Pragmatische implementatie information security management system (ISMS)

Vaak wordt de opzet van het managementsysteem uitbesteedt aan gerenommeerde externe partijen zoals de ‘Big Four’. De directie denkt zich hiermee in te dekken. Vaak is zij zich echter niet bewust van het feit dat zij de hoofdprijs betaalt, niet alleen vanwege de hogere tarieven, maar nog veel meer doordat er een papieren tijger wordt opgetuigd, die ook weer bemenst moet worden. Kern van een managementsysteem zijn niet zozeer de poppetjes waarmee het is gevuld, maar de relaties tussen deze poppetjes, waardoor het geheel zich als een systeem gaat gedragen. Wanneer men zich dat realiseert, scheelt dat al gauw een factor in tijd en geld.

Management Systeem (ISMS)

Laten we daarom beginnen met een korte uitleg van hoe een managementsysteem behoort te werken.

Grootste probleem is meestal, dat de blokjes wel bestaan, maar dat de pijlen ontbreken. Hierdoor is er geen sprake van een systeem. Omdat de controlfunctie meestal niet goed werkt, wordt dit vaak niet opgemerkt.

Beleid

Op strategisch niveau moeten vooral de keuzes gemaakt worden. Niet zozeer over informatiebeveiliging, maar vooral over de organisatie en hoe om te gaan met de belangrijkste risico’s. Op dit niveau moet zeker niet afgedaald worden tot het niveau van maatregelen.
De keuzes die moeten worden gemaakt zijn:

• keuzes over de inrichting van het managementsysteem;
• keuzes over het ISO-systeem, waarvan de richtlijnen en best practices  als uitgangspunt dienen. Voor informatiebeveiliging worden hiervoor doorgaans ISO 27001 en ISO 27002 gebruikt. Voorkom echter dat op strategisch niveau deze black box wordt opengemaakt.
• keuzes hoe met de belangrijkste risico’s wordt omgegaan (met van boven naar beneden afname van ermee gepaard gaande kosten):
  • Preventie (voorkomen of uitbesteden);
  • Repressie (verzekeren en het business continuity plan);
  • Acceptatie (nu even geen maatregelen).

Deze keuzes worden vastgelegd in beleidsuitgangspunten, waardoor sturing gegeven wordt aan het planningsproces op tactisch niveau. Hierdoor wordt voorkomen dat straks op het niveau van maatregelen bepaald moet worden, waarom bepaalde best practices niet ingevuld worden als maatregel. Ontbreken deze beleidsuitgangspunten, dan kan aan het beleidsniveau ook niet gerapporteerd worden in hoeverre de beleidsuitgangspunten effectief zijn en nageleefd worden. Per definitie is er dan niet sprake van een systeem (ISMS).

Planning

De planningsfunctie heeft twee belangrijke taken:

• het vaststellen van de interne norm;
• het plannen van de verbetercyclus.

Aan de interne norm, die u zelf moet invullen, ligt een drietal zaken ten grondslag:

• de externe norm, zijnde een stelsel van ‘best practices’;
  Bij informatiebeveiliging valt dan te denken aan ISO 27002, de richtsnoeren van het College Bescherming Persoonsgegeven en de richtlijnen van het Agentschap Telecom voor de Telecomwet. Hoewel het CBP u graag wil laten geloven, dat zijn wil ook de wet is, is dit niet juist. Per definitie zijn deze ‘best practices’ breder van opzet dan voor uw bedrijf relevant is. Ze moeten immers voor iedere organisatie bruikbaar zijn.
• en dientengevolge het tegen het lichthouden van de ‘best practices’ en het bepalen van de relevantie ervan voor uw organisatie;
  Indien de relevantie ontbreekt of klein is, dan zijn ook de genoemde beheersmaatregelen voor uw organisatie niet relevant. Vaak is het verstandig om de huidige situatie aan te houden als norm, aangevuld met een aantal maatregelen die ervoor zorgen dat informatiebeveiliging als proces een systeem is, dat garandeert dat het proces in control is en dat de verbetercyclus geborgd is. Dan heeft u een gezond uitgangspunt om ieder jaar de lat een stukje hoger te leggen. Nu de lat in één keer op de gewenste hoogte te leggen, betekent meestal dat enerzijds het managementsysteem niet gaat werken en anderzijds dat veel maatregelen niet nageleefd zullen worden. Een aanpak hiervoor leest u in het artikel ‘Voorbeeld vaststellen norm en basisbeveiligingsniveau op grond van ISO 27002’.
• de beleidsuitgangspunten, die een harde norm zijn voor de planningsfunctie, en die beschrijven wat de directie wel en vooral ook niet wil en waarover zij zeggenschap wil hebben. Belangrijk hierin is natuurlijk de bedrijfseconomische afweging. Dat impliceert dat de planningsfunctie steeds een (half-)jaarplan opstelt, dit begroot en voorlegt aan de directie.

Het plannen van de verbetercyclus is een tweede belangrijke taak van de planningsfunctie. Bij het invullen van de huidige situatie afgezet tegen de best practices komt u ongetwijfeld diverse maatregelen tegen, die wel wenselijk zijn voor uw organisatie, maar die in de huidige situatie nog niet bestaan. Deze maatregelen worden in een meerjarenplanning gegoten, waarmee u tegelijk de verbetercyclus hebt geborgd. Hiervoor kunt u het stoplichtmodel gebruiken zoals dat gepresenteerd is in ‘Managementrapportage risicoprofiel informatiebeveiliging ISO 27001 of 27002’.

Uitvoering

Omdat de huidige situatie als interne norm gehanteerd wordt, zijn de veranderingen op de werkvloer minimaal. Het enige wat doorgaans verandert, is de volledigheid van de rapportage  aan de control functie. Deze bevat niet alleen de incidenten, maar ook een rapportage over de naleving van de interne norm en suggesties om deze te verbeteren. Problem management speelt hierin vaak een belangrijke rol.

Control

De control functie moet in feite over drie dingen rapporteren:

• rapporteren over de naleving van de interne norm aan de planningsfunctie:
  De gesignaleerde tekortkomingen kunnen leiden tot een aanpassing van de interne norm of tot een bijstelling van de planning in de vorm van extra activiteiten.
• beoordelen van de risico’s die de grondslag vormden voor de interne norm;
  Het is verstandig om niet te snel de waardering van risico’s bij te stellen. Het feit dat een incident heft plaatsgevonden betekent tenslotte niet, dat het risico per definitie is toegenomen. Voorkomen moet worden dat de organisatie in de ban komt van de risico-regelreflex.
• een rapportage opstellen aan het beleidsniveau in de vorm van het eerder genoemde stoplichtmodel;
  Hieraan wordt een kolom toegevoegd, zodat direct zichtbaar is welke verbeteringen gepland waren en in hoeverre deze daadwerkelijk zijn gerealiseerd. Daarnaast doet de control functie aanbevelingen voor bijstelling van de beleidsuitgangspunten en de verbetercyclus.

Funest voor de control functie is, dat deze ingevuld wordt door diverse interne en externe toezichthouders en versnipperd raakt. De directie krijgt dan een mêlee van aanbevelingen, die om budgettaire redenen natuurlijk niet allemaal gehonoreerd kunnen worden. Dat betekent dat de directie waarschijnlijk politieke keuzes gaat maken, wat weer de doodsteek is voor het systeem.

Next steps

Organisaties moeten primair hun eigen verantwoordelijkheid nemen en zelf bepalen, welke beleidsuitgangspunten zij willen hanteren en wat hun interne norm is. Veel externe adviseurs gaan uit van de externe norm en niet van de relevantie voor jouw organisatie en de huidige situatie. Interne medewerkers kunnen dit veel beter inschatten. (Zie ook ‘Informatiebeveiliging invullen volgens ISO 27001 kun je beter zelf doen’.) Die investering laat zich snel terugverdienen, doordat het aantal incidenten afneemt en dus ook de dure incidentafhandeling. Voor het hele verhaal verwijzen we u graag naar ‘Pragmatische aanpak informatiebeveiliging’. Dit is een presentatie met een toelichting, die je kunt gebruiken voor jezelf of voor interne presentaties.