ITSX:Tips en trucs voor de implementatie van beveiligingsstandaarden

Update 29 – ITSX –januari 2017

In de ITSX-rubriek geeft Ivan Mercelina, Senior Security Consultant van ITSX, tips en trucs met betrekking tot het implementeren van beveiligingsstandaarden

De BIWA (Baseline Informatie Beveiliging voor Waterschappen) is eind 2016 geïmplementeerd bij de drie Brabantse waterschappen (Aa en Maas, Brabantse Delta en De Dommel) en extern geaudit. De drie waterschappen zijn BIWA compliant verklaard. De implementatie heeft anderhalf jaar geduurd en was niet altijd even makkelijk. Dit artikel is bedoeld voor organisaties die de implementatie van een informatie beveiligingsstandaard overwegen of daar reeds aan begonnen zijn. Het geeft enkele lessons learned om de implementatie te versoepelen.

In Madison Gurkha Update 25 heeft Ivan Mercelina (senior security consultant bij ITSX) de hoofdlijnen van het plan van aanpak uiteengezet voor de implementatie van de BIWA bij de drie Brabantse waterschappen. De BIWA is een aanpassing op de ISO27001 voor informatiebeveiliging, vergelijkbaar met de BIR, BIG en de NEN7510.

Lessons learned
In een overleg met security experts van alle waterschappen werd Ivan de vraag gesteld wat is je geheim? Dit was beslist geen uiting van onwetendheid maar een duiding van interesse in wat Ivan ziet als de belangrijkste factoren die de BIWA implementaties tot een succes gemaakt hebben. De implementatie van een informatiebeveiligingsstandaard in een grote organisatie bevat veel factoren die goed beschreven zijn in de literatuur. Hier volgen echter enkele factoren die je wat minder frequent hoort. Deze zijn ook bruikbaar voor de andere beveiligingsstandaarden.

1. Duidelijke deadline, opgelegd door de directie
De gemeenschappelijke directie van de Brabantse waterschappen hebben een intern project opgestart genaamd implementatie van de BIWA voor eind 2016. Dit gaf aanleiding tot het opzetten van een actiegroep die een CISO aangetrokken heeft. Maandelijkse rapportage van de voortgang aan de directie zorgde ervoor dat bij stagnatie direct actie ondernomen werd. Naarmate eind 2016 meer in zicht kwam gingen mensen harder lopen en kwam informatiebeveiliging steeds hoger op de agenda te staan binnen de waterschappen. De organisatie van een BIWA audit eind 2016 zorgde voor de nodige examenstress.

2. Aanstellen van een fulltime verantwoordelijke
Dit is niet noodzakelijk maar het helpt wel. Het komt vaak voor dat organisaties de implementatie van een informatie beveiligingsstandaard beleggen bij een medewerker die het al druk heeft. Vaak een IT-manager of senior IT-medewerker. De ervaring is dat er weken voorbij

3. Management als onderdeel van het implementatieteam
Bij de waterschappen werd een implementatieteam opgericht met verantwoordelijken vanuit het management. Dit zorgde voor een gevoel van verantwoordelijkheid en eigendom onder het management. Het management is uiteindelijk degene die prioriteiten stelt binnen de organisatie.

4. Huur iemand in voor documentatie
Organisaties voldoen vaak al aan veel van de gestelde normen van de informatiebeveiliging baseline, echter hebben dit nergens beschreven. Kennis zit veelal in hoofden. Aantoonbaarheid is een belangrijk onderdeel van compliance. De waterschappen hebben elk iemand ingehuurd die binnen de afdelingen in kaart bracht hoe de processen en procedures lopen. Een bijkomend voordeel was dat documentatie van de verschillende afdelingen eenzelfde format kregen.

5. Organiseer externe audits
Het heeft voordeel om halverwege de implementatie een audit te organiseren. De audit biedt overzicht van de stand van zaken en kan tot nieuwe inzichten leiden. Het geeft de betrokkenen de kans om kennis te maken met de werkwijze van een audit en wat voor een auditor belangrijk is. Maak van de kans gebruik om de auditor vragen te stellen over hoe dingen beter kunnen en over de plannen voor de verdere implementatie. Ook forceert een tussentijdse audit de organisatie om de huidige documentatie alvast op orde te brengen.

De eind audit markeert de deadline. Alles moet dan gereed zijn en in geval van compliance geeft het decharge voor het implementatie project. Restpunten worden in de staande organisatie opgepakt.

Heilige huisjes
De implementatie van een beveiligingsstandaard zal nooit makkelijk zijn en er zullen altijd heilige huisjes om moeten. Deze tips en trucs zullen de implementatie van een beveiligingsstandaard vergemakkelijken. Succes!

 

 

 

@Secura 2018
Webdesign Studio HB / webdevelopment Medusa