15-04-2020 / Deel 2: Projectmatige implementatie / Alexander de Boer

Ervaringen en belevenissen van een informatiebeveiligings-consultant

Implementatie informatiebeveiliging

 

Als informatiebeveiligingsconsultant zou ik mij geen zorgen hoeven maken om het resultaat. Immers, het doel bereiken is een natuurlijk gevolg van kijken, de aandacht richten en reflecteren en op het juiste moment overdragen. Het doelbewust maken van een organisatie heeft te maken met het veranderen van de perceptie ten aanzien van het onderwerp of de beleving hierop. Als consultant heb je hier invloed op door met de betreffende organisatie vast te stellen wat zij weet, wil , begrijpt en of kan. Belangrijk hierbij is mee denken met de organisatie en in dit stadium te conceptualiseren en vrij te staan van verplichtingen.

 

Het is belangrijk je bewust te zijn dat objectief waarnemen niet mogelijk is: altijd is er een reactie op wat we zien of wordt onze waarneming beinvloed door zelf ingesleten patronen.  Die reactie is onze grootste beperking. Door deze reactie nemen we de dingen niet waar zoals zij werkelijk zijn.  

 

Dit deel gaat over het leren richten van energie op zinvolle zaken. Het reikt handvatten aan hoe we activiteiten in kaart kunnen brengen en de veranderingsbereidheid in organisaties kunnen vergroten.

 

Op weg naar een veiligere organisatie

Een veiligere organisatie worden betekend vaak (bewust) veranderen. Continu verbeteren is een veel gehoorde kreet. Maar om te verbeteren kun je een organisatie niet zomaar nieuwe gedragsregels, procedures en systemen opleggen. Dat werkt niet!!

 

In een veilig wordende organisatie wordt niet alleen aandacht besteed aan het verbeteren van de beveiliging van informatie. De stijl van leidinggeven, de verantwoordelijkheden en bevoegdheden, de interne en externe communicatie, opleiding en training krijgen onder andere de volle aandacht. Voor de meeste organisaties is dit een afgeleid doel voor het implementeren van een ISO standaard; De borging en beheersing van processen.

 

Naar mate mensen meer in de gelegenheid worden gesteld hun vaardigheden en bekwaamheden te ontplooien, kunnen ze meer verantwoordelijkheid dragen en is er minder controle nodig. Teveel controle is verspilling van energie en leidt bij degenen die zich gecontroleerd voelen, snel tot verlies aan motivatie. En de vraag doet zich voor; zijn we ook veiliger aan het worden? Hierbij moet er altijd een relatie bestaan tussen het gelopen risico en de genomen maatregel.  Managers die alles onder controle willen hebben zijn te weinig open en flexibel om op creatieve wijze om te gaan met de onvermijdelijke verassingen van het leven. Het kunnen reageren op incidenten in alle diversiteit werkt soms zelfs beter dan het met allerlei tekortkomingen implementeren van beheersmaatregelen.

 

Daarom is het wellicht beter om eerst aandacht te besteden aan motivatie, kennisontwikkeling en het ontplooien van bestaande of nieuwe vaardigheden. Dit zorgt ervoor dat de uitvoering van maatregelen eerder als logisch of intrinsiek wordt ervaren, in plaats van opgelegd. In een ‘steeds veilig wordende organisatie’ is continu veranderen een principe. Immers, veiliger worden, is zinloos wanneer veranderen onnodig is. Grote valkuilen voor een veilig wordende organisatie zijn gewoonte patronen, gewenning en berusting. Het gevolg daarvan is het te laat of zelfs geheel niet reageren op signalen (risico’s en/of bedreigingen) die een mogelijke stagnatie of teruggang aankondigen. Is stagnatie eenmaal een feit dan zijn we meestal te laat. Veiliger worden begint dus met het waarnemen van, en wordt gevolgd door het willen en durven veranderen op een moment dat de noodzaak nog lang niet voor iedereen duidelijk is. Een bewust iemand anticipeert op de situatie en toont grote bereidheid om te veranderen. Bereidheid ontstaat, als we geloven dat verandering noodzakelijk gaat worden en dat we de opkomende angst voor deze verandering volledig onder ogen durven zien. In een veilig wordende organisatie gaan we ervan uit dat mensen kunnen veranderen. Mensen kunnen leren op het niveau van kennis, vaardigheden. Leren is veranderen. Voor effectief veranderen moet er worden gewerkt op de niveaus van denken, voelen en handelen.

 

Hoewel niemand deze theorie ter discussie zal stellen is de praktijk toch anders. De meeste organisaties willen een ISO certificaat omdat hun klant dat eist en binnen een bepaald tijdsbestek. Dit zet alle bereidheid tot veranderen van onbewust bekwaam tot bekwaam onbewust onder druk. Het certificaat wordt vaak als doel verheven zonder naar motiverende onderbouwing te zoeken. Waardoor het op de lange termijn lastig gaat worden om een managementsysteem draaiend te houden. Als aangeboden door het Nationale Cyber Security Center, het International Security Forum, Verzekeraars en NIST-standaarden. Zij geven bijvoorbeeld aan dat motiverende redenen om aan het beveiligen van informatie kunnen zijn:

 

  1. Block Chain-technologie wordt populair
  2. Hackers zullen beter worden
  3. Schendingen worden moeilijker te verslaan
  4. Toename van de populariteit van Cyber risk verzekeringen
  5. Tekort aan IT-personeel
  6. Cyber wetten worden naar verwachting geïmplementeerd
  7. Aanvallers zullen minder traceerbaar worden
  8. IT-professionals zullen het systeem begrijpen
  9. Cyber verdediging wordt versterkt
  10. IoT blijft een zwak punt

 

Allemaal goede redenen om wakker te liggen over of van het huidige niveau van informatiebeveiliging. Toch staat bij mij de volgende reden voor de implementatie van een ISO standaard met stip op 1: IK WIL EEN ISO CERTIFICAAT OM DAT IK EEN BEPAALDE OPPERTUNITY HIER MEE KAN INVULLEN.

 

Omdat deze opportunity bestaat dient het behalen van een certificaat binnen bepaalde tijd plaats te vinden. Weg is het pad van gezamenlijk leren en groeien. Het moeten doet zijn intrede. Voor het behalen van het doel is het noodzakelijk om bepaald handelingen simpelweg te doen en hier “achteraf” een motivatie voor te vinden of in een later stadium een aanpassing te doen. Overigens is het zo dat een gemiddelde implementatie van een werkend en certificeerbaar managementsysteem eerder een jaar dan een half of een kwartaal. Voor een heel groot deel hangt dit samen met willen en kunnen. Dit wordt mede bepaald door kennis en vaardigheden en de duidelijkheid waarmee implementatie met een plan wordt ondersteund.

 

Kennis wil zeggen al het inzicht, het begrip en wijsheid waarover een mens kan beschikken. Kennis is iets levends, dat zich manifesteert in mensen. Opgeslagen informatie in boeken of computersystemen is nog geen kennis.

 

Kennis is meer dan het meetbare, het kwantificeerbare en het verifieerbare. Het is meer dan koude logica. Informatie is nog geen kennis, maar om kennis te verkrijgen, zul je wel eerst informatie moeten verwerken. Om kennis te verkrijgen moeten ervaring, verstand en gevoel goed samenwerken. Ervaren is een combinatie van projecteren, handelen en bezinnen. Denken bestaat uit waarnemen, inzicht en kiezen. En het hart brengt ons in de stemming en zorgt ervoor dat wij iets willen of juist niet willen. Ervaring, die door het hart wordt verwerkt en waarbij het verstand niet buitenspel staat, dat is kennis...'
(Glaukoon, H.v.Hooijdonk)

 

Maar alles weten maakt niet gelukkig. Ten aanzien van Informatiebeveiliging zijn er vele aanbieders die aan de ontwikkeling van de kennis kant een steentje bij kunnen dragen. Zo hebben de meeste certificerende instanties opleidingen en trainingen ten behoeve van implementatie, interne audit en lead auditor. Zijn er beroepsorganisaties die trainingen aanbieden als certified manager, auditor, specialist. Als beginnende organisatie is het goed om projectbetrokkenen langs deze opleidingen te loodsen. Hiermee wordt kennis in de organisatie ontwikkeld en een begin gemaakt met de continuïteit van een ISO gecertificeerd managementsysteem.

 

Als gezegd kennis is niet opgeslagen in boeken of computers. Ieder adviesbureau heeft zijn eigen methode en visie hoe een ISO standaard geïmplementeerd moet worden. Deze methode is vaak voorzien van gedigitaliseerde documentatie en tooling.  Hiermee wordt in beginsel geen kennis aangereikt maar middels de uitleg en begeleiding van een adviesbureau de vaardigheden aangereikt om informatiebeveiligingsbeheersmaatregelen uit te kunnen voeren met afgeleid de kennis waarom deze maatregelen van toepassing zijn en hoe met deze maatregelen omgegaan moet worden. Het laten begeleiden van een implementatie traject is een vorm van training on te job.

 

Het woord vaardigheden is al een paar keer gevallen. Vaardigheden zijn alle fysieke en mentale aangeleerde en niet-aangeleerde vaardigheden, dus datgene waartoe je in staat bent en wat je feitelijk doet, bijvoorbeeld:

 

  • Instinctief en aangeleerd gedrag en gewoonten;
  • Alle mentale vaardigheden; denken
  • Beslisvaardigheden;
  • Sociale vaardigheden, luisteren, spreken, samenwerken

 

Het zijn de vaardigheden die je in staat stellen om de kennis in de praktijk te kunnen brengen. Het verkrijgen van de vaardigheden of het onderkennen van het gebrek daar aan zijn vaak de aanleiding om externe hulp in te schakelen. Directe meerwaarde hiervan is gelegen in:

 Zij hebben de kennis

  • Zij hebben het project vaker gedaan
  • Zij  weten wat goed is voor het doel

 

Vanuit de ontwikkelde kennis kan een organisatie na gaan denken over de gewenste realisatie van het doel;  een verhoogde vorm van of certificering van de informatiebeveiliging. Een dergelijke aanpak zou zomaar eens kunnen bestaan uit de volgende fasering.

 

aanpak

Stap 1: Kick-off, ambitie bepalen, inzicht verkrijgen, scope bepalen

Tijdens de kick-off wordt de aanpak gepresenteerd en de tijdslijn afgestemd met de betrokken personen binnen de organisatie. Om de kick-off aanvullende waarde te geven, de kick-off wordt ook vaak gecombineerd met een sessie met medewerkers van een organisatie voor het verkrijgen van gedetailleerd inzicht in informatiebeveiliging conform de ISO, BIO, NEN,ISAE, NIST, etc. Bij voorkeur worden relevante documenten uitgewisseld.  Het uiteindelijke doel is de exacte scope van het traject vast te stellen. Het vaststellen van deze scope (in combinatie met de bedrijfsdoelstellingen) met de belangrijkste belanghebbenden draagt bij aan het creëren van noodzakelijke betrokkenheid en vormt de gedegen basis voor het kunnen invullen van de  randvoorwaarden voor implementatie.

 

Stap 1 Producten:

 Workshop

  • Kennis inhoudelijke presentatie (wat houd de normering in……)
  • Bovenstaande aanpak zal resulteren in een:
  • Scope (diensten / producten, activiteiten / locaties)
  •  Inzicht en eisen van belanghebbenden
  •  Wet & Regelgeving
  •  Doelstellingen
  •  Opzet plan van aanpak
  •  Opzet voorlopige ingerichte governance / compliance organisatie (taken verantwoordelijkheden, communicatie, controle)

 

Stap 2: Meten huidige situatie, GAP-analyse, nulmeting

 

 Nadat de kennismaking is gedaan, wordt vaak een nulmeting uitgevoerd naar de reeds geïmplementeerde maatregelen. Deze meting lijkt op een ‘pre-audit’ welke door de consultant uitgevoerd kan worden. Hierbij wordt getoetst of de ingerichte maatregelen voldoen aan de belangrijkste eisen van de norm en voldoende aantoonbaar zijn voor certificering. Hiermee ontstaat  een gezamenlijk zicht op de status van de organisatie met betrekking tot digitale weerbaarheid

 

Stap 2: Producten 

Scope van onderzoek

  •  Kritische processen en/of systemen
  •  Rapportage
  •  GAP-analyse t.o.v. de gekozen norm / standaard

 

Stap 3: Risico analyse, bepaken noodzakelijke maatregelen

De risico analyse vormt het vertrekpunt voor het identificeren van de risico’s. De meeste, normen en standaarden vereisen een risico analyse. Een risico analyse dient reproduceerbaar te zijn hiertoe dient een methode te worden gekozen en de opvolging van de methode gedocumenteerd te worden. Het vaststellen van deze methodiek vereist vaak inbreng van kennis en expertise.

 

Teneinde de impact van de geindentificeerde risico’s te kunnen beheersen, dienen keuzes te worden gemaakt door uw organisatie over het accepteren, vermijden, overdragen of beheersen van deze risico’s. Op basis van de uitkomsten van de risico analyse en deze keuzes, dienen maatregelen te worden getroffen.

 

De uiteindelijke besluitvorming over welke maatregelen wel en niet worden doorgevoerd, ligt bij uw organisatie. Feitelijk vormt dit de basis voor de verdere werkzaamheden en wordt hier bepaald welke maatregelen wel/niet van toepassing zijn voor uw organisatie (Verklaring van Toepasselijkheid / Statement of Applicability).

 

Stap 3: Producten 

  • Concept procedurele borging & opvolging
  • Scope
  • Kritische processen en informatiesystemen
  • Risico acceptatie niveau’s (kans en impact)
  • Risico analyse
  • Risico analyse rapportage
  • Concept behandelplan van risico’s
  • Risico’s gekoppeld aan IB-maatregelen
  • Verklaring van toepasselijkheid

 

Stap 4: Plan van aanpak, implementatie, doelstellingen  

Op basis van de risicoanalyse en nulmeting wordt het plan van aanpak voor het vervolg bepaald. Dit plan wordt met de directie en/of risico eigenaar afgestemd en per te treffen maatregel zal worden bepaald wie welke activiteiten gaat uitvoeren. Deze stap bepaalt direct ook de tijdsbesteding voor de implementatie

 

Na het bepaald hebben van de planning dienen de maatregelen te worden ingevoerd. Dit betreft zowel het documenteren als daadwerkelijk doorvoeren van deze maatregelen. Hierbij is onderscheid tussen drie verschillende soorten maatregelen:

 

  1. Organisatie en proces: onder andere het benoemen van de taken en verantwoordelijkheden en het informatiebeveiligingsproces vormgeven.
  2. Beleid en procedures: het opstellen van beleid rondom informatiebeveiliging en privacy en het opstellen van enkele randvoorwaardelijke procedures (denk hierbij aan beheerprocedures, privacy procedures etc.).
  3. Technische maatregelen: het – laten – treffen van technische maatregelen in Innoview, de onderliggende infrastructuur en de eventuele hostingpartij.

 

Daarnaast is het van belang aandacht te besteden aan training en begeleiding aan betrokken medewerkers voor het kunnen uitvoeren van de beheersmaatregelen en het kunnen voldoen aan de vereisten voor informatiebeveiliging.

 

Na de implementatie is het van belang om  continu en periodiek te blijven monitoren op de fitheid van de organisatie. Een jaarlijkse “APK” is onderdeel van de fitness test. Mogelijk kunnen hier langdurige relaties worden aangegaan.

 

Stap 4: Producten

  • Beleid en planning
  • Organisatie en Governance
  • Beheersmaatregelen in processen
  • Monitoring en controle
  • Opvolging en verbetering

 

 Stap 5: Certificering/onafhankelijke toets (optoineel)

 Vanuit de projectdoelstelling kan certificering tegen een bepaalde norm (ISO, BIO, NEN,ISAE, NIST, etc.) het doel zijn. Na afronding van de implementatiefase is uw organisatie klaar voor een eventuele certificering door een geaccrediteerde instantie (ISO lead auditor) dan wel voor een onafhankelijke toetsing (bijvoorbeeld in de vorm van een Third Party Mededeling.

 

Stap 5: Producten

  • Auditvoorbereiding -> In overleg wordt een Certificatie Instantie en een auditplanning afgesproken.
  • Auditvoorbereiding -> middels instructie & voorlichting worden medewerkers en een controle op de aanwezigheid van verplichte onderdelen wordt een externe audit voorbereid
  • Verbetering -> naar aanleiding van de auditrapportage worden verbeteringen in kaart gebracht en geïmplementeerd

 

Doelbewuste organisatie

Wanneer een organisatie weet wat het wil en een idee heeft van de te bewandelen route kan de organisatie haar verantwoordelijkheid nemen voor het de implementatie. Het denken (bepalen) handelen en doen kunnen in balans worden gebracht. Methodisch kan deze balans worden gezocht in een project planning. In de praktijk is het een lijn die in gang gezet moet worden in de organisatie of in de betrokkenen.