dat het grootste deel van de incidenten niet door hac- kers wordt veroorzaakt, maar door de eigen medewerkers in omgang met gebrekkige techniek. Dus gevrijwaard van incidenten door CIB-certificatie is men nooit!

Het certificaat wordt veelal ook met een ander doel ingezet. Zo willen veel organisaties door middel van een certificaat de kwaliteit en aandacht voor informatiebeveiliging zicht- baar maken [Roos2000]. Verder is certificatie een eenvoudig maar krachtig management- instrument tussen bedrijfsonderdelen die bijvoorbeeld een gemeenschappelijke IT- infrastructuur delen [Roos2000].

2.6.4 Informatiebeveiliging als proces

De literatuur is het er wel over eens: een succesvolle implementatie van informatiebeveili- ging komt het best tot z’n recht als het tezamen met andere ondersteunende processen geïntegreerd is in de primaire bedrijfsprocessen [Spruit2000]. Daarbij zou niet de norm het uitgangspunt voor de opbouw van het systeem moeten zijn, maar het eigen bedrijfs-

Maart 2004 MIMIS

TNO Confidentieel 32/65

proces [Roos2001]. Een goede inpassing van het informatiebeveiligingsproces in de be- staande primaire bedrijfsprocessen is dus cruciaal.

2.6.5 Management van informatiebeveiliging

Doordat (IT-georiënteerde) organisaties in een steeds toenemende mate afhankelijk wor- den van informatietechnologie is er een stijgende behoefte bij het management aan in- strumenten [Roos2001]. Immers concrete beveiligingsmaatregelen op operationeel ni- veau vergen ook een gestructureerde aansturing vanuit het tactische niveau. Blijkbaar is het niet de techniek, maar het inrichten van een duurzaam beheerst informatiebeveili- gingsproces wat de laatste tijd centraal staat [Roos2001]. Daarbij lijken de maatregelen op organisatorisch niveau uit te groeien tot het zwaartepunt van het vakgebied

[Roos2000]. Certificatie is in dit licht dan ook een eenvoudig en krachtig managementin- strument.

2.6.6 Trends in informatiebeveiliging

In diverse artikelen over de moderne informatiebeveiliging worden een aantal trends ge- constateerd. Zo onderscheidden Roos Lindgreen en Overbeek [Roos2000] al een aantal trends op macro-economisch niveau;

• er is een verschuiving van productie naar dienstverlening;

• informatie is dominant als productiefactor;

• het ontstaan van nieuwe economische netwerkstructuren;

• de opmars van e-business.

In de ‘moderne wereld’ is informatie van steeds groter belang. Men is ook steeds afhan- kelijker van informatie. Met name de laatste trend, de opmars van e-business, waarbij de gehele transactie digitaal via het Internet plaats vindt is informatiebeveiliging cruciaal.

Genoeg reden voor het Engelse Department of Trade and Industry en KPMG om in dat zelfde jaar te kijken naar trends binnen informatiebeveiliging [Overbeek2000-2]. Want als informatiebeveiliging dan zo belangrijk is, hoe is het dan gesteld met informatiebeveili- ging? Twaalf trends:

1. Organisaties hebben steeds meer moeite het snel groeiende aantal externe net- werkverbindingen te beheersen.

2. De indruk bestaat dat informatiebeveiliging in nieuwe toepassingen, zoals elec- tronic commerce, onvoldoende aandacht krijgt.

3. Voor wat betreft virussen en andere kwaadaardige software is het algemene beeld dat de doos van Pandora nog maar op een kier staat.

4. Het aantal organisaties met een Security manager en een (IT-)Security- managementproces is nog klein (14 procent), maar neemt wel snel toe.

5. Slechts 37 procent van alle organisaties maakt structureel gebruik van een risi- coanalyse.

6. In 14 procent van de bedrijven worden al penetratietests uitgevoerd, bij 20 pro- cent bestaan hiervoor plannen.

7. 15 procent van de organisaties ziet certificatie voor CIB als mogelijk doel.

8. Succesvolle informatiebeveiliging begint bij de top.

9. Er is een verbetering te constateren in de manier waarop organisaties met hun traditionele IT-risico’s omgaan.

10. In het bijzonder is er een verbetering te constateren in het werken vanuit beveili- gingsbeleid en beveiligingsplannen.

11. Tevens is er een verbetering in de afspraken over beveiliging in SLA’s (bijvoor- beeld in uitbestedingssituaties).

12. Van de grote bedrijven gebruikt nu (in 2000) ongeveer een kwart de Code. (Dat is een verbetering van 75 procent ten opzichte van 1998.)

2.6.7 Conclusie

De eindconclusies van deze kijkrichting zijn hieronder per paragraaf weer gegeven.

Informatiebeveiliging als ‘businessenabler’

• De markt fungeert bij de ontwikkeling van het vakgebied informatiebeveiliging als een drijvende kracht.

• Informatiebeveiliging als businessenabler is inmiddels doorgedrongen tot het hoogste niveau binnen organisaties.

• Ondernemingen zijn voor het realiseren van hun strategische doelstellingen steeds meer afhankelijk van hun informatievoorziening.

Implementatie van de CIB

• De opmars van e-business zal het gebruik van managementstandaarden als de CIB een krachtige impuls geven.

• De CIB is een uitstekend vertrekpunt voor het inrichten van de informatiebeveili- ging binnen en tussen organisaties.

• De snelheid van implementatie hangt samen met de prioriteitstelling en het ver- anderingsvermogen van de organisatie.

Certificatie van de CIB

• CIB-certificatie vrijwaart een organisatie nooit van informatiebeveiligingsinciden- ten.

• CIB-certificatie maakt de kwaliteit en aandacht voor informatiebeveiliging zicht- baar.

• CIB-certificatie is een eenvoudig maar krachtig managementinstrument.

Informatiebeveiliging als proces

• De eigen primaire bedrijfsprocessen dienen het uitgangspunt voor de opbouw van een informatiebeveiligingssysteem te zijn.

Management van informatiebeveiliging

• Er is een stijgende behoefte bij het management aan instrumenten.

• Op de maatregelen op organisatorisch niveau ligt de nadruk.

• CIB-certificatie is een eenvoudig maar krachtig managementinstrument.

Maart 2004 MIMIS

TNO Confidentieel 34/65

Trends in informatiebeveiliging

• Er is nog steeds aanleiding om informatiebeveiliging toe te passen.

• Informatiebeveiliging krijgt nog niet de aandacht die het verdient.

• Informatiebeveiligingsmangementprocessen zijn nog niet veel aanwezig, maar wel in ontwikkeling.

• Informatiebeveiliging moet op àlle niveaus worden ingevoerd.

• De CIB wordt meer en meer toegepast.

2.7 Samenhang en relevantie

Wanneer alle problemen en aspecten vanuit de drie kijkrichtingen samen worden geno- men, blijkt dat de problematiek bij TNO Telecom zeer relevant is omdat het op dit mo- ment ontbreekt aan een gestructureerde aanpak om te komen tot een goede ISMS- implementatie bij de klant. Het blijkt dat de klant een ISMS-implementatie zeer wenselijk acht omdat men waarde hecht aan informatiebeveiliging. (Dit geldt met name voor het strategisch niveau, op lagere niveaus ontbreekt het wel eens aan managementcommit- tent en security awareness bij de klant.) Ook vanuit de literatuur blijkt dat informatiebevei- liging actueel is. Informatiebeveiliging wordt vaak gezien als een proces waarmee men geld kan besparen en is een absolute noodzaak als men haar businessdoelen wil halen.

Verder wordt CIB-certificatie gezien als een krachtig managementinstrument om informa- tiebeveiliging te managen. Ook de in literatuur onderkende trends bevestigen het beeld dat de aandacht voor informatiebeveiliging terecht is.

Zo valt alles samen en blijkt dat informatiebeveiliging actueel en hot is en meer aandacht verdient. Verder blijkt dat de CIB een uitstekend vertrekpunt is om informatiebeveiliging vorm te kunnen geven, dat de interesse van KPN in de CIB terecht is en dat TNO Tele- com er goed aan doet een tool te ontwikkelen om bij KPN (en bij niet-KPN-klanten) infor- matiebeveiliging in te voeren op basis van de CIB.

2.8 Waarom een methodiek?

Uit de vorige paragraaf blijkt dat TNO Telecom terecht een tool wil om CIB te kunnen implementeren in de organisaties van haar klanten. TNO Telecom definieerde in de af- studeeropdrachtomschrijving de tool vanaf het begin al als een methodiek. Maar is een methodiek wel de beste oplossing om een ISMS te kunnen opzetten?

2.8.1 Alternatieven

Na diverse gesprekken met beveiligingsexperts van TNO Telecom kwam naar voren dat naast een methodiek, ook nog twee alternatieven zijn te bedenken om het ISMS-

implementatietraject te verbeteren. Zo kan een set van best practice-maatregelen worden opgesteld waarmee de specificaties voor een ISMS kunnen worden aangevuld. Daar- naast kunnen, als tweede alternatief, de ISMS-specificaties uit Deel 2 ook niet worden uitgebreid. Alle drie de mogelijkheden worden hieronder kort weergegeven.

Een set van best practice-maatregelen bestaat uit een hele lijst van maatregelen, ten aanzien van informatiebeveiliging, die zich in de loop van de tijd hebben bewezen. Met deze maatregelen zouden de ISMS-specificaties uit de BS 7799-2:2002 kunnen worden uitgebreid. Deze maatregelen zouden dan worden opgesteld door de onderzoeker door middel van literatuurstudie en interviews met informatiebeveiligingsexperts.

Een andere mogelijkheid is om de ISMS-specificaties niet uit te breiden. De nadruk zal dan vooral liggen op een nadere studie van de specificaties: werknemers dienen de ISMS-specificaties te bestuderen en eigen te maken. Per implementatietraject worden de specificaties bestudeerd en zo concreet mogelijk toegepast in het huidige CIB-traject. De

onderzoeker zou een studie kunnen uitvoeren naar hoe de specificaties het beste in een ISMS-implementatietraject kunnen worden toegepast.

De laatste mogelijkheid is om een generieke tool, in de vorm van een methodiek, te ont- wikkelen zodat het generieke deel wordt ondervangen. Deze methodiek zou de organisa- tie van de klant eerst moeten doorlichten om vervolgens een organisatiespecifiek advies te geven over hoe de ISMS-specificaties moeten worden toegepast. De vorm van het

‘doorlichten’ van de klantorganisatie en de uiteindelijke vorm van het advies zou tijdens het onderzoek nog moeten worden bepaald. Hierbij definieert de dikke Van Dale een methodiek als een “geheel van de te volgen methoden” en een methode als een “vaste weldoordachte manier van handelen om een bepaald doel te bereiken”. Het doorlichten van de organisatie is de eerste methode van de methodiek en de manier waarop het uiteindelijke advies gestructureerd wordt gepresenteerd zou de tweede methode kunnen zijn.

2.8.2 Keuze voor een methodiek

Vanuit de problemen en aspecten uit de paragrafen 2.4.2, 2.5.4 en 2.6.7 wordt in de drie volgende paragrafen gekeken naar drie invalshoeken, namelijk die van TNO Telecom, de klanten van TNO Telecom en vanuit de literatuur naar wat de beste invulling is voor de tool om een ISMS te implementeren.

2.8.3 Vanuit TNO Telecom

Uit onderzoek naar wat TNO Telecom wil, blijkt dat men een tool wil die variaties in de organisatie van klanten opvangt. Verder wil men, zoals men dat zelf zegt, het wiel niet steeds opnieuw uitvinden. Samengevat wil TNO Telecom een generieke, organisatiespe- cifieke tool waarmee men als TNO Telecom, vanuit haar consultancyrol, de ISMS- specificaties uit de Deel 2 van de BS 7799: 2002 kan toepassen in diverse CIB- implementatietrajecten bij de klant.

Een set van best practice-maatregelen lijkt niet te leiden tot een organisatiespecifieke tool omdat deze maatregelen op voorhand zijn bepaald en niet specifiek voor elke verschil- lende organisatie zijn opgesteld. Door de maatregelen continue te verbeteren zou dit wel kunnen leiden tot een zekere generieke werking van de set maatregelen. Dit omdat de uitwerking van maatregelen die steeds terugkomen kunnen worden vastgelegd en hier- door makkelijker kunnen worden uitgevoerd omdat men deze al eerder heeft toegepast.

Ook het niet uitbreiden of aanvullen van de ISMS-specificaties lijkt niet te leiden tot een organisatiespecifieke tool. De ISMS-specificaties uit Deel 2 zijn niet geschreven voor een specifieke organisatie en vragen per organisatietype een nadrukkelijk andere invulling.

Dit bleek al nadrukkelijk uit voorgaande projecten. Verder blijken de ISMS-specificaties beperkt generiek te werken wanneer de toepassing uitgebreid wordt vastgelegd en ge- raadpleegd in volgende trajecten. De indeling van de ISMS-specificaties leent zich daar niet ideaal voor.

Een methodiek lijkt de beste invulling te geven voor een generieke, organisatiespecifieke tool, omdat de eerste methode binnen de methodiek, het doorlichten van de organisatie van de klant, lijkt te leiden tot het goed op te kunnen vangen van de variaties in de orga- nisatie van de klant. Door gestructureerd te werken met een methode en de resultaten bij elk implementatietraject gestructureerd vast te leggen wordt ook voldaan aan de wens om in volgende implementatietrajecten niet steeds het wiel opnieuw uit te vinden.

Vanuit TNO Telecom is de methodiek de beste invulling van de generieke, organisatie- specifieke tool.

Maart 2004 MIMIS

TNO Confidentieel 36/65

2.8.4 Vanuit de klant

Uit onderzoek naar eerdere implementatietrajecten bij klanten van TNO Telecom blijkt onder andere dat bij het implementeren van een ISMS het ontbreekt aan management- commitment, dat men geen duidelijk startpunt heeft en dat het ontbreekt aan motivatoren om de interne bedrijfsvoering nadrukkelijk anders in te richten. Daarbij dient te worden opgemerkt dat, na gesproken te hebben met TNO-consultants die eerder waren betrok- ken bij CIB-implementatieprojecten, bleek dat managementcommitment en de motivatie om te veranderen sterk samenhangen met een duidelijk startpunt om informatiebeveili- ging vorm te geven: men is bereidwilliger en gemotiveerder om mee te werken wanneer een duidelijk startpunt is vastgesteld.

Een set van best practice-maatregelen werd door de beveiligingsexperts van TNO Tele- com niet als meest ideaal gezien omdat, in de ogen van managers in de organisatie van de klant, dit als ‘uit de lucht gegrepen’ kon worden gezien. Men heeft blijkbaar behoefte aan een gestructureerde aanpak waar men vertrouwen in kan hebben. Een ogenschijnlijk willekeurige set van best practice-maatregelen zal niet bijdragen aan het commitment van het hogere management van de organisatie. Men zal dit niet zien als een duidelijk start- punt en is daardoor ook niet gemotiveerd om de interne bedrijfsvoering hierdoor anders in te richten.

Het niet aanvullen of uitbreiden van de ISMS-specificaties lijkt ook geen optie omdat de bijdrage van TNO Telecom een kleine toegevoegde waarde heeft ten opzichte van de bestaande ISMS-specificaties: de klant zou het immers ook zelf kunnen doen en dat wil de klant niet. Het aanbieden van alleen maar de ISMS-specificaties zal door het mana- gement van de klant niet worden gezien als een duidelijk startpunt voor informatiebeveili- ging en zal hierom niet leiden tot commitment van het management en het management zal ook niet gemotiveerd zijn om de interne bedrijfsprocessen hierop in te richten.

Een methodiek lijkt echter wel een duidelijk startpunt omdat een goede implementatieme- thodiek leidt tot een duidelijk, gestructureerd informatiebeveiligingsproces. Het manage- ment van de klant zal, wanneer TNO Telecom een goed plan van aanpak presenteert, waarschijnlijker instemmen met een methodiek als startpunt dan wanneer men een set van best practice-maatregelen als uitgangspunt presenteert. Ook de bereidwilligheid om de interne bedrijfsvoering wezenlijk anders in te richten lijkt groter wanneer TNO Telecom een methodiek naar voren schuift. Hierbij wordt uitgegaan van de waarnemingen van ervaren TNO-consultants.

Ook hier lijkt een methodiek de beste invulling van de door TNO Telecom gevraagde tool.

2.8.5 Vanuit de literatuur

Vanuit de literatuur zijn veel conclusies te trekken met betrekking tot informatiebeveiliging in het algemeen en de implementatie van CIB in het bijzonder. Een korte weergave van enkele conclusies:

• Eigen primaire bedrijfsprocessen dienen het uitgangspunt te zijn [Roos2001].

• Er is een stijgende behoefte aan instrumenten [Roos2001].

• Op maatregelen op organisatorisch niveau ligt de nadruk [Roos2000].

• Informatiebeveiligingsmanagementprocessen zijn nog niet veel aanwezig [Over- beek2000-2].

• Informatiebeveiliging moet op alle niveaus worden ingevoerd [Overbeek2000-2].

Een set van best practice-maatregelen gaat vaak niet uit van de primaire bedrijfsproces- sen, maar zijn vaak maatregelen die zijn geënt op de verschillende specificaties van een ISMS. Uiteraard kunnen de maatregelen wel geënt zijn op deze processen, maar omdat voor elke organisatie de processen anders gedefinieerd worden, zijn de maatregelen

vaak niet organisatiespecifiek en dus ook niet specifiek voor de primaire bedrijfsproces- sen. Weliswaar is er een stijgende behoefte aan instrumenten, maar de vraag is of een set van best practice-maatregelen wel een goed instrument is, omdat deze maatregelen moeilijk specifiek zijn te maken voor de organisatiespecifieke primaire bedrijfsprocessen.

Volgens TNO moet de nadruk van de op te leveren tool op het organisatorische vlak lig- gen, de literatuur bevestigt dit beeld.

Het niet aanvullen of uitbreiden van de ISMS-specificaties is ook niet optie, omdat de literatuur juist aangeeft dat er een stijgende behoefte is aan instrumenten, met name instrumenten op organisatorisch niveau zijn waardevol.

Een methodiek is, gezien vanuit de literatuur, de beste invulling van de tool. Dit omdat juist met de eerder beschreven methoden van de methodiek (onder andere het doorlich- ten van de organisatie) gefocust kan worden op de primaire processen. Uiteraard hangt dit sterk af van de opbouw van de gebruikte methode. (In het uiteindelijke ontwerp van de methodiek zal naar voren komen dat onder andere wordt gefocust op de structuur van een organisatie, waardoor het primaire proces makkelijk naar voren is te halen.) De me- thodiek op zich geeft invulling aan de behoefte om instrumenten te willen. De uiteindelijke inrichting van de methodiek is juist geënt op maatregelen op organisatorisch niveau waarbij invulling wordt gegeven aan de managementprocessen op meerdere niveaus die gaan spelen bij een correcte ISMS-implementatie.

En zo blijkt dat ook vanuit de literatuur de methodiek het beste alternatief is voor een ISMS-implementatietool.

2.8.6 Tot slot

TNO Telecom definieerde in de afstudeeropdrachtomschrijving de tool vanaf het begin al als methodiek. Twee alternatieven voor de tool blijken na onderzoek niet te voldoen aan de wensen van TNO Telecom en de klanten van TNO Telecom en zijn vanuit de literatuur ook niet de ideale invulling. Een methodiek blijkt vanuit TNO Telecom, haar klanten en de literatuur de beste invulling voor de tool. Het exacte ontwerp van de methodiek zal in het volgende hoofdstuk worden besproken.

Maart 2004 MIMIS

TNO Confidentieel 38/65