Close Menu
    Artikel

    Eerst de onderdelen, dan de assemblage

    Geen reacties8 Mins Read

    Om informatiebeveiliging(smanagement) kan geen enkele organisatie meer heen. Er niét mee aan de slag gaan is geen optie; de risico’s op stilvallen van de organisatie (bijvoorbeeld als gevolg van ­ransomware) en/of schade voor belanghebbenden zijn daarvoor te groot. In veel organisaties komt het ­onderwerp desondanks pas echt hoog op de directieagenda als de druk van buitenaf wordt opgevoerd, bijvoorbeeld in de vorm van een ISO-certificering als onderdeel van aanbestedingseisen. Stel jezelf echter de vraag of je het daarop laat aankomen, of dat je al eerder in beweging komt. Informatiebeveiligingsmanagement kent een beleidsmatige/organisatorische én een praktische kant.  In dit artikel een pleidooi om eerst met een aantal praktische basismaatregelen een goed fundament te leggen om ­daarna op verder te kunnen bouwen.

    Door Gertjan de Beer en Robin van der Steen

    Waar informatiebeveiliging tot voor enkele jaren veelal nog gezien werd als een noodzakelijke – om niet te zeggen business remmende – ‘hygiënefactor’ voor met name IT-gerelateerde organisaties, is inmiddels wel duidelijk dat het verworden is tot een ‘business enabler’ voor iedere organisatie. Vergelijk informatie­beveiliging(smanagement) wat dat betreft met het remsysteem in je auto: dat remt je niet constant af, maar faciliteert je juist om op een veilige manier (hard) te kunnen rijden. 

    Hoe maak je als organisatie een start met informatiebeveiligingsmanagement en hoe bepaal je die praktische basismaatregelen om mee te starten? De ISO 27001* -norm is in de markt algemeen geaccepteerd als dé referentie om informatiebeveiliging in een organisatie aantoonbaar te borgen. De norm biedt een werkbaar, praktisch kader om beschikbaarheid, integriteit en vertrouwelijkheid van informatie in een organisatie te implementeren en een organisatie cyberweerbaar(der) te maken. Toch hoor je in organisaties die een certificeringstraject (hebben) doorlopen nog weleens minder enthousiaste geluiden als je betrokkenen spreekt over hun ervaring met het traject. Vaak gaat het om de grote (en kostbare) berg aan nieuw beleid, procedures en controles, die als ballast worden ervaren en waarbij het in eerste instantie nog niet lukt om er de vruchten van te plukken. Terwijl het belang van informatiebeveiliging wel onderschreven wordt.

    De organisaties waar het hier om gaat, zijn bijna zonder uitzondering organisaties waar het ISO 27001-implementatietraject in een korte tijd is doorlopen, onder hoge druk van externe stakeholders (lees: klanten die het eisen), met vooral het ‘papiertje’ als heilig doel voor ogen. Ze slagen er met hangen en wurgen in om het certificaat te behalen en hebben dan het idee dat ze klaar zijn en weer ‘over kunnen gaan tot de orde van de dag’. Het tegenovergestelde is echter waar: het echte werk begint dan pas.

    Het behalen en behouden van de certificering kost tijd en is géén eenmalige exercitie. Om de auto-parallel uit de eerste alinea door te trekken, waarbij de auto staat voor het gedocumenteerde informatiebeveiligingsmanagementsysteem (ISMS): het initieel behalen van een certificaat is het bewijs dat de auto in de basis technisch rijklaar is en dat de gebruikers het theorie-examen hebben gehaald en gestart zijn met de praktijklessen. In de certificatiecycli die daarop volgen wordt pas echt het bewijs geleverd dat de auto technisch betrouwbaar is én dat de gebruikers hun rijbewijs hebben.

    Geen assemblage zonder ­onderdelen

    Maar om de auto te kunnen bouwen en tot die status ‘technisch rijklaar’ te komen, heb je wel kwalitatief goede onderdelen nodig. Die moeten eerst gefabriceerd worden om vervolgens tot een functionerende auto geassembleerd te kunnen worden. Waarbij onderscheid kan worden gemaakt tussen de essentiële onderdelen om te kunnen rijden en de opties/accessoires die de auto nog iets functioneler, comfortabeler of veiliger maken.

    In de praktijk van een organisatie die onder druk van buitenaf de implementatie en certificering in korte tijd er doorheen drukt, worden templates voor beleidsstukken bij elkaar gezocht, ingevuld en het ISMS wordt vervolgens in één klap gelanceerd binnen de organisatie. Medewerkers worden hiermee overvallen en overvoerd. In plaats van bewustzijn en informatieveilig handelen, ontstaat er eerder weerstand en tegenwerking. Niet bepaald een recept voor een managementsysteem met meerwaarde voor je organisatie. In de autometafoor: de assemblage van de auto wordt al gestart, zonder dat er kwalitatief goede onderdelen op de plank liggen. Met als gevolg dat er een auto wordt afgeleverd die essentiële onderdelen mist, (daardoor) niet goed rijdt en waarvan niemand weet waar de sleutels liggen. Grote kans dat de auto (voor zover het die naam al mag dragen) een stille, roestige dood sterft, ergens op een weilandje achteraf. 

    Implementatie in stappen

    Wil je informatiebeveiliging op een duurzame en effectieve manier in je organisatie implementeren, dan doe je dat bij voorkeur gefaseerd en in behapbare stappen. De stappen die in het ‘assemblagetraject’ van het ISMS uiteindelijk doorlopen moeten worden, zijn de volgende: 

    1. bepalen scope;
    2. analyseren stakeholdereisen;
    3. bepalen organisatiebeleid;
    4. uitvoeren risicoanalyse;
    5. bepalen/selecteren/prioriteren beheersmaatregelen (Verklaring van Toepasselijkheid);
    6. implementeren beheersmaatregelen;
    7. implementeren monitoring/verbetercyclus (PDCA);
    8. interne audit en directiebeoordeling;
    9. externe audit.

    Maar zoals gezegd: dit zijn vooral de stappen van het assemblagetraject van het ISMS; de ‘stap nul’ die daarvoor zit, is het fabriceren van de onderdelen. De essentiële onderdelen welteverstaan; de opties en accessoires komen later wel. Als het gaat om de onderdelen van een ISMS, dan zit het zwaartepunt in de punten 5 en 6 hierboven: de beheersmaatregelen. 

    Stap nul: essentiële onderdelen van het ISMS

    Vooropgesteld: zoals bij autofabrikanten de snelheid van het productieproces en het eind­resultaat verschilt per merk/organisatie (een Tesla model S is in alle opzichten anders dan een Opel Corsa), zo geldt dat ook voor het implementeren van informatiebeveiliging in organisaties. Feit is echter dat bepaalde basisonderdelen zowel in een Tesla als in een Opel terugkomen; onderdelen die zo fundamenteel zijn dat ze feitelijk altijd nodig zijn om je van A naar B te kunnen brengen. En zo is het bij een ISMS ook: sommige aspecten zijn zo basaal dat ze in iedere organisatie nodig zijn om de beschikbaarheid, integriteit en vertrouwelijkheid van informatie in voldoende mate te kunnen borgen.  

    Ons advies (zo zal inmiddels uit het voorgaande duidelijk zijn): zorg éérst dat deze onderdelen met de juiste kwaliteit ‘op de plank liggen’ en ga dán aan de slag met het verdere implementatie- en certificeringstraject voor ISO 27001 (de eerder genoemde stappen 1 tot en met 9). Op basis van input van verschillende experts uit het werkveld van IT en security, waaronder de aanbevolen basismaatregelen van het NCSC (National Cyber Security Center van het Ministerie van Justitie en Veiligheid, zie www.ncsc.nl/onderwerpen/basismaatregelen), komen wij tot de volgende onderdelen die bij stap nul in ieder geval op de fabricageplanning zouden moeten staan:’:

    Systeemtoegang

    • Is multifactor authenticatie in gebruik voor toegang tot (kritieke) systemen?
    • Is toegang tot systemen geregeld op basis van rollen en functies (en niet op personen)?
    • Is de on- en offboarding procedure ­beschreven en ingeregeld, waarbij de rechten worden toegekend conform de ­autorisatiematrix? 
    • Wordt regelmatig gecontroleerd of de bestaande toegangsrechten nog kloppen? 
    • Is er een password-managementsysteem in gebruik?
    • Wordt van alle (kritieke) systemen log­-in­formatie gegenereerd? 

    Beheer van hard- en software

    • Is alle in de organisatie in gebruik zijnde hardware en software in kaart
    • Is device management ingeregeld en is er controle op geïnstalleerde software op laptops en telefoons?
    • Is er een werkwijze/procedure waarmee alle systemen regelmatig worden gepatched en bijgewerkt naar laatste versie i.v.m. security updates?
    • Is encryptie toegepast op informatiedragers met belangrijke bedrijfsinformatie?
    • Is in kaart gebracht welke IT-apparatuur benaderbaar is via het internet, is de toegang van deze apparaten beperkt tot het noodzakelijke en is de apparatuur in een separaat segment van het netwerk geplaatst?

    Informatiebeveiligings­bewustzijn

    • Wordt er gewerkt aan bewustzijn bij medewerkers met betrekking tot security­risico’s (bijvoorbeeld malware, ransomware, ­phishing, CEO-fraude)

    Back-up

    • Is vastgesteld van welke data een back-up noodzakelijk is, met welke frequentie en welke bewaartermijn

    • Worden met de juiste frequentie back-ups gemaakt?

    • Wordt hierbij het principe gehanteerd van 3 back-up versies van de data, op 2 verschillende media, waarvan 1 op een andere locatie)?

    • Wordt met regelmaat een restore-test ­uitgevoerd?

    Dataclassificatie

    • Is vertrouwelijke data als zodanig ­geclassificeerd en zijn er bewaar- en verwijderingsprocedure?

    Netwerkbeveiliging

    • Wordt het netwerk (en de verschillende zones daarbinnen) beveiligd door een firewall?

    • Is de toegang tot de verschillende wifi- netwerken gescheiden met verschillende wachtwoorden?

    • Is het wifi-netwerk ingesteld met de juiste encryptie?

    Fysieke toegang

    • Is er een clean desk- en clear screen-beleid binnen de organisatie?

    Leveranciersbeoordeling

    • Zijn de leveranciers geïdentificeerd die invloed hebben op beschikbaarheid, integriteit en vertrouwelijkheid van relevante gegevens? Zijn hier sluitende overeenkomsten (SLA, NDA, verwerkersovereenkomst) mee afgesloten? Zijn deze leveranciers ISO 27001 gecertificeerd? 

    Zodra je met deze aandachtspunten en maatregelen aan de slag gaat, vormt het werken aan bewustzijn bij medewerkers een belangrijke rode draad. In autotermen: start direct met de theorie- en rijlessen voor de medewerkers. Door op ieder aspect vanaf het begin helder te communiceren over het beleid en de afspraken die er gelden en het waarom toe te lichten, neem je de medewerkers er geleidelijk in mee en confronteer je ze niet in één keer met een overkill aan beleid en procedures.

    Weerbaar en klaar voor de ­volgende stap

    Heb je de hiervoor genoemde aspecten goed ingeregeld, dan is je organisatie direct al een stuk weerbaarder tegen informatiebeveiligingsrisico’s, zoals ransomware. In sommige gevallen volstaat dit al voor stakeholders om aan te tonen dat informatiebeveiliging voldoende op de agenda staat. Als de interne of externe behoefte of noodzaak er wel is om ISO 27001 certificering te behalen, dan heb je al hele belangrijke onderdelen in de schappen klaarliggen, om met meer bewustzijn, begrip en gewenst gedrag bij management en medewerkers de volgende stappen te zetten. De ‘assemblage’ van alle onderdelen tot een volledig en effectief werkend ISMS en het behalen van de ISO 27001 certificering is dan nog slechts een kwestie van sleutelen. 

    * In specifieke sectoren/situaties kan ISO 27001 in dit artikel ook gelezen worden als NEN 7510, BIO of ISAE 3000/3402.

    Over de auteurs

    Gertjan de Beer

    Gertjan de Beer is Branchemanager Zakelijke dienstverlening & IT bij CertificeringsAdvies Nederland.

    Robin van der Steen
    Robin van der Steen is ­Adviseur Informatiebeveiliging bij CertificeringsAdvies Nederland.
    Logo_CertificeringsAdviesNederland

    Dit artikel is geplaatst in samenwerking met onze kennispartner CertificeringsAdvies Nederland.

    Volledig profiel weergeven

    Gerelateerde artikelen

    Add A Comment

    Comments are closed.