Security (b)log: Normen

Vroeger – laten we zeggen een jaar of tien geleden – wisten we wel op gevoel wat goed en fout was. Welke maatregelen je moest treffen om van fout naar goed te gaan kon je ook wel bedenken, of je liet dat over aan de techneuten. O ja, dit gaat over goed en fout in de ICT.

Toen betraden we het tijdperk van de normatiek. Normensets bestaan natuurlijk al veel langer, maar we deden er niet per se iets mee. Maar op enig moment riep er iemand: “We moeten ISO27001 doen!” Nou is dat hele ISO-verhaal niet een kwestie van alleen maar een lijstje met maatregelen waar je aan moet voldoen. Was het dat maar. Nee, de ISO27001 vertelt je hoe je een Information Security Management System (ISMS) moet optuigen. Ha, nee, fout! Er staat alleen in waar je ISMS aan moet voldoen. Het eindpunt is dus beschreven, de weg erheen niet (daar is weer een andere standaard voor, de 27003). Om toch te voldoen aan de honger naar lijstjes bevat de 27001 een bijlage, genaamd A. Of voluit: Bijlage A (normatief) Referentiebeheersdoelstellingen en -maatregelen. Dan denk je dat daar de maatregelen in staan die je moet treffen om aan de normen te voldoen. Fout! Er zit namelijk een heel rare vertaalkronkel in de Nederlandse versie van de ISO27001. Wat daar een beheersmaatregel heet, dat noemen we in normaal Nederlands een norm. Voor de échte maatregelen – wat moet ik doen om aan de norm te voldoen? – moet je in de ISO27002 zijn. En wat jij en ik in het dagelijks leven een maatregel noemen, dat heet daar een implementatierichtlijn. Terwijl ‘richtlijn’ volgens mijn taalgevoel meer op ‘norm’ lijkt dan op ‘maatregel’. Als je mij over normen hoort praten, dan bedoel ik die dingen die in de ISO-wereld beheersmaatregelen worden genoemd: de regels waaraan je moet voldoen. En als ik maatregelen tref, dan volg ik misschien een ISO-implementatierichtlijn, maar misschien ook niet, want je bent niet verplicht om het zó te doen. De ISO27002 is een best practices-document.

Je moet dus eerst maar eens zien te begrijpen hoe die verschillende documenten georganiseerd zijn en hoe ze in elkaar grijpen. De ISO27k-serie bevat trouwens nog veel meer documenten – een kleine veertig in totaal. Vervolgens moet je de taal nog doorgronden. Soms pak ik de Engelse versie erbij omdat ik niet goed snap wat men eigenlijk wil. Zo heten die beheersmaatregelen en implementatierichtlijnen in het Engels respectievelijk controls en implementation guidances en dan snap ik ‘m weer. Maar ook inhoudelijk, in een willekeurig stukje tekst, brengt de Engelse versie vaak uitkomst.

De hoofdtekst van de ISO27001 gaat over inrichting – over de organisatie, leiderschap planning, verbetering; over dat soort onderwerpen. Vaak gebezigde uitdrukkingen zijn “de directie moet …”, de “organisatie moet …” en “medewerkers moeten …”. Als je deze moetjes allemaal op orde hebt, dan heb je kennelijk een werkend ISMS. Dan heb je ook een werkende Deming-circle, al zul je de ISO-mensen niet horen over plan-do-check-act (althans, niet in de huidige versie; in de 2005-versie stond het bekende PDCA-plaatje nog gewoon in hoofdstuk 0). Dat kun je allemaal op organisatieniveau inrichten.

Bijlage A – dan wel de ISO27002 – is een heel ander verhaal. Het begin valt nog wel mee, dat gaat over normen die voor de organisatie als geheel gelden. Daar staat bijvoorbeeld dat je beveiligingsbeleid moet hebben, dat je informatiebeveiliging moet organiseren en dat het personeel moet begrijpen waar het mee bezig is. Maar vanaf pagina 28 red je het niet meer op het niveau van de organisatie, dan zul je echt bij teams langs moeten. Het gaat dan bijvoorbeeld over eigenaarschap van bedrijfsmiddelen, over fysieke media, over autorisatiebeheer en zelfs over heel persoonlijke zaken als eisen aan de kwaliteit en geheimhouding van wachtwoorden. Ik ga niet alle onderwerpen opnoemen, maar zoveel is duidelijk: je moet de boer op met bijlage A.

De vraag is dan: wanneer ben je klaar? Is het voldoende als iedere norm érgens geïmplementeerd is, zodat op iedere rij in je spreadsheet minimaal één vinkje staat? Dat klinkt verleidelijk, maar helaas. Je moet natuurlijk op álle plaatsen waar een norm relevant is eraan voldoen. Anders is het bij wijze van spreken voldoende als één medewerker een sterk wachtwoord heeft en mag de rest gewoon ‘welkom01’ blijven gebruiken. De implementatie van bijlage A is dus nogal een klus, waar je de hele organisatie bij nodig hebt. Al die partijen willen daar wel iets voor terugzien. Gelukkig krijgen ze dat ook. Ook voordat iemand bij ze langskwam met een ISO-lijstje waren ze al verantwoordelijk voor de beveiliging van hun toko. Door dat aan de hand van formele normatiek te doen, wordt het beter zichtbaar en aantoonbaar gemaakt. “Ben jij in control voor wat betreft beveiliging?” “Ja, kijk maar.”

We weten nog steeds op gevoel wat goed en fout is. Het verschil met vroeger is dat het gevoel nu kan worden onderbouwd met teksten waar slimme mensen lang aan hebben gesleuteld. Nu nog graag een betere vertaling.