13 december 2006 16:47

De ontbrekende integriteit

De methode voor risicoanalyse EBIOS telt 42 bedreigingen. Ik tel er negen die te maken met de integriteit van gegevens. Nochtans is het een weinig voor de hand liggende activiteit voor de IT-beveiligingsverantwoordelijke om de integriteit van gegevens te verzekeren. En doorgaans besteedt hij er dan ook relatief weinig aandacht aan.

Ik heb de indruk dat, van de drie klassieke elementen van de beveiliging, de integriteit het verwaarloosde broertje is, vergeleken met vertrouwelijkheid en continuïteit. Onze systemen beschermen tegen externe indringers is een minder zware taak die we relatief goed onder de knie hebben. Er bestaan meer en meer instrumenten en indicatoren voor. Maar de integriteit van de gegevens beschermen, dat komt neer op binnendringen in een wereld die de IT-securityverantwoordelijken minder goed kennen.

We kennen allemaal de statistieken: de meerderheid van alle schade wordt aangericht door personeelsleden die binnen de bedrijfsmuren handelen. En uiteraard, personeelsleden met kwade bedoelingen kennen de software en de gegevens goed, ze kennen vooral ook de beperkingen en zwakke plekken van het systeem, en ze hebben de tijd om uit te denken hoe die zwakke plekken in hun voordeel kunnen spelen.

Zonder onszelf te verliezen in paranoia, mogen we toch de andere risico’s niet vergeten: menselijke fouten, onvrijwillig verlies, programmeerfouten. Om dergelijke gevaren op te sporen, moeten de nodige controlemechanismen worden ingesteld.

Eén van de eerste defensielijnen is bijvoorbeeld de scheiding van de verantwoordelijkheden. Bepaalde handelingen mogen niet door één en dezelfde persoon worden verricht. Zo betekent dit principe dat men niet tegelijkertijd de naam en het rekeningnummer van een leverancier kan invoeren, en een betaling aan die leverancier autoriseren. Deze maatregel verhindert een aantal gekende oplichterstechnieken, zoals het aanmaken van valse leveranciers en valse werknemers en hen gul betalen op een fictieve rekening.

Maar deze eerste defensielijn, en heel wat andere, worden in het algemeen slecht toegepast door tijdsgebrek, of vanuit het idee om handelingen die men als overbodig ziet, te schrappen. De automatisering van bepaalde processen heeft sommige niveaus van bescherming zelfs volledig geëlimineerd. Op originele documenten staat geen natte inktstempel meer, geen handtekening van de baas, en er zit geen papieren register in een goed gesloten lade.

Ik maak me zorgen als ik – in marktonderzoek, maar ook in de praktijk – zie hoe weinig aandacht er wordt besteed aan de bescherming van de integriteit van gegevens. Het is niet alleen nodig om regelmatig een risicoanalyse uit te voeren op het gebied van de integriteit van gegevens, het lijkt mij ook essentieel dat er systemen worden geïnstalleerd die de integriteit van de processen bewaken. Dat zijn meer of minder gesofi sticeerde, systematische controlesystemen die de historische gegevens analyseren, evalueren hoe betrouwbaar een transactie is, verschillende evenementen met elkaar correleren, enzovoort.

Is het niet de taak van de IT-securityverantwoordelijke om zich met de veiligheid van de informatie te bemoeien? Moet hij niet zelf risicostudies uitvoeren om de integriteit van de gegevens te peilen? Moet hij er niet voor zorgen dat er, voor elke gekende bedreiging, de juiste actie door de juiste persoon genomen zal worden?

Georges Ataya (itp@ataya.net) is hoogleraar aan de Solvay Business School, managing partner van ICT Control SA-NV en vice president international van het IT Governance Institute.