Kwaliteitskeurmerk moet beveiliging verbeteren
In het artikel ‘Vraagt kwetsbare ICT-infrastructuur om centrale rol overheid?’ (Automatisering Gids 3 mei jongstleden) werd nog eens ingegaan op de kwetsbaarheid van de Nederlandse ICT-infrastructuren en de roep om bemoeienis van de overheid. De motie Wijn verzocht reeds in maart 2001 de regering om ‘een sectoroverschrijdend plan van aanpak inzake de bescherming van vitale ICT-infrastructuren’ op te stellen. Deze uitspraken zullen ongetwijfeld tot het nieuwe kabinet doordringen, maar zij zullen op korte termijn weinig resultaat opleveren. Het aanstellen van een minister en het vormen van beleid en wet- en regelgeving met betrekking tot informatiebeveiliging zal jaren duren, waarna nog enkele jaren uitgetrokken moeten worden voor de uitvoering. Het signaal van Norea is duidelijk, de huidige situatie op het gebied van informatiebeveiliging laat te wensen over en roept om verbetering. Er zal echter een andere weg gekozen moeten worden om deze situatie op korte termijn te verbeteren. Het is tijd dat de overheid, maar ook het bedrijfsleven, de handen uit de mouwen steekt en informatiebeveiliging prioriteit geeft. Er moet een sneeuwbaleffect van kwaliteitsverbetering ontstaan, vanuit een gemeenschappelijk beveiligingsbewustzijn. Het bedrijfsleven zal hierin een actieve rol moeten vervullen, de overheid een stimulerende en sturende rol. Stimulering van informatiebeveiliging vanuit de overheid door middel van voorlichting, subsidies en een kwaliteitskeurmerk zal beter en sneller werken dan een dwangmiddel als wet- en regelgeving. Een kwaliteitskeurmerk voor informatiebeveiliging zal voor bedrijven een positieve uitwerking hebben op de klanten en zakenpartners. Door het keurmerk heeft de klant of zakenpartner de garantie dat de informatiebeveiliging achter producten en diensten aan bepaalde veiligheidsnormen voldoet. Controle kan periodiek plaatsvinden, waarbij de Norea diensten kan bewijzen. De overheid zorgt voor een goede voorlichting over de wijze waarop een keurmerk kan worden verkregen en kan eventueel subsidies verlenen voor de implementatie van veranderingen en/of verbeteringen. De bewustwording wordt in dit geval niet vanuit wet- en regelgeving afgedwongen, maar bevorderd door te wijzen op voordelen en bedrijfsbelangen. Het verbeteren van de bewustwording en het verbeteren van het informatiebeveiligingsniveau door stimulering vanuit de overheid, kan gezien worden als een overgang naar een algemene wet- en regelgeving op het gebied van informatiebeveiliging. Certificeren Er bestaat een methode die de kwaliteit van informatiebeveiliging aantoont: certificatie. Certificeren is een waarmerkingsproces dat er toe leidt dat een organisatie of een product een kwaliteitswaarmerk krijgt. Na succesvolle toetsing aan een norm wordt een certificaat uitgereikt als bewijsstuk. Certificatie van een organisatie houdt in dat het managementsysteem voor informatiebeveiliging van die organisatie wordt onderzocht. Certificatie van een IT-product gaat in op de beveiligingskwaliteiten van dat product. Certificeren is uiteraard een uitstekend proces om de kwaliteit van een organisatie of product aan te tonen, maar gaat voor de meeste bedrijven wel erg ver. Het kost veel moeite een certificaat te verkrijgen en daarom is het meestal een te grote stap. Voor stimulering vanuit de overheid is dit proces eigenlijk niet geschikt. Er moet daarom een lagere drempel worden geschapen om hier toe over te kunnen gaan. Certificatie moet echter niet het doel zijn. Het doel is in eerste instantie het verbeteren van het niveau van informatiebeveiliging in het bedrijfsleven, bijvoorbeeld door de invoering van een keurmerk. Keurmerken doen het in Nederland goed. Het succes in het Nederlandse bedrijfsleven is evident. Er zijn al veel kwaliteitskeurmerken die algemeen door de consument zijn geaccepteerd. De zekerheid van kwaliteitscontrole en toetsing aan normen door een controlerende instantie helpt menig consument over de drempel om een product af te nemen of met een bedrijf in zee te gaan. Voorbeelden zijn het Milieukeur, het EKO keurmerk, Kema Keur, Kiwa Keur en Komo Keur. Ook internet kent veel keurmerken die overigens weinig bekendheid genieten. Een bekende is het NLIP-kwaliteitskeurmerk, het kwaliteitskeurmerk van de Vereniging van Internet Providers. Het keurmerkinstituut is een voorbeeld van een onafhankelijke organisatie die keurmerken verleent gericht op verbetering van de kwaliteit en veiligheid van producten, diensten en accommodaties voor consumenten. Het is denkbaar dat de overheid een instituut installeert om keurmerken voor informatiebeveiliging te regelen. Het invoeren van een keurmerk zal geen eenvoudige zaak zijn. De normen die moeten leiden tot een keurmerk zullen gericht moeten zijn op het stimuleren van informatiebeveiliging en de verschillende doelgroepen. Schouten duidt in zijn betoog op ICT-infrastructuren bij bedrijven en instellingen waarvan de ICT een maatschappelijk belang heeft. De normen voor deze bedrijven zullen zeker van een ander gewicht zijn dan de normen voor veel bedrijven in bijvoorbeeld het midden- en kleinbedrijf. De diversiteit van bedrijven is dus groot, evenals het maatschappelijk en bedrijfsbelang van ICT van die bedrijven. Het is daarom van belang dat een basisnorm wordt gevormd waaraan men standaard moet voldoen. Een belangrijk onderdeel daarvan is een goed ingerichte beveiligingsorganisatie. Aangevuld met normen per bedrijfstype, vormt dit het keurmerk. Onvoldoende De voorgestelde oplossingen ter stimulering van informatiebeveiliging moeten eigenlijk gezien worden als symptoombestrijding. De oorzaak van het matige informatiebeveiligingsniveau is onder meer te wijten aan een onvoldoende mate van beveiligingsbewustzijn van het management. Het strategische denken van het management richt zich vooral op het bevorderen van omzet en winst en in mindere mate op het beschermen van de voor het bedrijfsproces onmisbare informatiesystemen. Het management dient zich bewust te zijn van het feit dat het ook verantwoordelijk is voor de beveiliging van de ondersteunende informatiesystemen. De beschrijving die de Code voor Informatiebeveiliging geeft is: ‘Informatiebeveiliging beschermt informatie tegen een breed scala aan bedreigingen, om de continuïteit van de bedrijfsvoering te waarborgen, de schade voor de organisatie te minimaliseren en het rendement op investeringen en de kansen van de organisatie te optimaliseren’. Deze zin zou al voldoende argumenten moeten bevatten om het management over te halen een informatiebeveiligingsorganisatie op te zetten. Het kan zijn dat men deze zinsnede niet kent of dat men in de praktijk niet al te beste voorbeelden heeft gezien. De overheid geeft zelf niet bepaald het goede voorbeeld met de implementatie van het VIR, het Voorschrift Informatiebeveiliging Rijksoverheid dat in 1994 is ingevoerd en waarvan de implementatie maar bij een enkel ministerie is afgerond. De voorgeschreven A&K-analyse (Afhankelijkheid en Kwetsbaarheid) is een zeer tijdrovende en uitermate kostbare bezigheid. Ondertussen is het VIR ingehaald door een nieuwe visie op informatiebeveiliging. Informatiebeveiliging wordt in de meeste gevallen gezien als een technische discipline. Men schaft graag technische producten aan waarmee ogenschijnlijk problemen voorkomen kunnen worden, meestal aangegeven door leveranciers. Het is echter zaak dat een bedrijf zelf – door analyse – bedreigingen en risico’s herkent en een goed inzicht in de eigen processen krijgt. Hierdoor kan men adequate maatregelen treffen en beleid vormen. Het laatste wordt bereikt met een goed functionerende informatiebeveiligingsorganisatie. Niet kostbaar Het inrichten van een informatiebeveiligingsorganisatie lijkt voor veel managers erg ingrijpend en gecompliceerd. Dit hoeft echter niet het geval te zijn. Het opzetten van zo’n organisatie hoeft ook niet kostbaar te zijn. Het is voor zowel kleine als grote organisaties op een betrekkelijk eenvoudige wijze te doen. Een voorbeeld van een opzet van een eenvoudige basisorganisatie voor informatiebeveiliging is het gebruikmaken van de bestaande ‘verborgen’ informatiebeveiligingsprocessen. Iedere organisatie met geautomatiseerde informatiesystemen doet eigenlijk al aan informatiebeveiliging. Men doet aan toegangsbeheer, virusscannen, het maken van back-ups, toegangscontrole op systeemruimtes en het opbergen van tapes en software in een kluis. Op basis van ‘best effort’ loopt dit redelijk, maar in veel gevallen ligt de verantwoordelijkheid bij de werkvloer en ontbreekt de controle op en het inzicht in de beschikbaarheid, integriteit en vertrouwelijkheid. Door het herkennen van de ‘verborgen’ informatiebeveiligingsprocessen en ze onder te brengen in een organisatie, krijgt men een goede basis voor het verbeteren van het niveau van informatiebeveiliging. De zo verkregen beveiligingsorganisatie formuleert beleid, onderzoekt, implementeert maatregelen, bewaakt en evalueert, en dit als terugkerend proces. Het management stelt een informatiebeveiligingsfunctionaris aan, al dan niet parttime, die wordt opgeleid en bevoegdheden en verantwoordelijkheden krijgt om het iteratieve proces levend te houden. Hij versterkt het beveiligingsbewustzijn door meer betrokkenheid bij de bewaking van de kwaliteit van informatiebeveiliging. Na het inrichten van een informatiebeveiligingsorganisatie kunnen door middel van risicoanalyses en onderzoek meer beveiligingsprocessen aan de verantwoordelijkheden van de organisatie worden toegevoegd. Bij kleine organisaties is men zelf in staat een beveiligingsorganisatie op te zetten, maar bij grotere, complexe organisaties kan een deskundige de helpende hand bieden. Een goed functionerende informatiebeveiligingsorganisatie is dé basisnorm voor een kwaliteitskeurmerk en is voor ieder bedrijf een must. Echter, de stimulering vanuit de overheid is hierbij onmisbaar. Toon van den Ende Toon van den Ende is verbonden aan de Business Unit Enterprise Architecture van Ordina-Devote te Bunnik.Strategie Tot op heden is het belang van de beveiliging van informatiesystemen en infrastructuren onderbelicht gebleven. De roep om verbetering duidt op de tekortkomingen. De oorzaak is vooral de geringe belangstelling bij het management. Door een sterke gerichtheid op de techniek krijgt beveiliging vaak geen duidelijke positie in het bedrijf. Alleen bij incidenten wordt het niveau van het management bereikt omdat er een aanwijsbare negatieve beïnvloeding van de bedrijfsprocessen plaatsvindt. Meestal worden vanuit het operationele niveau maatregelen genomen, al of niet in opdracht van het management: een duidelijke ad-hocbenadering. Deze situatie is heel herkenbaar en komt in kleine en grote organisaties voor. Het initiatief voor verbetering en verandering dient hier door het management genomen te worden. De aandacht zal van de techniek naar de organisatie verplaatst moeten worden en het management zal zich bewust moeten worden van zijn verantwoordelijkheden op het gebied van informatiebeveiliging. Risicomanagement is in veel gevallen een onbekend gebied voor het management. De primaire bedrijfsprocessen geven inhoud aan de missie en doelstellingen van het bedrijf en zijn in toenemende mate afhankelijk van informatiesystemen. Bescherming en beveiliging zorgen voor betrouwbaarheid en continuïteit van de informatiesystemen en zijn daarom van groot belang voor de bedrijfsprocessen. Er zal dus op strategisch (management)niveau beleid moeten worden opgesteld met als doel de risico’s tot een aanvaardbaar niveau te reduceren. Dit aanvaardbare niveau kan pas bij een calamiteit worden gemeten. Het onderkennen van alle risico’s moet dus zorgvuldig gebeuren. Risicomanagement kan, indien goed ingericht, kostendekkend zijn door het uitblijven van directe, maar ook indirecte schade. De informatiebeveiligingsorganisatie bevindt zich op het tactische niveau en zorgt ervoor dat adequate maatregelen worden geïmplementeerd. Zij voert periodieke controles uit, heeft feeling met de organisatie en herkent trends die kunnen leiden tot nieuw beleid. Het management wordt op de hoogte gehouden door periodieke rapportages over de voortgang en status. Deze situatie is voor het management ideaal omdat het zich slechts met de strategische aspecten hoeft bezig te houden.