demingwheel

Gebruik de 522 IT checklisten van ITpedia, met in totaal 22028 vragen.

Zoek in de omschrijvingenOmschrijvingAantal vragen
IT projectfaseringBestaat uit meerdere checklisten
Application Services Library (ASL)Bestaat uit meerdere checklisten
ContinuïteitBestaat uit meerdere checklisten
KwaliteitsattributenBestaat uit meerdere checklisten
Functies in de automatiseringBestaat uit meerdere checklisten
WebdesignBestaat uit meerdere checklisten
Of zoek naar een woord: Fulltekst

Laatst gebruikt: Continuiteitsbeheer op: 2017-02-26 09:32 Checklist
Toezenden van eerdere beoordelingen per e-mail.
E-mailadres:

3 methoden om kwaliteit te verbeteren.

Globaal genomen zijn er drie methoden om de kwaliteit van producten te verbeteren. Deze methoden kunnen afzonderlijk worden gebruikt en ingevoerd. Ze kunnen echter ook naast elkaar worden gebruikt waardoor een totaal aanpak ontstaat. 1. Kwaliteit verbeteren met preventieve methode De eerste methode is de zogenaamde preventieve-methode. Het idee achter deze methode is dat voorkomen […]


Informatiebeveiliging verbetert niet door een ISMS

Veel organisaties zuchten onder de last van hun informatiebeveiliging. Het Information Security Management Systeem (ISMS) is, met name bij ISO 27001 en NEN 7510, vaak de heilige graal en vergaande bureaucratie zijn dienaar. Op het gebied van information security management wordt echter helaas meestal te veel gedaan. Een eenvoudige situatie vereist een eenvoudige oplossing. Maar in de praktijk lijkt theoretische correctheid het te winnen van praktische noodzaak. En dat werkt contraproductief. In de zorg en bij de politie werden de managementsystemen belangrijker dan de uitvoering. Het bleek een fout van formaat te zijn. Beveiligers lijken hard op weg een nog grotere  fout te begaan.

Information security management lijkt meer dan het is, enerzijds doordat organisaties een richting opgestuurd worden van ‘hoe meer beveiliging, hoe beter’ en anderzijds doordat de meest optimistische verhalen worden verteld, in een poging een gunstig auditrapport te ontvangen, terwijl de invoering van het managementsysteem erg tegenvalt.

ISO 27001 suggereert 100% veiligheid

Information security management is het onderwerp van de standaard ISO 27001 en is beschreven in best practices als ITIL en COBIT. In de ISO-standaard staat letterlijk dat het systeem in omvang moet worden afgestemd op de behoeften van de organisatie. Dat wil zeggen: een eenvoudige situatie vereist een eenvoudige oplossing. Vaak echter worden alle beschreven onderdelen van het systeem – het informatiebeveiligingsbeleid voorop –zonder meer ingericht, of ze nu nodig zijn of niet, en wordt gesuggereerd dat het ISMS op die wijze nagenoeg 100% beveiliging realiseert. Theoretische correctheid lijkt het te winnen van praktische noodzaak. Maar het werkt contraproductief.
Voor een organisatie betekent ‘information security ­management’: ‘de informatiebeveiliging op niveau houden’. Dat zou dan betekenen op het bovengenoemde niveau van nagenoeg 100%. 100% beveiliging bestaat echter niet. (Zie ‘Kosten en baten van beveiliging’.) En de dreigingen zijn allerminst statisch. Dagelijks ontstaan er weer nieuwe. Als een organisatie daarop niet adequaat reageert, dan zal het niveau van beveiliging bijna per maand zakken. Dat betekent dat er dus  geen afdeling informatiebeveiliging is vereist met administrateurs, procesbeschrijvers en controleurs. Informatiebeveiliging  gaat om anticiperen en verbeteren. Leg de verantwoordelijkheid daarom neer bij iemand, die betrokken is bij het proces van informatievoorziening binnen de organisatie. Hij kan de werkelijke dreigingen beoordelen en de rest naast zich neerleggen.

De verbetercyclus is de essentie

Als antwoord op die steeds veranderende dreiging is de essentie van het managementsysteem daarom een verbetercyclus. Daarbij gaat het niet alleen om dreigingen van buitenaf, maar ook om behoeften van binnenuit.
In een verbetercyclus zijn de volgende drie activiteiten noodzakelijk:

  • uitvoeren  van een evaluatie om tekortkomingen vast te stellen;
  • opstellen van een verbetervoorstel om de tekortkomingen op te heffen;
  • invoeren van verbeteringen om de veiligheid naar een hoger of optimaler niveau te brengen.

Als één van die activiteiten ontbreekt, is er geen sprake meer van een sluitend verbeterproces. De activiteiten kunnen gerealiseerd worden door middel van naleving van een beperkt aantal procedures. Er hoeft niet een uitgebreid ISMS voor te worden opgetuigd.
De drie activiteiten vormen de essentie van de plan-do-check-actcyclus, die in iedere ISO-standaard van een managementsysteem staat beschreven. Dus ook in ISO 27002, waarin de nadruk niet ligt op het ISMS en de maatregelen, maar op het werkend maken van beveiliging op basis van doelstellingen. (Zie ook ‘ISO 27001 of ISO 27002 als norm voor uw informatiebeveiliging’.)
Zelfs de EU eist van haar betaalinstellingen voor het uitdelen van subsidies, waar vele miljarden omgaan, slechts ISO 27002. NEN 7510-2011 is nagenoeg identiek aan ISO 27002. Er lijken dus nog weinig redenen te zijn om een uitgebreid bureaucratisch ISMS te willen hebben.

Werkend maken van verbeteringen

Om het information security management system (de verbetercyclus) werkend te maken moeten er dus in elk geval drie activiteiten worden uitgevoerd. In de praktijk blijkt dat de eerste activiteit – de evaluatie – nog wel wordt volbracht. Maar vaak wordt  er geen verbetervoorstel  opgesteld. Ook het invoeren van verbeteringen blijft daardoor achterwege. Bovendien wordt de evaluatie meestal maar één keer uitgevoerd, omdat er geen externe aanleiding is om het vaker te doen, zoals bijvoorbeeld een toezichthouder die een vraag stelt of een audit uitvoert.
Een verbetercyclus werkt pas goed als het management vraagt om de analyse en de verbetervoorstellen. Dat stelt natuurlijk wel eisen aan de rapportages. Die moeten gericht zijn op het management en niet op de beveiliging. (Zie ook ‘Managementrapportage risicoprofiel informatiebeveiliging ISO 27001 of 27002’.) Informatiebeveiliging is tenslotte slechts één van de operational risks, die de organisatie moet managen. Als de rapportages zijn gericht op het management, hoeven informatiebeveiligers niet meer te klagen, dat het zo slecht gesteld is met de awareness bij het management. Als die awareness werkelijk ontbreekt, dan zijn de beveiligers blijkbaar niet in staat geweest om op managementniveau te communiceren en begrijpelijk te rapporteren. Managers hebben niet echt verstand van informatiebeveiliging. Ze willen het niet krijgen ook. Ze verwachten dat informatiebeveiligers dat hebben en dat die hen rapporteren en adviseren op een manier, die de afweging over prioriteitsstelling van alle operational risks mogelijk maakt. (Zie ook ‘Informatiebeveiligers verpesten iedere awareness’). En op basis daarvan is het dan mogelijk om verantwoord besluiten te nemen over beveiligingsmaatregelen.

Information security management geen heilige graal

Information security management lijkt meer dan het is, doordat in standaarden breed uitgeschreven is waaraan het managementsysteem moet voldoen, met name daar waar sprake is van best practices. Daardoor wordt de indruk gewekt dat er veel voor nodig is om een dergelijk managementsysteem in te richten. Dat breed uitschrijven is begrijpelijk. De standaard moet immers toepasbaar zijn in velerlei organisaties, die allemaal van elkaar verschillen qua omvang en karakter. Maar voordat een organisatie best practices gaat toepassen, moet eerst worden nagegaan waaraan de organisatie echt behoefte heeft.
Information security management is dan minder dan men in eerste instantie wellicht heeft gedacht. Het maakt immers gebruik van bekende functies, procedures en activiteiten. Voor een volwassen organisatie geldt dat veel zaken allang aanwezig zijn. De inrichting hoeft daarom niet zwaarder te worden aangezet dan nodig is.
Kortom, u hoeft als organisatie slechts aandacht te besteden aan die best practices die gezien uw risicoprofiel van belang zijn, die u daadwerkelijk werkend kunt krijgen en die passen binnen uw beleidsuitgangspunten. En het leeuwendeel daarvan zal al ingevoerd zijn. Op die gedachtegang sluit ISO 27002, en binnenkort ook NEN 7510, nauwkeurig aan.

Lean and mean invoeren van informatiebeveiliging

Bij de ontwikkeling van standaarden zoals ISO 27001, ITIL, COBIT en ook SABSA wordt theoretische volledigheid nagestreefd. In de bijbehorende boeken waarin die standaards zijn vastgelegd zien we uiteraard die volledigheid terug. Maar in de praktijk is een dergelijke volledigheid niet wenselijk. Die zou zelfs leiden tot inflexibele situaties. Het doel van het invoeren van information security management moet niet zijn het systeem zelf. Het moet zijn het creëren van een mechanisme waarmee optimale veiligheid van informatie en informatieverwerking te behouden is. Dus veiligheid die met recht informatieveiligheid te noemen is.
In de praktijk is het mogelijk information security management efficiënt op te zetten door overbodige zaken bewust achterwege te laten. Alleen die onderdelen en functies worden dan ingericht die voldoen aan de eisen van de organisatie. Zo werkt ISO 27002 en zo werkt NEN 7510. En zo werkt vanaf 2013 ook ISO 270011.
Helaas is er erg weinig literatuur waarin deze benadering van information security management beschreven staat. En als ze bestaat, dan is ze vooral geschreven voor grote informatieverwerkende industriële organisaties zoals centrale overheden, banken, verzekeraars en ziekenhuizen. De meeste organisaties kunnen met veel minder toe. En juist zij zijn dan in staat om informatiebeveiliging werkend te krijgen. Maar dan moeten ze wel bureaucratie voorkomen en uitgaan van hun daadwerkelijke risico’s. (Zie ook ‘ISO 27001 of 27002 ‘lean en mean’ implementeren als security management systeem’.) Als er meer beveiliging is dan nodig, dan wordt dat direct door de organisatie opgemerkt en gezien als belastend en negatief en dat werkt contraproductief. Beveiligen zal dan immers minder serieus worden genomen. Bij te veel beveiliging zoeken juist loyale medewerkers een efficiëntere manier van werken. Meer beveiliging is dan niet beter, maar juist slechter.

Oorspronkelijke versie: 10 januari 2011
Bron
Jacques Cazemier, Klaske van Walderveen, ‘Information security management is minder dan het lijkt’. In: IT-infra. november 2010.

Klik hier voor het oorspronkelijke artikel op zbc.nu.


-- Printbare PDF-versie --