Binnen informatiebeveiliging mogen we graag benadrukken dat de mens een niet te onderschatten factor is. Je kan de techniek en organisatie nog zo goed voor elkaar hebben (voor zover mogelijk), wanneer de mensen niet weten hoe zij dienen te handelen in een situatie loop je als organisatie alsnog flinke risico’s. Dus hameren we op kennis, houding en gedrag in bewustwordingsprogramma’s om zo de juiste cultuur te krijgen binnen de organisatie.

Maar zodra we verantwoording gaan afleggen lijkt die mens ineens grotendeels buiten beeld. Hoe zit dat?

Audit en zelfevaluaties

Verantwoording wordt regelmatig afgelegd door het (laten) uitvoeren van audits en, in toenemende mate, door het invullen van zelfevaluaties. Meer daarover in dit artikel over ENSIA. Audits en zelfevaluaties hebben een verplichtend karakter. Gemeenten dienen jaarlijks een DigiD audit uit te laten voeren. Binnen de basisregistraties zijn zelfevaluaties (jaarlijks) verplicht: de zelfevaluatie BRP als vervanging van de 3-jaarlijkse GBA audit en, naar verwachting, de komst van de BAG zelfevaluatie (bron). Ook de jaarlijkse zelfevaluatie voor de reisdocumenten is verplicht.

De recente aandacht voor Suwinet maakt duidelijk wat er (kennelijk) gebeurt als er geen sancties zijn op het niet afleggen van verantwoording. De VNG heeft wel een zelftest beschikbaar, geen toets. Lees er meer over in dit artikel over Suwinet. In dat licht bezien ben ik benieuwd hoe dit zich zal ontwikkelen bij de implementatie van de Baseline Informatiebeveiliging Gemeenten. Gaat de BIG inderdaad het integrale normenkader voor informatiebeveiliging worden, zoals beoogd binnen ENSIA (ja), en zal de overheid hiervoor een verantwoordingsinstrument in het leven roepen (ja)? En zal dat dan ook een zelfevaluatie zijn (ja) en wat zal de frequentie zijn (jaarlijks)? Het verantwoordingsinstrument zal gaan over de opzet, en mogelijk ook bestaan. Maar de werking (is te duur)?

Opzet, bestaan en werking

Audits zijn uiteenlopend van aard en scope. In het geval van de DigiD audit gaat het om opzet en bestaan, niet om werking. Er wordt gekeken naar het procesontwerp; in hoeverre heb je de opzet beschreven in beleid, handboeken, processen, procedures etc. Daarnaast wordt er getoetst of deze processen inderdaad, op het moment van de audit, correct aanwezig zijn binnen een organisatie (bestaan). Bij de DigiD audit wordt dus niet getoetst of de processen werken, en gewerkt hebben, zoals ze bedoeld zijn (werking). Terwijl, in het algemeen gesteld, dit toch eigenlijk hetgeen is dat je wilt weten. Dáár komt juist het menselijk gedrag in beeld. De papieren wereld raakt in de werking de werkelijkheid zou je kunnen zeggen. En dan niet eens per jaar (bestaan), maar structureel. Is het veelgemaakte onderscheid mens, techniek en organisatie wel in balans?

Mens, techniek en organisatie (?)

Ook wij maken graag het onderscheid tussen mens, techniek en organisatie. We hebben het zelf nog aangevuld met tooling. Op deze pagina kan je er meer over lezen. Het vreemde is alleen dat in de normenkaders, die de grondslag vormen voor de verantwoording, normen op het gebied van kennis, houding en gedrag schaars lijken te zijn. Gezamenlijk zeggen die iets over de cultuur van een organisatie en die is op haar beurt voor een (erg) groot deel van invloed op het wel of niet slagen van informatiebeveiliging.

Het geringe aantal maatregelen op dit gebied hangt samen met de dreigingen binnen de ISO27xxx norm; slechts 3 van de 75 dreigingen hebben direct te maken met bewustwording:

• 01 Beveiligingsinbreuken gerelateerd aan het beveiligingsbeleid
• 02 Beveiligingsinbreuken veroorzaakt ontbreken van bewustzijn
• 59 Gebruikersfouten

De BIG bevat ruim 300 maatregelen, waarvan er 3 gaan over bewustwording. Het gaat vooral om 8.2.2. De rest gaat over techniek en organisatie. Wat opvalt is dat dé maatregel (8.8.2) nogal vrijblijvend van aard is. Er wordt niet gezegd dat je de kennis, houding en gedrag van medewerkers periodiek moet toetsen oid. Analoog aan maatregel 15.2.2. zou ik 8.8.2. als volgt formuleren:

Bewustzijn van medewerkers op het gebied van informatiebeveiliging wordt regelmatig getoetst op kennis, houding en gedrag. Dit kan door bijv. bewustwordingsprogramma’s en social-engineering.

Verder kan je wel nog stellen dat ook maatregelen over het opstellen en uitdragen van IB-beleid bijdragen aan bewustwording, evenals het toewijzen van verantwoordelijkheden, het uitvoeren van risicoanalyses, arbeidsvoorwaarden en functioneringsgesprekken. In dat licht bezien is 6.6.1 de kapstok voor bewustwording en de cultuur randvoorwaardelijk. Ik realiseer me dat maatregelen op het gebied van beveiligingsbewustzijn, ook wel de soft controls, lastig eenduidig te formuleren zijn. En dat het proces (ISO27001) centraal zal staan bij de audits, en niet de maatregelen (ISO27002). Maar ook in het proces is verhoudingsgewijs weinig aandacht voor het aspect controle/toetsing, laat staan op het gebied van bewustwording.

De huidige situatie, waarin we keer op keer het belang van menselijk handelen benadrukken en hier tegelijkertijd geen verantwoording over hoeven af te leggen, is mijns inziens niet houdbaar. De mens speelt daarvoor een te belangrijke rol.

De mens niet langer buiten schot

De Taskforce BID had als opdracht invulling te geven aan de aanbeveling van de Onderzoeksraad Voor de Veiligheid (OVV) om “een programma te ontwikkelen om ‘bestuurders te doordringen van het belang van digitale veiligheid’ en ‘hen te voorzien van voldoende inzicht en vaardigheden om hen in staat te stellen actief sturing te geven aan de beheersing van digitale veiligheid in hun organisatie’” (bron).

Laten we de mens niet alleen ‘aan de voorkant’ als heel belangrijk bestempelen, maar haar ook ‘aan de achterkant’, bij de verantwoording, een meer prominente plek geven. Enerzijds kan dat door het beveiligingsbewustzijn van medewerkers (iedereen, dus ook het management en de directie!) integraal onderdeel te laten worden van de verantwoording. Dit vergt dat hiervoor normen/vragen worden opgenomen in de audits en zelfevaluaties. Dit garandeert vanzelfsprekend niet dat de organisatie veiliger wordt, maar het kan wel bijdragen aan de gewenste cultuurverandering. Anderzijds kan dit door (meer) verantwoording af te laten leggen over de werking van processen, niet alleen de opzet en het bestaan. En dat is duur en biedt ook geen garanties. En toch.

Wanneer het drieluik mens, techniek en organisatie meer in balans komt in de verantwoordingskaders, en de verantwoording meer nadruk legt op de werking zal dit, mijns inziens, leiden tot een verhoogde digitale veiligheid. Zoiets als 100% veilig bestaat niet, maar er is zeker ruimte en noodzaak tot verbetering.