Zijn organisaties voldoende weerbaar voor de toenemende cyberdreiging? Of dringt het niet genoeg door dat informatiegegevens voor cybercriminelen bijzonder waardevol zijn?
Iedereen begrijpt dat cybercriminaliteit een grote bedreiging vormt. Daarom zoeken tal van organisaties de samenwerking en delen ze kennis. Over het samenwerken geen onvertogen woord. Maar in die noodzakelijke kennis heb ik minder vertrouwen. Sterker, daar ligt de embryonale oorzaak dat informatiebeveiliging maar niet van de grond komt.
Organisaties worstelen met informatiebeveiliging en privacy. Zij denken dat het een ict-feestje is en dat het wegwerken van achterstallig ict-onderhoud en ad-hoc-oplossingen de organisatie voldoende beschermen tegen informatiediefstal.
De Tweede Kamer adviseert, zoals in de brief over cyberveiligheid in het onderwijs (14 februari 2020), om gebruik te maken van de informatiebeveiligingsnormen ISO27001 en NEN7510. Het laatste voor de gezondheidszorg. Met deze ISO-normen wordt bepaald of een instelling de digitale beveiliging op orde heeft.
Eigen branche
In de praktijk zie je instellingen tijdrovende product-ontwikkelingsprojecten doorlopen om deze norm aan te passen aan de eigen branche. Hierdoor treden er significant afwijkingen van een internationale erkende norm op en valt de structuur weg. Resultaat: het is niet meer te auditen tegen de internationale norm. Door het afwijken van de internationale norm kom ik als lead auditor ernstige tekortkomingen tegen die ik in dit kader graag als advies meegeef aan de lezer.
Zorg voor een verbintenis van continue verbeteren door monitoren, meten, analyseren en evalueren. Installeer een goede organisatiestructuur voor informatiebeveiliging- en privacy. Bespreek met de directie de risicobereidheid (risk appetite). Zorg voor een risico-gestuurde strategie.
Let op dat de ciso niet valt onder ict of een symbolische en uitgeholde en niet-gewaardeerde functie krijgt. Voorkom dat de strategische leiding en raad van toezicht geen politiek gefilterde informatie krijgen over de stand van zaken.
Zorg voor een onafhankelijke toets op de verantwoordelijke directeur/manager. Let op dat hij niet zijn eigen winkel verkoopt met zogenaamde (ict-)resultaten. Maak hem geen ‘ziende in het land der blinden’. Stel kritische vragen en zorg dat collega’s niet bang hoeven te zijn voor hun functie. Denk ook aan vragen zoals:
- Wat zijn de actuele en toekomstige dreigingen/risico’s en geconstateerde afwijkingen?
- Is er al een portfolio dreigingen/risico’s/afwijkingen aan verbeterplannen gemaakt?
- Zijn dreigingen/risico’s/afwijkingen met de verbeterplannen geprioriteerd?
- Is er een causaal verband tussen dreigingen, risico’s en afwijkingen met de beheersmaatregelen uit de annex ISO27001?
- Wat is of zijn de tijdslijnen voor de verbeterplannen en/of mitigerende maatregelen?
- Zijn de stuurmechanismes voorzien van informatiebeveiliging- en privacycriteria?
- Zijn er informatiebeveiliging- en privacydoelstellingen gesteld in de verbeterplannen?
- Hoe worden de projectresultaten geborgd (na test en audit)?
- Is er een bestuursorgaan (bijvoorbeeld een informatiebeveiliging- en privacy managementforum)?
- Hebben zij een verplichte rapportagelijn met de RvB/CVB en Raad van Toezicht?
- Wordt per kwartaal de portfolio geijkt naar de actuele cybercriminaliteitsdreiging?
- Et cetera
Vragen
Een objectieve en onafhankelijke informatiebeveiligingsbeoordeling door een lead auditor zou veel antwoorden geven. De andere vragen die je kan stellen zijn:
- Waarom eigen normkaders ontwikkelen?
- Waarom schrijft de overheid niet de ISO27001/ISO27002 norm verplicht voor?
- Waarom niet opzet, bestaan en werking met bewijslast aantonen en verplicht stellen?
- Waarom geen geaccrediteerde auditbureau ‘s voor ISO/NEN inschakelen voor onafhankelijke en objectieve audits?
- Waarom geen landelijk overzicht wie wel/niet ISO gecertificeerd zijn? Of er mee bezig zijn?
Discussies over hoe veilig je bent, zijn eenvoudig te toetsen door onafhankelijke en objectieve auditbureaus. Het ISO-certificaat maakt de markt transparant en smart.
AIVD
Een reactie uit het verleden an de Algemene Inlichtingen en Veiligheidsdienst (AIVD) dat het hoger onderwijs totaal niet bewust is van digitale dreiging, kan ook voor iedereen gelden. Dergelijke uitspraken kunnen alleen ontkracht worden door een geslaagd ISO27001-certificatietraject. Tot deze uitblijft, heeft Erik Akerboom, hoofd van de AIVD, gelijk. Hij voorziet regenbuien aan incidenten en aanvallen die soms een ontwrichtende potentie hebben. Het raakt niet alleen aan bedrijven en onze kennisinstellingen, het raakt ook aan onze soevereiniteit, het verdienvermogen en zelfs aan onze nationale veiligheid.
Tijd om stil te zitten, is er niet. Iedereen moet zich realiseren dat elke organisatie een interessant doelwit vormt voor criminelen. Het advies in deze is:
- Bepaal wat je ‘kroonjuwelen’ zijn en kies daarbij een strategie op het gebied van informatiebeveiliging;
- Adopteer de ISO27001/01-norm en ga voor certificatieniveau en/of certificatie als ultiem en onafhankelijk bewijs.
- Installeer een Information Security Management System (ISMS; plan, do, check & act)
- Bepaal in je strategie de scope en Verklaring van Toepasselijkheid (VVT). Kijk vooral naar je primaire en secundaire processen en stel een beschermingswaarde/label hoog, midden en laag vast op de gebieden: beschikbaarheid, integriteit en vertrouwelijkheid. Implementeer met de organisatie en ict (als faciliterend orgaan) de beveiligingseisen en maak gebruik van alle ISO27002-beheersmaatregelen in relatie tot de dreiging, risico’s en geconstateerde auditafwijkingen;
- Zoek ISO-specialisten die in staat zijn de organisatie te begeleiden naar het benodigde certificatie-niveau;
- Maak een roadmap (‘Van kwetsbaar naar weerbaar’) en maak gebruik van goede actuele rapporten uit de branche op het gebied van risico’s en dreiging. Ga niet het wiel opnieuw uitvinden! Start direct met mitigerende maatregelen;
- Zorg voor continue awareness. Zet bij elke screensaver een tekst dat wanneer u inlogt je je als gebruiker verplicht aan het informatiebeveiliging- en privacybeleid. Bij overtreding volgt een sanctie. U bent verplicht zwakheden te melden aan uw leidinggevende of ciso.
Het benoemen van de ISO27001-norm dient niet een aanleiding te zijn voor normdiscussies. Natuurlijk zijn er meer normen (NOREA, PCI) die criteria hebben op het gebied van informatiebeveiliging. Maar de ISO is wel een minimale basis om mee te starten. De gegevensstromen zijn het nieuwe goud. Ga er dan ook zo mee om.
Ik struikel over de titel, informatiegegevens lijkt me taaltechnisch een stijlfout omdat m.i. informatie de som der delen van gegevens is. Les één over informatietechnologie ging namelijk over het combineren van gegevens tot informatie met het voorbeeld van een rond verkeersbord met een rode ring en in het midden 100 waarop de vraag kwam of je te hard reed of niet? Zonder het gegeven van een snelheidsmeter was daarop niet te antwoorden waarmee ik bedoel dat het combineren van losstaande gegevens leidt tot de gewenste informatie.
Dezelfde les lijkt me toepasselijk voor de vragen die gesteld worden, elke vraag vraagt om het combineren van gegevens die ook nog eens uit verschillende bronnen zullen komen. Tenminste als de auteur voor een open vraagstelling kiest want ja zeggen op het wat zonder uitleg van het hoe is één van de redenen waarom audits vaak niet meer zijn dan het temmen van papieren tijgers. De verbintenis van continue verbeteren door te monitoren, meten, analyseren en evalueren geldt natuurlijk ook de normering zelf want er is geen sprake van stilstand in de cyberwarfare. Ook leuk is de ‘risk appetite’ omdat deze bij de ondernemer groter zal zijn dan bij de bestuurder omdat de eerste meer denkt in kansen. De internationale normering voor een olifant past vaak niet bij de kleine organisatie dus een auditor die zich niet aan kan passen aan branchenormeringen is als een scheidsrechter die niet meer mee kan lopen met de bal.