Organisaties worden steeds afhankelijker van hun ict-systemen. En daardoor kwetsbaarder. De beleidsadviesgroep Toegang en Beveiliging (ToBe) heeft de risico's van de systemen van de TU Delft in kaart gebracht. Aan de hand daarvan is het Raamwerk Informatiebeveiliging opgesteld.

Johan Kelderman is voorzitter van de beleidsadviesgroep Toegang & Beveiliging (ToBe). Samen met de adviesgroepen Netwerk & Transport (NET), Werkplek & Workflow (W&W) en Transacties & Informatievoorziening (TIVo) ondersteunen ze met voorstellen en suggesties de directie Informatiemanagement van de Universiteitsdienst. De directie Informatiemanagement (IM) stemt vervolgens de input van de verschillende adviesgroepen op elkaar af.Het uitgangspunt bij ict-beveiliging is volgens Kelderman: inzicht hebben in je eigen zwakheden. ,,Het is daarom ook belangrijk om de beveiliging gezamenlijk te regelen. Doe je dat lokaal, dan ontstaan er overal verschillende zwakke plekken en die zijn lastiger af te schermen.‘' Overigens vindt Kelderman dat ToBe een prettig domein heeft, omdat het momenteel weinig controversieel is. ,,Recente problemen met virussen en wormen hebben de meeste medewerkers ervan doordrongen dat beveiliging noodzakelijk is. Maar er zijn natuurlijk meer risico's dan virussen, zoals het inbreken in dossiers en bestanden met onderzoekresultaten, persoonlijke gegevens of gegevens over aanbestedingen.''BaselineToBe kent een tweesporenbeleid. Het geeft ad hoc adviezen als het noodzakelijk is en houdt zich daarnaast bezig met structurele beleidsadviezen, zoals de ontwikkeling van het Raamwerk Informatiebeveiliging. Dat is een ontwerpschets die als basis dient voor verander- en implementatieplannen. Kelderman: ,,Het Raamwerk bevat ambities % de beveiligingsdoelen die wij willen bereiken - en geen suggesties. De beveiligingsmethoden veranderen door technologische ontwikkelingen continu, maar de doelen niet.''Het Raamwerk is evenmin een statuut. Het bevat wel de hoofdlijnen van het beveiligingsbeleid van de TU Delft. ,,Grondslag hiervan is de internationale Code voor Informatiebeveiliging. Voor de TU Delft hebben we aan de hand daarvan de opzet van een baseline-pakket voorgesteld. Dat is algemeen geldend. Het bevat de minimumeisen waaraan de beveiliging van informatiseringsystemen binnen de TU Delft moet voldoen. Voor sommige TU-onderdelen % neem het IRI of de P&O-afdelingen % is deze baseline onvoldoende en zij voegen daar zelf scherpere beveiligingsmaatregelen aan toe.''In het Raamwerk is nauw omschreven welke verplichtingen systeemeigenaars en content-verantwoordelijken hebben voor de beschikbaarheid, integriteit (juistheid en volledigheid van de gegevens), vertrouwelijkheid en het imago. ,,Dat laatste is bij de TU Delft van belang. Een technische universiteit lijdt bij ict-incidenten eerder imagoschade dan andere universiteiten. Het publiek verwacht dat bij ons alles technisch in orde is.''Om ervoor te zorgen dat de beveiliging up-to-date blijft, is in het Raamwerk het voornemen opgenomen om aan strakke incidentenregistratie te doen. ,,Kleine incidenten zijn vaak een vingerwijzing naar lacunes in de beveiliging. Daarom is het belangrijk die goed te registreren.''GemeenschappelijkDe coördinatie van de invoering, afstemming en handhaving van de beveiligingsmaatregelen ligt op instellingsniveau. De TU heeft hiervoor een speciale security manager aangesteld. Samen met de directeur-IM en de directeur van de Dienst Technische Ondersteuning vormt die de security board. Kelderman: ,,Bij conflicten en calamiteiten grijpt deze in. Daarnaast komt er een Computer Emergency Response Team (CERT-TUD). In nauwe samenhang met het huidige Site Security Contact (SSC) wordt hiermee de absoluut noodzakelijke 7x24-uurs bewaking geregeld.''Het is de ervaring van Kelderman dat de verantwoordelijken voor de netwerken en informatiesystemen blij zijn met de maatregelen die ToBe voorstelt. ,,Dat geeft lokaal minder sores. Veiligheid vindt iedereen belangrijk, maar medewerkers ervaren veiligheidsmaatregelen vaak als lastig. Managers kunnen nu zeggen: ik weet dat het vervelend is, maar het moet van de TU Delft.'’ (AS)www.im.tudelft.nl/beleid . .

Johan Kelderman is voorzitter van de beleidsadviesgroep Toegang & Beveiliging (ToBe). Samen met de adviesgroepen Netwerk & Transport (NET), Werkplek & Workflow (W&W) en Transacties & Informatievoorziening (TIVo) ondersteunen ze met voorstellen en suggesties de directie Informatiemanagement van de Universiteitsdienst. De directie Informatiemanagement (IM) stemt vervolgens de input van de verschillende adviesgroepen op elkaar af.Het uitgangspunt bij ict-beveiliging is volgens Kelderman: inzicht hebben in je eigen zwakheden. ,,Het is daarom ook belangrijk om de beveiliging gezamenlijk te regelen. Doe je dat lokaal, dan ontstaan er overal verschillende zwakke plekken en die zijn lastiger af te schermen.‘' Overigens vindt Kelderman dat ToBe een prettig domein heeft, omdat het momenteel weinig controversieel is. ,,Recente problemen met virussen en wormen hebben de meeste medewerkers ervan doordrongen dat beveiliging noodzakelijk is. Maar er zijn natuurlijk meer risico's dan virussen, zoals het inbreken in dossiers en bestanden met onderzoekresultaten, persoonlijke gegevens of gegevens over aanbestedingen.''BaselineToBe kent een tweesporenbeleid. Het geeft ad hoc adviezen als het noodzakelijk is en houdt zich daarnaast bezig met structurele beleidsadviezen, zoals de ontwikkeling van het Raamwerk Informatiebeveiliging. Dat is een ontwerpschets die als basis dient voor verander- en implementatieplannen. Kelderman: ,,Het Raamwerk bevat ambities % de beveiligingsdoelen die wij willen bereiken - en geen suggesties. De beveiligingsmethoden veranderen door technologische ontwikkelingen continu, maar de doelen niet.''Het Raamwerk is evenmin een statuut. Het bevat wel de hoofdlijnen van het beveiligingsbeleid van de TU Delft. ,,Grondslag hiervan is de internationale Code voor Informatiebeveiliging. Voor de TU Delft hebben we aan de hand daarvan de opzet van een baseline-pakket voorgesteld. Dat is algemeen geldend. Het bevat de minimumeisen waaraan de beveiliging van informatiseringsystemen binnen de TU Delft moet voldoen. Voor sommige TU-onderdelen % neem het IRI of de P&O-afdelingen % is deze baseline onvoldoende en zij voegen daar zelf scherpere beveiligingsmaatregelen aan toe.''In het Raamwerk is nauw omschreven welke verplichtingen systeemeigenaars en content-verantwoordelijken hebben voor de beschikbaarheid, integriteit (juistheid en volledigheid van de gegevens), vertrouwelijkheid en het imago. ,,Dat laatste is bij de TU Delft van belang. Een technische universiteit lijdt bij ict-incidenten eerder imagoschade dan andere universiteiten. Het publiek verwacht dat bij ons alles technisch in orde is.''Om ervoor te zorgen dat de beveiliging up-to-date blijft, is in het Raamwerk het voornemen opgenomen om aan strakke incidentenregistratie te doen. ,,Kleine incidenten zijn vaak een vingerwijzing naar lacunes in de beveiliging. Daarom is het belangrijk die goed te registreren.''GemeenschappelijkDe coördinatie van de invoering, afstemming en handhaving van de beveiligingsmaatregelen ligt op instellingsniveau. De TU heeft hiervoor een speciale security manager aangesteld. Samen met de directeur-IM en de directeur van de Dienst Technische Ondersteuning vormt die de security board. Kelderman: ,,Bij conflicten en calamiteiten grijpt deze in. Daarnaast komt er een Computer Emergency Response Team (CERT-TUD). In nauwe samenhang met het huidige Site Security Contact (SSC) wordt hiermee de absoluut noodzakelijke 7x24-uurs bewaking geregeld.''Het is de ervaring van Kelderman dat de verantwoordelijken voor de netwerken en informatiesystemen blij zijn met de maatregelen die ToBe voorstelt. ,,Dat geeft lokaal minder sores. Veiligheid vindt iedereen belangrijk, maar medewerkers ervaren veiligheidsmaatregelen vaak als lastig. Managers kunnen nu zeggen: ik weet dat het vervelend is, maar het moet van de TU Delft.'’ (AS)www.im.tudelft.nl/beleid . .