Met z’n allen zijn we al flink wat jaren bezig met informatiebeveiliging. Zijn we daar nou erg mee opgeschoten? Wat mij betreft niet. Onderzoeken lijken dat beeld te bevestigen. De reden daarvoor: we weten eigenlijk niet wat we zouden moeten willen. Moet je ISO-27000 implementeren? Tja, dat is nogal een kwestie van ‘one size fits all’;. Hartstikke zinvol voor organisaties die dat kunnen ‘doorverkopen’, commercieel of qua imago. Organisaties die dat niet kunnen, zien geen gat in de berg en vinden het wel goed.
Hetzelfde geldt voor andere normen/standaards. Door de lat te hoog te leggen gaat er niemand meer springen. Dat is jammer. En feitelijk zowel onnodig als onterecht. Onnodig omdat er met wat creativiteit geshopt kan worden in de normen die we kennen. Onterecht omdat je regelmatig situaties aantreft die 'gewoon' niet kunnen. Gezond boerenverstand zou dat al aangeven. Ook onterecht omdat je in dit overgereguleerde land voor alles een diploma of vergunning nodig hebt, alleen niet wanneer je de digitale snelweg gaat gebruiken, dan mag alles.
Shoppen in de norm. Daar bedoel ik mee een aanpak waarin we een basisnorm opstellen, die geldt voor echt absoluut iedereen, die we vervolgens branche-specifiek aanvullen tot een norm die voor de doorsnee van die doelgroep realiseerbaar is. Er is dan een algemene 'baseline', die moet iedere organisatie geregeld hebben, bijvoorbeeld ook van toepassing op de thuissituatie (telewerken). Daar bovenop komt het branchespecifieke deel waarbij je kunt denken aan VIR voor de overheid, COBIT voor anderen met misschien nog een aanvullend pakket voor die onderdelen van die branche die nog meer aanvullende eisen willen stellen (denk aan VIR-BI)of organisaties die er wel voor kiezen zich te certificeren voor ISO-27000. Door middel van een vorm van self-assesment à la INK zou een organisatie kunnen aantonen aan de norm te voldoen, ondersteund door audits vanuit brancheorganisaties of KvK. De definitie van branches en hun diverse staffels van beveiligingsniveaus is nog een hele klus, maar wel één die de moeite loont. Daarmee zal Nederland zeker veiliger worden. Enne… voor ons consultants blijft echt nog genoeg werk te doen.
Gerrit Post