Het einde van Agile Informatiebeveiliging?

Met ingang van 1 januari 2016 treedt een wijziging van de Wet bescherming persoonsgegevens (Wbp) in werking die een meldplicht regelt voor datalekken. Deze meldplicht houdt in dat bedrijven, overheden en andere organisaties die persoonsgegevens verwerken datalekken moeten melden aan het College bescherming persoonsgegevens (CBP) en in bepaalde gevallen ook aan de betrokkene. De betrokkene is degene van wie persoonsgegevens zijn gelekt. Het CBP heeft een concept richtsnoer, als consultatieversie, aan de diverse betrokkenen aangeboden met de vraag feedback te geven. Dus nog even afwachten wat het eindresultaat zal zijn.

De hoofdlijnen zijn erg duidelijk. Einde vrijblijvendheid, einde “ik weet het niet” en “het zal zo’n vaart niet lopen”.

De huidige richtlijnen van de overheid zijn een goede basis voor de nieuwe wetgeving. Meer specifiek: het besluit Voorschrift informatiebeveiliging rijksdienst 2007 (VIR 2007 ) geeft de referentiekaders en definities weer die voor de overheid gelden. Deze zijn uiteraard ook leidend bij nieuwe wet- en regelgeving. De belangrijkste even op een rij: Definitie Informatiesysteem: een samenhangend geheel van :1) gegevensverzamelingen, en de daarbij behorende 2) personen, 3) procedures, 4) processen en 5)programmatuur alsmede 6) de voor het informatiesysteem getroffen voorzieningen voor opslag, verwerking en communicatie (de infrastructuur).

Definitie Informatiebeveiliging : het proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van 1) vertrouwelijkheid, 2) beschikbaarheid en 3) integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen (Plan, Do Check, Act als onderdeel van de bedrijfsvoering en dus niet als onderdeel van een éénmalig project).

De VIR2007 geldt voor het gehele proces van informatievoorziening en de gehele levenscyclus van informatiesystemen, ongeacht de toegepaste technologie en ongeacht het karakter van de informatie. Ook wordt gesteld dat Informatiebeveiliging een lijnverantwoordelijkheid is en  een onderdeel vormtvan de kwaliteitszorg voor bedrijfs- en bestuursprocessen en de ondersteunende informatiesystemen.

Het lijnmanagement is dus verantwoordelijk voor de beveiliging van zijn informatiesystemen en:

  • Stelt op basis van een expliciete risico afweging de betrouwbaarheidseisen voor zijn informatiesystemen vast.
  • Is verantwoordelijk voor de keuze, de implementatie en het uitdragen van de maatregelen die voortvloeien uit de betrouwbaarheidseisen.
  • Stelt vast dat de getroffen maatregelen aantoonbaar overeenstemmen met de betrouwbaarheidseisen en dat deze maatregelen worden nageleefd.
  • Evalueert periodiek het geheel van betrouwbaarheidseisen en beveiligingsmaatregelen en stelt deze waar nodig bij (Plan, Do Check, Act).

De huidige situatie bij vele bedrijven en organisaties met betrekking tot Informatiebeveiliging is:

  • Een ondergeschoven kind, iets technisch en lastigs, een ICT aangelegenheid, hardware georiënteerd, fragmentarisch, of in een gunstige situatie non-functional requirements!
  • Gericht op de 6) infrastructuur, enkele 5) applicaties en portals. Met de focus primair op het Cyber aspect en het aspect vertrouwelijkheid!
  • In een volgende “sprint” of release wordt, reactief ten gevolge van incidenten (al dan niet elders), het een en ander gewijzigd c.q. meegenomen.

Waar zich de voornoemde situatie voordoet betekent dit concreet dat de volgende aspecten geen c.q. onvoldoende aandacht krijgen:

  • 1) gegevensverzamelingen, en de daarbij behorende 2) personen, 3) procedures, 4) processen 2) beschikbaarheid en 3) integriteit.
  • Eigenaarschap en lijnverantwoordelijkheid.
  • Classificeren van Informatiesystemen (Informatie Risk Assessment)
  • De bedrijfsvoering rondom Informatiebeveiliging en wel in het bijzonder de Plan Do Check Act cyclus.

Het in een volgende “sprint” of release alsnog het een en ander oppakken is zeker in het kader van de nieuwe wetgeving onvoldoende!

Weet wat je niet weet!

De nieuwe wetgeving is bijzonder zwaar en zal voor vele bedrijven en organisaties een vrijwel onmogelijke inspanning vragen. Deze zal afrekenen met het naar elkaar wijzen. Verantwoordelijkheden omtrent eigenaarschap zullen dwingend worden opgelegd en vastgelegd, relaties en hele ketens moeten in beeld gebracht worden, bewerkersovereenkomsten moeten worden opgesteld, enz….

Mijn advies is: zorg minimaal dat je weet wat je niet weet. En zorg dat je niet in de situatie komt dat je moet zeggen: “ik weet het niet”. Voor het proces rondom en in het kader van Meldplicht Datalekken is het niet-weten vragen om moeilijkheden: juridisch en financieel. De beoogde boeteregelingen zijn fors. En vandaag heb ik het nog vanuit de advocatuur gehoord: de advocaten en accountants verheugen zich al op de komende sterke groei in omzet, veroorzaakt door de onvolkomenheden rondom privacy van gegevens.

Privacy by Design

In de automotive industrie is veiligheid een designaspect, in de vorm van requirements. Er wordt vooraf, als onderdeel van het totale ontwerp rekening mee gehouden. Recent (VW) is zelfs gebleken dat willens en wetens meetinstrumenten zijn gemanipuleerd om goede testresultaten te produceren. Maar ik pleit niet voor een dergelijke aanpak. Eerlijkheid en openheid moeten het uitgangspunt zijn en blijven.

Oproep aan de ICT afdelingen (primair de architecten en ontwikkelafdelingen) omarm de (goede) principes, mobiliseer de eigen organisatie om Eigenaarschap serieus op te pakken. Classificeer en behandel privacy en informatiebeveiliging als requirements.

Dus: privacy (en security) by Design door middel van requirements! En niet met een Agile aanpak.

Alphen aan den Rijn, 6 oktober 2015

Tue, 06 October