Achtergrondartikel


Column André Beerten

Wég met de baseline!

Het is alweer ruim 20 jaar geleden dat de voorloper van de Code voor Informatiebeveiliging (CvI) werd geboren. Zover ik weet ontstond ze uit een vrijage van Shell met het Britse Ministry of the Interior als een antwoord op de uit de hand lopende automatisering. Tot dan toe was er vanzelfsprekende controle door de geslotenheid van de gebruikte systemen. Client-server brak met de regels en zorgde voor onduidelijke grenzen aan je systeem. Je moest met veel meer verschillende factoren rekening gaan houden. Bovendien was er een heel nieuwe groep IT’ers die zich met dataverwerking ging bezighouden die de oude beveiligingsparadigma’s niet had geleerd.

Het antwoord op deze ontwikkelingen was een ‘best practice’. Zo’n verzameling handreikingen was handig als checklist en verschafte je als nieuweling gelijk een soort opleiding in de strijd voor de veiligheid.

Best practice
Gaandeweg werd duidelijk dat het eenmalig afwerken van een lijst maar beperkt soelaas biedt. Continue beheersing is nodig, met een kwaliteits-‘proces’. De PDCA-toevoeging was geboren en kreeg later een ISO-jasje. Certificeren doen we nu al jaren op basis van die PDCA waarbij de best practice er is om vanuit de risico’s te kiezen, niet om blind uit te voeren.

Baseline
Er is al jaren óók een beweging die daar dwars tegenin gaat, die zogenaamde ‘baselines’ baart. Baselines zijn maatregelsets die een basisniveau aan beveiliging moeten opleveren en direct duidelijkheid geven over wat er moet worden gedaan. Een soort bevroren best practices, dus. Bijzondere systemen en processen die meer beveiliging behoeven, krijgen extra maatwerkmaatregelen. Dat klinkt toch goed?

Ja, best goed, maar er zijn nadelen, flinke nadelen. Om te beginnen bedenkt iedere sector zijn eigen baseline, als uitdrukking van de eigenheid. Het heeft in dat geval niets met de inhoud te maken, maar is een poging de eigenheid als verleider te gebruiken om de boel in beweging te krijgen. Zo is er één baseline voor de Rijksoverheid (de BIR), voor de gemeenten (de BIG), de waterschappen (ja, de BIWA), voor woningbouwcoöperaties (de BIC) en een voor de Provincies (nee, niet de BIP, maar de Interprovinciale Baseline Informatiebeveiliging, de IBI). En ik mis er vast nog wel een paar. De centrale gedachte is dat binnen sectoren de organisaties risico’s en cultuur delen en daarom een eigen baseline verdienen. Mijn waarneming is dat de verschillen tússen sectoren vaak kleiner zijn dan tussen organisaties bínnen een sector.

Volwassenheid
Al die baselines zijn (soms losjes) gebaseerd op de CvI (of nazaten daarvan) en vertonen nogal verschillende niveaus van volwassenheid. Vaak zie je het ontstaansproces erin weerspiegeld: iedere deelnemer in de werkgroep zijn zin of alleen dat waar we het over eens kunnen worden. De BIWA onderscheidt zo’n 280 maatregelen, de IBI 1.906.

Dan is er het vraagstuk van het onderhoud. Goedwillende groepen mensen (zoals in elke vereniging getrokken door een paar bevlogen types) bouwen onvermoeibaar een versie 1. De eerste update wil dan ook nog wel lukken, maar dan is de energie er wel uit. Hoe moet het daarna verder, wie pakt het dan op?

Kwaliteitsproces
Heb je je baseline al weten te beleggen bij alle uitvoerders in je organisatie, dan komt de vraag hoe je het kwaliteitsproces aan de gang houdt. Het ‘project’ is immers voltooid. Een kwaliteits-‘proces’ biedt een prima antwoord met zijn cyclische benadering, maar dát zit in zo’n baseline nou net niet meeverpakt.

Dan is er ook nog de afstemming met je leveranciers: ga je al die maatregelen stuk voor stuk met ze doornemen? We zijn in een wereld beland waarin we elkaar ISO-certificaten toesturen, of ISAE-rapporten. XL-sheets vol met sector-eigen maatregelen opsturen naar je cloud-suppliers is geen zeker succesrijke strategie. Dat levert een ingewikkeld gesprek of een heel hoge rekening op, geen directe bijdrage aan de veiligheid.

Beoordeling
En last but not least is er de vraag van de beoordeling van het resultaat: krijgt iedere sectorale baseline een eigen beoordeling en certificaat? Dat levert allemaal oordelen van heel verschillende vorm en inhoud op, waarmee het slecht communiceren is naar je doelgroep of toezichthouder. We werken ondertussen steeds meer in ketens waar dat wél nodig is.

Ik ken ondertussen een paar sectoren waar de baseline niet echt het verschil heeft gemaakt. De baseline heeft eerder geleid tot vragen als: moeten we dat allemaal wel toepassen? En in welke volgorde? Kan het niet wat minder? Dan worden er analyses en grootse plannen (documenten) tegenaan gegooid, wat al snel leidt tot stroperigheid. Na verloop van tijd (soms jaren) is de energie weg en een kans voor meer veiligheid verkeken.

ISO27001
Ondertussen wint de ISO27001 sterk aan reputatie en toepassing in de volle breedte. De certificaten verschaffen klanten en toezichthouders een genormeerd, uniform en dus te vertrouwen oordeel over hoe je organisatie -doorlopend- met informatiebeveiliging bezig is.

De ISO-norm wordt ook inhoudelijk steeds volwassener, ook al is er kritiek mogelijk.  Bijvoorbeeld dat deze internationale norm ruimte voor verschillende volwassenheidsniveaus toelaat. Het is immers primair een hulpmiddel voor toepassing door organisaties die aan veiligheid willen werken. Aanvullende transparantie over de volwassenheid van de maatregel-implementaties kan dat probleem verhelpen.

Aanvullen staat vrij
Een verwijt dat ook gemaakt wordt is dat de IT-ontwikkelingen (met name bij cloudtoepassingen) sneller gaan dan deze best practice. Dat is waar, maar niets weerhoudt je ervan om een andere of aanvullende best practice te gebruiken om die tekortkoming te repareren, zoals de Cloud Controls Matrix of de ENISA-checklist.

Kortom de ISO27001 is het beste instrument voor interne en externe doelen. Dus wég met de baseline en húp met de ISO27001. Werk aan een volwassen beheersing op basis van je eigen risicobeoordeling, organisatiestijl en -cultuur en vraag dat ook van je leveranciers. Wég met de baseline!


Deze column geeft de persoonlijke mening van de schrijver weer en niet die van de organisaties waarvoor André opdrachten uitvoert.

Lees meer over