Deel 3: Ervaringen en belevingen van een informatiebeveiligings-consultant

3.0 Doelen stellen

Willen is niet voldoende. Er gebeurt pas iets als we kiezen. Een bewust genomen beslissing of bepaald doel geeft richting aan een organisatie. Door een keuze beperken we (per definitie) onze mogelijkheden, maar het is juist de beperking die de energie bundelt om iets te realiseren. Er is geen middenweg: meer alternatieven overwegen stelt alleen maar de keuze uit. Een besluit brengt alles of niets.

Op iedere keuze volgt een emotionele reactie. Over het algemeen hebben we weinig zicht op deze reactie. Als een besluit ons een goed gevoel of innerlijke rust geeft, dan kunnen we aannemen dat het besluit is. Een besluit moet passen bij onze werkelijke behoeften. Uiteindelijk heeft iedereen behoefte om invloed te kunnen uitoefenen en te kunnen blijven leren. Ook heeft iedereen behoefte aan voldoende variatie in zijn werk en vrije tijd, aan vertrouwen en respect van zijn directe omgeving, aan zin en betekenis en perspectief. Een besluit dat rekening houdt met deze behoeften 'voelt goed' aan. Emotie (zonder de bemoeienis van rationele overweging en argumentatie) is de toets van een (rationele) beslissing. Zo werken hart en hoofd samen.

Om hoofd en hart samen te laten werken en onze keuzes kenbaar te maken stellen we beleid op.

Binnen beleid staan het stellen van doelen en de wijze van uitvoering (bewaking van realisatie) van doelstellingen centraal. Doelstellingen moeten, ook in ISO, voldoen aan het SMART  principe:

• S pecifiek: Waar hebben wij het over?
• M eetbaar: Kunnen we achteraf na gaan of de resultaten zijn gerealiseerd?
• A cceptabel: Kunnen alle betrokkenen zich erin vinden?
• R ealistisch: Zijn de doelstellingen binnen de gegeven omstandigheden haalbaar?
• T ijdsgebonden: Is er een tijdsplanning?

Hoe duidelijker het doel, des te groter is de kans van slagen. Dit is een rationele benadering. De theorie stelt dat een goede doelstelling ook uitdagend moet zijn. Je zou er ook warm voor kunnen lopen. Het kiezen van een uitdagende doel roept spanning op tussen individuele en het collectieve belangen, tussen onbaatzuchtig en natuurlijk handelen, tussen het materiele en het spirituele, tussen de korte en de lange termijn.

De informatiebeveiligingsdoelstellingen zijn voortgekomen uit de missie en visie van de onderneming en sluiten aan bij de andere organisatiedoelstellingen. Bewustzijn en kennis op het gebied van informatiebeveiliging is in aanzienlijke mate aanwezig binnen de organisatie, de behoefte is om de organisatie procedureel strakker in te richten.

• Doelstelling 1: Het verbeteren van communicatie met klanten aangaande informatiebeveiliging
• Realisatie doelstelling 1: Informatiebeveiliging wordt opgenomen als onderwerp in contracten met klanten en leveranciers
•  Controle doelstelling 1: Elk nieuw contract bevat een paragraaf aangaande informatiebeveiliging

• Doelstelling 2: Op support aanvragen wordt binnen twee werkdagen (48 uur, exclusief weekend en vakantiedagen) de eerste feedback naar indiener geleverd.
• Realisatie doelstelling  2: Aan het begin van elke maand wordt een rapportage gemaakt van minimale, maximale en gemiddelde responsetijden over voorgaande maand.
• Controle doelstelling 2:  Beveiligingsincidenten worden binnen 24 uur gecommuniceerd met de desbetreffende betrokkenen

• Doelstelling 3: Aan het begin van elke maand wordt een rapportage gemaakt van minimale, maximale en gemiddelde responsetijden over voorgaande maand.
• Realisatie doelstelling 3: Bij het aanvragen van nieuwe features door de klant wordt deze feature getoetst aan wet- en regelgeving en het morele kader van XXXXXX, het resultaat van deze toetsing wordt teruggekoppeld naar de klant.
• Controle doelstelling 3: Elke nieuwe feature is getoetst aan de hand van een checklist met IB gerelateerde Eisen

3.1. Beleid met betrekking tot informatiebeveiliging 

De directie behoort een beleidsdocument voor informatiebeveiliging goed te keuren, te publiceren en kenbaar te maken aan alle werknemers en relevante externe partijen. In het beleid zouden de volgende onderwerpen aanbod kunnen komen.

• Goedkeuring informatiebeveiligingsbeleid en distributie
• Definitie & doelstelling van informatiebeveiliging
• Samenhang tussen informatiebeveiliging en privacybescherming
• Samenhang tusssen informatiebeveiliging en risicomanagement
• Toepassingsgebied
• (directie) Verantwoordelijkheden & organisatie ten aanzien van informatiebeveiliging
• Rapportage & Communicatie van informatiebeveiliging
• Ondersteunende documentatie
• Managementsysteem (Plan, DO, Check, Act) voor informatiebeveiliging
• Monitoring, evaluatie en controle
• Goedkeuringsproces voor middelen voor de informatievoorziening 
• Contacten met overheidsinstanties en speciale belangengroepen

 3.2. Doelgericht veranderen 

In organisaties moet altijd veel veranderen. Vaak is het doel niet voor iedereen duidelijk, zelfs voor diegene die de verandering inzet. Als we een duidelijk doel voor ogen hebben, dan zijn er een aantal dingen die we kunnen doen en waar we rekening mee moeten houden: 

• maak de noodzaak voor veranderingen aantoonbaar en voor iedereen aanvaardbaar
• de noodzaak tot veranderen moet niet alleen rationeel, maar ook emotioneel duidelijk zijn
• het resultaat daarvan moet zijn dat men de bereidheid heeft om te veranderen
• ook al zijn het kleine doelen, maak ieder doel dat we willen bereiken belangrijk
• iedere verandering, ook waarvan we een gunstig resultaat verwachten, roept weerstanden op

Over het algemeen is wilskracht alleen niet voldoende om de kracht van gewoonte te overwinnen stel, ook als manager, regelmatig vragen om eventuele knelpunten boven water te krijgen: 

• Weten mijn medewerkers waar zij aan toe zijn?
• Zijn er acceptabele 'huisregels'?
• Kunnen medewerkers omgaan met de moderne communicatie/IT-middelen?
• Krijgen mensen die verder willen daar de ruimte voor?
• Wat verwacht de (in- of externe) klant van ons?

Geef medewerkers de tijd om aan nieuwe denkbeelden te wennen en voer veranderingen stap voor stap door: 

• verander wat te veranderen is en accepteer wat niet te veranderen is
• voer de druk op en hou rekening met maat en regelmaat
• maak (gewenste) veranderingen kenbaar;
• maak (tussentijdse) resultaten zichtbaar;
• werk zaken niet te veel uit.

Veel situaties lossen zich vanzelf op. Men moet vaak even wennen. Maar laat problemen / conflicten nooit escaleren. Soms is het voor het project handig om een conflict uit te loggen. Laat het dan gebruikt worden als een middel om uit een impasse te geraken. Het oproepen van spanning is een middel om traagheid en inertie te bestrijden. Een manier om met conflicten om te gaan zou kunnen zijn: 

• bij een meningsverschil moeten de partijen elkaars standpunten herformuleren totdat de tegenpartij akkoord gaat met de formulering.
• vage uitspraken of toezeggingen moeten niet worden geaccepteerd.
• De verplichting tot 'ik'-uitspraken: accepteer geen beschuldigende vinger, dus geen uitspraken als; 'Jij bedriegt mij', maar 'ik voel mij bedrogen'.

Informatiebeveiliging gaat vaak gepaard met het voldoen aan wet en regelgeving. Wetten, normen, procedures en regels zijn per definitie generaliserend opgesteld en vragen dus om een interpretatie naar de eigen (bedrijfs)situatie. Wetten en andere vormen van regelgeving moeten tot leven worden gewekt. Regels kunnen op vele manieren worden uitgelegd en elke manier van uitleggen heeft z'n eigen waarde en beperkingen. Dat regels slechts voor één uitleg vatbaar zijn zullen weinig mensen beweren. Voor een specifieke situatie moeten we nadenken over de betekenis van een regel in die situatie. Pas dan kunnen we de regel koppelen aan producten, processen of de organisatie daaromheen.

Globaal kunnen we vier soorten interpretaties onderscheiden. We kunnen een regel pragmatisch interpreteren naar de betekenis ofwel naar de 'geest' van de regel. We vragen ons dan af wat de bedoeling was van de opsteller van de regel:

•  we vragen ons af of de uitleg redelijk is
• we onderzoeken wat de bedoeling van de opsteller van de regel was
• we vertalen de bedoeling van toen naar de huidige situatie

We kunnen ook op zoek gaan naar de letterlijke betekenis van de geschreven tekst. De tekst wordt dan taalkundig ontleed en verklaard volgens ons spraakgebruik. Zodra we het eens zijn over de letterlijke betekenis kunnen we spreken van een dogmatische interpretatie:

•  we analyseren de tekst taalkundig
• we verklaren de tekst volgens normaal spraakgebruik
• we begrijpen alles letterlijk: zwart is zwart en wit is wit
• woorden hebben een letterlijke betekenis of worden opnieuw gedefinieerd

Een derde aanpak is systematisch van aard. We bestuderen de regel in logische samenhang met andere regels. Bij elkaar horende regels mogen elkaar niet tegenspreken. We onderzoeken hoe iets in een ander deel van het normenstelsel is geformuleerd. We combineren en deduceren en formuleren een resultaat:

•  regels hebben een logische samenhang en komen uit elkaar voort
• er is geen tegenspraak tussen de regels onderling
• we onderzoeken hoe iets in een ander deel van de regelgeving is geformuleerd.

Tenslotte is er nog een meer mensgerichte, sociale interpretatie:

•  we interpreteren de regel in relatie tot de omgeving (doelgroep, industrie, branche, dienstverlening)
• we passen regels aan de veranderde omstandigheden aan
• we gebruiken een regel voor andere doeleinden dan waarvoor de regel oorspronkelijk bedoeld was

Doelgericht veranderen wil alleen wanneer het voor een ieder duidelijk is waarop de verandering van toepassing is. Een scope definitie wordt gevraagd:

In de ISO 27001 is volgende over het bepalen van de scope vastgelegd:

4.3 De organisatie moet de grenzen en toepasselijkheid van het managementsysteem voor informatiebeveiliging bepalen om het toepassingsgebied ervan vast te stellen. Bij het vaststellen van dit toepassingsgebied moet de organisatie:

a) de in 4.1 genoemde externe en interne onderwerpen (context) overwegen, evenals;

b) de in 4.2 genoemde eisen (van belanghebbenden), en

 c) raakvlakken en afhankelijkheden tussen de activiteiten die door de organisatie en de activiteiten die door andere organisaties worden verricht.

De externe context is de externe omgeving waarin de organisatie streeft naar het behalen van haar doelstellingen. Inzicht in de externe omgeving is belangrijk om ervoor te zorgen dat de doelstellingen en zorgen van externe belanghebbenden in overweging worden genomen bij het vaststellen van risicocriteria. Dit inzicht is gebaseerd op de context voor de organisatie als geheel, maar met specifieke details met betrekking tot eisen uit wet- en regelgeving, percepties van belanghebbenden en andere aspecten van risico’s die specifiek zijn voor de reikwijdte van het risicomanagementproces.

De externe context omvat onder meer:

• de maatschappelijke en culturele, politieke, wettelijke, regelgevende, financiële, technologische, economische, natuurlijke en concurrentieomgeving, op internationaal, nationaal, regionaal of lokaal niveau;
• belangrijke sturende factoren en trends die invloed hebben op de doelstellingen van de organisatie; en
• relaties met, en percepties en waarden van, externe belanghebbenden.

• bestuur (‘governance’) en structuur van de organisatie, rollen en verantwoordelijkheden;
• beleid(slijnen), doelstellingen, en de aanwezige strategieën om deze te behalen;
• het vermogen in termen van middelen en kennis (bijvoorbeeld kapitaal, tijd, personeel, processen, systemen en technologieën);
• de relaties met, en percepties en waarden van, interne belanghebbenden;
• de cultuur van de organisatie;
• informatiesystemen, informatiestromen en besluitvormingsprocessen (zowel formeel als informeel);
• normen, richtlijnen en modellen die binnen de organisatie worden gehanteerd; en
• vorm en reikwijdte van contractuele verplichtingen.

Een belanghebbende kan als volgt worden gedefinieerd;

•  belanghebbende persoon of organisatie die invloed kan uitoefenen op, invloed ondervindt van, of invloed meent te ondervinden van een besluit of activiteit

Wanneer een scope bepaald is dan zal deze beoordeeld worden op:

het toepassingsgebied van de certificatie moet helderheid geven over de soort activiteiten, producten en diensten zoals van toepassing is op elke vestiging, zonder misleidend of dubbelzinnig te zijn