Vroeger – laten we zeggen een jaar of tien geleden – wisten we wel op
gevoel wat goed en fout was. Welke maatregelen je moest treffen om van fout
naar goed te gaan kon je ook wel bedenken, of je liet dat over aan de
techneuten. O ja, dit gaat over goed en fout in de ICT.
Toen betraden we het tijdperk van de normatiek. Normensets bestaan
natuurlijk al veel langer, maar we deden er niet per se iets mee. Maar op enig
moment riep er iemand: “We moeten ISO27001 doen!” Nou is dat hele ISO-verhaal
niet een kwestie van alleen maar een lijstje met maatregelen waar je aan moet
voldoen. Was het dat maar. Nee, de ISO27001 vertelt je hoe je een Information Security Management System
(ISMS) moet optuigen. Ha, nee, fout! Er staat alleen in waar je ISMS aan
moet voldoen. Het eindpunt is dus beschreven, de weg erheen niet (daar is weer
een andere standaard voor, de 27003). Om toch te voldoen aan de honger naar
lijstjes bevat de 27001 een bijlage, genaamd A. Of voluit: Bijlage A (normatief) Referentiebeheersdoelstellingen en -maatregelen.
Dan denk je dat daar de maatregelen in staan die je moet treffen om aan de
normen te voldoen. Fout! Er zit namelijk een heel rare vertaalkronkel in de
Nederlandse versie van de ISO27001. Wat daar een beheersmaatregel heet, dat
noemen we in normaal Nederlands een norm. Voor de échte maatregelen – wat moet
ik doen om aan de norm te voldoen? – moet je in de ISO27002 zijn. En wat
jij en ik in het dagelijks leven een maatregel noemen, dat heet daar een
implementatierichtlijn. Terwijl ‘richtlijn’ volgens mijn taalgevoel meer op
‘norm’ lijkt dan op ‘maatregel’. Als je mij over normen hoort praten, dan
bedoel ik die dingen die in de ISO-wereld beheersmaatregelen worden genoemd: de
regels waaraan je moet voldoen. En als ik maatregelen tref, dan volg ik
misschien een ISO-implementatierichtlijn, maar misschien ook niet, want je bent
niet verplicht om het zó te doen. De ISO27002 is een best practices-document.
Je moet dus eerst maar eens zien te begrijpen hoe die verschillende
documenten georganiseerd zijn en hoe ze in elkaar grijpen. De ISO27k-serie
bevat trouwens nog veel meer documenten – een kleine veertig in totaal.
Vervolgens moet je de taal nog doorgronden. Soms pak ik de Engelse versie erbij
omdat ik niet goed snap wat men eigenlijk wil. Zo heten die beheersmaatregelen
en implementatierichtlijnen in het Engels respectievelijk controls en implementation
guidances en dan snap ik ‘m weer. Maar ook inhoudelijk, in een willekeurig
stukje tekst, brengt de Engelse versie vaak uitkomst.
De hoofdtekst van de ISO27001 gaat over inrichting – over de
organisatie, leiderschap planning, verbetering; over dat soort onderwerpen.
Vaak gebezigde uitdrukkingen zijn “de directie moet …”, de “organisatie moet …”
en “medewerkers moeten …”. Als je deze moetjes allemaal op orde hebt, dan heb
je kennelijk een werkend ISMS. Dan heb je ook een werkende Deming-circle, al
zul je de ISO-mensen niet horen over plan-do-check-act
(althans, niet in de huidige versie; in de 2005-versie stond het bekende
PDCA-plaatje nog gewoon in hoofdstuk 0). Dat kun je allemaal op
organisatieniveau inrichten.
Bijlage A – dan wel de ISO27002 – is een heel ander verhaal. Het begin
valt nog wel mee, dat gaat over normen die voor de organisatie als geheel
gelden. Daar staat bijvoorbeeld dat je beveiligingsbeleid moet hebben, dat je
informatiebeveiliging moet organiseren en dat het personeel moet begrijpen waar
het mee bezig is. Maar vanaf pagina 28 red je het niet meer op het niveau van
de organisatie, dan zul je echt bij teams langs moeten. Het gaat dan
bijvoorbeeld over eigenaarschap van bedrijfsmiddelen, over fysieke media, over
autorisatiebeheer en zelfs over heel persoonlijke zaken als eisen aan de kwaliteit
en geheimhouding van wachtwoorden. Ik ga niet alle onderwerpen opnoemen, maar
zoveel is duidelijk: je moet de boer op met bijlage A.
De vraag is dan: wanneer ben je klaar? Is het voldoende als iedere norm
érgens geïmplementeerd is, zodat op iedere rij in je spreadsheet minimaal één
vinkje staat? Dat klinkt verleidelijk, maar helaas. Je moet natuurlijk op álle
plaatsen waar een norm relevant is eraan voldoen. Anders is het bij wijze van
spreken voldoende als één medewerker een sterk wachtwoord heeft en mag de rest
gewoon ‘welkom01’ blijven gebruiken. De implementatie van bijlage A is dus
nogal een klus, waar je de hele organisatie bij nodig hebt. Al die partijen
willen daar wel iets voor terugzien. Gelukkig krijgen ze dat ook. Ook voordat
iemand bij ze langskwam met een ISO-lijstje waren ze al verantwoordelijk voor
de beveiliging van hun toko. Door dat aan de hand van formele normatiek te
doen, wordt het beter zichtbaar en aantoonbaar gemaakt. “Ben jij in control voor wat betreft
beveiliging?” “Ja, kijk maar.”
We weten nog steeds op gevoel wat goed en fout is. Het verschil met
vroeger is dat het gevoel nu kan worden onderbouwd met teksten waar slimme
mensen lang aan hebben gesleuteld. Nu nog graag een betere vertaling.
En in de grote boze buitenwereld …
... bevat Mac OS X een ernstige, best wel domme kwetsbaarheid: je kunt
inloggen zonder wachtwoord.
... gaat Apple naar aanleiding van dit akkefietje het ontwikkelproces
onder de loep nemen.
... heeft het oplossen van een vertrouwelijkheidsincident een
beschikbaarheidsincident veroorzaakt.
... heeft Trend Micro onderzocht in welke mate tien Europese hoofdsteden
hun cyber assets blootgeven.
Amsterdam krijgt een slecht rapport.
... is er alweer een nieuwe masker-aanval op Apple’s Face ID.
... kunnen we maar beter niet alles ‘geavanceerd’ noemen maar het simpel
houden.
... moeten ook kleine bedrijven investeren in cybersecurity.
... verwacht je toch dat de NSA en het Amerikaanse leger hun gegevens
beter beveiligen.
... leg je je autosleutels thuis het beste in een metalen kistje.
... horen mensen niet graag hoe slecht ze het doen. Honing smeren werkt
beter.
... wil CDA-leider Buma een internetpolitie, ook al noemt hij het zelf
niet zo.
... kun je in deze tijd van het jaar maar beter dubbel oppassen bij het
internetshoppen.
... maakt een crimineel ook wel eens een fout.
... kan jouw werkgever je niet aansprakelijk stellen voor datalekken.
Geen opmerkingen:
Een reactie posten