Jouw informatiebeveiliging verbetert niet door meer bureaucratie met een ISMS

Veel organisaties zuchten onder de last van hun informatiebeveiliging. Het Information Security Management Systeem (ISMS) is, met name bij ISO 27001 en NEN 7510, vaak de heilige graal en vergaande bureaucratie zijn dienaar. Op het gebied van information security management wordt echter helaas meestal te veel gedaan. Een eenvoudige situatie vereist een eenvoudige oplossing. Maar in de praktijk lijkt theoretische correctheid het te winnen van praktische noodzaak. En dat werkt contraproductief. In de zorg en bij de politie werden de managementsystemen belangrijker dan de uitvoering. Het bleek een fout van formaat te zijn. Beveiligers lijken hard op weg een nog grotere  fout te begaan.

Information security management lijkt meer dan het is, enerzijds doordat organisaties een richting opgestuurd worden van ‘hoe meer beveiliging, hoe beter’ en anderzijds doordat de meest optimistische verhalen worden verteld, in een poging een gunstig auditrapport te ontvangen, terwijl de invoering van het managementsysteem erg tegenvalt.

ISO 27001 suggereert 100% veiligheid

Information security management is het onderwerp van de standaard ISO 27001 en is beschreven in best practices als ITIL en COBIT. In de ISO-standaard staat letterlijk dat het systeem in omvang moet worden afgestemd op de behoeften van de organisatie. Dat wil zeggen: een eenvoudige situatie vereist een eenvoudige oplossing. Vaak echter worden alle beschreven onderdelen van het systeem – het informatiebeveiligingsbeleid voorop –zonder meer ingericht, of ze nu nodig zijn of niet, en wordt gesuggereerd dat het ISMS op die wijze nagenoeg 100% beveiliging realiseert. Theoretische correctheid lijkt het te winnen van praktische noodzaak. Maar het werkt contraproductief.
Voor een organisatie betekent ‘information security ­management’: ‘de informatiebeveiliging op niveau houden’. Dat zou dan betekenen op het bovengenoemde niveau van nagenoeg 100%. 100% beveiliging bestaat echter niet. En de dreigingen zijn allerminst statisch. Dagelijks ontstaan er weer nieuwe. Als een organisatie daarop niet adequaat reageert, dan zal het niveau van beveiliging bijna per maand zakken. Dat betekent dat er dus  geen afdeling informatiebeveiliging is vereist met administrateurs, procesbeschrijvers en controleurs. Informatiebeveiliging  gaat om anticiperen en verbeteren. Leg de verantwoordelijkheid daarom neer bij iemand, die betrokken is bij het proces van informatievoorziening binnen de organisatie. Hij kan de werkelijke dreigingen beoordelen en de rest naast zich neerleggen.

De verbetercyclus is de essentie

Als antwoord op die steeds veranderende dreiging is de essentie van het managementsysteem daarom een verbetercyclus. Daarbij gaat het niet alleen om dreigingen van buitenaf, maar ook om behoeften van binnenuit. 
In een verbetercyclus zijn de volgende drie activiteiten noodzakelijk:

• uitvoeren  van een evaluatie om tekortkomingen vast te stellen;
• opstellen van een verbetervoorstel om de tekortkomingen op te heffen;
• invoeren van verbeteringen om de veiligheid naar een hoger of optimaler niveau te brengen.

Als één van die activiteiten ontbreekt, is er geen sprake meer van een sluitend verbeterproces. De activiteiten kunnen gerealiseerd worden door middel van naleving van een beperkt aantal procedures. Er hoeft niet een uitgebreid ISMS voor te worden opgetuigd.
De drie activiteiten vormen de essentie van de plan-do-check-actcyclus, die in iedere ISO-standaard van een managementsysteem staat beschreven. Dus ook in ISO 27002, waarin de nadruk niet ligt op het ISMS en de maatregelen, maar op het werkend maken van beveiliging op basis van doelstellingen. 
Zelfs de EU eist van haar betaalinstellingen voor het uitdelen van subsidies, waar vele miljarden omgaan, slechts ISO 27002. NEN 7510-2011 is nagenoeg identiek aan ISO 27002. Er lijken dus nog weinig redenen te zijn om een uitgebreid bureaucratisch ISMS te willen hebben.

Werkend maken van verbeteringen

Om het information security management system (de verbetercyclus) werkend te maken moeten er dus in elk geval drie activiteiten worden uitgevoerd. In de praktijk blijkt dat de eerste activiteit – de evaluatie – nog wel wordt volbracht. Maar vaak wordt  er geen verbetervoorstel  opgesteld. Ook het invoeren van verbeteringen blijft daardoor achterwege. Bovendien wordt de evaluatie meestal maar één keer uitgevoerd, omdat er geen externe aanleiding is om het vaker te doen, zoals bijvoorbeeld een toezichthouder die een vraag stelt of een audit uitvoert.
Een verbetercyclus werkt pas goed als het management vraagt om de analyse en de verbetervoorstellen. Dat stelt natuurlijk wel eisen aan de rapportages. Die moeten gericht zijn op het management en niet op de beveiliging. (Zie ook ‘Managementrapportage risicoprofiel informatiebeveiliging ISO 27001 of 27002’.) Informatiebeveiliging is tenslotte slechts één van de operational risks, die de organisatie moet managen. Als de rapportages zijn gericht op het management, hoeven informatiebeveiligers niet meer te klagen, dat het zo slecht gesteld is met de awareness bij het management. Als die awareness werkelijk ontbreekt, dan zijn de beveiligers blijkbaar niet in staat geweest om op managementniveau te communiceren en begrijpelijk te rapporteren. Managers hebben niet echt verstand van informatiebeveiliging. Ze willen het niet krijgen ook. Ze verwachten dat informatiebeveiligers dat hebben en dat die hen rapporteren en adviseren op een manier, die de afweging over prioriteitsstelling van alle operational risks mogelijk maakt. En op basis daarvan is het dan mogelijk om verantwoord besluiten te nemen over beveiligingsmaatregelen.

Information security management geen heilige graal

Information security management lijkt meer dan het is, doordat in standaarden breed uitgeschreven is waaraan het managementsysteem moet voldoen, met name daar waar sprake is van best practices. Daardoor wordt de indruk gewekt dat er veel voor nodig is om een dergelijk managementsysteem in te richten. Dat breed uitschrijven is begrijpelijk. De standaard moet immers toepasbaar zijn in velerlei organisaties, die allemaal van elkaar verschillen qua omvang en karakter. Maar voordat een organisatie best practices gaat toepassen, moet eerst worden nagegaan waaraan de organisatie echt behoefte heeft.
Information security management is dan minder dan men in eerste instantie wellicht heeft gedacht. Het maakt immers gebruik van bekende functies, procedures en activiteiten. Voor een volwassen organisatie geldt dat veel zaken allang aanwezig zijn. De inrichting hoeft daarom niet zwaarder te worden aangezet dan nodig is.
Kortom, je hoeft als organisatie slechts aandacht te besteden aan die best practices die gezien jouw risicoprofiel van belang zijn, die je daadwerkelijk werkend kunt krijgen en die passen binnen jouw beleidsuitgangspunten. En het leeuwendeel daarvan zal al ingevoerd zijn. Op die gedachtegang sluit ISO 27002, en binnenkort ook NEN 7510, nauwkeurig aan.

Lean and mean invoeren van informatiebeveiliging

Bij de ontwikkeling van standaarden zoals ISO 27001, ITIL, COBIT en ook SABSA wordt theoretische volledigheid nagestreefd. In de bijbehorende boeken waarin die standaards zijn vastgelegd zien we uiteraard die volledigheid terug. Maar in de praktijk is een dergelijke volledigheid niet wenselijk. Die zou zelfs leiden tot inflexibele situaties. Het doel van het invoeren van information security management moet niet zijn het systeem zelf. Het moet zijn het creëren van een mechanisme waarmee optimale veiligheid van informatie en informatieverwerking te behouden is. Dus veiligheid die met recht informatieveiligheid te noemen is.
In de praktijk is het mogelijk information security management efficiënt op te zetten door overbodige zaken bewust achterwege te laten. Alleen die onderdelen en functies worden dan ingericht die voldoen aan de eisen van de organisatie. Zo werkt ISO 27002 en zo werkt NEN 7510. En zo werkt vanaf 2013 ook ISO 27001¹.
Helaas is er erg weinig literatuur waarin deze benadering van information security management beschreven staat. En als ze bestaat, dan is ze vooral geschreven voor grote informatieverwerkende industriële organisaties zoals centrale overheden, banken, verzekeraars en ziekenhuizen. De meeste organisaties kunnen met veel minder toe. En juist zij zijn dan in staat om informatiebeveiliging werkend te krijgen. Maar dan moeten ze wel bureaucratie voorkomen en uitgaan van hun daadwerkelijke risico’s. (Zie ook ‘ISO 27001 of 27002 ‘lean en mean’ implementeren als security management systeem’.) Als er meer beveiliging is dan nodig, dan wordt dat direct door de organisatie opgemerkt en gezien als belastend en negatief en dat werkt contraproductief. Beveiligen zal dan immers minder serieus worden genomen. Bij te veel beveiliging zoeken juist loyale medewerkers een efficiëntere manier van werken. Meer beveiliging is dan niet beter, maar juist slechter.
In de Cursus Informatiebeveiliging conform ISO 27001, 27002 of NEN 7510 gaan we dieper in op een pragmatische invoering van een information security management system (ISMS) volgens ISO 27002 of NEN 7510. We laten zien hoe je gemakkelijk de afweging kunt maken, wat voor je wel en wat niet belangrijk is en hoe je het management bruikbare beslisinformatie geeft over risico’s en maatregelen, zodat zij deze kunnen afzetten tegen andere operational risks. je zult dan ook merken, dat awareness geen issue meer is. En vanaf 2013 is dit ook het uitgangspunt voor jouw ISO 27001 certificaat.

1
De ISO-normen voor informatiebeveiliging worden gewijzigd. Dit artikel is geschreven voordat de contouren van de nieuwe ISO 27001 en ISO 27002 bekend waren. De nieuwe benadering stelt het risicoprofiel voor informatiebeveiliging meer centraal, samen met de keuzes die het management van een organisatie kan en mag maken voor het wel of niet accepteren van bedrijfsrisico’s. Hierdoor kan een organisatie ISO 27001-gecertificeerd worden, zonder dat er ook maatregelen moeten worden ingevoerd, die voor de organisatie in feite overbodig zijn. Dat betekent minder bureaucratie. Organisaties worden hierdoor ook niet meer opgescheept met de hoge kosten, die vaak elk draagvlak doen verdwijnen.
In theorie was een lean and mean aanpak conform de ISO 27001-norm wel mogelijk. In de praktijk echter speelden adviseurs en auditors liever op safe en werden de controls uit ISO 27002 vaak toch verplicht gesteld, hoewel dit strikt genomen niet werd voorgeschreven. Kernvraag was vaak de vraag of de situatie veilig was. 100% veiligheid bestaat echter niet. Daarom moet de vraag centraal staan of een organisatie bereid is een bedrijfsrisico te accepteren en welke maatregelen voor de organisatie aanvaardbaar zijn om dit risico te verminderen.
De vraag is nu natuurlijk of deze nieuwe norm voor adviseurs en auditors snel aanleiding zal zijn voor een andere aanpak. Vooralsnog zal de boodschap van dit artikel waarschijnlijk wel blijven gelden. We zien nu dan ook nog geen reden om het artikel al te herschrijven. In onze oorspronkelijke benadering stond ISO 27001 voor de bureaucratische compliance aanpak en ISO 27002 voor de pragmatische risk-driven benadering. In de nieuwe invulling van ISO 2700X  is onze pragmatische benadering ook bruikbaar voor de invulling van jouw informatiebeveiliging conform de ISO 27001-norm.  

Oorspronkelijke versie: 10 januari 2011

Bron:
Jacques Cazemier, Klaske van Walderveen, ‘Information security management is minder dan het lijkt’. In: IT-infra. november 2010.