Binnen het vakgebied informatiebeveiliging, en in bescheiden mate binnen het vakgebied privacy, maken we binnen de overheid gebruik van baselines als fundament voor de beveiliging van een organisatie. Simpel gezegd bestaan baselines uit een set aan maatregelen die een basisniveau van beveiliging dient te realiseren. In Nederland hebben we veel sectorale baselines zoals de BIG en de BIR. Waarom bestaan er baselines en wat kan je er precies

mee? En wegen de voordelen van baselines op tegen de nadelen? Ofwel; wat is het nut en de noodzaak van baselines?

Baselines; wat kan je er mee

Een baseline is, zoals in de tro al genoemd, een set aan maatregelen. Doordat de maatregelen bekend zijn, is direct duidelijk wat er moet gebeuren (hands-on). Binnen de BIG zijn er diverse hoofdstukken, doelstellingen, risico’s, beheersmaatregelen en (best practice) beveiligingsmaatregelen die logisch gestructureerd zijn. Dit maakt dat de implementatie van een baseline zoals de BIG zich goed leent voor een projectmatige aanpak. Het brengt de basis op orde en ik ben van mening dat dit alles ‘goed te verkopen is’ aan de beslissers in een organisatie. Een bijkomende voordeel is dat veel baselines sectoraal zijn. Zo heeft de BIG een ‘gemeente sausje’, zodat het goed past bij het (vermeende) unieke karakter van gemeenten.

Met een baseline kan je één (basis)niveau aan informatiebeveiliging bewerkstelligen binnen je organisatie. Je kan met behulp van de baselinetoets (BIV scores) bepalen of een proces, informatiesysteem of informatie onder de baseline valt of dat er additionele maatregelen nodig, zijn bovenop de baseline. Deze maatregelen kunnen worden verkregen uit een voorgedefinieerde lijst met maatregelen, of door een diepgaande risicoanalyse (MAPGOOD). Op het gebied van privacy wordt gebruik gemaakt van een Privacy Impact Assessment (PIA). Een baseline dekt dus niet alles af.

Betrouwbaarheidseisen

Uitgangspunt voor het toepassen van (extra) beveiligingsmaatregelen blijft dus gebaseerd op de betrouwbaarheidseisen die de informatie, het proces of informatiesysteem vergt. Aan de hand van geclasificeerde data wordt bepaald welke beveiligingseisen gelden en welke maatregelen genomen moeten worden om hier aan te voldoen. De informatie behoort te worden geclassificeerd met betrekking tot de waarde, wettelijke eisen, gevoeligheid en onmisbaarheid voor de organisatie.
Een baseline benadering brengt met zich mee dat je voor sommige informatie(systemen) of processen met de basline ‘teveel’ maatregelen neemt dan dat nodig zou zijn puur op basis van de betrouwbaarheidseisen. Anderzijds neemt het de noodzaak weg voor al deze (informatie)systemen en processen een (uitgebreide) risicoanalyse te moeten doen. Onder de baseline gaan kan wel, maar via het ‘pas toe of leg uit’ principe.

Voor- en nadelen

Baselines hebben naar mijn mening onderstaande voor- de nadelen. Voor iedere organisatie geldt dat enkele punten extra zwaar wegen in de beslissing een baseline te adopteren, terwijl andere punten nauwelijks van invloed zijn. Niettemin geeft het een beeld.

Voordelen

• Een baseline beoogt een eenduidig basisniveau van informatiebeveiliging
• Sectorale baselines spreken meer tot de verbeelding, omdat ze concreet voor de doelgroep zijn geschreven
• Je kan snel aan de slag, omdat de maatregelen bekend zijn. Het is dus een duidelijke stip aan de horizon
• Het abstracte risicodenken blijft op relatief veilige afstand. Doorvertaling naar maatregelen is immers voor velen relatief moeilijk en tijdsintensief.

Nadelen

• Een eigen sausje per sector bemoeilijkt één gemeenschappelijke ‘taal’. De onderlinge verschillen zijn qua inhoud gering.
• Er is sprake van een uiteenlopende mate van detaillering in baselines. Het aantal beveiligingsmaatregelen loopt dus uiteen.
• Eigendom en onderhoud is niet altijd geborgd. Het eigenaarschap van de baseline is niet altijd helder en de actualisatie na de initiële baseline is soms problematisch.
• De link tussen de maatregelen en de bovenliggende risico’s kan vervagen wat organisatorische acceptatie in de weg kan staan.

Doorgaan of stoppen maar?

Persoonlijk denk ik dat baselines erg bruikbaar zijn en, in ieder geval in de gemeentelijke context, helpen overzicht en structuur te krijgen. De tactisch-operationele insteek valt goed over te brengen naar management en bestuur. Wel sluit ik af met een paar kanttekeningen:

• Positioneer de implementatie van de baseline vanaf de start als project, met dien verstande dat er daarna beheer volgt, volgens een managementsysteem (ISMS)
• Behoud een gezonde kijk op het kwantificeren (BIV & P) van informatiebeveiliging
• Voorkom dat de baseline aanpak een risicogestuurde aanpak gaat vervangen. Niet rücksichtslos een set aan maatregelen implementeren (‘pas toe of leg uit’)
• Blijf goed kijken naar de actuele ISO 2700X norm (de bron)

Wat vind jij van het gebruik van baselines in jouw organisatie?