Basis voor informatiebeveiliging is vertrouwen
Informatiebeveiliging heeft lange tijd synoniem geleken voor bureaucratie, hoge kosten en gebrek aan draagvlak. Daar ISO 27002 in de praktijk een ‘lean and mean’ aanpak beter mogelijk bleek te maken dan ISO 27001, werd ISO 27002 tot voor kort doorgaans gepropageerd als norm. Maar nu de ISO-normen voor informatiebeveiliging worden gewijzigd, zal dit gaan veranderen.
De verschillen tussen ISO 27001 en ISO 27002 zijn niet altijd even duidelijk geweest. Dat maakte het voor organisaties moeilijk een juiste keuze te maken tussen deze normen voor informatiebeveiliging. Dat er voor ISO 27001 accreditaties zijn voor certificerende instellingen en dat die instellingen zijn gebonden aan een certificatieschema leek belangrijk te zijn. De keerzijde was wel, dat bij ISO 27001 de controle op de naleving een zeer belangrijk aspect was bij het opzetten van het Information Security Management Systeem (ISMS). Dat maakte de invoering complex en vooral vaak ook zeer kostbaar.
Kortom, bij ISO 27001 leek het om de controleerbaarheid van de naleving te gaan. De naleving kunnen controleren via allerlei maatregelen werd vaak belangrijker geacht dan de beveiliging tegen risico’s. (Zie ook ‘Uw informatiebeveiliging verbetert niet door meer bureaucratie met een ISMS’.) Controls werden in het verleden min of meer verplicht gesteld. In theorie mocht men afwijken, maar dat leverde vrijwel altijd veel gedoe op met de auditors. Wantrouwen leek daarmee de basis voor ISO 27001. Natuurlijk past dit in het huidige ‘incident-driven’ tijdsbeeld, waarin mensen zich onzeker voelen en waar oplossingen gezocht worden in een afrekencultuur met penalties. Maar het spoort natuurlijk niet met ideeën over collaboration en kennisdeling over organisaties heen. Deze innovaties worden vaak geblokkeerd door de hierboven beschreven toepassing van ISO 27001. En dan hebben we het nog niet eens over een ontwikkeling als cloud-computing1.
1 De ISO-normen voor informatiebeveiliging worden gewijzigd. De oorspronkelijke versie van dit artikel is geschreven voordat de contouren van de nieuwe ISO 27001 en ISO 27002 bekend waren. De nieuwe benadering stelt het risicoprofiel voor informatiebeveiliging meer centraal, samen met de keuzes die het management van een organisatie kan en mag maken voor het wel of niet accepteren van bedrijfsrisico’s. Hierdoor kan een organisatie ISO 27001-gecertificeerd worden, zonder dat er ook maatregelen moeten worden ingevoerd, die voor de organisatie in feite overbodig zijn. Dat betekent minder bureaucratie. Organisaties worden hierdoor dan ook niet meer opgescheept met de hoge kosten, die vaak elk draagvlak doen verdwijnen.
In theorie was een lean and mean aanpak conform de ISO 27001-norm wel mogelijk. In de praktijk echter speelden adviseurs en auditors liever op safe en werden de controls uit ISO 27002 vaak toch verplicht gesteld, hoewel dit strikt genomen niet werd voorgeschreven. Kernvraag was vaak de vraag of de situatie veilig was. 100% veiligheid bestaat echter niet. Daarom moet de vraag centraal staan of een organisatie bereid is een bedrijfsrisico te accepteren en welke maatregelen voor de organisatie aanvaardbaar zijn om dit risico te verminderen. In het artikel ’Revisie ISO 27001 en ISO 27002′ leest u meer over de nieuwe opzet voor ISO 2700X.
In onze oorspronkelijke benadering stond ISO 27001 voor de door veel adviseurs en auditors voorgestane bureaucratische compliance aanpak en ISO 27002 voor een pragmatische risk-driven benadering. De vraag is nu of de nieuwe ISO 2700x-norm voor adviseurs en auditors snel aanleiding zullen zijn voor een andere aanpak. Vooralsnog zal de boodschap van ons oorspronkelijke artikel waarschijnlijk wel blijven gelden. We zien nu dan ook nog geen reden om het artikel al te herschrijven. In het perspectief van deze boodschap moet u dit artikel lezen, waarbij gezegd moet worden dat in de nieuwe invulling van ISO 2700X onze pragmatische benadering ook bruikbaar is voor de invulling van uw informatiebeveiliging conform de ISO 27001-norm.
ISO 27002 gericht op risk management in plaats controleerbaarheid
ISO 27002 legt geen certificatieschema op waaraan moet worden voldaan, maar legt de verantwoordelijkheid bij de organisatie zelf. ISO 27002 staat vol met best practices hoe u de beveiliging kunt inrichten en hoe u de verbetercyclus vorm kunt geven. Het is echter aan de directie om de keus te maken of best practices al dan niet tot norm worden verheven. Dat maakt het veel gemakkelijker om te kiezen voor een bedrijfsbreed basisbeveiligingsniveau, dat voldoende is voor ongeclassificeerde gegevens en voor geclassificeerde gegevens gericht een hoger beveiligingsniveau te eisen. Per saldo is dat meestal veiliger. De fortbenadering van gegevensbeveiliging is immers al lang zo lek als een mandje. (Zie ook ‘Informatiebeveiliging en kennisdeling vragen om nieuwe oplossingen’.) Ook de controleerbaarheid wordt bij ISO 27002 niet opgelegd middels een certificatieschema. Het is de organisatie, die bepaalt hoe de controle wordt ingericht.
Zeker organisaties met veel hoogopgeleide kenniswerkers hebben vaak last van van bovenaf opgelegde controlemaatregelen. Deze professionals zijn aangenomen om juist op basis van hun kennis en ervaring toegevoegde waarde te leveren. Anders had de organisatie beter lager opgeleide medewerkers in dienst kunnen nemen. Zij moeten dan ook niet worden verstikt door voorschriften, regels, protocollen, procedures, rapportages en prestatiemeting. Dat kost veel geld en heeft een averechts effect op motivatie, ruimte voor beroepsuitoefening en kwaliteit. ISO 27002 biedt meer ruimte om het regelcircus minimaal te houden. Kernpunt in ISO 27002 is, dat de organisatie er voor kan kiezen haar medewerkers te vertrouwen en alleen daar toezicht te creëren, waar zij daadwerkelijk risico loopt. De verbetercyclus hoeft tenslotte niet alleen onderdeel van het systeem zijn. Menselijke initiatieven verlopen vaak sneller en zijn meestal minstens zo effectief. Daarvoor zijn geen beveiligers of auditors nodig.
Controle bottom-up inrichten
Het kan dus anders, beter en pragmatischer, mits u vertrouwen als basis neemt. Zet daartoe controle op zijn kop: laat de werkers zelf komen met voorstellen hoe zij het best en met minimale regels gecontroleerd kunnen worden. Daartoe moeten zij hun verantwoordelijkheid en initiatief nemen, vrijwillig transparantie bieden, en niet passief wachten tot de controle hen overkomt en overspoelt.
Er is nu vaak tussen enerzijds de directie of toezichthouders en anderzijds de uitvoerders een verstikkende laag gegroeid van controleurs met onrealistische pretenties en gebrekkige kennis van het werkproces. De controlewoede berust op een dubbel misverstand: het moet en het is mogelijk. Het moet om te komen tot verantwoording en om risico’s uit te sluiten en het is mogelijk om beroepspraktijken te vangen in regels en voorschriften. Het tegendeel is echter waar. Het hoeft niet en het kan zo ook niet. Het is al lang bekend dat beroepspraktijken te gevarieerd en veranderlijk zijn om ze volledig te kunnen vangen in regels en voorschriften. Kwaliteit van professionele arbeid is ook niet volledig te meten.
We hebben te maken met een paradox van transparantie en vertrouwen. Toezichthouders willen wel vertrouwen geven aan uitvoerders, maar hebben daarvoor transparantie nodig. Als transparantie echter wordt opgelegd, dan is dat een blijk van wantrouwen. Transparantie moet vrijwillig zijn, van onderop.
Vertrouwen moet geen naïviteit worden
Als in uw beroepspraktijk iets fout gaat en u meldt het niet, u legt het niet uit en u komt niet met voorstellen om de schade te repareren en om dergelijke fouten in de toekomst te voorkomen, dan moet u niet verbaasd zijn dat u niet meer vertrouwd wordt en regels over u heen krijgt. Zoals onlangs de bankiers. Maar de vrijwillige transparantie van onderop moet door boven wel verdiend worden. Bij melding van een fout moet dan niet meteen worden overgegaan tot het opleggen van schuld en boete. Dankbaar zijn voor het geboden inzicht en samenwerken aan de reparatie van schade en het voorkomen ervan in de toekomst zijn meer terecht. Mensen moeten vertrouwen krijgen en ruimte voor zelfstandigheid, er moet naar hen worden geluisterd en wat ze voorstellen, moet serieus worden genomen.
Er is iets grondig mis met het ontwerp van regels van boven af. Professionals worden in dienst genomen omdat ze iets kunnen wat anderen niet kunnen. Dan moeten die anderen niet pretenderen dat ze die professionals kunnen vertellen wat ze moeten doen en hoe ze het moeten doen. Elke patiënt, elke oudere, elke probleemjongere, elke leerling en elk onderzoek is uniek, en het is aan de professional om daar rekening mee te houden, erop in te haken en ervan te leren. Als daar door te veel regels geen ruimte voor is, dan is de kwaliteit van de professional verspild.
Als uitvoerders zelf met voorstellen komen hoe zij gecontroleerd willen worden dan geeft dat vier voordelen:
- Het leidt tot een minimum aan controles. Het is in het belang van de werkers om zo veel mogelijk ruimte te krijgen, en in het belang van de toezichthouders om de kosten van controle zo klein mogelijk te maken.
- Er is dan de garantie dat de controles passen bij de beroepspraktijk in plaats van die te fnuiken.
- Het houdt bestuurders bij de les en de afstand wordt kleiner, doordat het aandacht voor de inhoud van het primaire proces vergt.
- Het is voor uitvoerders en controleurs leerzaam. Toezichthouders krijgen meer inzicht in het primaire proces zodat ze meer kennis van zaken krijgen in de onderhandeling over controle. Ze kunnen van de ervaring op plaats A gebruikmaken in hun reactie op voorstellen van de werkvloer op plaats B, waar de werkvloer dan weer van kan leren. Zo worden bestuur en werkvloer partners in kwaliteit. Als professionals niet hun fouten verbergen, krijgen ze meer ruimte voor hun beroepspraktijk.
In het kader van deze transparantie en de verbetercyclus is natuurlijk rapportage essentieel. Niet gedetailleerd op maatregelenniveau, maar overzichtelijk op managementniveau. Zoals bijvoorbeeld wordt beschreven in ‘Managementrapportage risicoprofiel informatiebeveiliging ISO 27001 of 27002’. Op het gebied van informatiebeveiliging krijgt het management zo een stuurmiddel, zonder dat het zelf een halve beveiligingsexpert hoeft te worden. En de organisatie heeft de zekerheid, dat de informatiebeveiliging ‘in control’ is en de belangrijke risico’s daadwerkelijk afgedekt worden. Dus geen slecht werkende procedures opgelegd door het ISMS, omdat het certificatieschema dat nou eenmaal vraagt. We zien dan ook, dat de nieuwe NEN 7510 vrijwel gelijk getrokken is met ISO 27002. Binnen een ISO 27002 traject hebben procedures nut en ze worden daarddor gemakkelijk geaccepteerd. En awareness (bewustwording) blijkt binnen ISO 27002-(of NEN 7510 conform ISO 27002)trajecten dan ook zelden een probleem te zijn. (Zie ook ‘ISO 27001 of 27002 ‘lean en mean’ implementeren als security management systeem’.)
Oorspronkelijke versie: 25 mei 2011
Bron:
Bart Nooteboom, ‘Maak werkvloer partner van controles’. In: Het Financieele Dagblad. 1 februari 2011.
Auteur: Wiebe Zijlstra | 2 augustus 2011 | Copyright Wiebe Zijlstra
Gerelateerde artikelen:
- Controle is goed, maar vertrouwen is beter
- Cursus Informatiebeveiliging conform ISO 27002 of NEN 7510
- ISO 27001 of ISO 27002 als norm voor uw informatiebeveiliging
- Wanneer is informatiebeveiliging volgens NEN 7510 of ISO 27002 te certificeren
- ISO 27002, de Code voor Informatiebeveiliging nader toegelicht
- Informatiebeveiliging: van onbewust risico lopen naar bewust risico nemen
- Informatiebeveiliging en ICT-beheer op basis van ITIL
- Statuut Informatiebeveiliging
@Sander
Ik maak onderscheid tussen wettelijke verplichtingen en informatiebeveiliging. Aan wettelijke verplichtingen moet je voldoen of je ze zinnig vindt of niet, maar voor alles wat niet wettelijk geregeld is, heb je zelf de keuze. De voorbeelden die je noemt over de WBP zijn allemaal wettelijk vastgelegd en moet je dus uitvoeren. Hetzelfde geldt voor die vogels maar het is aan mij om te bepalen, dat ik mijn creditcardnummer niet publiceer. Dat is mijn keuze en ik ben niet strafbaar als ik het wel doe. ISO 27001 en 27002 gaan over informatiebeveiliging en niet over wet- en regelgeving. Het verschil is, dat ISO 27001 meer gericht is op compliance (naleving) via het ISMS en ISO 27002 meer op de verbetering van de beveiliging. Niet gericht op de breedte maar vooral op de risico’s.
Een mooie reactie van de specialist op het gebied van Privacy in ons bedrijf:
Het artikel vind ik in zoverre interessant dat het goed aangeeft dat het in de eerste plaats de verantwoordelijke is die bepaalt wat het doel is van een verwerking, die vaststelt dat de verwerking rechtmatig is, die uitmaakt wat passende beveiligingsmaatregelen zijn enz. enz.
En ik vind het in zoverre onzinnig dat geprobeerd wordt te betogen dat de verantwoordelijke daarbij nauwelijks aan iets gebonden is, als hij maar duidelijk is. Dan slaat de auteur voortdurend de plank mis. Voorbeelden:
Er wordt gezegd dat zorgvuldig en behoorlijk juridisch geen betekenis hebben. Het hele bestuursrecht staat bol van behoorlijk. Daar is een hoop jurisprudentie omheen. Op de Wbp toegespitst: als een bestuursorgaan onduidelijk is met betrekking tot de verwerking van persoonsgegevens van burgers, dan is er sprake van onbehoorlijk bestuur. Daarmee wordt art.6 van de Wbp overtreden en is de verwerking onrechtmatig.
Een gerechtvaardigd doel is een doel dat kan worden uitgelegd????? Daar komt wel wat meer bij kijken. Als de handel in bepaalde exotische vogels verboden is, dan is het niet gerechtvaardigd om een klantenadministratie bij te houden in verband met de handel in die beesten.
Passende beveiliging boterzacht? Ik snap het hele betoog niet. Wat heeft de marktwaarde van mijn creditcardnummer te maken met de schade die ik kan oplopen als mijn nummer niet goed wordt beveiligd?
En zo zou ik nog wel even door kunnen gaan.