ZBC Kennisbank

Pragmatische aanpak informatiebeveiliging

 

De presentatie ‘Pragmatische ZBC-aanpak voor informatiebeveiliging’ is de presentatie die ZBC gebruikt om aan directies van klanten die om ondersteuning vragen uit te leggen, hoe zij hun informatiebeveiliging (IB) op pragmatische wijze in control kunnen krijgen en stapsgewijs kunnen verbeteren, zodat ze ISO 27001 of NEN 7510 gecertificeerd kunnen worden.

Dit artikel bevat alle slides van de presentatie met de standaardtoelichting. U kunt onder aan dit artikel de volledige presentatie in PowerPoint downloaden. Deze presentatie mag u intern gebruiken en indien gewenst aanpassen voor uw specifieke situatie en overspuiten in uw huisstijl, mits u daarbij duidelijke de bron vermeldt en verwijst naar dit artikel: ‘https://www.zbc.nu/pragmatische-aanpak-informatiebeveiliging/’. U kunt bovendien het volledige artikel als pdf downloaden. Dat maakt het mogelijk het op een e-reader te zetten. Het gehele artikel met alle links biedt u een wegwijzer in het uitgebreide landschap van IB certificering, aan de hand waarvan u zich gericht kunt inlezen zonder het overzicht te verliezen.

Informatiebeveiliging is niet moeilijk

Informatiebeveiliging heeft de reputatie complex te zijn en veel tijd en geld te kosten. Bovendien blijf je bezig je medewerkers bij de les te houden. (Zie ook ‘Techneut en gebruiker snappen beiden niet hoe informatiebeveiliging werkt’.) ZBC heeft een andere visie op informatiebeveiliging en is van mening dat bangmakerij de oorzaak is van die slechte reputatie. Informatiebeveiliging is namelijk helemaal niet complex en de kans is groot dat u zaken al goed voor elkaar hebt. Waar het om gaat is, dat anderen geen misbruik maken van uw kostbare spullen. Dat risico wilt u dus beheersen. Het gaat daarbij zeker niet om al uw spullen. Daarom moet u zich altijd eerst afvragen: ‘Is dit erg?’. Meer gaan doen aan beveiliging zonder uzelf eerst deze vraag te stellen, is verspilling en gaat ook nog eens ten koste gaat van uw efficiency en flexibiliteit. (Zie ook ‘Hoe zorgen we voor een managementsysteem dat passend is voor onze organisatie’.) Dat wilt u niet. Door de grotere aandacht voor privacy echter wordt uw verzameling kroonjuwelen wel steeds groter. (Zie ook ‘Datalek is vaak juist geen menselijke fout’.)

Doe toch maar een certificaat

Misschien wilt u desondanks een ISO 27001 of een NEN 7510 certificaat hebben. Belangrijkste reden is, dat klanten en/of ketenpartners dit eisen. Als zij dat eisen en u hebt niet zo’n certificaat, dan kunt u succesvolle aanbestedingen wel vergeten en worden offertes snel terzijde gelegd of stapt een aantal grote klanten waarschijnlijk op. Want een boete op overtredingen is tegenwoordig zo hoog, dat men het risico op een boete niet wil lopen.
In de zorg spelen ook nog de aansluitvoorwaarden van de Vecozo. Zorginstellingen en hun ICT-dienstverleners moeten in Q3 2017 NEN 7510 gecertificeerd zijn om toegang te krijgen tot het Vecozo-netwerk. Geen toegang betekent dat zij niet kunnen declareren bij zorgverzekeraars.
Klanten en ketenpartners willen dus niet, dat de persoonsgegevens waarvoor zij verantwoordelijk zijn, op straat komen te liggen. En terecht. Gebeurt dit toch, dan willen ze de bewerker die een stommiteit heeft uitgehaald, aansprakelijk kunnen stellen. De wet zegt dat dit kan als er een bewerkersovereenkomst is, waarvan de naleving gecontroleerd wordt. (Zie ook ‘Klanten vaak aansprakelijk voor privacy incidenten bij leveranciers’.) Maar natuurlijk zit u niet te wachten op allemaal verschillende bewerkersovereenkomsten en controles door klanten. Met een ISO 27001 of een NEN 7510 certificaat kunt u dit soepel oplossen. De bewerkersovereenkomst is dan gebaseerd op dat certificaat, dat jaarlijks wordt gecontroleerd door een externe auditor. U bent daarmee af van al die verschillende bewerkersovereenkomsten en die certificaten. Klanten mogen u dan best aansprakelijk stellen. Een boete krijg u toch niet, want met uw certificaat toont u aan, dat u in control bent. En dat is genoeg om de boete te ontlopen.
Omdat u de zaken toch al redelijk op orde hebt en u altijd al zorgvuldig bent omgegaan met de data van uw klanten is certificering niet zo’n probleem. Het grootste probleem is waarschijnlijk dit aan te tonen. En dat is wel de eis die ISO 27001 en NEN 7510 stellen.

ISO 27001 is risk based

Tegenwoordig is het niet meer nodig, dat u dikke handboeken met procedures en werkinstructies hebt. (Zie ook ‘Hoe zorgen we voor een managementsysteem dat passend is voor onze organisatie’.) In hoofdstuk 0 van de ISO 27001 norm vinden we de volgende twee uitgangspunten: 

  • Het vaststellen en implementeren van een managementsysteem voor informatiebeveiliging wordt beïnvloed door de behoeften en doelstellingen van de organisatie, de beveiligingseisen, de procedures die de organisatie toepast en de omvang en structuur van de organisatie. (Zie ook ‘Het verschil tussen een oplossing en een managementsysteem’.) 
  • Het managementsysteem voor informatiebeveiliging beschermt de vertrouwelijkheid, de integriteit en de beschikbaarheid van informatie door een risicobeheerproces toe te passen, en geeft belanghebbenden het vertrouwen dat risico’s adequaat worden beheerd.

Kortom, er moet dus niets van ISO, behalve dat u uw risico’s adequaat beheerst. En natuurlijk geldt: ‘Zeg wat je doet, doe wat je zegt en laat zien dat je het gedaan hebt’.
Vanaf eind 2017 gaat dit ook gelden voor de NEN 7510. (Zie ook ‘Verwarring over revisie en certificering NEN 7510’.)

IB risico’s zijn niet altijd bedrijfsrisico’s

Veel consultants en informatiebeveiligers hebben een checklist met informatiebeveiligingsrisico’s (IB-risico’s). Als u uitgaat van deze checklists, komt u uit op een diarree aan maatregelen die u zou moeten implementeren. Een kind begrijpt, dat er dan een papieren tijger wordt gecreëerd. En ernaar streven dat al die maatregelen worden nageleefd is een luchtkasteel bouwen. Als u geen ministerie, bank, verzekeraar, ziekenhuis of politiedienst bent, dan hebt u een dergelijke overkill aan maatregelen helemaal niet nodig.

Echte bedrijfsrisico’s zijn er niet veel

Natuurlijk is er voor uw organisatie best wel een groot aantal vervelende risico’s. Dat betekent echter nog niet dat al die risico’s uw continuïteit bedreigen. In feite doen maar twee risico’s dat en dat zijn de echte bedrijfsrisico’s:

  • Belangrijke stakeholders zijn ontevreden en lopen weg. 
  • U geeft structureel meer uit dan er binnenkomt.

De oorzaken daarvoor kunnen verschillen. Daarom breiden we dit lijstje op de sheet iets uit. (Zie ook ‘Checklist risico analyse informatiebeveiliging ISO 27001 en NEN 7510’.) Er geldt dat een IB-risico acceptabel is, als het niet ook een bedrijfsrisico vormt. En dat betekent dus, dat u moet voorkomen dat data van uw klant op straat komen te liggen en dat u uw certificaat moet behouden.

Globale aanpak ISO 27001 en NEN 7510

U begint dus met het in kaart brengen van uw echte bedrijfsrisico’s. Op grond daarvan bepaalt u de scope. Voor dienstverleners gaat het hierbij om de dienstverlening aan klanten, waarbij klantgegevens worden verwerkt. Al het andere is niet van belang voor het certificaat. Klanten willen voorkomen dat hun gegevens op straat komen te liggen. Vervolgens leidt u de IB-risico’s af van de bedrijfsrisico’s en u definieert hierop beleidsuitgangspunten om de risico’s te verminderen.
Als u dat gedaan hebt, dan pakt u de maatregelen uit de norm en bepaalt op grond van de scope en de beleidsuitgangspunten in hoeverre maatregelen van toepassing zijn. Die werkt u vervolgens uit in een interne norm en een verbeterplan. (Zie ook ‘Toepassing drie cycli van risicobeheersing in de praktijk’.)

Beleid baseren op principes en niet op regels

In de afgelopen decennia zijn we erachter gekomen, dat het werken op basis van regels niet werkt. (Zie ook ‘Het failliet van rule-based opvattingen’.). Als u u houdt aan de regels, bent u niet per definitie een goede medewerker of een goed bedrijf. Daarnaast is de controle op de naleving van regels een zeer kostbare zaak. Bovendien is het zo, dat als blijkt, dat de pakkans laag is, men de regels aan zijn laars lapt. En natuurlijk houden regels net zo min iets tegen als een bordje ‘verboden toegang’. (Zie ook ‘Awareness privacy en informatiebeveiliging niet trainen maar kweken‘).
Daarom is het beter om principes te hanteren. Principes zijn ongeschreven regels. Ze hoeven dus niet omschreven te worden, maar u spreekt elkaar aan op niet-naleving. Niet-naleven brengt tenslotte uw gemeenschappelijke doelstellingen in gevaar. Medewerkers moeten uitgedaagd worden om deze principes toe te passen in hun eigen praktijk en u dient ervoor te zorgen dat successen met deze toepassing gevierd en beloond worden.
Daarom de vier principes die we in onze begeleiding hanteren als beleidsuitgangspunt. De eerste drie worden toegelicht in het artikel ‘Informatiebeveiliging is helemaal niet zo moeilijk’. De ethische code wordt besproken in het artikel ‘Moreel kompas en aanspreekbaarheid belangrijker dan toezicht’.

Architectuur aanpak ISO 27001 en NEN 7510

Een plaatje zegt meer dan 1000 woorden. Daarom hebben we onze aanpak gevangen in één plaatje, dat tijdens de begeleiding steeds weer terugkomt en dat ook als leidraad geldt voor de audit. In het artikel ‘Architectuur en aanpak ISO 27001’ wordt dit plaatje stap voor stap uitgelegd.

De pragmatische ZBC aanpak

Uitgangspunt voor een traject met ZBC is natuurlijk, dat ieder bedrijf uniek is. Dat geldt echter voor hooguit 5%. Voor ruim 95% is een bedrijf een bedrijf als andere bedrijven. (Zie ook ‘Natuurlijk is iedere dienstverlener uniek’.)
We werken dan ook met allemaal vooringevulde sjablonen en voorbeelddocumenten, die gelden voor een standaardbedrijf. Tijdens de sessies hoeven we dan alleen te bepalen waarin u afwijkt en hoe we dat gedeelte moeten invullen. Dat geldt vooral voor de risico’s. Daarom is de betrokkenheid van een directielid om snel keuzes te kunnen maken van groot belang. Daarnaast is het vanzelfsprekend dat ook de security officer deelneemt. Meer teamleden werkt doorgaans alleen vertragend.
We kunnen dan de complete PLAN-fase doorlopen in 5 sessies van een dagdeel, waarbij beide partijen (u en ZBC) doorgaans per sessie een dagdeel huiswerk krijgen. In ruim een maand kan deze fase doorlopen worden. De DO-fase vergt meestal ook ongeveer een maand. Meestal moeten dan 3 procedures beter geïmplementeerd worden om aantoonbare resultaten op te leveren. De CHECK-fase bestaat grotendeels uit de interne audit, die in hooguit een week kan worden uitgevoerd. De ACT-fase vergt meestal hooguit enkele dagen, want tijdens de opzet en implementatie is het continu verbeteren al ingebakken. Dus na drie maanden kan de certificeringsaudit beginnen. Een verdere beschrijving is gegeven in het artikel ‘Binnen drie maanden een ISO 27001 certificaat halen’.
De out-of-pocket kosten van de PLAN-fase zijn meestal ongeveer € 5000. De begeleiding van de volgende fasen zijn optioneel, maar de praktijk heeft uitgewezen dat begeleiding in deze fasen kan voorkomen dat na de externe audit veel extra werk gedaan moet worden. Begeleiding van de interne audit kost doorgaans ca. € 1000 en begeleiding van stage 1 van de externe audit is afhankelijk van de bedrijfsgrootte. Kosten zijn tot 45 medewerkers meestal zo’n € 1000 en daarboven oplopend. Doorgaans is begeleiding van stage 2 van de externe audit niet nodig.

Meer over ZBC

De basisfilosofie van ZBC is dat kennis een weggeefproduct is, dat slechts door toepassing in de praktijk waarde krijgt. Dat doet ZBC op drie niveaus: 

ZBC heeft in de afgelopen 2 jaar bijna 50 bedrijven in het bovenstaande begeleid, waarvan ruim 30 intussen gecertificeerd zijn en er begin 2017 nog een aantal zal volgen. Een aantal klanten uit de beginperiode zijn blijven steken in de DO-fase en twee zijn er afgehaakt. Voor ZBC reden om verder te gaan met verbeteren. Die kinderziekten uit het begin zijn momenteel grotendeels overwonnen door: 

  • Uitleg aan en afspraken over interpretatie van de norm met certificerende instellingen (nu BSI, Digitrust en KIWA).
  • Verkorten doorlooptijdtijd DO fase en begeleiding uitbreiden tot en met stage 1 van de audit.
  • De begeleiding minder vrijblijvend door meer betrokkenheid van de directie.
  • Meer auditproof maken van sjablonen en documenten; ook NEN 7510. 
  • Meer aandacht voor het werkend maken van IB en de mens.

 

DownloadDownload artikel als MS Word document Download artikel als PDF document Print deze pagina Verstuur deze pagina naar een vriend (email)
Auteur: Wiebe Zijlstra | 15 januari 2017


Bijlagen downloaden bij dit artikel:

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *