Hoe het vernieuwde Normenkader IBP te integreren in je monitor omgeving

In deze blogpost zullen we per onderwerp uitleggen hoe Re-Scan Monitor Solutions kan helpen om het IBP (Informatiebeveiliging en Privacy) op de juiste manier te implementeren. Een belangrijk onderdeel van het IBP is security en monitoring, en dat is precies onze specialiteit. Natuurlijk kun je met deze informatie zelf aan de slag, maar als je ondersteuning, implementatie of een sparringspartner nodig hebt, neem dan contact met ons op. Zo kunnen we de monitoring exact afstemmen op de behoeften van jouw omgeving.

Configuratiemanagement

Configuratiemanagement gaat over het bijhouden van alle informatie van en over de it-componenten binnen de organisatie. Je legt vast welke hardware er is (bijvoorbeeld computers of printers), welke software gebruikt wordt (inclusief versienummers), welke updates er zijn uitgevoerd en welke instellingen er gebruikt worden bij elke component. Ook de onderlinge relaties tussen de componenten en systeemeigenaarschap worden vastgelegd. Configuratiemanagement geeft zo overzicht over alles wat er op het gebied van it binnen de organisatie gebruikt wordt.

Een effectieve manier om configuratiemanagement te waarborgen, is door bijvoorbeeld gebruik te maken van PRTG's device systeeminformatie. Deze software haalt automatisch alle actuele software van alle devices op. Door dagelijks een export naar een lokale git-repository te maken, kan de configuratie en het change-management worden gewaarborgd zonder extra licentiekosten. Mocht er al bestaande configuratiemanagement software aanwezig zijn met geïntegreerde software versie controle, dan kan de API worden aangeroepen om te controleren of er verouderde software op productie systemen aanwezig is.

Incidentmanagement

Een formeel incidentmanagementproces wordt gecommuniceerd en ingevoerd. Er zijn procedures om ervoor te zorgen dat alle incidenten en storingen worden geregistreerd, geanalyseerd, gecategoriseerd en geprioriteerd naar impact. Alle incidenten worden bijgehouden en periodiek beoordeeld om ervoor te zorgen dat ze tijdig worden verholpen.

Door de API van je ticketsysteem te koppelen, kun je direct zien of incidenten tijdig worden opgelost vanuit een centraal punt. Daarnaast is het raadzaam om beveiligingsapparatuur te koppelen zodat er bij bepaalde drempelwaarden alarmen worden uitgestuurd, bijvoorbeeld bij een brute force aanval of wanneer endpoints malware detecteren.

Toegang productieomgeving door ontwikkelaars

Medewerkers en ontwikkelaars die betrokken zijn bij de ontwikkeling en implementatie van wijzigingen in applicaties en ondersteunende besturingssystemen en databases, hebben geen schrijftoegang tot de productieomgeving. Medewerkers en ontwikkelaars die verantwoordelijk zijn voor het vrijgeven van de broncode voor productie hebben geen schrijftoegang tot de test- of ontwikkelomgeving.

Indien er een SIEM (Security Information and Event Management) aanwezig is, kan deze via een API gekoppeld worden aan de PRTG-omgeving. Hierdoor krijg je direct inzicht wanneer er schrijfacties worden uitgevoerd die niet toegestaan zijn.

Administratie van toegangsrechten

Toegangsrechten van medewerkers worden toegewezen in overeenstemming met de toegewezen taakverantwoordelijkheden, bijvoorbeeld via op rollen gebaseerde toegang. Beheerprocedures zijn beschikbaar voor het aanvragen, uitgeven of sluiten van een account en de bijbehorende toegangsrechten voor gebruikers. Deze procedure omvat tevens de methode om deze activiteiten op de juiste wijze te autoriseren. Toegang wordt verschaft op basis van het need-to-know/need-to-have-principe.

Door je identity access systemen te koppelen aan PRTG, kun je de performance, security en events monitoren. Wanneer er bijvoorbeeld te vaak verkeerd wordt ingelogd, is dit direct zichtbaar.

Monitoring en toegang superusers

Het schoolbestuur heeft maatregelen ingevoerd die ervoor zorgen dat superusertoegang beperkt is tot de juiste (beperkte) groep individuen en dat activiteiten die worden uitgevoerd met superuseraccounts worden gemonitord. Superuseraccounts moeten worden goedgekeurd door het verantwoordelijk management.

Wanneer er nog met LDAP systemen zoals ADDS wordt gewerkt, kun je superuser-accounts activeren op specifieke tijden en continu monitoren hoeveel actieve superuser-accounts er zijn. Hierdoor heb je direct inzicht wanneer bijvoorbeeld een contractor-account is ingeschakeld of wanneer er accounts zonder verloopdatum zijn. Als er al software in gebruik is die slechts maandelijks een rapport stuurt, kun je controleren of deze software een API heeft om direct bevraagd te worden. Zo heb je realtime inzicht in plaats van inzage met een maand vertraging.

Beveiligingsbaselines

Beveiligingsbaselines en richtlijnen voor it-infrastructuur zijn vastgesteld om het risico van ongeoorloofde toegang tot it-middelen te beperken. Beveiligingsbaselines worden formeel vastgelegd, periodiek geactualiseerd en goedgekeurd door het schoolbestuur of de schoolleiding. De verantwoordelijke it-medewerkers worden hiervan op de hoogte gesteld. Ingevoerde beveiligingsinstellingen voor it-middelen worden periodiek beoordeeld op naleving van beveiligingsbaselines. Afwijkingen van de baselines zijn gedocumenteerd en goedgekeurd.

PRTG biedt standaard updatecontrole voor Windows-servers. Voor Linux-servers kun je dit oplossen met een maatwerkscript. Voor wat betreft de baseline zijn er diverse opties. Voor Windows kan een WMI Security Center-sensor geactiveerd worden, en je kunt controleren of bepaalde baselines zijn toegepast op een server of cloudomgeving door instellingen zoals die van een firewall of andere GPO's te controleren. Ook kan een syslog monitoringservice worden aangezet om te zien of er geen kritieke beveiligingsalerts zijn getriggerd.

Authenticatiemechanismes

Alle gebruikers (intern, extern en tijdelijk) en hun activiteiten op it-systemen moeten uniek en identificeerbaar zijn. Het management is verantwoordelijk voor de periodieke controle van de lijst met actieve id's in relevante applicaties. Dit is nodig om te bepalen of unieke gebruiker-id's zijn doorgevoerd, zodat activiteiten traceerbaar zijn. Daarnaast moet het management ervoor zorgen dat algemene- en systeemaccounts geblokkeerd zijn of op andere wijze beschermd zijn. Alle onjuiste of inactieve gebruiker-id's die tijdens het controleproces worden opgemerkt, worden direct gedeactiveerd.

Zie de sectie: Monitoring en toegang superusers.

Mobiele apparaten en telewerken

Informatiebeveiliging wordt geborgd bij het gebruik van mobiele apparaten en telewerkfaciliteiten. Mobile Device Management, versleuteling en bescherming tegen malware zijn aanwezig om de risico's te beperken.

Voor dit proces is een MDM (Mobile Device Management) essentieel. Als je al een MDM in gebruik hebt, zorg er dan voor dat je minimaal elke 5 minuten de API (bijvoorbeeld de Microsoft Graph) bevraagt om direct inzicht te krijgen wanneer er bepaalde issues optreden met de endpoints.

Logging systeemactiviteiten

Eisen voor logging zijn gedefinieerd op basis van monitoring- en rapportagebehoeften en ingevoerd in systemen, databases en netwerkcomponenten. Logs worden periodiek beoordeeld op indicaties van ongepaste of ongebruikelijke activiteiten en er worden adequate follow-upacties gedefinieerd. Bewaartermijnen van logs en toegangsrechten zijn in lijn met de vereisten van de school.

Zelfs als je alles realtime monitort, is het belangrijk om logging te raadplegen. Zorg ervoor dat je ticketsysteem bijvoorbeeld elke maand een ticket aanmaakt zodat je steekproefsgewijs je logging doorneemt. Op deze manier liggen de processen ook geborgen voor een auditor.

Testen, inspectie en toezicht beveiliging

Implementatie van it-beveiliging wordt proactief getest en bewaakt. It-beveiliging wordt regelmatig getoetst om ervoor te zorgen dat de door de organisatie goedgekeurde baseline voor informatiebeveiliging wordt gehandhaafd. Een log- en bewakingsfunctie maakt vroegtijdige preventie en detectie mogelijk en daardoor tijdige rapportage van ongebruikelijke en/of abnormale activiteiten.

Door alles inzichtelijk te maken en naar één dashboard te brengen, voorkom je dat je met losse alertmails en dashboards werkt. Maak interne afspraken over wie het dashboard in de gaten houdt bij calamiteiten om het IBP proces te waarborgen. Maak ook afspraken over het omgaan met kritieke meldingen, bijvoorbeeld door ze te bevestigen als je ermee aan de slag gaat, en over het pauzeren van sensoren bij onderhoud. Zorg voor een opgeruimd dashboard om te voorkomen dat waarschuwingen en fouten onopgemerkt blijven. Het is ook nuttig om maandelijks geautomatiseerde rapporten naar een manager of CISO te sturen zodat die precies weet wat de actuele storingen en beveiligingsincidenten zijn.

Fysieke beveiligingsmaatregelen

Voor specifieke (kantoor)ruimten waarin gevoelige informatie aanwezig is of it-componenten staan, heeft de organisatie fysieke beveiligingsmaatregelen vastgesteld en ingevoerd in overeenstemming met de organisatie-eisen. De toegang tot informatiesystemen wordt hierdoor op passende wijze beperkt en risico's met betrekking tot diefstal, temperatuur, brand, rook, water, trillingen, terreur, vandalisme, stroomuitval, chemicaliën of explosieven worden effectief voorkomen, gedetecteerd en beperkt. Toegang tot deze ruimten wordt gemotiveerd, geautoriseerd, geregistreerd en gemonitord. Dit geldt voor alle personen die de ruimten betreden, inclusief medewerkers, tijdelijke medewerkers, leerlingen, leveranciers, bezoekers of welke andere derde partij dan ook.

Lees de API van het bestaande gebouwbeheersysteem uit om ervoor te zorgen dat je een melding krijgt wanneer kritieke ruimtes zoals een MER of SER worden geopend. Bevestig de melding of zet deze tijdelijk op pauze wanneer de ruimtes bewust zijn geopend. Als er geen logregistratie is en een deur is toch van het slot, kan er fysiek of indien aanwezig met een camera worden gecontroleerd waarom de deur van het slot is.

Capacity- en performancemanagement

De organisatie heeft procedures ingevoerd om ervoor te zorgen dat de prestaties en capaciteit van it-services en de it-infrastructuur de overeengekomen servicedoelstellingen op een kosteneffectieve en tijdige manier kunnen realiseren. Capacity- en performancemanagement houdt rekening met alle middelen die nodig zijn om de it-service te leveren en met plannen voor korte, middellange en lange termijn businessrequirements, inclusief het voorspellen van toekomstige behoeften op basis van eisen voor werkbelasting, opslag en onvoorziene gebeurtenissen.

Met een standaardmonitoring in PRTG heb je direct inzicht in de CPU, schijven, geheugen en netwerk. Het is ook raadzaam om de IOPS van een server te monitoren via de hypervisor, het SAN of de server zelf. Daarnaast is het goed om het SAN, de switches en fysieke servers via IPMI/IDRAC/iLO te monitoren. Er zijn diverse integraties met hypervisors zoals VMware, Nutanix, Xen en HyperV, waardoor je direct inzicht hebt in de actuele load en de verwachte groei snel kunt in kaart brengen.

Datareplicatie

Datareplicatie is opgezet tussen de productiefaciliteit van de organisatie en de disasterrecoveryfaciliteit, zodat kritieke financiële en operationele gegevens op korte termijn beschikbaar zijn. Replicatiestatus wordt gemonitord als onderdeel van het bewakingsproces voor systeemtaken.

Er zijn diverse manieren om datareplicatie mogelijk te maken, zoals een fileservercluster, DFS, Zerto, Veeam of VMware Replication en Nutanix Files. PRTG biedt diverse controles out-of-the-box. Gebruik je bijvoorbeeld Zerto, dan kun je met een custom script direct de status uitlezen en rapporteren als de RPO of de RTO niet in orde zijn. Ook voor DNS, Active Directory, Exchange en SQL zijn er diverse oplossingen waarmee je snel kunt controleren of de beschikbaarheid en de health van je cluster in orde is.

Conclusie

Het beheren van de diverse aspecten van IT binnen een organisatie kan een complexe taak zijn, vooral wanneer er verschillende systemen in gebruik zijn. Configuratiemanagement, incidentmanagement, toegangsbeheer, beveiliging en datareplicatie zijn allemaal cruciale elementen die zorgvuldig moeten worden gemonitord en beheerd. Re-Scan Monitor Solutions biedt een geïntegreerde aanpak door al deze elementen samen te brengen in één overzichtelijk dashboard. Door alle systemen te koppelen en centraal te monitoren, heb je altijd realtime inzicht in de belangrijke componenten van je netwerkomgeving. Dit zorgt niet alleen voor een verbeterde beveiliging en efficiëntie, maar ook voor een snellere reactie op incidenten en een beter beheer van resources. Heb je ondersteuning, implementatie of een sparringspartner nodig? Neem contact met ons op, zodat we de monitoring nauwkeurig kunnen afstemmen op de specifieke behoeften van jouw school.