 |
|
| | | Onderdeel 1: Over Adventure Works | | Wij zijn een onderneming, bestaande uit twintig werknemers, gespecialiseerd in avontuurlijke reispakketten. Ons personeel bestaat uit designers, reisvertegenwoordigers, verkoop- en marketingpersoneel en administratief personeel om ze te ondersteunen. Het personeel bestaat ook uit het seniormanagement van de onderneming: oprichters Matthew en Denise en de financieel controller, Steve.
Doelstellingen
Dit is ons eerste beveiligingsplan. We zullen de beveiligingsrisico's van onze onderneming uitvoerig bekijken en direct actie ondernemen om de blootstelling aan de risico's te beperken. Iedereen herinnert zich nog de virusaanval die we begin dit jaar hadden, en we hopen een ramp als deze te vermijden! Echter, door onze open blik hoop ik dat we in staat zijn om ons voor te bereiden op bedreigingen waar we nog niets over weten.
Ik realiseer me dat we beperkte tijd, mensen en geld hebben. Onze belangrijkste prioriteit is om te blijven groeien tot een succesvolle onderneming. We kunnen niet hopen op CIA-achtige beveiliging en het zou onze cultuur niet ten goede komen om Adventure Works te veranderen in Fort Knox. Het projectteam heeft deze beperkingen voorzichtig afgewogen om vervolgens te besluiten wat te doen en heeft tevens geprobeerd om een balans op te maken tussen gebruiksvriendelijkheid, kosten, gemak en beveiligingsmetingen. We zijn er allemaal van overtuigd dat niets doen geen optie is.
Ik neem de verantwoordelijk op me om deze bespreking te leiden en te garanderen dat alle acties uitgevoerd worden. Ik ben bezorgd over de risico's die we onder ogen zien, maar na het doornemen van ons plan ben ik ervan overtuigd dat we deze risico's wel degelijk kunnen adresseren. Dit project heeft mijn volledige ondersteuning en heeft een hoge prioriteit binnen onze onderneming.
Distributie
Dit document is vertrouwelijk, omdat het belangrijke beveiligingsinformatie bevat. Je wordt gevraagd dit document achter slot en grendel te bewaren als het niet werkelijk gebruikt wordt, en laat het alsjeblieft niet slingeren en kopieer het niet. We zullen dit document niet per e-mail versturen of bewaren op de server. We maken alleen gebruik van gedrukte exemplaren. De volgende personen zijn gemachtigd om dit document te bekijken:
 Matthew (Managing Director)  Denise (Operations Director)  Steve (Financieel Controller)  Kim (Personeelsmanager)  Sutton and Sutton (onze advocaten)  Jeremy, onze externe beveiligingsconsultant
|
|
| |
|
| | | Onderdeel 2: Evaluatieresultaten | | Onze evaluatie heeft de volgende resultaten opgeleverd.
Kennis en vaardigheden
Onze technologieconsultant, Jeremy, is bekend met de gehele situatie en zal onze expertbegeleider zijn. Echter, we moeten zoveel mogelijk van deze kennis intern houden door zoveel mogelijk zelf het werk te doen. Dit zal ons ook helpen meer geld te besparen. Gelukkig is Steve een enthousiaste computerkenner. Hij heeft een beveiligingstrainingscursus gevolgd.
Ieder lid van het projectteam heeft de voorbereidende beschikbare beveiligingsrichtlijnen van Microsoft en het Internet Engineering Task Force (IETF) gelezen. De onderneming an sich is behoorlijk technisch onderlegd, maar de werknemers (met een of twee uitzonderingen) zien computers als middel om het werk af te krijgen en ze hebben niet veel kennis over hoe ze functioneren.
Onze netwerken en systemen
|
|
Desktops: Tweeëntwintig (een per personeelslid en twee oude computers die fungeren als printservers)
|
|
|
Laptops: Zes (een voor elke directeur, een voor Steve, en drie voor het verkoopteam)
|
|
|
Printers: Twee (een hoogwaardige plotter en een printerfax-combinatie voor algemeen gebruik)
|
|
|
Servers: Een (gebruikt Small Business Server 2003 en handelt de bestanden, internetverbinding, e-mail en onze klantendatabase af)
|
|
|
Internetverbinding: 1.5 Mbps-kabel modemverbinding |
De server en meerdere computers zijn verbonden middels een 100 Mbps Cat5 Ethernet kabels. De rest is verbonden via een 802.11g draadloos netwerk. Alle computers draaien op Windows XP Professional. Behalve de twee printservers en twee administratieve computers, die Windows 98 gebruiken.
Beveiliging
We vergeleken iedere computer met de checklist in de Beveiligingsgids voor Small Business. We gebruikten ook de MBSA. Deze handelingen leverden de volgende resultaten op:
|
|
Virusprotectie: afwezig op zes computers; niet up-to-date op vier computers; in het algemeen waren de meeste gebruikers bekend met virussen maar wisten zij niet zeker wat ze konden doen om ze te voorkomen.
|
|
|
Spamfilter-software: Veel gebruikers klagen over spam, maar we maken nog geen gebruik van beveiliging
|
|
|
Firewall: We dachten dat de router van onze internetaanbieder gebruikmaakte van een firewall, maar dat blijkt niet het geval. We hebben er dus geen
|
|
|
Updates: Alle Windows XP Professional systemen zijn up-to-date, omdat er automatisch wordt gecontroleerd op updates en downloads. Daarentegen hebben verschillende installaties van Microsoft Office een update nodig, en de Windows 98-computers zijn helemaal niet up-to-date.
|
|
|
Wachtwoorden: Een willekeurige steekproef liet zien dat de meeste gebruikers geen wachtwoorden gebruiken of deze op memoblaadjes hadden geschreven. Over het algemeen heeft geen enkele laptop een wachtwoordbeveiliging.
|
|
|
Fysieke beveiliging: Vorig jaar hadden we de verzekeringsmensen over de vloer, dus de raambeveiliging, deuren en alarmen zijn redelijk goed. De computers hebben echter geen serienummer ingegraveerd in de kast en we hebben geen logboek van de serienummers. We hebben ook geconstateerd dat iedereen, ook Tracy en de twee directeuren, dezelfde printer gebruiken, wat betekent dat er een risico is dat vertrouwelijke documenten daarop per ongeluk achtergelaten worden.
|
|
|
Laptops: alle laptops hebben glanzende tassen met grote fabrikantlogo's. Geen beveiligingssloten.
|
|
|
Draadloos netwerken: we staan volledig open. We waren tevreden toen het netwerk eenmaal werkte en niemand heeft daarna de instellingen veranderd. Het draadloos netwerk is open voor mensen die een draadloze netwerkkaart hebben en kunnen daardoor op ons netwerk ronddwalen en gebruik maken van de internetverbinding.
|
|
|
Surfen op het web: Iedereen denkt dat snelle toegang tot internet een grote pre is, maar de werknemers gebruiken het de hele tijd en zonder veel idee te hebben van de risico's. Dankzij een inhoudsfiltertest (gratis bij Secure Computing) konden we vaststellen dat twintig procent van het surfen op het web niets te maken heeft met werk. We hebben geen beleid omtrent acceptabel gebruik en niemand gebruikt enige beveiligingsvoorzieningen.
|
|
|
Backups: iedere week maken we een back-up van data op de server via Digital Audio Tape (DAT), maar het herstellen van data is nog niet getest. Tenzij werknemers onthouden om lokale gegevens te kopiëren naar de server, zijn deze gegevens niet veiliggesteld, wat betreurenswaardig is. De server bevat onze primaire klantendatabase, zodat goedgeteste back-ups en het bewaren van een externe kopie van de back-ups bittere noodzaak is. |
Middelen
Behalve de fysieke bezittingen zijn onze belangrijkste middelen:
|
|
Onze productontwerpen en marketingmaterialen
|
|
|
Overzichten van onze contracten met verkopers
|
|
|
Onze e-maildatabase en archief van vroegere e-mailberichten
|
|
|
Verkooporders en de klantendatabase
|
|
|
Financiële informatie
|
|
|
Bedrijfsspecifieke software voor online boekingen en reserveringen
|
|
|
Juridische rapporten opgeslagen in verschillende archiefkasten |
Al deze middelen worden als geheim beschouwd en moeten alleen toegankelijk zijn op need-to-know principe. Ze moeten zo veilig mogelijk worden beschermd en als back-up worden opgeslagen.
Risico's
We zijn van mening dat de risico's onderverdeeld kunnen worden in vier hoofdcategorieën:
|
|
Binnendringers (virussen, wormen, hackers in onze computerbronnen of internetverbinding, en willekeurig kwaadaardig gebruik). Dit zijn risico's waar iedereen met een computer met internetverbinding mee geconfronteerd wordt. Hoge risico's, hoge prioriteit.
|
|
|
Externe bedreigingen (concurrentie, ontevreden ex-werknemers, oplichters die op geld uit zijn en dieven). Het is gebruikelijk dat zij dezelfde middelen als hackers gebruiken, maar in het doelbewust treffen zullen ze ook proberen werknemers over te halen om vertrouwelijke informatie te overhandigen of zelfs gestolen materiaal te gebruiken om ons te chanteren of te schade toe te brengen.
|
|
|
Interne bedreigingen. Een werknemer kan bewust of onbewust zijn of haar voorrechten misbruiken om vertrouwelijke informatie te verraden. Laag risico, lage prioriteit.
|
|
|
Ongevallen en rampen. Brand, overstromingen, toevallige verwijderingen, hardwaredefecten en computercrashes. Laag risico, gemiddelde prioriteit. |
Prioriteiten
1. Weerstand tegen binnendringers:
|
|
Firewall
|
|
|
Virusprotectie
|
|
|
Beveiliging van het draadloze netwerk
|
|
|
De vier computers die op Windows 98 draaien vervangen door computers die Windows XP Professional met SP2 gebruiken
|
|
|
Garanderen dat alle computers zijn geconfigureerd met automatische updates
|
|
|
Doorlopende gebruikerseducatie en beleid |
2. Preventie tegen dieven:
|
|
Laptop computerbeveiliging
|
|
|
Merken van bezit en middeleninventaris
|
|
|
Verplaats de server naar een beveiligde en afsluitbare ruimte
|
|
|
Beveiligingssloten voor desktopcomputers en laptops |
3. Rampenpreventie:
|
|
Meer regelmatige back-ups met externe opslag
|
|
|
Garanderen van back-ups van lokale data van gebruikers
|
|
|
Externe back-up van doorslaggevend papieren documenten
|
|
|
Regelmatig controleren van back-ups door ze te herstellen |
4. Interne beveiliging en vertrouwelijkheid:
|
|
Sterk wachtwoordbeleid en gebruikerseducatie
|
|
|
Beveilig printers voor klanten, HR en directeuren
|
|
|
Beoordeel de beveiliging van archiefkasten en vertrouwelijke documenten |
|
|
| |
|
| | | Onderdeel 3: Beveiligingsplan | | Na het uitvoeren van onze evaluatie hebben we het volgende beveiligingsplan bedacht.
Actiepunten:
- Selecteer, koop en installeer een hardware firewall (of vraag onze internetaanbieder of technologieconsultant er een te leveren)
- Schakel Windows Firewall in op de server en op alle desktopcomputers
- Wees er zeker van dat op alle computers antivirussoftware is geïnstalleerd en dat deze is ingesteld om automatisch virusdefinities te updaten
- Configureer computers die Office Outlook 2003 gebruiken om filters tegen ongewenste e-mail te gebruiken. Indien nodig, selecteer, koop en installeer spamfiltersoftware op de mailserver.
- Schakel Service Set Identifier (SSID) Broadcast uit op het draadloze netwerk. Kies en configureer een gevoelig SSID, schakel WPA-encryptie in, schakel MAC-filters in, en configureer het toegangspunt om internetverkeer alleen mogelijk te maken vanaf de desktopcomputers en laptops op kantoor
- Vervang de vier computers die Windows 98 gebruiken met computers die draaien op Windows XP Professional met SP2
- Beoordeel alle computers om er zeker van te zijn dat ze volledig up-to-date zijn en stel deze in op het automatisch downloaden en installeren van updates
- Koop nieuwe onopvallende tassen en sloten voor de laptops
- Markeer alle beveiligde desktopcomputers, laptops en hun onderdelen
- Noteer alle serienummers
- Koop en installeer bureaubeveiligingssloten voor desktopcomputers
- Vind een geschikte afsluitbare kamer voor de server en verplaats deze daar naartoe.
- Beoordeel back-up- en opslagprocedures. Garandeer dat gebruikersgegevens op de server opgeslagen zijn of regelmatig gekopieerd worden voorafgaand aan het maken van een backup.
- Configureer Small Business Server 2003 en persoonsgebonden computers om redelijk sterke wachtwoorden toe te passen. Bespreek met de gebruikers wat een aanvaardbare balans is tussen gemak en beveiliging (we willen niet dat ze hun nieuwe wachtwoorden opschrijven). Configureer werkstations zo dat gebruikers dienen uit te loggen en met een wachtwoord weer dienen in te loggen als het werkstation langer dan vijf minuten niet gebruikt wordt.
- Koop goedkope printers voor klanten, HR en de twee directeuren, zodat zij veilig privédocumenten kunnen printen.
Veranderingen in het beleid
Kim zal het werknemershandboek bijwerken met een nieuw beleid voor:
|
|
acceptabel gebruik van e-mail en internet
|
|
|
gebruik van wachtwoorden
|
|
|
wie mag kantoorbezittingen meenemen uit kantoor |
Gebruikerseducatie
Dankzij deze veranderingen verwachten we tot twee uur te moeten besteden aan gebruikerstraining voor kleine groepen. Deze training zal bestaan uit:
|
|
het belang van beveiliging
|
|
|
wachtwoorden
|
|
|
beveiliging van laptops
|
|
|
viruspreventie
|
|
|
veilig surfen op internet
|
|
|
het updaten van software en besturingssystemen van een server
|
|
|
introduceren van het beleid voor nieuwe werknemers
|
|
|
ons ervan verzekeren dat werknemers de consequenties begrijpen bij het niet opvolgen van het beleid
|
|
|
controleren of de werknemers het nieuwe beleid begrijpen.
|
|
|
regelmatige beoordeling van het gebruik van het nieuwe beleid |
Tijdsplanning en verantwoordelijkheden van het project
De drie belangrijkste prioriteiten -firewall, virusprotectie en versterking van het draadloze netwerk- zal dringend aandacht krijgen van onze beveiligingsconsultant Jeremy. De overige taken zullen door onze eigen werknemers uitgevoerd worden, in volgorde van prioriteit.
We verwachten dat de drie belangrijkste prioriteiten binnen een week voltooid zijn en de resterende taken binnen dertig dagen. Steve zal verantwoordelijk zijn voor het aanschaffen en implementeren van de technische veranderingen. Kim zal verantwoordelijk zijn voor het gehele beleid en de benodigdheden voor de trainingen. Denise zal het project overzien en verantwoordelijk zijn voor elk andere taak die zich voordoet.
Reactieplanning
In het geval van een beveiligingsinbraak zal contact opgenomen worden met Jeremy. Zijn onderneming heeft een een-uurs responsbeleid tijdens kantooruren en een vier-uur responsbeleid op alle andere tijden om serieuze ongevallen te behandelen, zoals een virusinfectie. Ook zal Steve regelmatig de server en firewall onderhouden om er zeker van te zijn dat er zich geen inbraken voordoen.
Doorlopend onderhoud en voldoen aan richtlijnen
Steve zal dagelijks verantwoordelijk zijn voor de beveiliging, waarbij Denise de algehele verantwoordelijkheid neemt. Steve zal zijn zelfeducatie, aanmeldingen bij beveiligingsbulletins van Microsoft en zijn functie als onze antivirus software leverancier voortzetten. Hij zal ook op reguliere basis met Jeremy samenwerken om toezicht te houden op naleven van de richtlijnen van het nieuwe beleid.
Steve zal er maandelijks voor zorgen dat Windows en onze antivirussoftware up-to-date zijn en dat de back-up- en herstelprocedures fatsoenlijk werken. Hij zal ook verantwoordelijk zijn voor het juist configureren en updaten van nieuwe computerapparatuur.
Kim zal ervoor verantwoordelijk zijn dat nieuwe werknemers van de onderneming volledig getraind zijn in het beveiligingsbeleid en de -procedures van de onderneming.
Over zes maanden zal een volledig formele beoordeling van dit plan plaatsvinden.
|
|
| |
|
| | | Onderdeel 4: Middelen en budget | | De volgende uitgaven zijn goedgekeurd:
Software en hardware
|
|
Aanschaffen van antivirussoftware.
|
|
|
Configureer Office Outlook 2003 om te filteren op ongewenste e-mail.
|
|
|
Installeer een hardwarefirewall.
|
|
|
Vervang de laatste vier computers die Windows 98 gebruiken door computers die Windows XP Professional met SP2 gebruiken.
|
|
|
Koop beveiligingssloten en nieuwe onopvallende laptoptassen.
|
|
|
Nakijken van aanvullende back-upmedia. |
Professioneel advies
|
|
Sutton en Sutton beoordelen ons herschreven personeelsbeleid
|
|
|
Jeremy adviseert ons tijdens het creëren van dit plan
|
|
|
Jeremy helpt bij de implementatie |
Interne middelen
|
|
Hoewel we ons personeel niet zelf betalen, hebben we toegestaan om het personeel in te zetten zoals hierboven beschreven. Zo is het voor iedereen duidelijk welke bronnen en tijd benodigd zijn voor deze taken. |
|
|
| |
|
| |
