Het is alweer ruim 20 jaar geleden dat de voorloper van de Code voor Informatiebeveiliging (CvI) werd geboren. Zover ik weet ontstond ze uit een vrijage van Shell met het Britse Ministry of the Interior als een antwoord op de uit de hand lopende automatisering. Het was een ‘best practice’. Deze verzameling handreikingen verschafte je als nieuweling een soort opleiding in de strijd voor de veiligheid én was handig als een soort afvinklijst.
De wereld was toen nog eenvoudig, als je erop terug kijkt.
Best practice
Gaandeweg werd duidelijk dat het eenmalig afwerken van een lijst maar beperkt soelaas biedt. Continue beheersing is nodig, met een kwaliteits-‘proces’ dat risico’s in beeld brengt en passende maatregelen doet kiezen.
De PDCA-toevoeging was geboren en kreeg later een ISO-jasje. Certificeren doen we nu al jaren op basis van die PDCA-cyclus (het ISMS) waarbij de best practice er is om vanuit de risico’s uit te kiezen, niet om blind uit te voeren.
Baseline
Er is al jaren óók een beweging die daar dwars tegenin gaat, die zogenaamde ‘baselines’ baart. Baselines zijn maatregelsets die een basisniveau aan beveiliging moeten opleveren en direct duidelijkheid geven over wat er moet worden gedaan. Een soort bevroren best practices.
Bijzondere systemen en processen die meer beveiliging behoeven krijgen extra en maatwerkmaatregelen. Dat klink toch goed?
Ja, best wel goed, maar er zijn nadelen, flinke nadelen.
Om te beginnen bedenkt iedereen sector zijn eigen baseline, als uitdrukking van de eigenheid. Het heeft in dat geval niets met de inhoud te maken, maar is een poging de eigenheid als verleider te gebruiken om de boel in beweging te krijgen. Zo is er één voor de rijksoverheid (de BIR), voor de gemeenten (de BIG), de waterschappen (ja, de BIWA), voor woningbouwcoöperaties (de BIC) en een voor de Provincies (nee, niet de BIP, maar de Interprovinciale Baseline Informatiebeveiliging, de IBI). En ik mis er vast nog wel een paar.
De centrale gedachte is dat binnen sectoren de organisaties risico’s en cultuur delen en daarom een eigen baseline verdienen. Mijn waarneming is dat de verschillen tússen sectoren vaak kleiner zijn dan tussen organisatie bínnen een sector.
Volwassenheid
Al die baselines zijn (soms losjes) gebaseerd op de Code uit 1995 (of op nazaten daarvan) en vertonen nogal verschillende niveaus van volwassenheid. Vaak zie je het ontstaansproces erin weerspiegeld: iedere deelnemer in de werkgroep zijn zin of alleen dat waar we het over eens kunnen worden. De BIWA (2012) onderscheidt enkele honderden maatregelen, de IBI (2016) meer dan twee duizend.
Dan is er het vraagstuk van het onderhoud. Goedwillende groepen mensen (zoals in elke vereniging getrokken door een paar bevlogen types) bouwen onvermoeibaar een versie 1. De 1e update wil dan ook nog wel lukken, maar dan is de energie er wel uit. Hoe moet het daarna verder, wie pakt het dan op en wie gaat die inspanning betalen?
Kwaliteitsproces
Heb je je baseline al weten te beleggen bij alle uitvoerders in je organisatie, dan komt de vraag hoe je het kwaliteitsproces aan de gang houdt. Het ‘project’ is immers voltooid. Een kwaliteits-‘proces’ biedt een prima antwoord met zijn cyclische benadering, maar dát zit in zo’n baseline nou net niet mee verpakt..
Dan is er ook nog de afstemming met je leveranciers: ga je al die baseline-maatregelen stuk voor stuk met ze doornemen? We zijn in een wereld beland waarin we elkaar ISO-certificaten toesturen, of ISAE-rapporten. XL-sheets vol met sector-eigen maatregelen opsturen naar je cloudsuppliers is geen zeker succesrijke strategie. Dat levert een ingewikkeld gesprek of een heel hoge rekening op, maar geen directe bijdrage aan de veiligheid.
Beoordeling
En last but not least is er de vraag van de beoordeling van het resultaat: krijgt iedere sectorale baseline een eigen beoordeling en certificaat? Dat levert allemaal oordelen van heel verschillende vorm en inhoud op, waarmee het slecht communiceren is naar je doelgroep of toezichthouder. We werken ondertussen steeds meer in ketens waar dat wél nodig is.
Ik ken ondertussen een paar sectoren waar de baseline níet echt het verschil heeft gemaakt. De baseline heeft eerder heeft het geleid tot vragen als: moeten we dat allemaal wel toepassen? En in welke volgorde? Kan het niet wat minder? Dan worden er analyses en grootse plannen (documenten) tegenaan gegooid, wat al snel leidt tot stroperigheid. Na verloop van tijd (soms jaren) is de energie weg en een kans voor meer veiligheid verkeken.
ISO27001
Ondertussen wint de ISO27001 sterk aan reputatie en toepassing in de volle breedte.
De certificaten verschaffen klanten en toezichthouders een genormeerd, uniform en dus te vertrouwen oordeel over hoe je organisatie -doorlopend- met informatiebeveiliging bezig is.
De ISO-norm wordt ook inhoudelijk steeds volwassener, ook al is er kritiek mogelijk. Bijvoorbeeld dat deze internationale norm ruimte voor verschillende volwassenheidsniveaus toelaat. Het is immers primair een hulpmiddel voor toepassing door organisaties die aan veiligheid willen werken. Aanvullende transparantie over de volwassenheid van de maatregel-implementaties kan dat probleem verhelpen.
Aanvullen staat vrij
Een verwijt dat ook gemaakt wordt is dat de IT-ontwikkelingen (met name bij cloudtoepassingen) sneller gaan dan deze best practice. Dat is waar, maar niets weerhoudt je ervan om een andere of aanvullende best practice te gebruiken om die tekortkoming te repareren, zoals de CloudControlsMatrix of de ENISA-checklist.
Kortom de ISO27001 is het beste instrument voor interne en externe doelen. Dus wég met de baseline en húp met de ISO27001. Werk aan een volwassen beheersing op basis van je eigen risicobeoordeling, organisatiestijl en -cultuur en vraag dat ook van je leveranciers.
Er is hoop!
Aan het begin van de zomer is bekend geworden dat in overheidsland (onder aanvoering van BZK) gewerkt gaat worden aan de BIO, de Baseline Informatiebeveiliging Overheid.. maar pas nádat eerst een update van de BIR is gedaan.
Wordt de BIO nóg een baseline zult u zeggen, of is het doel opruimen van de wildgroei en streven naar uniformiteit? Het lijkt erop dat mijn bede -een beetje- verhoord wordt en de ISO27001+2 écht de kern gaan vormen. Er zal een ‘dun schilletje’ omheen geschreven worden, verschillend per overheidslaag.. Maar of het PDCA-denken écht de kern wordt?
We zullen zien waar het toe leidt, hoopgevend is het zeker. Hoop hebben we ook nodig, want werken met baselines…. brrrrrr! Wég met de baseline!