Deel 2: Ervaringen en belevenissen van een informatiebeveiligings-consultant

Het begrip Informatiebeveiliging laat zich makkelijk definiëren:

Informatiebeveiliging is het geheel van preventieve, detectieve, repressieve en correctieve maatregelen alsmede procedures en processen, die de beschikbaarheid, vertrouwelijkheid en integriteit van alle vormen van informatie binnen een organisatie garanderen, met als doel de continuïteit van de informatie en de informatievoorziening te waarborgen en de eventuele gevolgen van beveiligingsincidenten tot een acceptabel, vooraf bepaald niveau te beperken.

Preventieve, detectieve, repressieve en correctieve maatregelen alsmede procedures en processen kan van alles zijn. Het is dan ook niet verwonderlijk dat dergelijke begrippen leiden tot verschillende opvattingen. Wat maakt dat implementaties en uitvoering van informatiebeveiliging vaker uniek verschillend is dan een eenheidsverpakking.

Informatiebeveiliging dient dus antwoord te geven op de vraag of verwerkte informatie ten behoeve van producten of ter ondersteuning van diensten en processen voldoet aan de kenbaar gemaakte en vanzelfsprekende behoeften van de belanghebbenden.

Wat betekent dit in de praktijk. Wie zijn uw belanghebbenden? Wat zijn die kenbaar gemaakte en vanzelfsprekende behoeften? Hoe zit dat met belanghebbenden tegen wil en dank, zoals bajesklanten, patiënten, de burger die een verkeersovertreding begaat. Hoe je informatiebeveiliging definieert is niet belangrijk, maar het expliciet maken van ieders denkbeelden erover des te meer. De vraag is dus hoe wordt informatiebeveiliging benaderd.

Tijdens mijn werkzaamheden heb ik een drietal benaderingen leren onderkennen:

Rationele benadering. Een rationele benadering: de beveiliging van de informatievoorziening moet niet leiden tot onvoorziene situaties. Deze benadering is te objectiveren en meetbaar te maken. Maar voor velen niet voldoende. Deze manier van werken zal leiden tot een instrumentele implementatie van informatiebeveiliging waarbij mensen activiteiten doen om dat dit moet en opgelegd wordt. Meestal wordt hier ook gretig gebruik gemaakt van voorbeelden, templates & tooling.

Emotionele benadering. De emotionele benadering: Informatiebeveiliging is voldoen aan mijn wensen en verwachtingen. Deze benadering is subjectief. Ook onuitgesproken verwachtingen, imago of de beleving van het product of dienst spelen een rol. “Wat goede koffie is wordt niet alleen bepaald door de eigenschappen van de koffie, maar ook door degene die de koffie serveert en degene die de koffie drinkt” De kunst is om de emotionele wensen en verwachtingen ook zoveel mogelijk meetbaar te maken. In de emotionele benadering dient veel tijd en ruimte te worden gegeven voor leren en het geven van bevestiging dat een ingeslagen weg goed is.

Intrinsieke benadering. Hierbij wordt informatie niet alleen bepaald door de externe normen of criteria maar door de intrinsieke of wezenlijke eigenschappen  van een ding of gebeurtenis.  Het onderscheid of een ding of gebeurtenis van “goede” of “slechte” informatiebeveiliging is hangt af van het doel waarvoor het wordt gebruikt: bezit het product, de dienst dan ook de maximale mogelijkheden die het in zich heeft. Security en Privacy by design zijn hierbij begrippen die van toepassing zijn. En welke je middels een beheersing door scrum team gebruik makend van de OWASP veelal tegen komt.

Ontwikkel fases voor implementatie

Welke benadering ook gekozen wordt grofweg doorloopt iedere organisatie de volgende fasen om te komen tot een implementatie:

De eerste fase waar een organisatie mee begint is de bewustwordingsfase: wat zijn de redenen om met informatiebeveiliging te beginnen?  Deze redenen zouden kunnen bestaan uit:

• Nieuwe technologische ontwikkelingen brengen nieuwe risico’s
• Waarborgen van de continuïteit van de dienstverlening
• Voldoen aan wet- en regelgeving (Privacy)
• Belangrijk voor het imago als betrouwbare dienstverlener
• De zekerheid dat gegevensbestanden juist en volledig zijn
• Bescherming van gevoelige informatie door deze te coderen
• Er op kunnen vertrouwen dat gegevens en systemen beschikbaar zijn
• Bepalen welke informatie ‘gevoelig’ is en daarin een rangorde          aanbrengen
• De garantie dat hackers of andere onbevoegden geen toegang hebben tot (informatie)systemen
• Informatiebeveiliging waarborgt de continuïteit van de organisatie
• Informatiebeveiliging is essentieel om concurrerend en bedrijfseconomisch te kunnen werken

In de tweede fase kiest men een scope en/of doelstellingen: de service organisatie of applicatie ontwikkeling en beheersing van risico’s of voldoen aan wetgeving. Een scope binnen de ISO 27001 dient aan de volgende eisen te voldoen:

4.3 De organisatie moet de grenzen en toepasselijkheid van het managementsysteem voor informatiebeveiliging bepalen om het toepassingsgebied ervan vast te stellen. Bij het vaststellen van dit toepassingsgebied moet de organisatie:

• de in 4.1 genoemde externe en interne onderwerpen (context) overwegen, evenals;
• de in 4.2 genoemde eisen (van belanghebbenden), en raakvlakken en afhankelijkheden tussen de activiteiten die door de organisatie en de activiteiten die door andere organisaties worden verricht.

 In de derde fase wordt aan de hand van de scope kan bepaald waar staan we precies ten opzichte van het doel; dan gaat men van procesverbetering naar procesbeheersing: verbeteringen moeten worden vastgelegd en voorkomen moet worden dat fouten opnieuw kunnen optreden. Er moeten managementafspraken worden gemaakt, geformuleerd in uitdagende en realistische doelstellingen.

• Een GAP analyse wordt uitgevoerd. Dit kan in hele diepgaande vorm waarmee elke control van een norm op aanwezig wordt getoetst of dit kan door op hoofdstuk / pararaaf niveau van een norm te hanteren.
• Doelstellingen kunnen liggen op korte termijn op het behalen van het ISO certificaat, het borgen van verantwoordelijkheden maar op de langere termijn gelegen zijn in het verbeteren van risicobeheersing.

In de vierde fase wordt de zorg voor informatiebeveiliging een managementstrategie. Immers de directie is verantwoordelijk door het ordentelijk laten verlopen van de beveiliging van informatie. Processen worden systematisch verbeterd en resultaten worden gemeten met behulp van prestatie-indicatoren.

• In een managementstrategie is het belangrijk dat aangegeven wordt wat men wil en hoe men dat denkt te kunnen bereiken.

In de vijfde fase kunnen we pas spreken van zorg van informatiebeveiliging.

In deze fase is duidelijk wat men wil, waar men staat en hoe men het gat kan dichten tussen wat men heeft en wat men wil bereiken. Middels een managementstrategie wordt zichtbaar wat een acceptabele invoer van informatiebeveiliging gaat inhouden.

Het implementeren van informatiebeveiliging gaat enerzijds over het beheersbaar maken van risico’s. Informatiebeveiliging conform ISO 27001 kan ook inhouden dat de huidige manier van werken precies is wat de norm vraagt. Anderzijds gaat het over het aanpassen en/of veranderen van de organisatie zodat zij voldoet aan de normering. Waarbij vaak persoonlijke motivatie en enthousiasme van de security officer key is.

Informatiebeveiliging veranderen en/of aanpassen

Alles staat vandaag de dag in het teken van verandering: de cryptocurrency verschijnt, het onderwijs en de gezondheidszorg onderdaan grote organisatorische veranderingen, overheden verzelfstandigen, normen en waarden lijken met de dag te verschuiven. Makers van televisieprogramma's bedenken steeds weer iets nieuws om de zinnen nog meer te prikkelen. Steeds sneller, steeds agressiever. Je moet wel veranderen, wil je bijblijven. Wie niet verandert, mist de boot.

Organisaties zijn continu aan verbeteren, verandermanagement en flexibilisering zijn actuele onderwerpen. Je moet de concurrentie een stap voor blijven. Maar mensen hebben ook behoefte aan houvast, aan (innerlijke) rust. Alsmaar veranderen kost veel energie. Iets nieuws beginnen betekent afscheid nemen van het oude.

Het implementeren van een ISO standaard voor informatiebeveiliging is een cyclisch proces. Het geïmplementeerd houden van dit proces is soms een proces van de lange adem. De (toekomstig) security officer dient zich bewust te zijn van de mogelijkheid dat informatiebeveiliging niet altijd de wind mee heeft. Op voorhand kunnen een aantal punten worden aangegeven en in het implementatie plan verder worden behandeld.

• Stap 1. Reflecteer op de huidige situatie; Over het algemeen is het beginnen met een verandering niet zo moeilijk. Immers, als we ontevreden zijn verlangen we naar iets anders. Lastiger is het om een vinger te krijgen achter die onvrede.
• Stap 2. Onderzoek de mogelijkheden; Vervolgens kunnen we onderzoeken wat we werkelijk willen en wat de mogelijkheden zijn om ons doel te realiseren.
• Stap 3. Bundel energie en geef een startschot; Energie bundelen is een hele kunst. Hoeveel energie gaat er niet verloren aan aarzeling en innerlijk tweestrijd. Een keuze veroorzaakt zowel innerlijke rust als spanning. Die spanning is nodig om in beweging te komen. Die spanning mogen we dan ook niet ontkennen of teniet doen.
• Stap 4. Blijf op koers en veranker het resultaat; Ieder veranderingsproces kent twee kritieke momenten of intervallen waarbij de kans groot is dat we van de gekozen koers gaan afwijken. Het eerste kritieke moment vindt plaats als het nieuwe eraf gaat. De belangstelling verslapt en er doen zich allerlei storende invloeden voor die de aandacht trekken. Het tweede kritieke moment doet zich vlak voor de afronding van het veranderingsproces voor. Nieuwe uitdagingen dienen zich alweer aan. Vasthoudendheid is een van de belangrijkste vereisten van de vierde stap.

Tijdens implementatie werkzaamheden kunnen zich leuke en minder leuke situaties voordoen. Het onderkennen en “reactie” in je bagage te hebben zal zeker de samenwerking en het opereren binnen verschillende groepen ten goed komen. Om een aantal van deze situaties aan te halen:

1. Het machtsspel speelt altijd een rol. Sommige mensen beschouwen zichzelf als het middelpunt waar alles om draait. Wanneer dit het geval is, is het bij implementatie werkzaamheden belangrijk aan te blijven sluiten welke (persoonlijke) meerwaarde een implementatie heeft. En dus zichtbaar wordt waardoor de betreffende persoon uitsteekt boven zijn omgeving.

2. Wispelturigheid. Vaak denken we dit, we voelen dat en doen iets totaal anders. Is dit het geval bestaat er de kans dat ondanks dat duidelijk is dat het resultaat niet gehaald gaat worden toch op de ingeslagen weg voortgegaan wordt. De methode staat boven de werkelijkheid.

3. Discipline. Je kunt nog zoveel bedenken of willen, als er niet een zekere mate aan discipline aanwezig is, vallen mensen steeds weer terug in oude gewoonten.  Wanneer dit het geval is kan je als externe de opdracht terug geven of in het geval van collega’s kun je (controle) oefeningen, prestatie boxen introduceren.

4. Spraakverwarring. Woorden hebben voor verschillende mensen verschillende betekenissen. We nemen zelden de tijd om kennis te nemen van de denkbeelden van anderen. Zeker in het geval van procesbeheersing wordt er vaak vanuit gegaan dat we allemaal ITIL, SCRUM, etc. beheersen. Geen organisatie doet optima forma wat er in het boekje staat. Als implementator is het belangrijk de verschillen vast te stellen.

Middels dit artikel heb ik een beeld willen schetsen met betrekking tot bewustwording, kennis en inzicht over informatiebeveiliging en het borgen hiervan in processen hiervan in processen.

In volgende artikelen wil ik stil staan bij:

- het kiezen en bepalen van de scope

- het formuleren en uitvoeren van een implementatie plan

- het refelecteren, evalueren & auditeren van het geimplementeerde