Het thema ‘informatiebeveiliging’ ontlokt bij veel organisaties uiteenlopende reacties, variërend van een vaak te snel geuite standaardrespons als ‘Wij hebben alles voor elkaar, niets aan de hand’ tot aan een combinatie van verbale en non-verbale uitdrukkingen die een diepgeworteld ongemak doen vermoeden bij de gedachte aan het bewuste onderwerp. Onderschatting van risico’s en relevantie voor de eigen organisatie versus veelal ongefundeerde aannames over de veronderstelde complexiteit van het onderwerp. Hoe relevant en hoe complex is effectieve informatiebeveiliging nu eigenlijk en hoe zou je het thema kunnen oppakken?
Door Erik H. van der Graaf, Business Development Manager bij Bureau Veritas
Alvorens nader in te gaan op de praktische aspecten van het onderwerp ‘informatiebeveiliging’ is het niet onverstandig om de term wat nader te duiden en te kaderen, binnen het bestek van dit artikel. Dit temeer omdat er in het dagelijkse taalgebruik – zo blijkt – meerdere en uiteenlopende betekenissen aan worden toegekend, waardoor er sprake is van een moeilijk grijpbaar, niet eenduidig en dus niet erg functioneel containerbegrip.
Wikipedia omschrijft het begrip informatiebeveiliging als volgt: ‘het geheel van preventieve, detectieve, repressieve en correctieve maatregelen, alsmede procedures en processen die de beschikbaarheid, exclusiviteit en integriteit van alle vormen van informatie binnen een organisatie (of een maatschappij) garanderen, met als doel de continuïteit van de informatie en de informatievoorziening te waarborgen en de eventuele gevolgen van beveiligingsincidenten tot een acceptabel, vooraf bepaald niveau te beperken.’
Het encyclopedisch platform Ensie hanteert de volgende definitie: ‘het proces van vaststellen van de vereiste kwaliteit van informatie(systemen) in termen van vertrouwelijkheid, beschikbaarheid, integriteit, onweerlegbaarheid en controleerbaarheid, alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende (fysieke, organisatorische en logische) beveiligingsmaatregelen.’
Uiteraard zijn er nog veel meer definities voorhanden, maar de twee bovenstaande omvatten mijns inziens voldoende en vooral relevante steekwoorden om ‘handen en voeten’ te geven aan de term en het begrip ‘informatiebeveiliging’ om er op een praktische wijze op voort te kunnen borduren.
De essentie ligt besloten in beschikbaarheid, exclusiviteit alsmede integriteit van informatie en informatievoorziening. Niet minder belangrijk is dat er eveneens gerefereerd wordt aan fysieke (lees: technische) en organisatorische (beveiligings)maatregelen. Informatiebeveiliging gaat dus niet louter om IT-gerelateerde zaken, maar vooral ook om aspecten die betrekking hebben op de organisatie en de hierin actieve medewerkers.
IT versus organisatie
Een wijdverbreid en hardnekkig misverstand rondom het thema van informatiebeveiliging betreft het idee dat het onderwerp vrijwel uitsluitend betrekking heeft op IT en daarmee een niche topic is dat is voorbehouden aan ‘de IT afdeling’ binnen de organisatie. Dat is dan ongeveer hetzelfde denkraam waarmee nog steeds veel organisaties – bewust of onbewust – menen dat bijvoorbeeld marketing eerst en vooral een feestje is waarmee de gelijknamige afdeling zich zou moeten bezighouden. Uiteraard is niets minder waar. Zoals het onderwerp marketing de hele organisatie aangaat, zo is informatiebeveiliging een onderwerp dat organisatiebreed relevant is – en dus een dito draagvlak en commitment vereist om effectief te kunnen zijn.
Vooropgesteld dat informatiebeveiliging een ‘kunde’ op zich is en gedegen specialistische kennis en ervaring verlangt en waarin de IT afdeling – al dan niet bijgestaan door externe competentie – de ‘hot seat’ zou kunnen claimen bij het voorbereiden, opzetten en managen van een plan van en aanpak en een op continuïteit gericht systeem, valt of staat het thema met een meewerkende organisatie waarin individuele betrokkenheid en bewustwording op alle niveaus telt.
“Elke organisatie loopt risico’s ten aanzien van informatiebeveiliging”
Risicorelevantie
Terugkomend op de essentie van informatiebeveiliging – het garanderen van de juistheid en continuïteit van informatie en informatievoorziening tegen een achtergrond van adequate bescherming – dringt zich de vraag op welke mogelijke risico’s zich zouden kunnen voordoen en welke impact deze risico’s concreet of mogelijkerwijs zouden kunnen hebben.
Er is weinig voorstellingsvermogen nodig om zich een idee te vormen over concrete en potentiele beveiligingsrisico’s; via de media worden we immers vrijwel dagelijks geconfronteerd met incidenten en imago- en reputatieschandalen die direct of indirect betrekking hebben op informatiebeveiliging of het gebrek daaraan. De voorbeelden zijn legio en manifesteren zich overal. Van landelijke overheidsinstellingen tot gemeentelijke overheden, van banken en andere financiële dienstverleners tot aan ziekenhuizen, van retailers en mkb-bedrijven tot aan mondiaal opererende multinationals: zo mogelijke iedere organisatie komt vroeg of laat aan de beurt.
Een saillant gegeven is dat in veel gevallen blijkt dat de beveiligingsincidenten die via de verzamelde media tot ons komen zijn terug te voeren op typisch menselijke factoren. Onwetendheid, nonchalance, onoplettendheid of onverschilligheid: het zijn juist deze menselijke en herkenbare eigenschappen die vaak leiden tot ernstige problemen en pijnlijke situaties. De dagelijkse praktijk onderstreept daarmee nog maar eens dat effectieve informatiebeveiliging echt niet louter een ‘IT-ding’ is, integendeel.
We kunnen dus concluderen dat in principe iedere organisatie – groot of klein en ongeacht de aard van haar activiteiten – risico’s loopt ten aanzien van informatiebeveiliging. Welke risico’s en welke aard, omvang, waarschijnlijkheid of gevolg dat is, hangt uiteraard af van factoren en omstandigheden die per organisatie zullen verschillen.
Dat vraagt om een grondige en serieuze analyse en een organisatie-eigen inventarisatie van beschikbare data, informatie en informatiestromen afgezet tegen een evaluatie van in- en externe risico’s. Als praktische, onderliggende leidraad en om de exercitie te kaderen is het raadzaam om hierin een aantal richtinggevende aspecten mee te nemen. Te denken valt aan de mogelijke effecten als gevolg van (on)bewuste vernietiging van bedrijfseigen informatie en data en die van derden (stakeholders, opdrachtgevers), niet-geautoriseerde toegang tot deze informatie en data en het gebrek aan beschikbaarheid van essentiële en relevante informatie en data met het oog op continuïteit in bedrijfsvoering.
Zomaar ‘aan de slag’?
De vraag stellen is ‘m beantwoorden, zo lijkt me. Natuurlijk vraagt het thema informatiebeveiliging om een solide voorbereiding en dito aanpak: niet alleen vanwege het belang ervan maar ook om te komen tot een zo goed mogelijk resultaat.
Is er een ideale methode om te hanteren? Deze vraag is mogelijk niet eenduidig te beantwoorden, temeer omdat er op het gebied van informatiebeveiliging heel veel methodieken zijn ontwikkeld. Ook in relatie tot voorbereiding – en meer bepaald op het vlak van risico-inventarisatie – zijn er ontelbare werkwijzen en ‘best practices’ ontwikkeld. Daarnaast is er veel verklarende literatuur beschikbaar en staat het internet bol van vrij toegankelijke publicaties om de ogenschijnlijke mystiek rondom informatiebeveiliging te duiden en te voorzien van praktische handvatten.
Op basis van eigen ervaring geef ik de voorkeur aan de structuur die de norm ISO 27001 te bieden heeft (zie kader).
ISO 27001 in cijfers
Wereldwijd is ISO 27001:2013 een van de snelst groeiende normen uit de familie van managementsysteemnormen, zo blijkt uit de meest recente (2017) survey van de ISO-organisatie in Zwitserland. Eind 2017 bedroeg het aantal gecertificeerde organisaties in internationaal verband bijna 40.000: vrijwel een verdubbeling ten opzichte van 2013. In termen van ‘certificatiedichtheid’ lopen Azië en Europa hierin voorop, met een respectievelijk aandeel van 44% en 37% van het totale aantal uitgegeven certificaten. Binnen Europa is het Verenigd Koninkrijk koploper, op afstand gevolgd door Duitsland en Italië. Nederland staat op een vierde plaats met ruim 900 gecertificeerde organisaties (status eind 2017).
De norm ISO 27001:2013 is een klassieke managementsysteemnorm, heeft in de afgelopen jaren een solide trackrecord opgebouwd en wordt internationaal erkend en toegepast. De norm en de hieraan gekoppelde structuur en methodiek kunnen worden ingezet met uiteindelijke certificering in het achterhoofd, maar dat hoeft niet. Ook zonder een doelbewuste keuze om certificering na te streven is de norm een prima, compleet en overzichtelijk instrumentarium bij het voorbereiden, opzetten en onderhouden van een op maat gesneden structuur voor informatiebeveiliging.
Informatiebeveiliging volgens ISO 27001
Aanvankelijk had ISO 27001 een natuurlijke en professioneel gevoede aantrekkingskracht op een breed scala van IT-dienstverleners. Deze doelgroep van ‘early adopters’ omarmde de norm massaal, veelal getriggerd vanuit de terechte veronderstelling dat door het aantoonbaar voldoen aan de normeisen de commerciële ‘license to operate’ binnen het eigen vakgebied verder versterkt zou kunnen worden. Geleidelijk aan is dat beeld in enige mate gaan kantelenk, in die zin dat steeds meer organisaties zich zijn gaan interesseren voor ISO 27001 zonder specifiek IT-profiel. Het betreft dan bedrijven en instellingen waarin IT een ondersteunende, faciliterende rol vervult ten opzichte van de primaire activiteiten waarmee de organisatie zich bezighoudt, maar waar de bewustwording rondom een gestructureerde, pragmatische aanpak van informatiebeveiliging als kritische succesvoorwaarde is doorgedrongen.
Deze nieuwe populariteitsimpuls die ISO 27001 ondergaat als de manier om het thema informatiebeveiliging te temmen heeft ogenschijnlijk meerdere oorzaken. Enerzijds is daar de sterk toegenomen bewustwording over de risico’s die met het onderwerp te maken hebben debet aan. Anderzijds biedt de methodiek ook concrete handvatten om invulling te geven aan het voldoen aan de GDPR of AVG wet- en regelgeving (zie kader).
Maar dat is nog niet alles. De wijze waarop de norm is opgezet maakt het mogelijk om alle praktische aspecten van informatiebeveiliging op- of af te schalen, in functie van de omvang van de organisatie die er gebruik van maakt en de specifieke activiteiten waar de organisatie zich op richt. De norm is bovendien voorzien van een erg nuttige bijlage, waarin praktische beheersmaatregelen zijn opgenomen die de gebruiker als checklist kan aflopen om zeker te stellen dat er geen zaken over het hoofd worden gezien bij de totstandkoming van het eigen informatiebeveiligingssysteem.
Tot slot zijn er dan nog de aanpalende normen ISO 27002, ISO 27003, ISO 27004 en ISO 27005 die als vraagbaak en begeleiding kunnen fungeren om waar nodig specifieke aspecten verder uit te diepen.
Informatiebeveiliging versus Bescherming Persoonsgegevens
Dat informatiebeveiliging en het topic van bescherming van persoonsgegevens nauw verwant zijn en qua operationele voorbereiding en aanpak veel overeenkomsten vertonen, mag geen verwondering oproepen. Globaal gezien kun je de stelling aan dat het aspect bescherming persoonsgegevens als ‘deelverzameling’ mag worden beschouwd van het bredere aandachtsgebied informatiebeveiliging. Mede om deze reden passen veel organisaties de methodiek van ISO 27001 toe om compliance na te streven met de Europese GDPR- of AVG-wetgeving die sinds mei 2018 van kracht is.
Uit onderzoek van de Engelse IT dienstverlener IT Governance blijkt dat niet minder dan 68% van de respondenten de weg naar het voldoen aan deze wetgeving bewandelen aan de hand van de ISO 27001 structuur (bron: ISO 27001 Global Report – IT Governance).
Pragmatische aanpak
Buiten de structuur en handvatten die ISO 27001 te bieden heeft bij de voorbereiding, opzet en implementatie van een effectieve basis voor informatiebeveiliging zijn er nog wel een aantal aspecten om in ogenschouw te nemen en te overwegen.
Een praktisch plan van aanpak of stappenplan is uiteraard een ‘no brainer’. De ervaring leert dat het vooral de focus moet leggen op uitvoerbaarheid: compact en ‘to the point’ dus. Een aan de norm ISO 31000:2018 ontleende aanpak voor risicomanagement is het overwegen waard. Naast een set van 8 rand- of succesvoorwaarden omvat deze ruwweg 5 stappen: contextanalyse, risico-identificatie, -analyse en -evaluatie, implementatie en opvolging en, nogmaals, evaluatie.
“Op zichzelf staande initiatieven zijn gedoemd te mislukken”
Kort samengevat verstaan we in dit kader onder contextanalyse een inventarisatie van kritische succesfactoren en behoeften en verwachtingen van primaire belanghebbenden. De term risico-identificatie lijkt voldoende voor zich te spreken. Onder analyse en evaluatie valt het evalueren van potentiele risico’s op relevantie en impact en de prioritering in aanpak. Naast invoering van de beoogde structuur van informatiebeveiliging dient zich dan de periodieke evaluatie van de getroffen maatregelen aan op doeltreffendheid en mogelijke aanpassing of bijstelling. (*)
Behalve het definiëren van een set van logische en elkaar opvolgende stappen is een heldere en functionele rolverdeling noodzakelijk. Idealiter is het aanpakken van informatiebeveiliging een multidisciplinaire exercitie via een projectteam, waarin zoals eerder aangegeven de IT-afdeling een centrale, coördinerende vervult binnen de organisatie, mogelijk aangevuld met specialistische, externe ondersteuning.
Een projectmatige aanpak is één ding, maar commitment vanuit de top van de organisatie en draagvlak op alle niveaus is van nog groter belang. Dat geldt ook voor een duidelijk beleid en dito doelstellingen die de organisatie zich zal moeten stellen met betrekking tot informatiebeveiliging. Deze zullen, willen ze doeltreffend zijn, ook gekoppeld moeten worden aan de algemene doelstellingen die de organisatie voor ogen heeft en ingebed moeten worden in de operationele bedrijfsvoering. Op zichzelf staande initiatieven, los van de dagelijkse realiteit waarbinnen de organisatie opereert, zijn immers gedoemd om te mislukken.
Informatie en communicatie
Dan is er nog het aspect van informatie en communicatie. Binnen de organisatie zal er vooraf en tijdens de voorbereidings- en implementatiefase duidelijk gecommuniceerd moeten worden over het doel van het ‘project informatiebeveiliging’. Een van de grootste uitdagingen c.q. bottlenecks waarmee organisaties in de regel worden geconfronteerd bij de planmatige aanpak ervan is bewustwording onder medewerkers creëren. Informatievoorziening, training en het actief betrekken van medewerkers vormt een essentieel component in het welslagen van de onderneming. Hoe scherp de inventarisatie van bedrijfsmiddelen, processen, informatie, data- en datastromen en hieraan verbonden risico’s ook mag zijn, zonder een behoorlijke mate van bewustwording en het sturen op ‘mede-eigenaarschap’ bij alle collega’s is het maar zeer de vraag of effectieve informatiebeveiliging van de grond komt en zal kunnen standhouden.
(*) in de whitepaper ‘Integraal Risicomanagement: een kwestie van risico (h)erkenning’ van Bureau Veritas Certification leest u meer over een gestructureerde aanpak van risico’s ontleend aan ISO 31000:2018; u kunt de whitepaper downloaden op de vernieuwde website van Bureau Veritas.