Wég met de baseline!

Het is alweer ruim 20 jaar geleden dat de voorloper van de Code voor Informatiebeveiliging (CvI) werd geboren. Zover ik weet ontstond ze uit een vrijage van Shell met het Britse Ministry of the Interior als een antwoord op de uit de hand lopende automatisering. Tot dan toe was er vanzelfsprekende controle door de geslotenheid van de gebruikte systemen. Client-server brak met de regels en zorgde voor onduidelijke grenzen aan je systeem. Je moest met veel meer verschillende factoren rekening gaan houden. Bovendien was er een heel nieuwe groep IT’ers die zich met dataverwerking ging bezighouden die de oude beveiligingsparadigma’s niet had geleerd. Het antwoord op deze ontwikkelingen was een ‘best practice’. Zo’n verzameling handreikingen was handig als checklist en verschafte je als nieuweling gelijk een soort opleiding in de strijd voor de veiligheid.

Best practice

Gaandeweg werd duidelijk dat het eenmalig afwerken van een lijst maar beperkt soelaas biedt. Continue beheersing is nodig, met een kwaliteits-‘proces’. De PDCA-toevoeging was geboren en kreeg later een ISO-jasje. Certificeren doen we nu al jaren op basis van die PDCA waarbij de best practice er is om vanuit de risico’s uit te kiezen, niet om blind uit te voeren.

Baseline

Er is al jaren óók een beweging die daar dwars tegenin gaat, die zogenaamde ‘baselines’baart. Baselines zijn maatregelsets die een basisniveau aan beveiliging moeten opleveren en direct duidelijkheid geven over wat er moet worden gedaan. Een soort bevroren best practices, dus. Bijzondere systemen en processen die meer beveiliging behoeven krijgen extra maatwerkmaatregelen. Dat klink toch goed?

Ja, best goed, maar er zijn nadelen, flinke nadelen. Om te beginnen bedenkt iedereen sector zijn eigen baseline, als uitdrukking van de eigenheid. Het heeft in dat geval niets met de inhoud te maken, maar is een poging de eigenheid als verleider te gebruiken om de boel in beweging te krijgen. Zo is er één voor de rijksoverheid (de BIR), voor de gemeenten (de BIG), de waterschappen (ja, de BIWA), voor woningbouwcoöperaties (de BIC) en een voor de Provincies (nee, niet de BIP, maar de Interprovinciale Baseline Informatiebeveiliging, de IBI). En ik mis er vast nog wel een paar. De centrale gedachte is dat binnen sectoren de organisaties risico’s en cultuur delen en daarom een eigen baseline verdienen. Mijn waarneming is dat de verschillen tússen sectoren vaak kleiner zijn dan tussen organisatie bínnen een sector.

Volwassenheid

Al die baselines zijn (soms losjes) gebaseerd op de CvI (of nazaten daarvan) en vertonen nogal verschillende niveaus van volwassenheid. Vaak zie je het ontstaansproces erin weerspiegeld: iedere deelnemer in de werkgroep zijn zin of alleen dat waar we het over eens kunnen worden. De BIWA onderscheidt zo’n 280 maatregelen, de IBI 1.906. Dan is er het vraagstuk van het onderhoud. Goedwillende groepen mensen (zoals in elke vereniging getrokken door een paar bevlogen types) bouwen onvermoeibaar een versie 1. De eerst update wil dan ook nog wel lukken, maar dan is de energie er wel uit. Hoe moet het daarna verder, wie pakt het dan op?

Kwaliteitsproces

Heb je je baseline al weten te beleggen bij alle uitvoerders in je organisatie, dan komt de vraag hoe je het kwaliteitsproces aan de gang houdt. Het ‘project’ is immers voltooid. Een kwaliteits-‘proces’ biedt een prima antwoord met zijn cyclische benadering, maar dát zit in zo’n baseline nou net niet mee verpakt.. Dan is er ook nog de afstemming met je leveranciers: ga je al die maatregelen stuk voor stuk met ze doornemen? We zijn in een wereld beland waarin we elkaar ISO-certificaten toesturen, of ISAE-rapporten. XL-sheets vol met sector-eigen maatregelen opsturen naar jecloud-suppliers is geen zeker succesrijke strategie. Dat levert een ingewikkeld gesprek of een heel hoge rekening op, geen directe bijdrage aan de veiligheid.

Beoordeling

En last but not least is er de vraag van de beoordeling van het resultaat: krijgt iedere sectorale baseline een eigen beoordeling en certificaat? Dat levert allemaal oordelen van heel verschillende vorm en inhoud op, waarmee het slecht communiceren is naar je doelgroep of toezichthouder. We werken ondertussen steeds meer in ketens waar dat wél nodig is. Ik ken ondertussen een paar sectoren waar de baseline niet echt het verschil heeft gemaakt. De baseline heeft eerder heeft het geleid tot vragen als: moeten we dat allemaal wel toepassen? En in welke volgorde? Kan het niet wat minder? Dan worden er analyses en grootse plannen (documenten) tegenaan gegooid, wat al snel leidt tot stroperigheid. Na verloop van tijd (soms jaren) is de energie weg en een kans voor meer veiligheid verkeken.

ISO27001

Ondertussen wint de ISO27001 sterk aan reputatie en toepassing in de volle breedte. De certificaten verschaffen klanten en toezichthouders een genormeerd, uniform en dus te vertrouwen oordeel over hoe je organisatie -doorlopend- met informatiebeveiliging bezig is. De ISO-norm wordt ook inhoudelijk steeds volwassener, ook al is er kritiek mogelijk. Bijvoorbeeld dat deze internationale norm ruimte voor verschillende volwassenheidsniveaus toelaat. Het is immers primair een hulpmiddel voor toepassing door organisaties die aan veiligheid willen werken. Aanvullende transparantie over de volwassenheid van de maatregel-implementaties kan dat probleem verhelpen.

Aanvullen staat vrij

Een verwijt dat ook gemaakt wordt is dat de IT-ontwikkelingen (met name bij cloudtoepassingen) sneller gaan dan deze best practice. Dat is waar, maar niets weerhoudt je ervan om een andere of aanvullende best practice te gebruiken om die tekortkoming te repareren, zoals de CloudControlsMatrix of de ENISA-checklist.

Kortom de ISO27001 is het beste instrument voor interne en externe doelen. Dus wég met de baseline en húp met de ISO27001. Werk aan een volwassen beheersing op basis van je eigen risicobeoordeling, organisatiestijl en -cultuur en vraag dat ook van je leveranciers. 

Er is hoop!

Aan het begin van de zomer is bekend geworden dat in overheidsland (onder aanvoering van BZK) gewerkt gaat worden aan de BIO, de Baseline Informatiebeveiliging Overheid.. maar pas nádat eerst een update van de BIR is gedaan. Wordt de BIO nóg een baseline zult u zeggen, of is het doel opruimen van de wildgroei en streven naar uniformiteit? Het lijkt erop dat mijn bede -een beetje- verhoord wordt en de ISO27001+2 écht de kern gaan vormen. Er zal een ‘dun laagje’ omheen geschreven worden, verschillend per overheidslaag.. Maar of het PDCA-denken écht de kern wordt?

We zullen zien, waar het toe leidt, hoopgevend is het zeker. Hoop hebben we ook nodig, want werken met baselines…. brrrrrr! Wég met de baseline!

 

Deze column geeft de persoonlijke mening van de schrijver weer en niet die van de organisaties waarvoor André opdrachten uitvoert.