Thema’s als cybercrime, big data, de cloud en sociale media zullen ook in 2013 zorgen voor een toename van  beveiligingshoofdbrekens. Althans, dat voorspellen experts in koor, met in hun achterhoofd beelden van directies die wanhopig constateren dat ze niet het hoofd kunnen bieden aan deze nieuwe dreigingen. Was tenslotte 2012 niet al het jaar van de beveiligingsincidenten?

Ook de ICT-vakbladen doen met liefde mee aan het verspreiden van griezelverhalen. Een soort Y2K drama, alleen dan met een permanent karakter. Y2K is echter een rotje gebleken, in plaats van de voorspelde bom. De vraag is nu of het beveiligingsprobleem ook een rotje is of daadwerkelijk een tikkende bom, die iedere organisatie binnen zijn bedrijfsmuren heeft.
U kunt dit vraagstuk op twee manieren benaderen.

• U kijkt naar de ontwikkelingen in de omgeving en de dreigingen die hiervan uitgaan.
• U kijkt naar de kroonjuwelen die u in huis heeft en bepaalt of die nu meer bedreigd worden.

De uitkomsten van deze twee benaderingen zullen verrassend van elkaar verschillen. Maar oordeelt u zelf. We stellen in dit artikel beide benaderingen aan de orde.

Ontwikkelingen in de omgeving

Natuurlijk verandert uw omgeving en zijn er allerlei ontwikkelingen die ook uw organisatie raken. Computable laat een aantal experts aan het woord.

BYOD en het nieuwe werken

Het jaar 2013 zal volgens architect security & networking Martijn Bellaard van Brainforce het jaar zijn waarin ict anders gaat aankijken tegen de werkplek. ‘Niet langer is de werkplek per definitie te vertrouwen. Er zal een scheiding plaats gaan vinden tussen verschillende type werkplekken en gebruikers. Afhankelijk van wie, waar, wanneer en met welk device inlogt zal er dynamische bepaald gaan worden welke resource hij mag gaan benaderen’, zegt Bellaard. ‘Daardoor zullen dataprotection en host protection een belangrijk beveiligingsonderwerp worden in 2013 en daarna.

Sociale media

Naast ‘bring your own device’ zullen ook cloud computing en de opkomst van sociale media in 2013 nog veel impact hebben op de beveiligingsindustrie, denkt business consultant Albert Brouwer van KPN Corporate Market Trusted Services. ‘De opkomst van het  gebruik van sociale media in het zakelijke verkeer maakt het nodig om opnieuw na te denken over beveiligingsaspecten. Welke mate van betrouwbaarheid moet worden toegedicht aan een betrekkelijk informele omgeving. Is de technische afscherming daarvan mogelijk en wenselijk of moeten we het hebben van menselijke bewustwording?’ Ook denkt Brouwer dat goedkope cloud-oplossingen aantrekkelijker worden onder druk van krimpende budgetten. ‘De beveiligingsimplicaties kunnen echter groot zijn.’

De cloud

Directeur Gertjan Nickolson van Behring Consultancy is het met hem eens. ‘Er komen steeds meer cloud-oplossingen waarvan het niet helemaal duidelijk is waar wie voor verantwoordelijk is, hoe het zit met aansprakelijkheid en waar de informatie zich precies bevindt. Dus waar het voor het gebruiksgemak misschien heel handig lijkt om te kiezen voor een dergelijke oplossing, is het vanuit beveiligingsperspectief wellicht juist niet handig’, zegt hij.

Toenemende cybercriminaliteit

De maatschappij zal volgens de Computable-experts mede door deze ontwikkelingen in toenemende mate te maken krijgen met cybercriminaliteit. Brouwer van KPN: ‘De reële wereld is steeds meer afhankelijk van de digitale wereld. Economieën zijn gedigitaliseerd. Grote geldstromen verlopen elektronisch. Transport en logistiek worden digitaal geregeld. Dit heeft een grote aantrekkingskracht op criminelen. Grote delen van onze informatiemaatschappij gaan hier nog naïef mee om.’
Hoofd kenniscentrum Gert Jan Timmerman van Info Support: ‘Hackers breiden hun werkterrein uit. Waren vroeger vooral Windows-pc’s het doelwit, de laatste tijd zien we steeds meer aanvallen op platforms van Apple, Google en Oracle.’ Hij verwacht dat deze ontwikkeling doorzet. ‘Door de opkomst van steeds meer mobiele devices zijn consumenten steeds meer gewend dat alle informatie online beschikbaar is. Hierdoor ontstaat er druk op organisaties om meer en meer informatie online te zetten, waardoor de beveiliging soms te weinig aandacht krijgt. Applicaties die nooit bedoeld waren om online beschikbaar te zijn, zijn daar qua security niet op ingericht’, legt hij uit.
‘Een fenomeen dat steeds meer voorkomt is de zogenaamde ‘multivector-aanval’, waarbij criminelen een gecoördineerde aanval via verschillende lijnen opzetten, waarbij de lijnen elkaar onderling versterken of afdekken. Denk hierbij aan een DDoS-aanval op het telefoonsysteem van een bank, gecombineerd met het leegroven van rekeningen met gekopieerde pasjes. Daardoor kan de bank zijn klanten niet bellen om te verifiëren of de transacties die ze zien, authentiek zijn.’

De oplossing

Technisch directeur Peter Mesker van SecureLink denkt daarom ook dat het zeker in verder gevirtualiseerde omgevingen essentieel is dat securitymaatregelen door de hele infrastructuur heen genomen kunnen worden om zo de continuïteit van de bedrijfsvoering te kunnen garanderen. ‘De oplossing ligt in een holistische security-oplossing die op alle lagen aansluit, dus zowel op de netwerk- en applicatielaag als op de inhoud. ‘Hiermee wordt het beheer vereenvoudigd en het inzicht op applicatie, gebruiker en content niveau verhoogd’, zegt hij. Het nieuwe netwerk moet volgens Mesker ‘adaptive’ zijn, dus zich aanpassen aan de gebruiker en zijn behoeften.
Tot zover een aantal experts in Computable. Uiteraard benaderen zij de zaak vanuit de ontwikkelingen en de dreigingen. Hun betoog moet immers voor een breed scala van organisaties interessant zijn. Waar u echter mee te maken heeft, is uw organisatie en uw bedrijfsspecifieke risico’s. Het brede verhaal is wellicht interessant. Maar de vraag is of het voor u ook van toepassing is. Laten we daarom nu het perspectief nemen van de kroonjuwelen.

Bescherm uw kroonjuwelen ook in 2013

Voor een specifieke organisatie is beveiliging het maken van keuzes of risico’s al dan niet acceptabel zijn. Laten we als voorbeeld eens  uw privésituatie nemen.
In uw huis heeft u allerlei spullen die een waarde vertegenwoordigen. Als u weg gaat, sluit u de deuren en ramen en zet u eventueel uw alarm aan. Geen huis echter is zo beveiligd, dat er gegarandeerd geen inbreker binnen kan komen die iets mee kan nemen. Honderd procent veiligheid bestaat tenslotte niet. En daarom neemt u extra maatregelen voor de bescherming van uw kroonjuwelen. Deze bewaart u zo (intern of extern) dat ze extra zijn beveiligd, zoals bijvoorbeeld in een kluis. Wat u als uw kroonjuwelen beschouwt, is uw keuze.
Als u in uw vakantie gaat kamperen, dan hebt u met een andere situatie te maken en neemt u andere maatregelen. Uw tent kunt u niet op slot doen en zelfs een kind kan binnenkomen. Dat is echter geen reden om niet te gaan kamperen. Als kampeerder kent u het risico en zorgt u dat in uw tent geen kroonjuwelen aanwezig zijn. Uw kroonjuwelen als paspoort, bankpasjes of contant geld neemt u gewoon mee als u de tent verlaat. En u ligt er vervolgens niet van wakker dat uw tent eenvoudig leeggehaald kan worden.
Essentieel is natuurlijk dat u bepaalt, wat uw kroonjuwelen zijn, waarvoor u aanvullende maatregelen treft. En voor de rest geldt, dat u uw eigendommen moet beveiligen op zo’n niveau, dat u geen nalatigheid kan worden verweten (zoals ramen en deuren dicht, maar zeker niet inbraakproof).
Voor organisaties ligt dit niet anders. Bepaal wat uw kroonjuwelen zijn en bekijk deze apart. Voor de rest geldt, dat u ervoor moet zorgen dat u geen nalatigheid kan worden verweten. Daarmee voldoet u aan allerlei wetgeving zoals bijvoorbeeld de Wet Bescherming Persoonsgegevens (WBP) en voorkomt u bestuurdersaansprakelijkheid. Dan kunt u ook gecertificeerd worden volgens ISO 27001. (Zie ook ‘ISO 27001 of 27002 ‘lean en mean’ implementeren als security management systeem’.) Het zijn niet de voorschriften waarvoor u bang moet zijn; het zijn de consultants die u angst willen inboezemen.
Want oordeelt u zelf: Is het voor de gevirtualiseerde omgevingen in uw organisatie essentieel dat securitymaatregelen door de hele infrastructuur heen genomen worden om uw kroonjuwelen te beschermen? Is een holistische security-benadering die op alle lagen aansluit (dus zowel op de netwerk- en applicatielaag als op de inhoud) voor uw organisatie de oplossing om uw kroonjuwelen te beschermen? Het is wel de oplossing die beveiligingsexperts in het vorige hoofdstuk noemden. Maar u kent vast zelf een betere en vooral pragmatischer oplossing.

Maak van een mug geen olifant

Voor een bank, een ziekenhuis of de AIVD geldt, dat bijna alle data kroonjuwelen zijn. Zij moeten wel kiezen voor genoemde oplossingen. Maar voor uw organisatie is het zeer waarschijnlijk niet nodig te kiezen voor dergelijke kostbare oplossingen. Voor de meeste data gelden eenvoudige basisregels zoals deuren en ramen dicht. Voor uw kroonjuwelen zult u een kluisje moeten hebben. Maar als u bij de keuze van uw kroonjuwelen eerst van een mug een olifant maakt, dan passen ze daar echt niet meer in.

Zolang BYOD, social media of de cloud geen betrekking hebben op uw kroonjuwelen, heeft u van cybercriminaliteit waarschijnlijk helemaal niets te vrezen. Dan zijn ook extra maatregelen niet nodig. (Zie ook ‘Checklist risico analyse informatiebeveiliging ISO 27001 en NEN 7510’).

Bron:
Kim de Vries, ‘Cybercriminaliteit houdt 2013 in zijn greep’. In: Computable.  03-12-2012.

Veel organisaties willen in het kader van informatiebeveiliging bepalen wat hun risico’s zijn. Dit even los van het feit of certificering voor ISO 27001 of NEN 7510 het doel is. Er zijn diverse tools voor risicoanalyse met bijbehorende checklists beschikbaar. Veelal echter stammen die nog uit de vorige eeuw, toen internet, sociale media, laptops, smartphones, de cloud, BYOD en het nieuwe werken nog niet bestonden en de hackers nog vanaf zolderkamertjes werkten.

De uitkomst van de meeste checklists is dat organisaties een diarree aan maatregelen moeten implementeren. Een kind begrijpt, dat er dan een papieren tijger wordt gecreëerd, waarvan de naleving een luchtkasteel is. Als u geen financiële instelling, ziekenhuis of politiedienst bent, dan heeft u een dergelijke overkill niet nodig.
In het artikel ‘Is beveiliging een groeiend probleem’ beschrijven we dat u onderscheid moet maken tussen normale informatie en uw kroonjuwelen. Voor uw organisatie ligt die verhouding waarschijnlijk ongeveer op >99% normaal tegen <1% kroonjuwelen. Voor de kroonjuwelen geldt, dat u er een kluis voor moet creëren met een hoger beveiligingsniveau. Voor die >99% echter loopt u minder risico’s en hoeft u in feite alleen een aantal basismaatregelen te treffen. Op dit idee is ook de wetgeving in Nederland gebaseerd evenals certificering op basis van ISO 27002 of NEN 7510.
Helaas blijkt in de praktijk, dat organisaties wel maatregelen hebben genomen tegen een aantal risico’s (vooral op ICT-gebied), maar dat op allerlei andere terreinen zelfs het basisniveau niet gehaald wordt. Vaak heeft men zelfs geen idee van wat wel en niet acceptabel is. Organisatie kunnen hiervoor echter aansprakelijk gesteld worden en lopen een aanzienlijk risico op reputatieschade. Daarom is het handig om de risico’s en de tekortkomingen inzichtelijk te maken.

Risicoanalyse informatiebeveiliging

Op dit idee moet ook uw risicoanalyse zijn gebaseerd. De kroonjuwelen moet u afbakenen. Zij vormen een apart verhaal. We zullen ons nu richten op de >99% normale informatie. Hieronder vindt u een eenvoudige checklist gebaseerd op MAPGOOD (mensen, apparatuur, programmatuur, gegevens, omgeving, organisatie en diensten), die u voor uw risicoanalyse kunt gebruiken. In de praktijk wordt de risicoanalyse zo ook gedaan (en door auditors geaccepteerd) in certificeringstrajecten voor ISO 27001 en NEN 7510. Deze risicoanalyse is direct afgeleid van het VIR, zodat ook (semi-) overheidsinstanties hier gebruik van kunnen maken.
Het zijn de bestuurders van een organisatie, die hierbij vastleggen wat zij voor hun organisatie beschouwen als belangrijke risico’s en waarop zij maatregelen nemen. Als achteraf blijkt dat dit foutief is ingeschat, is hiermee zelfs de aansprakelijkheid voor bestuurders afgedekt.
Hieronder een weergave van een deel van de checklist voor de risicoanalyse.

R1

Wegvallen personeel

voorzienbaar, onvoorzienbaar

R2

Onopzettelijke fouten (ook derden)

onkunde, slordigheid, stress

foutieve procedures

complexe en/of foutgevoelige bediening

omgang met passwords

R3

Opzettelijke fouten (ook derden)

negeren voorschriften

schending privacy

ongeautoriseerde toegang (hacken)

Apparatuur

R11

Spontaan technisch falen

veroudering, slijtage, gebrekkig onderhoud

storing

fouten in geleverd product

R12

Oorzaak omgeving

uitval nutsvoorziening

storing nutsvoorziening

temperatuur, vochtigheid, vuil, stof

R13

Oorzaak mens

remote werken

bring your own device

opzettelijke verandering functie apparatuur

beschadiging, vernieling, diefstal

Programmatuur

R21

Programmatuur-fouten

bij ontwikkeling of onderhoud

bij beheer

R22

Programmatuur-

virus, malware

illegale software van derden

illegaal gebruik van software

Gegevens

R31

Via gegevensdragers

onopzettelijk verlies (nalatigheid)

diefstal (fysiek)

diefstal (digitaal)

crash

onzorgvuldige vernietiging

R32

Via programmatuur

foutieve of gemanipuleerde software (ook malware)

R33

Via personen

foutieve gegevensmutatie

In een sessie met de verantwoordelijke managers kan deze lijst in een dagdeel doorgewerkt worden. Aan zowel de kans als de impact wordt de kwalificatie laag, middel of hoog toegekend. Op grond hiervan wordt het objectieve risico geclassificeerd via het onderstaande schema.

Interpretatie van de risicoanalyse

Het getal kan gebruikt worden in het stoplichtmodel, zoals beschreven is in ‘Managementrapportage risicoprofiel informatiebeveiliging ISO 27001 of 27002’.
Bekend is dat in dergelijke sessies risico’s vaak te hoog worden ingeschat. Daarom is de volgende vuistregel van belang. Een sessie mag leiden tot maximaal 10 gebieden met een risico van 3 of 4. Als dit niet gehaald wordt in één sessie, moet de sessie met de proceseigenaar geëvalueerd worden en moet worden vastgesteld hoe een herhaling van de sessie wel tot het gewenste resultaat kan leiden. Oorzaak is vaak dat de kroonjuwelen niet scherp genoeg zijn afgebakend of dat de bescherming van de kroonjuwelen toch door de discussie loopt. Ook kan het streven naar 100% veiligheid (wat per definitie onmogelijk is) de sessie beïnvloeden. (Zie ook ‘ISO 27001 of 27002 ‘lean en mean’ implementeren als security management systeem’.)
Het gevaar is dat u voor uzelf de lat te hoog legt. Zowel ISO 27001 als NEN 7510 kennen een verbetercyclus waar u gebruik van kunt maken. Leg de lat eerst op een hoogte die u aan kunt en leg in de volgende cyclus de lat hoger. Want één ding is onvergeeflijk: dat u niet voldoet aan de norm die u zelf heeft vastgesteld. Daar komt u absoluut niet mee weg als het gaat om bestuurdersaansprakelijkheid of certificering.

Ondersteuning bij uw risicoanalyse informatiebeveiliging

Laten we voorop stellen, dat informatiebeveiliging vooral uw eigen uitdaging is. Uitbesteding leidt nooit tot een bevredigend resultaat. Het is echter denkbaar, dat u zich momenteel niet goed in staat acht om dit traject in te gaan. Wij bieden u daarom twee mogelijkheden voor ondersteuning:

• Het faciliteren van de sessie(s) en ondersteuning bij de vertaalslag naar maatregelen.
• Het volgen van de ‘Cursus Informatiebeveiliging conform ISO 27001, 27002 of NEN 7510’, waarin u getraind wordt in de denkwijze en werkwijze, zoals u die kunt lezen in onze artikelen.

Als u hier  gebruik van maakt, krijgt u natuurlijk de beschikking over de volledige checklist. Wilt u meer weten dan kunt u bellen met 0318 641 898 of mailen naar wiebe@zbc.nu.

Dat er ingebroken wordt, is een maatschappelijk geaccepteerd probleem waarmee we geleerd hebben te leven. Er wordt van u verwacht, dat u uw huis of auto op slot doet en geen ramen open laat staan. Verder moet u voorkomen dat er waardevolle spullen van buitenaf te zien zijn, die dieven kunnen verleiden om in te breken. Zeer waardevolle spullen beveiligt u extra door ze bijvoorbeeld in een kluis onder te brengen. En verder bent u waarschijnlijk deels of geheel verzekerd. U zorgt dus zelf voor uw basisbeveiligingsniveau. Dat wordt ook van u verwacht. U weet dat u met deze basismaatregelen iedere doorzetter die toch bij u in wil breken en uw map met visitekaartjes wil stelen niet tegen kunt houden. De maatregelen die u zou moeten treffen om inbraak geheel uit te sluiten kosten meer dan de aangerichte schade zou bedragen. Het is dus onzinnig zulke maatregelen te treffen. Wanneer u de basismaatregelen heeft getroffen, zal geen mens het in zijn hoofd halen u te verwijten, dat u uw eigendommen niet goed heeft beveiligd, wanneer er toch wordt ingebroken. En wanneer er wordt ingebroken laat u het aan de politie over om de dader te vinden.

Hackers zijn ongevaarlijke doorzetters

In de 21e eeuw hebben inbrekers er een mogelijkheid bij gekregen: het hacken van geautomatiseerde systemen. Ook hiervoor geldt, dat u een basisbeveiligingsniveau in acht moet nemen. Niet dat u daarmee doorzetterige hackers buiten houdt. Maar u zorgt er hiermee wel voor dat u de gelegenheidsdief buiten houdt en dat de schade beperkt blijft. Alleen wanneer u data bewaart, die echt niet op straat mogen komen te liggen, dan wordt van u verwacht, dat u die in een beter beveiligde omgeving plaatst. Zolang het om persoonsgegevens gaat, die ook via internet of het telefoonboek zijn te verkrijgen of uit een niet afgesloten brievenbus aan de weg, dan is er niets aan de hand. Behalve dan dat de media, als zulke gegeven op straat komen te liggen, zo’n incident opblazen en dat de politiek zich ermee bemoeit. Maar in de echte wereld zou zo’n incident nog niet eens de binnenpagina van uw huis-aan-huis-blad halen.
Gezien echter de ophef die ontstaat, moet u een communicatieplan(netje) klaar hebben liggen. U moet niet ontkennen dat u gehackt bent, maar dit ruimhartig toegeven en precies laten zien dat de schade verwaarloosbaar is. En het jagen op boeven laat u gewoon  aan professionals over. U zorgt ervoor dat u het basisbeveiligingsniveau organisatiebreed handhaaft en dat u alleen echt vertrouwelijk gegevens beter beveiligt (of gewoon niet bewaart). U mist immers de kennis en het netwerk om de georganiseerde misdaad en doorzetterige hackers buiten te houden. Bovendien gebruikt u waarschijnlijk software die door derden is ontwikkeld en waarvan u geen flauw idee heeft of die aanvallers kansen biedt. Het is dus aan de leverancier om te reageren op aanvallen en u een patch beschikbaar te stellen om te voorkomen dat hackers toch ergens een raam of een deur openzetten. En als blijkt, dat in China ontwikkelde hardware componenten soms een achterdeurtje hebben, dan is dat niet uw probleem. U heeft er waarschijnlijk geen idee van welke componenten van uw desktop of server in China zijn geproduceerd. Had u niet een Apple van een Amerikaans bedrijf?
Een hacker is meestal dolblij met de media-aandacht die hij krijgt. Daar kan hij lekker over opscheppen. En het is een zeldzaamheid dat hij echt schade aanricht. U hoeft slechts imagoschade te voorkomen en dat is niet moeilijk, als u maar eerlijk bent. Alleen de politiek en de media schreeuwen om het hardst, dat incidenten nooit meer mogen voorkomen en dat de veiligheid 100 procent moet zijn; de zogenaamde risico-regelreflex in optima forma.

Is cybercrime dan niet gevaarlijk?

Hackers zijn dus te vergelijken met inbrekers, die daadwerkelijk inbreken en dan heel hard ‘’boe!! roepen. Cybercriminelen zijn inderdaad een stuk gevaarlijker. Ze zijn de online variant van de georganiseerde misdaad of van terreurgroepen en meestal loopt dit in elkaar over. Heeft u hoog op de agenda staan dat u Al Qaida wilt bestrijden of u met de Maffia wil meten? Ik denk het eigenlijk niet. Ze bestaan en u kunt ze niet bestrijden. Zelfs professionals lopen continu achter de feiten aan. Het is alweer meer dan 10 jaar geleden dat voor het eerst een vliegtuig als moordwapen werd gebruikt. De mogelijkheid om een dergelijke aanval uit te voeren is weliswaar verkleind door het treffen van allerlei maatregelen en de inzet van geavanceerde apparatuur, maar is nog steeds niet uitgesloten. En dat zal ook nooit gebeuren. Voor cybercrime geldt hetzelfde. Het is een continue race tussen de leveranciers van software om zwakke plekken te versterken, leveranciers van beveiligingssoftware om deze ook de nieuwste aanvallen te kunnen laten pareren en de politie om cybercriminelen te vangen. In die wedloop hoeft u zich niet te mengen. U hoeft er alleen voor te zorgen, dat u steeds de nieuwste versies van deze software hebt.

Hoe gaat de georganiseerde misdaad te werk?

Wel is het goed om te weten hoe cybercriminelen te werk gaan. Hierbij moet onderscheid gemaakt worden tussen de georganiseerde misdaad en terroristen. De georganiseerde misdaad richt zich op langdurig financieel gewin. Hacken is daarvoor ongeschikt. De georganiseerde misdaad wil permanente toegang via legale accounts. Om die te verkrijgen richt zij zich op de zwakste plek in het verdedigingssysteem, de mens. Die is omkoopbaar, chantabel en soms naïef of dom. Die houdt zich vaak niet aan het basisbeveiligingsniveau en volgt bijvoorbeeld een phishingmail op of beveiligt de PC waarop hij van huis werkt niet adequaat. De georganiseerde misdaad maakt identiteitsfraude mogelijk door uw creditcardgegevens te verzamelen en te verkopen. Op deze wijze zorgt zij voor langdurig financieel gewin. Immers de kopers van deze gegevens lopen het risico gepakt te worden als ze de gegevens trachten te verzilveren. Als u weet, dat de waarde van uw identiteitsgegevens inclusief uw creditcardgegevens op internet tussen de 4 en 5 euro bedraagt, dan weet u ook dat het dus niet om schaarse gegevens gaat en dat dus de kans niet zo groot is dat juist uw creditcardgegeven misbruikt worden. Bovendien krijgt u uw schade vergoed, wanneer u tenminste geen echt domme dingen heeft gedaan. Kortom, ook dit is niet het probleem van bedrijfsbeveiligers, tenzij zij natuurlijk voor een financiële instelling werken. Alleen als u een informatieproduct in huis hebt, dat voor de georganiseerde misdaad de moeite waard is om in te investeren, dan loopt u risico. En de daadwerkelijke aanval wordt dan vrijwel zeker uitgevoerd door eigen mensen.

Hoe gaan terroristen te werk?

Terroristen zijn een wat moeilijker verhaal. Zij zijn niet primair uit op financieel gewin maar op impact, meestal door het aanrichten van grote reputatieschade of emotionele schade. Zij accepteren het risico om gepakt te worden. Als zij besluiten, dat u het doelwit moet zijn, dan zal hun aanval slagen, hoe goed uw beveiliging ook is. Slechts als u zich heeft gericht op het extra beveiligen van kritische informatie, dan kan deze veilig blijven, maar uw online dienstverlening aan grotere groepen interne of externe mensen wordt gegarandeerd onderuit gehaald. De keerzijde van het verhaal is dat bijvoorbeeld het platleggen van een site van een grote onderneming of instelling al lang geen voorpaginanieuws meer is en dus weinig reputatieschade of emotionele schade aanricht. Terroristen zullen steeds nieuwe dingen moeten verzinnen om een schok teweeg te brengen. En doordat ze  zich steeds weer op andere zaken richten, ontstaat onzekerheid bij grote groepen mensen. De hack bij Diginotar was hiervan een voorbeeld. Onmiddellijk kopten de kranten dat allerlei overheidswebsites lek waren en in actualiteitenprogramma’s rolden deskundigen over elkaar heen om te vertellen hoe verschrikkelijk dit was en dat zoiets vooral nooit meer mag voorkomen. Dergelijke aandacht willen terroristen graag. De werkelijke schade echter was in feite niet meer dan dat een klein bedrijf als Diginotar failliet ging. Zulke faillissementen zijn aan de orde van de dag en halen dan alleen het plaatselijke huis-aan-huis-blad. Ook Wikileaks hoort in dit rijtje thuis. Weinig echte schade, maar wel reputatieschade voor allerlei instellingen die juist geacht worden ons tegen terroristen te beschermen. Als organisatie zult u dus moeten nagaan of een aanslag op u een schok in de wereld teweeg kan brengen. Zo niet dan loopt u weinig risico. En als dit wel het geval is dan zult u uw continuïteitsplan in orde moeten hebben. Wanneer het bijvoorbeeld gaat om het verhaal dat drinkwater vergiftigd is, dan bestaat zo’n plan minimaal uit een goed communicatieplan, beschrijft het het stoppen van de distributie van mogelijk vergiftigd water, het isoleren van vergiftigd water en het herstel van de distributie van goed water. Preventief kan er in zo’n geval weinig worden gedaan, behalve dat er voor gezorgd wordt dat de calamiteit snel wordt waargenomen en dat acties snel uitgevoerd kunnen worden.

Stop de risico-regelreflex

Natuurlijk weet ik ook wel dat de materie vaak wel iets complexer ligt dan in dit artikel wordt voorgesteld. De risico-regelreflex  is echter een probleem en dit artikel wil bijdragen aan de oplossing daarvan. Het begrip ‘risico-regelreflex’ betreft het automatisme om maatregelen opeen te stapelen ter voorkoming van een mogelijk risico, al dan niet naar aanleiding van een incident. Vooral politici en de media zijn dol op toepassing van de risico-regelreflex. Dat levert groot nieuws op en draagt bij aan de illusie van daadkracht van de politicus. De kern van mijn verhaal is, dat u uw basisbeveiligingsniveau op orde moet hebben en de naleving hiervan moet bewaken. Dan resteert er meestal nog een beperkt aantal gebieden waarvoor u betere oplossingen moet vinden. En dan gaat het vooral om slimmere oplossingen. 100 procent veiligheid bestaat immers per definitie niet. En besef hierbij dat een nageleefd basisbeveiligingsniveau meer veiligheid biedt dan allerlei extra maatregelen. Want uw eigen mensen vormen altijd de zwakste schakel. Laat uw oren niet hangen naar allerlei beveiligingsexperts. Zij hebben er belang bij dat u vervalt in de risicoregelreflex en dat u besluit om extra te investeren. Zorg er dus voor dat u uw basisbeveiligingsniveau op orde heeft (zie ‘ISO 27001 of 27002 ‘lean en mean’ implementeren als security management systeem’) en laat experts investeren in de race met criminelen.

1. Niet de informatiebeveiliging maar het management staat centraal
2. Professionaliseren rapportage
3. Het risicoprofiel als stoplichtmodel
4. Onderliggende risico-inventarisatie
5. Vertrouwen in de aanpak

1. Niet de informatiebeveiliging maar het management staat centraal

Dat informatiebeveiliging voor organisaties van cruciaal belang is, zal niemand ontkennen. Negeren van dit belang kan leiden tot ernstige reputatieschade. In feite is het met informatiebeveiliging net als met ICT. ICT was altijd en is ook nu nog een strategisch bedrijfsmiddel, maar bestuurders hebben zich nooit willen verdiepen in de technisch facetten van de ICT. Net zo willen bestuurders zich ook niet verdiepen in de finesses van informatiebeveiliging.
Vanuit het management gezien gaat het bij informatiebeveiliging maar om een drietal zaken:

• Welke bedrijfsrisico’s lopen we?
• Hoe groot is de kans dat we schade oplopen?
• Wat moeten we nu besluiten om de risico’s te kunnen beheersen?

Er is geen manager in Nederland, die zich er niet van bewust is dat er risico’s bestaan. Dat er awareness gekweekt moet worden bij het management, is dus helemaal niet aan de orde. Maar vaak maken informatiebeveiligers niet op managementniveau inzichtelijk wat de risico’s zijn en wat er aan te doen valt. (Zie ook ‘Informatiebeveiligers verpesten iedere awareness’.) Informatiebeveiligingsplannen schitteren vaak door de tientallen of zelfs honderden maatregelen die erin genoemd worden. Iedere manager weet echter dat al die maatregelen onmogelijk allemaal werkend gemaakt kunnen worden en ook dat ze in ieder geval een aantal neveneffecten hebben:

• De efficiency van de bedrijfsvoering wordt erdoor verminderd.
• Ze leiden tot irritatie, vooral bij loyale medewerkers.
• Echte veiligheid wordt met al die maatregelen niet bewerkstelligd.

Het is daarom geen wonder dat informatiebeveiliging niet de managementaandacht krijgt, die het verdient, ondanks het feit dat zowel managers als beveiligers dat wel graag willen. Kortom, er is gewoon sprake van een communicatiestoornis.

2. Professionaliseren rapportage

Wat eerder in de ICT gebeurde, gebeurt nu als het gaat om informatiebeveiliging: het management krijgt er de schuld van dat informatiebeveiliging niet voldoende aandacht krijgt. Het management zou zich niet willen verdiepen in dit strategische issue. Natuurlijk is dat onzin. Het management wil gewoon kunnen vertrouwen op zijn adviseurs. Maar het wil, en moet zelfs, wel zelf de verantwoordelijkheid nemen voor zijn beslissingen en uiteraard prioriteiten stellen. Het management bestuurt immers de organisatie. En dat gaat over meer dan alleen informatiebeveiliging. Daarom zal de rapportage aan het management moeten verbeteren en daaraan gekoppeld zullen er voorstellen moeten komen, die passen in het bedrijfsbeleid.
Allereerst zullen daarom vanuit het management de beleidsuitgangspunten vastgelegd moeten worden. (Zie ‘ISO 27001 of 27002 ‘lean en mean’ implementeren als security management systeem’.) Deze hebben niet alleen betrekking op wat er moet gebeuren, maar ook op wat er niet moet gebeuren en mogelijk op een prioriteitsstelling. De beleidsuitgangspunten vormen één van de drie pijlers onder het security management systeem.
De tweede pijler wordt uiteraard gevormd door het risicoprofiel van de organisatie en de derde bestaat uit de best practices die in ISO 27002 zijn beschreven.

Op basis van deze drie pijlers wordt in overleg met het betrokken management het basisbeveiligingsniveau (BBN) gedefinieerd, zoals dit moet gelden voor de organisatie. Dit afgesproken beveiligingsniveau wordt aan de directie gerapporteerd, samen met de acties die nodig zijn om dit beveiligingsniveau te bereiken.  (Zie ook ‘Revisie ISO 27001 en ISO 27002’.)

3. Het risicoprofiel als stoplichtmodel

Het risicoprofiel wordt weergegeven op basis van twee variabelen. De eerste variabele is de noodzaak om de doelstelling te bereiken, zoals deze is ingeschat (zie ook ‘Voorbeeld vaststellen norm en basisbeveiligingsniveau op grond van ISO 27002 of 17799′) door het management en de materiedeskundigen van de organisatie (de afhankelijkheid). De tweede is de ernst (kwetsbaarheid), zoals deze in de huidige situatie is ingeschat door een interne of externe deskundige. Vaak hanteert men hiervoor een formule als kans op voorkomen maal schade. De basistabel ziet er dan als volgt uit:

Uiteraard zij er per gebied meerdere risico’s te onderkennen. In dit model is er voor gekozen per risicogebied de grootste dreiging weer te geven. In een bijlage wordt deze meer in detail uitgewerkt.
In onderstaand overzicht is een drietal meetpunten meegenomen:

• de huidige situatie;
• de verwachte situatie na de uitvoering van dit project in Q4 – 2008;
• de verwachte situatie een jaar later in Q4 – 2009, vooral bereikt door de effecten op langere termijn van reeds nu getroffen maatregelen.

Deze prognoses worden opgesteld onder de aanname dat de voorgestelde maatregelen uit het actieplan inderdaad getroffen of gepland worden.

Natuurlijk moet dit overzicht zodanig zijn, dat het management op grond daarvan beslissingen kan nemen en het verbeterproces in de tijd kan volgen.

Opmerkingen:
De risicogebieden zijn de risicogebieden die ISO 27002 ook onderkent.
Naleving kan pas later zichtbaar worden na inrichting van de interne controle en de daadwerkelijke controles.

4. Onderliggende risico-inventarisatie

Het item bedrijfscontinuïteitsbeheer kan op een onderliggend niveau als volgt zijn uitgewerkt:

Dit is het niveau dat afgestemd is met de meer operationeel betrokkenen en waarvan de actielijst is afgeleid, waarvoor de budgetaanvraag gekoppeld aan de managementrapportage uit het vorige hoofdstuk is gedaan. Uiteraard krijgen de beslissers ook deze analyse opgestuurd, zodat ze eventueel de analyse achter de budgetaanvraag kunnen volgen. Meestal echter bekijken ze deze slechts met een korte blik. Voor het management is uiteraard alleen van belang te weten wat de kosten van de actie zijn. Zij kunnen deze dan vervolgens accorderen dan wel het risico accepteren. Voor wat betreft de certificering maakt dit praktisch gezien geen verschil. In control betekent immers, dat risico’s in kaart gebracht zijn en dat hierover adequate besluitvorming heeft plaatsgevonden. Bovendien kan deze rapportagevorm ook voor andere operational risks, zoals bijvoorbeeld ARBO en Milieu gebruikt worden, zodat het management bij al zijn beslissingen ook integraal de risico’s kan beoordelen. Op deze manier wordt voorkomen dat de besluitvorming alleen plaatsvindt op financiële gronden. (Zie ook ‘Afbakening van uw risk managementsysteem en de relatie met andere managementsystemen’.)

5. Vertrouwen in de aanpak

De voordelen van deze rapportagevorm zijn:

• Het management krijgt een overzicht van de bedrijfsrisico’s gepresenteerd op 1 A4-tje, waarop het desgewenst verder kan inzoomen.
• Het proces van informatiebeveiliging is te monitoren en dus bij te sturen in de tijd.
• Verbeteracties zijn altijd gekoppeld aan onderkende bedrijfsrisico’s, waardoor overbodige maatregelen uitgesloten worden en het commitment voor de acties hoog is.

Door deze werkwijze te volgen, is het awareness probleem meestal geen issue meer. Juist de koppeling tussen acties en door de directie onderkende bedrijfsrisico’s zorgt voor vertrouwen. Alleen als een informatiebeveiliger verder wil gaan dan het afdekken van risico’s, dan zal hij het vertrouwen snel verspelen. Dat zal hij of zij vooral moeten (af)leren.

Oorspronkelijke versie: 4 juli 2008. Herziene versie 31 oktober 2011.

Inhoudsopgave 

1. Informatiebeveiliging een grabbelton?
2. ISO 27002 is een kwaliteitssysteem
3. Vaststellen beleidsuitgangspunten
4. Opstellen risicoprofiel
5. Vaststelling van het basisbeveiligingsniveau
6. Procesimplementatie
7. Managementaandacht noodzaak 

1. Informatiebeveiliging een grabbelton?

Er zijn  heel veel maatregelen mogelijk om de informatiebeveiliging te verbeteren. Een keus maken uit die vele honderden maatregelen lijkt soms op grabbelen in een grabbelton. Vaak worden er heel veel maatregelen geimplementeerd, eventueel ondersteund door een geautomatiseerd tool. Dat dit niet gaat werken, hoeft geen betoog. Want wat moet bijvoorbeeld een overheid met allerlei maatregelen op het gebied van vertrouwelijkheid, als door de Wet Openbaarheid van Bestuur veel vertrouwelijke gegevens opgevraagd kunnen worden?
De winst van ISO 27002 is, dat organisaties niet meer verplicht worden tot de invoering van heel veel maatregelen, maar dat zij kunnen kiezen voor een relevante set van maatregelen afgestemd op hun beleid en risicoprofiel. (Zie ook ‘ISO 27002, de Code voor Informatiebeveiliging nader toegelicht’.) Want niet de norm is bepalend¹. Bepalend zijn de beleidsuitgangspunten en het risicoprofiel van de organisatie, waarbij de ISO-norm geldt als een set van ‘best practices’. Daarmee wordt voorkomen dat maatregelen niet worden geaccepteerd. Want dat gebeurt wanneer zinloze regelgeving wordt ingevoerd.
Een organisatie heeft met betrekking tot in te voeren maatregelen drie keuzemogelijkheden: 

• Een maatregel wordt zo snel mogelijk geïmplementeerd.
• Een maatregel wordt gepland.
• Als de organisatie van mening is, dat voor haar een maatregel niet relevant is, dan geldt het principe: ‘pas toe of leg uit’.

Resultaat is een relevant stelsel van geïmplementeerde of geplande maatregelen, die beoordeeld kunnen worden door een certificerende instantie, die primair kijkt naar de evenwichtigheid van de besluitvorming en de naleving van de geïmplementeerde maatregelen. (Zie ook ‘Nu ook certificatieschema voor ISO 27002 beschikbaar’.) Certificering is al mogelijk, voordat alle geplande maatregelen zijn geïmplementeerd. Want tijdens de audit vindt beoordeling plaats op basis van het criterium ‘in control’. Hiermee is certificering op basis van ISO 27002 vergelijkbaar met certificering volgens de Code Tabaksblat of certificering op basis van ISO 9000. Het is immers mogelijk om zowel het Amstel Hotel als McDonalds te certificeren op basis van ISO 9000, terwijl men toch tussen deze restaurants een verschil in service- en productkwaliteit mag verwachten.
De in dit artikel beschreven werkwijze om te komen tot een security management systeem is voorgelegd aan een certificerende instantie en goedgekeurd.

¹  De ISO-normen voor informatiebeveiliging worden momenteel gewijzigd. De oorspronkelijke versie van dit artikel is geschreven voordat de contouren van de nieuwe ISO 27001 en ISO 27002 bekend waren. De nieuwe norm stelt meer nadrukkelijk centraal het risicoprofiel voor informatiebeveiliging en de keuzes die het management van een organisatie kan en mag maken voor het wel of niet accepteren van bedrijfsrisico’s. Hierdoor kan een organisatie ISO 27001-gecertificeerd worden, zonder dat er ook maatregelen moeten worden ingevoerd, die voor de organisatie in feite overbodig zijn. Dat betekent minder bureaucratie. Organisaties worden hierdoor dan ook niet meer opgescheept met de hoge kosten, die vaak elk draagvlak doen verdwijnen.
In theorie was een lean and mean aanpak conform de ISO 27001-norm wel mogelijk. In de praktijk echter speelden adviseurs en auditors liever op safe en werden de controls uit ISO 27002 vaak toch verplicht gesteld, hoewel dit strikt genomen niet werd voorgeschreven. Kernvraag was vaak de vraag of de situatie veilig was. 100% veiligheid bestaat echter niet. Daarom moet de vraag centraal staan of een organisatie bereid is een bedrijfsrisico te accepteren en welke maatregelen voor de organisatie aanvaardbaar zijn om dit risico te verminderen. In het artikel ’Revisie ISO 27001 en ISO 27002′ leest u meer over de nieuwe opzet voor ISO 2700X. 
In onze oorspronkelijke benadering stond ISO 27001 voor de door veel adviseurs en auditors voorgestane bureaucratische compliance aanpak en ISO 27002 voor een pragmatische risk-driven benadering. In dit perspectief moet u dit artikel lezen, waarbij gezegd moet worden dat in de nieuwe invulling van ISO 2700X  onze pragmatische benadering ook bruikbaar is voor de invulling van uw informatiebeveiliging conform de ISO 27001-norm.

2. ISO 27002 is een kwaliteitssysteem

ISO 27002 wil een security management systeem zijn en daarmee geen eenmalig project, maar een proces in de organisatie. ISO 27002 is dan ook opgezet als een kwaliteitssysteem. Voorwaarde voor continue verbetering is de verbetercyclus die deel uitmaakt van dit systeem. De regie van het geheel ligt bij het managementteam of de directie. De implementatie in de organisatie wordt doorgaans wel projectmatig aangepakt.
Het overall model voor de implementatie wordt weergegeven in het volgende model: 

Op basis van de beleidsuitgangspunten, het risicoprofiel en de doelstellingen van ISO 27002 wordt eerst een set aan maatregelen gedefinieerd, die geldt als het basisbeveiligingsniveau voor de gehele organisatie. Daarnaast kunnen voor bepaalde processen of afdelingen additionele maatregelen worden gedefinieerd, die niet voor de gehele organisatie gelden. Vervolgens wordt de planning- en controlcyclus geïmplementeerd, waarmee feedback op de naleving wordt gegeven, zodat bijgestuurd en verbeterd kan worden. In de volgende hoofdstukken zullen we per stap deze aanpak bespreken.  

3. Vaststellen beleidsuitgangspunten

De eerste stap is het vaststellen van de voor de informatiebeveiliging relevante uitgangspunten. Hiervoor kan gebruikt gemaakt worden van een checklist met een 40  tot 50 mogelijke uitgangspunten, waaruit de directie of het managementteam keuzes maakt. Als deze keuzes bepaald zijn, is het opstellen van een richtinggevend beleidsdocument een invuloefening. (Zie ‘Statuut Informatiebeveiliging’.) Een aantal voorbeelden van mogelijke beleidsuitgangspunten is weergegeven in het volgende schema: 

Uiteraard moet ervoor gewaakt worden, dat beleidsuitgangspunten niet ambitieuzer gekozen worden dan nodig is. Zo lijkt bijvoorbeeld de volledige toepassing van het ‘need to know’-principe redelijk. De kosten van dit algemene uitgangspunt zijn echter hoog en in de praktijk moeten vaak uitzonderingen gemaakt worden voor ICT-beheerders, functioneel applicatiebeheerders, secretaresses en bijvoorbeeld medewerkers van de afdeling documentmanagement. Door de maatregel niet te treffen wordt dan voor deze mensen juist de kwaliteit van de beschikbare informatie vergroot.  

4. Opstellen risicoprofiel

Het risicoprofiel kan op meerdere wijzen worden samengesteld. In ieder geval kan het door betrokkenen te interviewen. Hiervoor kunnen bestaande methodieken worden gebruikt. Te denken valt aan Cramm, de A&K-analyse behorend bij het VIR of aan methodieken met een meer bedrijfsmatige invalshoek zoals SARA of SPRINT van het ISF. Deze methodieken hebben als nadeel, dat zij meestal behoorlijk tijdrovend zijn en allemaal een tool bevatten, dat een diarree aan maatregelen produceert om de risico’s af te dekken. Als dit tool niet wordt gebruikt, dan zal de risicoanalyse niet aansluiten bij de ISO-norm. Alleen voor SPRINT is de vertaalslag te maken (zie ook ‘Voorbeeld Rapport Risico Analyse Informatiebeveiliging’), maar bij Cramm en de A&K-analyse is dit vrijwel onmogelijk. Daar echter SPRINT niet uitgaat van een basisbeveiligingsniveau, maar van het maximaal vereiste niveau, heeft ook SPRINT zijn nadelen.
Wij bevelen daarom aan de risicoanalyse te doen aan de hand van een stoplichtmodel. (Zie ‘Managementrapportage risicoprofiel informatiebeveiliging ISO 27001 of 27002′.) Dit model volgt de ISO-doelstellingen. Bovendien biedt het model de mogelijkheid om de maatregelen direct met de betrokkenen af te stemmen en zo passende en haalbare oplossingen te vinden, hetzij binnen het basisbeveiligingsniveau, hetzij in de vorm van additionele maatregelen.
Voordeel van het stoplichtmodel is, dat het het beveiligingsniveau visueel weergeeft, waardoor het mogelijk wordt om in een stapsgewijze verbetering het beveiligingsniveau van de organisatie te verhogen. Voor het management is de besluitvorming overzichtelijk. Het management wordt niet gedwongen ook diepgaand verstand te krijgen van informatiebeveiliging. Het kan zich beperken tot risk management en zicht houden op de status via bijvoorbeeld het volgende schema: 

5. Vaststelling van het basisbeveiligingsniveau

Op grond van de risicoanalyse wordt het basisbeveiligingsniveau (BBN) vastgesteld. Meestal wordt deze exercitie al voor de interviewronde een keer uitgevoerd met de ICT-manager en de security manager, om vast te stellen welke maatregelen al getroffen zijn en welke omissies er zijn. Dit voorkomt dat tijdens de interviews steeds weer gediscussieerd wordt over zaken die mogelijk allang zijn geregeld. We mogen er tenslotte vanuit gaan, dat het bestaande beveiligingsniveau redelijk adequaat is. Als dit namelijk niet het geval zou zijn, waren er wel eerder problemen gerezen, die de organisatie gedwongen had tot ingrijpen.
Een voorbeeld van een sjabloon dat hiervoor gebruik kan worden is hieronder gedeeltelijk weergegeven:

Het gebruik van dit sjabloon voor het BBN is uitgewerkt in het artikel ‘Voorbeeld vaststellen norm en basisbeveiligingsniveau op grond van ISO 27002′.  

6. Procesimplementatie

Doorgaans moet ook de nodige aandacht besteed worden aan de inrichting van het proces. De meeste organisaties zijn nogal ‘doenerig’ ingesteld, zodat vaak gedacht wordt, dat als de maatregelen ingevoerd zijn de informatiebeveiliging geregeld is. Dat is echter een illusie.
Van groot belang is de inrichting van de interne controle (IC) op de informatiebeveiliging. Hierdoor wordt gemonitord welke incidenten plaatsvinden en of de maatregelen nog steeds adequaat zijn. Op grond hiervan vindt terugkoppeling plaats naar de directie of het managementteam en naar de verantwoordelijken voor de informatiebeveiliging, zodat het verbeterproces geborgd wordt.
De IC-functie is in de meeste bedrijven primair gericht op de controle van de financiële stromen. Voor de interne controle op de informatiebeveiliging zal daarom vaak nog een functionaris aangewezen moeten worden. Uitbesteding kan een alternatief zijn. Doorgaans brengt dat echter hogere kosten met zich mee. Ook is meestal de procedure voor het goedkeuren van investeringen en wijzigingsvoorstellen niet geregeld. Hierbij gaat het erom dat gecheckt moet worden wat de impact is van een investering of een wijziging op de informatiebeveiliging. Mogelijk maken investeringen en wijzigingen het definiëren van aanvullende maatregelen noodzakelijk.
Ook hier biedt het stoplichtmodel als rapportage systeem voor risk-management grote voordelen. Het management hoeft zich niet te verdiepen in de maatregel zelf, maar houdt zich slechts bezig met het kleurenschema van het stoplichtmodel, dat in de tijd steeds meer moet tenderen van rood naar groen. (Zie ‘Managementrapportage risicoprofiel informatiebeveiliging ISO 27001 of 27002′.) Bovendien voorkomt het stoplichtmodel dat risicoanalyses te vaak herhaald moeten worden en daarmee dat de organisatie te zwaar belast wordt.  

7. Managementaandacht noodzaak

Bedrijven die niet gedwongen willen zijn tot het invoeren van een willekeurige set van maatregelen die niet afgestemd is op het risicoprofiel en het bedrijfsbeleid hebben met ISO 27002 een alternatief (zie ook de opmerking hierboven bij ¹). Er hoeft geen sprake te zijn van een schimmenspel en een woud van verwijten tussen beveiligers en het management. Er is een aanpak die past bij de beveiligingsbehoefte van de organisatie.
Deze aanpak kan in hoge mate gestandaardiseerd worden, waarbij in tegenstelling tot klassieke informatiebeveiligingsprojecten de nadruk niet ligt op de moeizame implementatie van onbegrepen maatregelen maar op de selectie van adequate maatregelen. Met deze aanpak zijn Awareness en commitment geen probleem. (Zie ook ‘Informatiebeveiliging awareness voor management en gebruikers’.) Want de beveiligingsadviseur is een professionele dienstverlener, die in opdracht van de organisatie werkt. Informatiebeveiliging is dan een volwassen bedrijfsproces dat structureel is ingebed in de organisatie.
Natuurlijk kunt u externe adviseurs inhuren om dit voor u te regelen. Die adviseurs moeten zich dan wel beperken tot een coachende rol, zodat de kosten beperkt blijven. Om echter de continuïteit van de informatiebeveiliging binnen uw organisatie te waarborgen, is het waarschijnlijk nog beter onze ‘Cursus Informatiebeveiliging conform ISO 27001, 27002 of NEN 7510’ te volgen (eventueel met een collega, zodat u tevens een backup hebt). U leert dan in drie dagen zelf op een pragmatische wijze de risico’s in uw organisatie te bepalen en hiertegen adequate maatregelen te treffen op een wijze die auditproof is.

Eerdere versies: 2 november 2009, 17 november  2010, 29 december 2010

De huidige versies van de ISO 27001- en de ISO 27002-norm werden destijds via de quick and dirty-methode afgeleid van een serie reeds bestaande normen. Momenteel zijn nieuwe versies van beide normen in de maak. De belangrijkste wijzigingen in de praktijk zullen zijn, dat de normen meer in lijn zijn met ISO-standaards en dat ISO 27001 niet meer alle controls uit ISO 27002 verplicht stelt. Het principe van ‘pas toe of leg uit’ zal gelden. Hierdoor komt het officiële ISO 27001-certificaat ook binnen bereik van organisaties met een lager risicoprofiel, die tot dusver hun heil moesten zoeken in een ‘in control’-statement conform ISO 27002.

In juni 2011 werd tijdens een door het NEN georganiseerde sessie de toekomst van de ISO-normen voor informatiebeveiliging uit de doeken gedaan. De normen bestaan grotendeels in draft-versies, maar een aantal principiële keuzes is gemaakt. De belangrijkste daarvan is, dat ISO 27001 niet meer alle beheersmaatregelen uit ISO 27002 verplicht stelt. Alternatieve maatregelen zijn toegestaan. Verder geldt het principe ‘pas toe of leg uit’. Zeker voor organisaties met een lager risicoprofiel dan bijvoorbeeld banken, centrale overheden en ziekenhuizen is dit een uitkomst. Zij hoeven niet meer een complex en duur proces in te gaan, zoals dat bij ISO 27001 vaak werd opgetuigd. Wanneer zij helder het informatiebeveiligingsbeleid formuleren en scherp de beleidsuitgangspunten definiëren op basis van het risicoprofiel, kunnen zij vervolgens pragmatisch een baseline kiezen voor de gehele organisatie. Slechts voor de processen met een hoger risicoprofiel, waarvoor een hoger beveiligingsniveau nodig is, worden dan aanvullende maatregelen gedefinieerd.
Groot voordeel is dat dit de efficiency van de bedrijfsvoering niet vermindert en dat het ‘awareness probleem’ bij het management zo minder speelt. Strikt genomen is dit ook in de huidige situatie al mogelijk. De onderbouwing die auditors echter eisen bij ‘pas toe of leg uit’, is vaak zodanig, dat het meestal gemakkelijker is om een maatregel dan toch maar in te voeren.
Het komt er dus op neer dat ISO 2700X nu ook voor organisaties met een lager risicoprofiel een goed bruikbaar handvat wordt om ‘het informatiebeveiliging op orde te brengen, zonder dat ze daarvoor een draconisch traject moet opstarten met honderden maatregelen of meer en tegen hoge kosten, waarvoor bij het management geen draagvlak te verkrijgen is. Honderd procent beveiliging is immers een illusie. De risico’s die een organisatie wil afdekken, moeten het uitgangspunt zijn. (Zie ook ‘Kosten en baten van beveiliging’) Het gaat niet om honderd procent veilig, het gaat om veilig genoeg, gezien de doelstellingen van de organisatie. Mooi meegenomen is, dat hier ook een certificaat voor verkregen kan worden.

Het ISO 27000-bouwwerk voor informatiebeveiliging

De structuur van het totale ISO 2700X-bouwwerk was ook eerder al bekend. De bestaande onderdelen echter pasten hier nog niet echt goed in. Er was teveel overlap. In de nieuwe structuur is er een betere afbakening.

Aan de jaartallen kunt u zien dat het hele bouwwerk dus op de schop gaat.
Het belang van de nieuwe ISO 27000 wordt groter. Alle termen en definities worden uit de andere standaards gehaald en ondergebracht in ISO 27000. Dit geldt ook voor de beschrijving van het ISMS (Information Security Management System), dat nu nog uitgebreid wordt beschreven in ISO 27001. Op dit moment bestaat de derde Working Draft van ISO 27000 en zal het nog minimaal 1-2 jaar duren voor de nieuwe ISO 27000 norm beschikbaar is.
Ook de meeste andere normen zijn nu in ontwikkeling. De jaartallen in het schema geven aan wanneer de nieuwe normen naar verwachting beschikbaar zullen zijn.
Belangrijk uitgangspunt is, dat de verschillende normen niet meer overlappen en er een duidelijk onderscheid komt.

Revisie ISO 27001

ISO 27001 specificeert de eisen voor de opzet, de implementatie, de uitvoering, de bewaking, het onderhoud en de verbetering van een gedocumenteerd ISMS binnen de context van de bedrijfsrisico’s. Cruciaal hierin is de verbetercyclus.

Alleen op basis van ISO 27001 kan een formeel certificaat worden verkregen. Hierbij geldt dat de invoering van alle controls uit ISO 27002 niet langer verplicht is.
Voorts wordt ISO 27001 in lijn gebracht met ISO 31000 (Risk management – principes en richtlijnen) en met de ISO Guide 83, de algemene beschrijving van management systemen conform ISO. Hierdoor wordt de integratie tussen ISO 27001 en andere kwaliteitsmanagement systemen verbeterd.
Wel betekent dit, dat de hoofdstukindeling van het huidige ISO 27001 aanzienlijk zal veranderen.
De eerste Committee Draft is nu beschikbaar. Als het meezit, komt de definitieve versie begin 2013 beschikbaar.

Revisie ISO 27002

De revisie van ISO 27002 is minder complex. De belangrijkste aanpassing zit in de titel. Nu staat nog in de titel: “Code of practice for information security management”. Dit wordt na revisie: “Code of practice for information security controls”. ISO 27001 gaat dus over de ‘ISMS policy’. ISO 27002 gaat over de ‘information security policy’.
Daarnaast worden aanpassingen gedaan die de vele doublures in ISO 27002 zullen verminderen. Verder worden gedateerde maatregelen vervangen of geschrapt.
De vierde Working Draft is nu beschikbaar. Waarschijnlijk komt de definitieve versie in de loop van 2013 beschikbaar.

De benadering van ZBC

In veel artikelen op onze site distantiëren we ons van ISO 27001, vanwege de verplichte controls die in de bijlage aan ISO 27001 worden toegevoegd. ISO 27002 schrijft al deze controls op zich niet voor. Daarom hebben wij wij organisaties met een lager risicoprofiel altijd geadviseerd te kiezen voor ISO 27002. Hieraan voegden we wel toe, dat ISO 27002 als een ISMS geïmplementeerd moet worden. (Zie ook ‘ISO 27001 of 27002 lean en mean implementeren als security management systeem’.) Ook de managementverantwoordelijkheid en de verbetercyclus kregen bij ons veel aandacht. In het artikel ‘Managementrapportage risicoprofiel informatiebeveiliging ISO 27001 of 27002’ geven we een pragmatische werkwijze, waarmee dit gerealiseerd kan worden. Kortom, in onze benadering gooiden we alles wat door de verplichte controls van ISO 27001 gezien het risicoprofiel van de organisatie ballast was, al overboord. Kortom, de benadering die wij als ZBC al jaren propageren op onze site als ISO 27002, geeft in de toekomst ook de mogelijkheid tot certificatie op basis van ISO 27001.

1. Informatiebeveiliging is risicomanagement

Het spreekt vanzelf dat bij ministeries en banken informatiebeveiliging topprioriteit heeft. De meeste organisaties echter delen kennis en informatie met interne en externe partijen en informatiebeveiliging is dan een aandachtspunt voor en behoort tot het takenpakket van een ICT-manager, een stafmedewerker of een ICT-beheerder. Doelstelling is in dat geval meestal dat de kosten van preventie in balans zijn met de hoogte van de schade die door incidenten kan worden veroorzaakt en dat de te nemen maatregelen niet ten koste gaan van de efficiency van de bedrijfsvoering. Organisaties waarvoor dit geldt, hebben doorgaans geen behoefte aan gespecialiseerde en gecertificeerde informatiebeveiligers, maar meer aan een pragmatisch ingestelde functionaris, die de risico’s bepaalt en hierop passende maatregelen definieert. 100% beveiliging is tenslotte niet mogelijk en in de meeste gevallen ook niet gewenst. (Zie ook ‘Kosten en baten van beveiliging’.)
Helaas staan veel beveiligers op het standpunt dat je moet beveiligen wat je kunt beveiligen. Vaak zwaaien ze dan met de ISO 27001-norm en voegen hier de controls uit ISO 27002 aan toe als verplichting. Maar gelukkig is dat niet nodig. Het bepalen van een risicoprofiel is de basis en vervolgens moeten alleen die maatregelen worden getroffen, die op grond van dit risicoprofiel zinvol zijn. En wat de risico’s zijn en wat zinvolle maatregelen bepaalt niet de beveiliger of de auditor, maar de directie van de organisatie. Het geheel van maatregelen moet verder worden geïmplementeerd als een proces inclusief besturing en een ingebakken verbetercyclus. Dit kan echter op een heel pragmatische wijze. (Zie ‘ISO 27001 of 27002 ‘lean en mean’ implementeren als security management systeem’.)
In de nieuwe versies van ISO 27001 en 27002, die in 2013 zullen worden ingevoerd, wordt duidelijker dan voorheen tot uitdrukking gebracht dat dit de juiste aanpak is. (Zie ook ‘Revisie ISO 27001 en ISO 27002’.)

1.1 ISO 27002 is een geschikte standaard

In de cursus ‘Informatiebeveiliging conform ISO 27001, 27002 of NEN 7510’ nemen we ISO 27002 als uitgangspunt. Dat voorkomt dat organisaties allemaal zelf het wiel moeten gaan uitvinden of anders met een onevenwichtige beveiliging worden opgezadeld. Hieraan voegen we toe de systeemelementen van ISO 27001, dat zijn de risico-inventarisatie, de procesbesturing (het ISMS) en de verbetercyclus. Deze aanpak ondervangt awareness-problematiek en voorkomt weerstanden en maakt dat er een werkend geheel ontstaat in plaats van een papieren tijger.
Omdat de nieuwe versie van NEN 7510 gelijkgetrokken wordt met ISO 27001 en 27002, zullen we in de verdere beschrijving van de cursus steeds spreken over ISO 2700X. Tijdens de cursus besteden we uiteraard wel aandacht aan de specifieke aspecten van NEN 7510 (met name aan privacy en het verkrijgen van toegang).
Juist in middelgrote organisaties worden wel maatregelen getroffen, maar schort het vaak aan balans en inbedding.

De kern van ISO 2700X:

• Er is balans tussen bedrijfsuitgangspunten, risico’s en best practices, waardoor per bedrijf een basisbeveiligingsniveau gedefinieerd kan worden.
• Er is sprake is van een systeem (beleid, planning, uitvoering en control) en niet van een willekeurige set van projecten en maatregelen.

Kortom, met ISO 2700x kan onder meer het conflict tussen vertrouwelijkheid en kennisdelen in dienstverlenende organisaties op een nette manier worden opgelost, evenals het probleem van ontbrekende awareness. Van deze cursus Informatiebeveiliging profiteert dus niet alleen de cursist zelf, maar vooral ook zijn of haar organisatie kan er haar voordeel mee doen.

2. Werkwijze

Tijdens de cursus Informatiebeveiliging leert de cursist genoemde kernpunten in te vullen voor zijn/ haar organisatie, op basis van de beleidsuitgangspunten (het opstellen van beleidsuitgangspunten wordt behandeld en geoefend tijdens de cursus), de reeds getroffen maatregelen en de bedrijfsrisico’s van zijn/ haar organisatie. We reiken hiervoor sjablonen uit, waarmee het bepalen van een informatiebeveiligingsbeleid en het vaststellen van een passend basisbeveiligingsniveau grotendeels invuloefeningen worden en waardoor nauw aangesloten kan worden bij de reeds bestaande situatie. Ook dit laatste voorkomt problemen als het ontbreken van awareness en commitment.
Door de in de cursus gepresenteerde werkwijze, hoeft de opzet van informatiebeveiliging niet langer een complex en langdurig project te zijn. Het kan eenvoudig worden ondergebracht in het takenpakket van één of meerdere functionarissen.
Tijdens de cursus worden geen ingewikkelde verhalen gehouden over wat er in theorie allemaal fout kan gaan. We zetten een kader neer, oefenen het toepassen van de sjablonen in de praktijk en bespreken een groot aantal praktijkvoorbeelden. Ook gaan we in op actuele issues zoals de Wet Bescherming Persoonsgegevens, Business Continuity en het Jericho principe voor organisaties, waar kennisdeling een must is en dus de klassieke ‘fortbenadering’ niet werkt. (Zie ook ‘Informatiebeveiliging en kennisdeling vragen om nieuwe oplossingen’.)

3. Doelgroep

Deze driedaagse cursus is bedoeld voor security officers, projectgroepleden en andere operationeel betrokkenen bij dit traject. Voor (leden van) directies, stuurgroepen of managementteams die leiding gaan geven aan het traject om de informatiebeveiliging binnen hun organisatie te verbeteren is onze eendaagse ‘Workshop Pragmatisch omgaan met informatiebeveiliging conform ISO 27001’ beschikbaar.

4. Programma

Dag 1:

• Introductie
• Uiteenzetting van informatiebeveiliging conform ISO 2700X
• Praktijk: vaststellen van beleidsuitgangspunten en opstellen beleidsdocument informatiebeveiliging (met aandacht voor wet-en regelgeving en vrije keuze, het afstemmen van de kosten op de risico’s en het managementsysteem).

Dag 2:

• Praktijk: uitvoeren risicoanalyse en managementrapportage (zie ‘Managementrapportage risicoprofiel informatiebeveiliging ISO 27001 of 27002’)
• Praktijk: opstellen basisbeveiligingsniveau (zie ‘Voorbeeld vaststellen norm en basisbeveiligingsniveau conform ISO 27002’)

Dag 3:

• Praktijk: opstellen plan van aanpak
• Theorie en praktijk:
  • Business Continuity
  • Voorkomen gegevensverlies (DLP)
  • Wet Bescherming Persoongegevens

Cursisten mogen voor de praktijkopdrachten hun eigen organisatie als onderwerp nemen, als zij met minimaal twee personen die organisatie vertegenwoordigen. Zij zullen dan gerichte feedback ontvangen op de uitwerking voor hun eigen organisatie.

5. Organisatie

• Deze driedaagse cursus wordt gegeven op 22, 23 en 24 mei 2013 en 12, 13 en 14 november 2013 van 9.30 – 16.30 uur in de Reehorst te Ede (gelegen nabij het NS-station Ede-Wageningen).
• Cursusmateriaal is inclusief de ISO-norm en herbruikbare sjablonen.
• Kosten van de cursus bedragen € 1395,- excl. BTW.
• Het aantal deelnemers is maximaal 16.
• Voor een lunch, koffie en thee wordt gezorgd.
• Docent is Wiebe Zijlstra (ZBC).
• Inschrijven voor deze cursus kan via het het  inschrijfformulier mei en het inschrijfformulier november.
• Voor vragen of opmerkingen kunt u het reactieformulier gebruiken.
• Een in-company training kan toegespitst worden op uw wensen.

Kortom, bij ISO 27001 leek het om de controleerbaarheid van de naleving te gaan. De naleving kunnen controleren via allerlei maatregelen werd vaak belangrijker geacht dan de beveiliging tegen risico’s. (Zie ook ‘Uw informatiebeveiliging verbetert niet door meer bureaucratie met een ISMS’.) Controls werden in het verleden min of meer verplicht gesteld. In theorie mocht men afwijken, maar dat leverde vrijwel altijd veel gedoe op met de auditors. Wantrouwen leek  daarmee de basis voor ISO 27001. Natuurlijk past dit in het huidige ‘incident-driven’ tijdsbeeld, waarin mensen zich onzeker voelen en waar oplossingen gezocht worden in een afrekencultuur met penalties. Maar het spoort natuurlijk niet met ideeën over collaboration en kennisdeling over organisaties heen. Deze innovaties worden vaak geblokkeerd door de hierboven beschreven  toepassing van ISO 27001. En dan hebben we het nog niet eens over een ontwikkeling als cloud-computing¹.

¹  De ISO-normen voor informatiebeveiliging worden gewijzigd. De oorspronkelijke versie van dit artikel is geschreven voordat de contouren van de nieuwe ISO 27001 en ISO 27002 bekend waren. De nieuwe benadering stelt het risicoprofiel voor informatiebeveiliging meer centraal, samen met de keuzes die het management van een organisatie kan en mag maken voor het wel of niet accepteren van bedrijfsrisico’s. Hierdoor kan een organisatie ISO 27001-gecertificeerd worden, zonder dat er ook maatregelen moeten worden ingevoerd, die voor de organisatie in feite overbodig zijn. Dat betekent minder bureaucratie. Organisaties worden hierdoor dan ook niet meer opgescheept met de hoge kosten, die vaak elk draagvlak doen verdwijnen.
In theorie was een lean and mean aanpak conform de ISO 27001-norm wel mogelijk. In de praktijk echter speelden adviseurs en auditors liever op safe en werden de controls uit ISO 27002 vaak toch verplicht gesteld, hoewel dit strikt genomen niet werd voorgeschreven. Kernvraag was vaak de vraag of de situatie veilig was. 100% veiligheid bestaat echter niet. Daarom moet de vraag centraal staan of een organisatie bereid is een bedrijfsrisico te accepteren en welke maatregelen voor de organisatie aanvaardbaar zijn om dit risico te verminderen. In het artikel ’Revisie ISO 27001 en ISO 27002′ leest u meer over de nieuwe opzet voor ISO 2700X. 

In onze oorspronkelijke benadering stond ISO 27001 voor de door veel adviseurs en auditors voorgestane bureaucratische compliance aanpak en ISO 27002 voor een pragmatische risk-driven benadering. De vraag is nu of de nieuwe ISO 2700x-norm voor adviseurs en auditors snel aanleiding zullen zijn voor een andere aanpak. Vooralsnog zal de boodschap van ons oorspronkelijke artikel waarschijnlijk wel blijven gelden. We zien nu dan ook nog geen reden om het artikel al te herschrijven. In het perspectief van deze boodschap moet u dit artikel lezen, waarbij gezegd moet worden dat in de nieuwe invulling van ISO 2700X  onze pragmatische benadering ook bruikbaar is voor de invulling van uw informatiebeveiliging conform de ISO 27001-norm.

ISO 27002 gericht op risk management in plaats controleerbaarheid

ISO 27002 legt geen certificatieschema op waaraan moet worden voldaan, maar legt de verantwoordelijkheid bij de organisatie zelf. ISO 27002 staat vol met best practices hoe u de beveiliging kunt inrichten en hoe u de verbetercyclus vorm kunt  geven. Het is echter aan de directie om de keus te maken of best practices al dan niet tot norm worden verheven. Dat maakt het veel gemakkelijker om te kiezen voor een bedrijfsbreed basisbeveiligingsniveau, dat voldoende is voor ongeclassificeerde gegevens en voor geclassificeerde gegevens gericht een hoger beveiligingsniveau te eisen. Per saldo is dat meestal veiliger. De fortbenadering van gegevensbeveiliging is immers al lang zo lek als een mandje. (Zie ook ‘Informatiebeveiliging en kennisdeling vragen om nieuwe oplossingen’.) Ook de controleerbaarheid wordt bij ISO 27002 niet opgelegd middels een certificatieschema. Het is de organisatie, die bepaalt hoe de controle wordt ingericht.
Zeker organisaties met veel hoogopgeleide kenniswerkers hebben vaak last van van bovenaf opgelegde controlemaatregelen. Deze professionals zijn aangenomen om juist op basis van hun kennis en ervaring toegevoegde waarde te leveren. Anders had de organisatie beter lager opgeleide medewerkers in dienst kunnen nemen. Zij moeten dan ook niet worden verstikt door voorschriften, regels, protocollen, procedures, rapportages en prestatiemeting. Dat kost veel geld en heeft een averechts effect op motivatie, ruimte voor beroepsuitoefening en kwaliteit. ISO 27002 biedt meer ruimte om het regelcircus minimaal te houden. Kernpunt in ISO 27002 is, dat de organisatie er voor kan kiezen haar medewerkers te vertrouwen en alleen daar toezicht te creëren, waar zij daadwerkelijk risico loopt. De verbetercyclus hoeft tenslotte niet alleen onderdeel van het systeem zijn. Menselijke initiatieven verlopen vaak sneller en zijn meestal minstens zo effectief. Daarvoor zijn geen beveiligers of auditors nodig.

Controle bottom-up inrichten

Het kan dus anders, beter en pragmatischer, mits u vertrouwen als basis neemt. Zet daartoe controle op zijn kop: laat de werkers zelf komen met voorstellen hoe zij het best en met minimale regels gecontroleerd kunnen worden. Daartoe moeten zij hun verantwoordelijkheid en initiatief nemen, vrijwillig transparantie bieden, en niet passief wachten tot de controle hen overkomt en overspoelt.
Er is nu vaak tussen enerzijds de directie of toezichthouders en anderzijds de uitvoerders een verstikkende laag gegroeid van controleurs met onrealistische pretenties en gebrekkige kennis van het werkproces. De controlewoede berust op een dubbel misverstand: het moet en het is mogelijk. Het moet om te komen tot verantwoording en om risico’s uit te sluiten en het is mogelijk om beroepspraktijken te vangen in regels en voorschriften. Het tegendeel is echter waar. Het hoeft niet en het kan zo ook niet. Het is al lang bekend dat beroepspraktijken te gevarieerd en veranderlijk zijn om ze volledig te kunnen vangen in regels en voorschriften. Kwaliteit van professionele arbeid is ook niet volledig te meten.
We hebben te maken met een paradox van transparantie en vertrouwen. Toezichthouders willen wel vertrouwen geven aan uitvoerders, maar hebben daarvoor transparantie nodig. Als transparantie echter wordt opgelegd, dan is dat een blijk van wantrouwen. Transparantie moet vrijwillig zijn, van onderop.

Vertrouwen moet geen naïviteit worden

Als in uw beroepspraktijk iets fout gaat en u meldt het niet, u legt het niet uit en u komt niet met voorstellen om de schade te repareren en om dergelijke fouten in de toekomst te voorkomen, dan moet u niet verbaasd zijn dat u niet meer vertrouwd wordt en regels over u heen krijgt. Zoals onlangs de bankiers. Maar de vrijwillige transparantie van onderop moet door boven wel verdiend worden. Bij melding van een fout moet dan niet meteen worden overgegaan tot het opleggen van schuld en boete. Dankbaar zijn voor het geboden inzicht en samenwerken aan de reparatie van schade en het voorkomen ervan in de toekomst zijn meer terecht. Mensen moeten vertrouwen krijgen en ruimte voor zelfstandigheid, er moet naar hen worden geluisterd en wat ze voorstellen, moet serieus worden genomen.
Er is iets grondig mis met het ontwerp van regels van boven af. Professionals worden in dienst genomen omdat ze iets kunnen wat anderen niet kunnen. Dan moeten die anderen niet pretenderen dat ze die professionals kunnen vertellen wat ze moeten doen en hoe ze het moeten doen. Elke patiënt, elke oudere, elke probleemjongere, elke leerling en elk onderzoek is uniek, en het is aan de professional om daar rekening mee te houden, erop in te haken en ervan te leren. Als daar door te veel regels geen ruimte voor is, dan is de kwaliteit van de professional verspild.
Als uitvoerders zelf met voorstellen komen hoe zij gecontroleerd willen worden dan geeft dat vier voordelen:

1. Het leidt tot een minimum aan controles. Het is in het belang van de werkers om zo veel mogelijk ruimte te krijgen, en in het belang van de toezichthouders om de kosten van controle zo klein mogelijk te maken.
2. Er is dan de garantie dat de controles passen bij de beroepspraktijk in plaats van die te fnuiken.
3. Het houdt bestuurders bij de les en de afstand wordt kleiner, doordat het aandacht voor de inhoud van het primaire proces vergt.
4. Het is voor uitvoerders en controleurs leerzaam. Toezichthouders krijgen meer inzicht in het primaire proces zodat ze meer kennis van zaken krijgen in de onderhandeling over controle. Ze kunnen van de ervaring op plaats A gebruikmaken in hun reactie op voorstellen van de werkvloer op plaats B, waar de werkvloer dan weer van kan leren. Zo worden bestuur en werkvloer partners in kwaliteit. Als professionals niet hun fouten verbergen, krijgen ze meer ruimte voor hun beroepspraktijk.

In het kader van deze transparantie en de verbetercyclus is natuurlijk rapportage essentieel. Niet gedetailleerd op maatregelenniveau, maar overzichtelijk op managementniveau. Zoals bijvoorbeeld wordt beschreven in ‘Managementrapportage risicoprofiel informatiebeveiliging ISO 27001 of 27002’. Op het gebied van informatiebeveiliging krijgt het management zo een stuurmiddel, zonder dat het zelf een halve beveiligingsexpert hoeft te worden. En de organisatie heeft de zekerheid, dat de informatiebeveiliging ‘in control’ is en de belangrijke risico’s daadwerkelijk afgedekt worden. Dus geen slecht werkende procedures opgelegd door het ISMS, omdat het certificatieschema dat nou eenmaal vraagt. We zien dan ook, dat de nieuwe NEN 7510 vrijwel gelijk getrokken is met ISO 27002. Binnen een ISO 27002 traject hebben procedures nut en ze worden daarddor gemakkelijk geaccepteerd. En awareness (bewustwording) blijkt binnen ISO 27002-(of NEN 7510 conform ISO 27002)trajecten dan ook zelden een probleem te zijn. (Zie ook ‘ISO 27001 of 27002 ‘lean en mean’ implementeren als security management systeem’.)

Oorspronkelijke versie: 25 mei 2011

Bron:
Bart Nooteboom, ‘Maak werkvloer partner van controles’. In: Het Financieele Dagblad. 1 februari 2011.

1. Aanpak invoering ISO 27002 (=17799)
2. Voorbeeld rapport, tevens basisbeveiligingsniveau (BBN)
3. Actielijst
4. Voordelen van deze aanpak

1. Aanpak invoering ISO 27002 (=17799)

In het artikel ‘ISO 27001 of 27002 ‘lean en mean’ implementeren als security management systeem’ is beschreven, dat de normenset of baseline met maatregelen het resultaat is van een afstemmingsproces met de betrokkenen en niet van het domweg invoeren van maatregelen.
Dit afstemmingsproces houdt dus een serie interviews in om enerzijds de risico’s in kaart te brengen (zie ook: ‘Voorbeeld Rapport Risico Analyse Informatiebeveiliging’) en anderzijds een beeld te krijgen van de noodzaak en wenselijkheid van maatregelen. Uitgangspunt is natuurlijk de maatregelenset van ISO 27002. Er moet echter worden voorkomen dat in ieder interview alle maatregelen aan de orde worden gesteld. Dat zou namelijk een normatieve aanpak suggereren en dan slaat de interviews onmiddellijk dood.
Ook de uiteindelijke weergave van het resultaat van deze exercitie moet beknopt en leesbaar gehouden worden voor de betrokkenen en het management, want anders wordt deze toch niet gelezen door de verantwoordelijken en zal er dus ook geen awareness en commitment ontstaan. Wel zal de uiteindelijke norm herleidbaar moeten zijn tot de behoeften. Wij adviseren daarom voor deze weergave de tabel te gebruiken uit hoofdstuk 2. (Zie ook ‘Mag een auditor nog wel normatief denken?’.)

2. Voorbeeld rapport, tevens basisbeveiligingsniveau (BBN)

Het rapport in dit artikel is een voorbeeld uit de praktijk (uiteraard gedepersonificeerd), opgesteld voor een organisatie met de fictieve bedrijfsnaam PPPP op basis van een uitgevoerde risico inventarisatie en een afstemmingsproces met de betrokkenen. QQQQ is de afdeling die als ‘delegated body’ fungeert voor een overheidsinstantie.

We geven een korte beschrijving van de kolommen:

• De kolommen onderwerp en doelstelling vormen samen een korte weergave van de ISO-norm. (Hier is de ISO norm 17799 uit 2002 gebruikt, die nagenoeg identiek is aan ISO 27002).
• De kolom ‘nodig’ bevat de conclusie van de deskundige op basis van de interviews met de betrokkenen.
• In de kolom uitwerking wordt een korte beschrijving gegeven van de bestaande maatregelen.
• De kolom status bevat de door de deskundige gevonden tekortkomingen en is de basis voor de op te stellen actielijst bij terugkoppeling naar de opdrachtgever.

2.1 Inleiding en samenvatting

Dit document beschrijft het basisbeveiligingsniveau (BBN) voor als uitwerking van het  informatiebeveiligingsbeleid van . De basis was het BBN zoals dat in 2001 is vastgesteld . Intussen zijn oplossingen geïmplementeerd die destijds als een risico werden vastgesteld.
Vanwege het besluit van de grootste opdrachtgever om een ISO 17799 certificaat te eisen met betrekking tot de informatiebeveiliging is besloten het basisbeveiligingsniveau (BBN) hierop aan te passen. Belangrijke uitgangspunten van die ook in het beleid zijn verwoord zijn:

• heeft een publieke functie en dient zijn doelgroep zo adequaat mogelijk te informeren over resultaten van onderzoeken binnen . Beveiligingsmaatregelen mogen dat proces niet verstoren, tenzij er sprake is van aanzienlijke risico’s op schade voor of inbreuk op wet- en regelgeving. Het gaat dus primair om communicatie en niet om beveiliging.
• Omdat wordt beoordeeld door zijn doelgroep op zijn toegevoegde in relatie tot de vergoeding die zij hiervoor moet betalen, worden additionele investeringen in informatiebeveiliging zoveel mogelijk vermeden, tenzij er sprake is van een aanzienlijk risico.
• Het gaat niet om tot welk niveau  je mogelijk kunt beveiligen maar om de bedrijfseconomische noodzaak van de beveiliging

Dit basisbeveiligingsniveau geldt voor alle afdelingen van . Voor sommige afdelingen kunnen gezien de wet- en regelgeving specifiek voor die afdeling aanvullende maatregelen gedefinieerd worden. Deze worden als bijlage toegevoegd aan dit document en betreffen in elk geval de afdeling .
De basis voor dit BBN zijn de risico analyse zoals uitgevoerd is door de informatiebeveiligingsfunctionaris van en Wiebe Zijlstra (ZBC) en de beleidsplannen voor informatiebeveiliging en IT inclusief de gegevensclassificatie.
Het MT stelt vast welke aanvullende maatregelen geïmplementeerd dienen te worden. De interne auditor is belast met de beoordeling van de werking van het geheel en rapporteert hierover aan het MT. De acties noodzakelijk om te voldoen aan het beleid en ISO 17799 worden separaat van dit document gepresenteerd aan het MT om zo tot besluitvorming te komen.
De opbouw van dit document en de nummering van de issues corresponderen met de versie uit 2002 van ISO 17799.

2.2 Het rapport

U kunt het rapport downlaoaden in PDF-of Word-format via de buttons onderaan deze pagina.

3. Actielijst

De kolom ‘status’ met de gaps en tekortkomingen wordt door de deskundige vertaald in een actielijst.
Deze acties gaan vergezeld van de aanbeveling ‘actie uitvoeren’ of ‘het onderliggende risico accepteren’. Deze kwalificatie is sterk afhankelijk van de noodzaak of van het belang dat
 de betrokkenen tijdens het interview hebben toegekend aan de maatregel.
De tabel zonder de laatste kolom wordt gepresenteerd aan het MT, ter goedkeuring, waardoor de maatregelenset als basis voor de informatiebeveiliging conform ISO 17799 is vastgesteld.
Vervolgens worden de acties één voor één besproken, wordt een actiehouder aangewezen en wordt een deadline bepaald. Daarna werkt de deskundige het geheel uit tot een samenhangend implementatieplan.

4. Voordelen van deze aanpak

Deze aanpak heeft in de praktijk een aantal belangrijke voordelen:

• Het management wordt zo betrokken, ook bij de vaststelling van de maatregelen, waardoor awareness en commitment ontstaan, die per definitie bijdragen aan een hoger beveiligingsniveau.
• De ‘best practices’ uit de ISO 17799 norm worden optimaal gebruikt. Hierdoor is de compliance met de norm goed vast te stellen door auditors.
• Als de tabel eenmaal bestaat, is deze eenvoudig te onderhouden. Hierdoor kan periodiek eenvoudig een evaluatie worden gehouden, die in weinig tijd te vertalen is in acties.
• Het voorgeschreven proces uit ISO 17799 (zie ook ‘ISO 27001 of 27002 ‘lean en mean’ implementeren als security management systeem’) is op deze wijze geborgd in een werkwijze die recht doet aan de verantwoordelijkheden en bevoegdheden van de betrokkenen.
• Het implementatieplan bevat juist die maatregelen waarvoor draagvlak is. Hierdoor wordt voorkomen, dat er een ‘papieren tijger’ wordt opgetuigd.
• Het is gemakkelijk om op deze wijze onderscheid te maken tussen een basisbeveiligingsniveau geldend voor de gehele organisatie en additionele maatregelen die gelden voor dat deel van de organisatie dat als ‘delegated body’ optreedt voor een derde partij. Zo wordt niet de hele organisatie belast met maatregelen die in dit kader op grond van aanvullende afspraken worden genomen.