De eerste maanden van een jaar zijn traditioneel de maanden waarin iedereen even een pas op de plaats maakt om te bepalen wat er naast de reguliere zaken de rest van het jaar allemaal nog extra moet en staat te gebeuren. Een van de extra’s die ik u adviseer is het uitvoeren van een zogenaamde Risk Assessment van uw geautomatiseerde systemen. Zo krijgt u een goed beeld van de vele security compliance-aspecten van uw systemen ten opzichte van diverse wet- en regelgevingen en tegelijkertijd kunt u daarmee tegelijkertijd aanzienlijke besparingen realiseren op de kosten van uw interne en externe auditors.

door Carol Woodbury

In dit artikel zal ik u graag uitleggen wat een Risk Assessment is en welke de voordelen daarmee kunnen worden behaald. Ik begin met het nader omschrijven van een Risk Assessment. Een Risk Assessment is een gedetailleerde analyse van de veiligheidsconfiguratie van een systeem. In de System i-wereld gaat het daarbij om de beoordeling van de hele i5/OS-configuratie. Het is meer dan het alleen beoordelen van de systeemwaarden of het zoeken naar en het vastleggen van profielen met standaardwachtwoorden. Met een Risk Assessment laat u uw hele systeem doorzoeken en het is dus veel meer dan het samenstellen van een aantal bekende rapporten die u normaal ook al zou laten uitvoeren. Een Risk Assessment gaat dus veel verder dan het traceren van gebieden van het systeem die bewust of onbewust, terecht of onterecht zijn geopend door een verandering in de configuratie, een nieuwe applicatie of bijvoorbeeld een upgrade van het besturingssysteem.

Voorjaarsschoonmaak
Ik zou een Risk Assessment willen vergelijken met een grote voorjaarsschoonmaak. Bij de gewone schoonmaak neem je stof af, stofzuig je en maak je de badkamers schoon. Maar bij een grote voorjaarsschoonmaak schuif je de meubels opzij, maak je de ruiten binnen en buiten schoon, stofzuig je onder en boven – dus ook op de kasten - , maak je de koelkast, de oven en de tapijten volledig schoon, zet je de vloeren in de was et cetera. Alles krijgt een beurt naast het gewoonlijk stof afnemen, stofzuigen en schoon maken. Door een Risk Assessment te laten doen, bepaalt u welke security compliance-problemen of zwakheden er in uw System i zitten of zijn geslopen.

Voor een System i zou een Risk Assessment naar mijn oordeel minimaal op de volgende aspecten moeten worden beoordeeld:

• de objectniveaurechten (vooral van kritische bestanden),
• de instellingen van de TCP/IP configuratie,
• verscheidene andere instellingen van gebruikersprofielen (speciale rechten, standaard wachtwoorden, lidmaatschap van de groep, gebruik van IBM-profielen, enz),
• de programma’s die sterke profielen aannemen,
• commando’s die door gebruikers met beperkte rechten toch zouden kunnen worden uitgevoerd en de instellingen van systeemwaarden,
• de directory-rechten en
• het delen van bestanden.

Waarom Risk Assessment?
Eigenlijk heel simpel. Vanwege compliancewetten zoals SOX, J-SOX die gelden voor bedrijven die genoteerd zijn aan de Amerikaanse beurs of Japanse beurs, of vanwege regels zoals HIPAA voor de gezondheidszorg en GLBA voor de financiële wereld en tenslotte compliance securityregelgevingen zoals PCI’s voor creditcards en de reeks ISO 27000 regelingen. Alle stellen eisen aan uw systemen en/of aan de rapportages van uw systemen. En een andere reden is: hoe kom je anders achter de huidige risico’s en zwakke plekken van uw systemen? “Onwetendheid mag eigenlijk nooit een argument zijn.” Als men niet bekend is met de zwakke plekken of andere aspecten van security, dan kunnen er gewoonweg geen plannen worden gemaakt om het risico dat ze voor uw organisatie vormen uit te schakelen of minimaal te verminderen. “Je kop in het zand steken en hopen dat er geen zwakke plekken zijn, is eigenlijk geen optie.” En tenslotte is een reden voor het uitvoeren van een Risk Assessment gewoonweg zakelijk: “Je kunt immers problemen en zwakke plekken alleen oplossen als je ze kent.”

Leven na de Risk Assessment
Zodra een Risk Assessment heeft plaats gehad, beoordeelt u de security en analyseert u de geïdentificeerde problemen om de risicograad te bepalen die ze voor uw organisatie vormen. Sommige problemen zullen direct moeten worden opgelost, omdat ze uw organisatie en gegevens in gevaar brengen. Andere zullen snel moeten worden opgelost, omdat ze er voor zorgen dat uw organisatie niet overeenstemt met uw eigen veiligheidsbeleid. Met de lijst van onderwerpen en hun risiconiveau kunt u een plan de campagne opstellen om de kwetsbare plekken in uw systemen aan te pakken. Hoe hoger het risico, des te sneller u het risico uiteraard aan zult willen aanpakken. U kunt uiteraard beslissen om sommige onderwerpen met een laag risicoprofiel te accepteren of ze helemaal niet op te lossen. Ik raad u dan wel aan dat u deze besluiten op papier vastlegt. U legt dus in een document vast dat u de gesignaleerde problemen onderkent en verklaart waarom u besloten heeft ze nog niet op te lossen c.q. wat u hebt gedaan om het risico te beperken.

Aanpakken in projectplan
Voor de onderwerpen die je wel aan wilt pakken maar niet onmiddellijk kunt oplossen stel ik voor dat u een projectplan schrijft. Op deze manier kun je aantonen hoe de organisatie met deze onderwerpen omgaat als een auditor er naar zou vragen. U toont daarmee aan dat u een goed begrip hebt van de risico’s van deze onderwerpen voor uw organisatie. Een overweging is dat de meeste security compliancewetten- en regelgevingen eisen of minstens verlangen, is dat de risico’s voor een bedrijf of organisatie door een derde partij worden beoordeeld. Waarom? Laten we weer even het schoonmaakvoorbeeld er bij nemen. Een professioneel schoonmaakbedrijf zal uw voorjaarsschoonmaak veel efficiënter en effectiever uitvoeren dan u zelf. Waarom? Heel eenvoudig, zij weten hoe u moet schoonmaken. Zij hebben het juiste gereedschap voor het werk en weten hoe ze dat efficiënt kunnen gebruiken. Dat geldt voor een reguliere grote schoonmaak van uw systemen met de pakketten van SkyView Partners.

Hulp geboden
Met SkyView Risk Assessor en SkyView Policy Minder bent u zeker geholpen. Met SkyView Risk Assessor wordt de security compliance op meer dan 100 risicopunten over de hele i5/OS geanalyseerd en in een rapport vastgelegd. Met SkyView Policy Minder kunt uw security compliancebeleid in uw System i vastleggen en volgens een vaste frequentie laten controleren. Uiteraard kan dat ook real-time. Verder bieden we met de SkyView Security Check-up service de mogelijkheid om de resultaten van de Risk Assessor nauwkeurig te beoordelen. Zoals gezegd geeft de Risk Assessment u per risicogebied een overzicht van de ontdekte problemen en zwakke plekken in de huidige configuratie. Onze service kan uiteraard worden afgesloten met een conference call of webinar waarin wij de problemen in detail bespreken. Tenslotte. SkyView Risk Assessor & SkyView Policy Minder voor i5/OS en de SkyView Check-up service voldoen aan de vereiste, dat een derde partij een oordeel geeft van uw security compliance.

Carol Woodbury is President en mede-oprichter van SkyView Partners Inc. een bedrijf dat gespecialiseerd is in beveiligingsbeleid en compliance software en diensten. Carol is een expert in i5/OS-systeembeveiliging en won prijzen als auteur en presentator.