Inhoudsopgave

1. Informatiebeveiligers op een eiland
2. Accountant ziet spoken
3. Outsourcing ‘out of control’
4. Geen risico’s uitsluiten maar beheersen 

1. Informatiebeveiligers op een eiland

De Eerste Kamer heeft het elektronisch patiëntendossier (EPD)naar de prullenbak verwezen. Het onderwerp EPD is totaal gepolitiseerd door het onhandige optreden destijds van toenmalig minister Ab Klink. (Zie ’Communicatiedrama bedreigt invoering EPD’.) En ook hierbij is weer gebleken, dat zodra het gaat om de beveiliging zelfs gerenommeerde partijen zich geregeld bedienen van halve waarheden, pertinente onwaarheden en  stemmingmakerij. Is er misschien eerst een crisis nodig om helder te maken dat informatiebeveiliging zich steeds meer op een eiland gaat afspelen, waarbij het contact met de echte wereld verloren gaat?
Natuurlijk hebben informatiebeveiligers gelijk als zij zeggen, dat er inbreuk gemaakt kan worden op welke vorm van beveiliging dan ook. De enige dataopslag die veilig is, bevindt zich op een computer die geen verbindingen heeft met de buitenwereld, die staat in een kluis waarvan men de toegangscode is vergeten en die bovendien uit staat. Zo’n computer heeft natuurlijk weinig nut meer. Maar toch lijkt dit voor informatiebeveiligers vaak de norm te zijn en alles wat niet aan deze norm voldoet zien zij als een risico.
Honderd procent beveiliging bestaat niet in de echte wereld, wanneer van informatie gebruik wordt gemaakt. Risico’s naar nul terugbrengen is per definitie onmogelijk. Vanuit bedrijfseconomisch perspectief is het vaak ook ongewenst. (Zie ook ‘Informatiebeveiliging: van onbewust risico lopen naar bewust risico nemen’.) Informatiebeveiliging moet erop gericht zijn risico’s te managen. Dan alleen kan informatiebeveiliging een bijdrage leveren, die waardevol is voor bedrijven.
Vooral accountants jagen bij hun jaarlijkse controles bedrijven vaak angst aan. Zij constateren een mogelijk lek in de beveiliging en nemen dit dikwijls ongenuanceerd op in hun rapportages. Vervolgens geven de commissarissen de directie opdracht om deze lekken te dichten. Onlangs kreeg ik weer eens twee schrijnende voorbeelden van dit probleem onder ogen, die ik u niet wil onthouden. 

2. Accountant ziet spoken

Het eerste voorbeeld is dat van een scholengemeenschap, waar door een groot Nederlands accountantsbureau een risicoanalyse (nulmeting) werd uitgevoerd. Belangrijk onderdeel van de managementsamenvatting was onderstaand  plaatje, waarop de status van de informatiebeveiliging op dat moment werd weergegeven:

Het paarse deel geeft aan wat de norm is (100 %), terwijl in geel de bevindingen zijn aangegeven.  De scholengemeenschap kreeg rapportcijfers variërend van 2 tot 3, ofwel gemiddeld heel erg onvoldoende. Uiteraard ging deze samenvatting vergezeld van een hoeveelheid aanbevelingen, waarbij tevens, uitgedrukt in een stoplichtmodel, de urgentie van de aanbevelingen werd aangegeven. Gezien de slechte rapportcijfers voor de school  ligt het voor de hand, dat rood de dominante kleur is.

Met verbazing heeft de schooldirectie de presentatie van deze uitkomsten aangehoord. Nog nooit had zich een ernstig beveiligingsincident op de school voorgedaan. Hoe is het mogelijk dat alle stoplichten dan nu op donkerrood blijken te staan? 

3. Outsourcing ‘out of control’

Bij een klein administratiekantoor PPPP, dat zijn ICT vrijwel volledig heeft uitbesteed, kwamen we de volgende bevindingen en aanbevelingen tegen in het rapport van de externe accountant.

“PPPP heeft vanaf eind 2006 het technisch en functioneel beheer van de bedrijfsapplicaties uitbesteed. Wij bevelen de directie van PPPP aan om inzicht te verkrijgen in de betrouwbaarheid van de bedrijfsprocessen van de leveranciers door een SAS70 verklaring te vragen of door het initiatief te nemen om een externe security audit uit te laten voeren. Betreffende de continuïteit van de primaire processen hebben wij vastgesteld, dat PPPP geen gedocumenteerd plan heeft dat bij calamiteiten gevolgd kan worden, dit teneinde het bedrijfsproces tijdig te kunnen hervatten. Voorts bevelen wij aan een Escrow-overeenkomst af te sluiten ten aanzien van de bedrijfskritische applicaties en de in bewaring gegeven broncode periodiek te laten controleren door een externe auditor.”

Het lijkt erop dat deze accountant niet begrijpt, dat de beveiliging van een datacenter vele malen beter is dan de beveiliging die een kleine organisatie zich kan permitteren en dat de standaardsoftware met veel klanten een zodanige waarde vertegenwoordigt voor de leverancier, dat een Escrow-overeenkomst volstrekt overbodig is. Gewone contracten met de leveranciers bieden voldoende zekerheid over de betrouwbaarheid van de processen bij de leveranciers, zodat het echt niet nodig is voor dit administratiekantoor om de black box bij de leveranciers te openen. Ook het calamiteitenplan is in feite onzin; er is geen sprake is van kritische bedrijfsprocessen die tegelijkertijd ook tijdkritisch zijn.
Onder druk van de commissarissen is de directie van het administratiekantoor er uiteindelijk maar mee akkoord gegaan, een calamiteitenplan op te stellen, maar wel op basis van een zeer pragmatische aanpak, omdat er immers geen sprake is van een noemenswaardig bedrijfsrisico. 

4. Geen risico’s uitsluiten maar beheersen

Misschien heeft u vergelijkbare ervaringen met informatiebeveiligers of accountants. Zij wekken de suggestie dat u pas rustig kunt slapen als uw beveiliging 100% is. Maar zekerheid op basis van 100 % beveiliging is schijnzekerheid. 100 % beveiliging is per definitie onmogelijk. Veel informatiebeveiligers en  accountants noemen echter alles wat niet aan de norm van 100% voldoet een risico. Het begrip bedrijfsrisico, zoals dit in de echte wereld geldt, lijkt hun totaal vreemd te zijn. Informatiebeveiliging is een ‘operational risk’ en zo moet er mee om worden gegaan. Auditors horen in dit kader geen schoolmeesters maar dienstverleners te zijn. (Zie ook ‘Mag een auditor nog wel normatief denken?’.)
Vroeger, toen alleen nog de ISO 17799-norm bestond, kon dit misverstand gemakkelijk voortleven. Nu echter, met de ISO 27002-norm als opvolger van ISO 17799 als niet-normatieve norm naast de normatieve ISO 27001-norm, is ieder misverstand hierover uitgesloten. Zelfs  is certificatie volgens de ISO 27002-norm mogelijk. Voor bedrijven waarvoor informatiebeveiliging geen ‘core business’ is, is ISO 27002 ruim voldoende, want hierbij is sprake van actief risicomanagement. (Zie ook ‘ ISO 27001 of 27002 ‘lean en mean’ implementeren als security management systeem’.)
De meeste cursussen voor informatiebeveiligers zijn gericht op de certificering van de informatieveiliger zelf, met vaststaande eisen. Veel informatiebeveiligers blijven daardoor vasthouden aan de normatieve benadering. Het zou beter zijn informatiebeveiligers op te leiden om organisaties te begeleiden bij het inrichten van hun informatiebeveiliging conform de niet normatieve ISO 27002-benadering en dus de persoonlijke certificering te vervangen door de certificering van de organisatie. (Zie bijvoorbeeld ‘Cursus Informatiebeveiliging conform ISO 27001, 27002 of NEN 7510′.) Daarmee kunnen voorbeelden zoals in dit artikel beschreven, worden voorkomen en zullen het praktisch nut en de geloofwaardigheid van de informatiebeveiliging voor organisaties en hun directies heel veel beter worden.

Herziene versie: 12 april 2011

Download: