- Door
- Arnout Veenman
- geplaatst op
- 1 november 2006 17:17 uur
Gisteren was er een themabijeenkomst over de Zin en onzin van de code voor informatie beveiliging, gebaseerd op ISO/IEC 27001, als lid van het Genootschap van Informatie Beveiligers was ik hierbij aanwezig, overigens zijn nieuwe (vooral jeugdige) leden zijn zeer welkom, dus hierbij even stijlloze promotie van mijn vakvereniging.
De Code voor Informatiebeveiliging is een schema dat criteria voorschrijft voor het beoordelen en certificeren van fysieke, logische en organisatorische maatregelen voor informatiebeveiliging, waarvan door onafhankelijke certificatie-instellingen een certificaat kan worden behaald, echter kan het ook worden gebruikt voor ‘self-assesment’.
Nederland is één van de zeer betrokken landen die bezig zijn met de continue verder ontwikkeling van de Code voor Informatiebeveiliging waarvan op dit moment de nieuwste Nederlandse vertaling is gemaakt van ISO/IEC standaard 27001. De eigenaar van het schema is ECP.NL – platform voor eNederland die weer een werkgroep heeft genaamd het Centraal College van Deskundigen Informatiebeveiliging (CCvD-IB), welke bestaat uit alle stakeholders, die allemaal niet onafhankelijk zijn en door ze allemaal in één college te gooien, wordt er vanzelf een onafhankelijk resultaat uit gepolderd.
De visie van de gebruikers van de Code voor Informatiebeveiliging is natuurlijk ook zeer interessant. Daarvoor was Marcel Jansen van ASP4all uitgenodigd, om hun ervaringen te delen. In eerste instantie dachten ze dat het appeltje, eitje, zou zijn en dat ze binnen een paar maanden de certificering binnen zouden hebben. Echter bleek dat vies tegen te vallen en hadden ze die tijd uberhaubt nodig om door te krijgen waar het allemaal precies over gaat. Daarvoor kregen in eerste instantie twee medewerkers de rol van ‘security manager’ die zich met de informatiebeveiliging in de organisatie bezig gingen houden, overigens gaat het over wel om maar 0,4 FTE. In plaats van enkele maanden was de daadwerkelijke certificering na twee jaar een feit.
Om de veilgheid te handhaven heeft ASP4all een groot aantal processen en methodieken ingezet, waaronder, een 4 stappen proces om software in te zetten, operationele controles, registratie en communicatie van veiligheidsincidenten, controle van de controle operaties en vastleggen van uitgevoerde operaties en projecten.
Ook worden datacentra regelmatig gecontroleerd door ASP4all. Echter was ik razend benieuwd hoe de twee datacentra die door ASP4all gebruikt worden bij het accreditatie proces voor de certificering worden betrokken. Heel trots verteld Marcel Jansen dat één van de twee gebruikte datacentra, zelf ook geceritifceerd is. Dus ik vraag, welk datacentrum is dat? Marcel Jansen antwoord: Redbus. Dus ik resumeer: Daar was toch laatst de stroom uitgevallen?! Waarna de hele zaal het lachen niet kon onderdrukken. Echter gebruiken ze twee datacentra en zijn veel systemen redundant uitgevoerd, waardoor ze daar op berekend zijn.
De laatste spreker was van Peter Hoogendoorn van Achmea Pensioenen, die zelf niet volgens de Code voor Informatiebeveiliging zijn gecertificeerd maar met het Amerikaanse SAS70. Het grooste verschil tussen de twee zit hem er in dat je bij SAS70 zelf kiest welke onderdelen van je organisatie je wilt certificeren. Verder spits het zich meer toe op de processen binnen de organisatie dan bij de code. Daarnaast krijg je bij de accreditatie van SAS70 een heel leger van controleurs binnen die écht alles onder de loupe nemen.
Ook aan Peter Hoogendoorn had ik een vraag, namelijk hoe medewerkers met alle maatregelen om de veiligheid te garanderen, omgaan, want het wordt meestal was lastiger voor ze, dus dan gaan ze er omheen proberen te werken. Peter Hoogendoorn beaamde dit en gaf aan dat dat in het begin zeker gebeurde en medewerkers daar zéér creatief in zijn. Echter moet je dan als management een duidelijk statement maken, dat dat niet kan en daarna is dat voorbij. Daarnaast zorgen de procedures er ook voor dat het uiteindelijk allemaal wat makkelijker wordt, wat voor medewerkers zelf ook prettig is.
De presentaties van alle sprekers zijn te downloaden vanaf de website van het Genootschap van Informatie Beveiligers.
