OpinieGeef de ambtenaar het geheim van de smid

2

Na alle ICT-perikelen hebben veel gemeenten het licht gezien: persoonsgegevens verwerken doe je veilig of je doet het niet. Helaas werpen bedrijven obstakels op.

– COLUMN – Brenno de Winter

Als het veilig

gaat ontkom je niet aan het voldoen aan regels. De geldende open

standaard die

verplicht is, is de

ISO-27001-norm
.

Dus zijn de eerste ambtenaren opgestaan die een traject

van

certificering zijn ingegaan. Een goede stap, want daarmee tonen

ze intern en

naar buiten dat de beveiligingszaken op orde zijn. Als er

problemen zijn dan

komen die tijdens de procedure aan het licht. Op die manier

wordt de

beveiliging in de hele gemeente op procedureel niveau

opgeschroefd.

Natuurlijk

wordt er door auditors ook gekeken naar de technische staat van

beveiliging via

een aantal penetratietesten die moeten worden uitgevoerd.

Tenminste zo hoort

het eigenlijk wel te gaan.

Problemen

met

audits

Van de perikelen bij KPN weten we inmiddels dat de

audit niet alles,

omdat na de hacks bij KPN Getronics, Gemnet en KPN zelf bleek

dat er nogal in

het beheer wat mis is gegaan. Er waren jarenlang verouderde,

slecht bijgewerkte

systemen en daarbij ging het niet om een vergeten computertjes

ergens achteraf.

Dat had tijdens de controleslagen ontdekt moeten worden, iets

wat in de

industrie wel langzamerhand aan het doordringen is.

Na de

affaire Diginotar

beginnen auditors eindelijk te geloven in het belang van hun

eigen werk.

We zitten dus midden in een cultuurveranderingsproces

en dat is

lastig. Maar eigenlijk is het ideaalbeeld is voor mij wel

helder. Niet meneer

de burgemeester (m/v) of meneer de wethouder (m/v) in reactie op

Lektober moet

persberichten of raadsbrieven met zalvende woorden sturen. Nee

een stoere

gemeente laat zien dat zij hun zaken op orde hebben en zegt:

kijk natuurlijk

zijn we toetsbaar.

Kijk hier is het certificaat. En voegt daar

onmiddellijk aan

toe: maar we doen natuurlijk meer dan dat aan beveiliging, want

in een

papiertje alleen zit het niet.

Billen bloot

Maar ik heb een obstakel ontdekt en dat staat gemeenten

in de weg. In

gemeenteland zijn meerdere helden die de stap hebben gezet om

ISO-gecertificeerd te worden. Hard werkende ambtenaren knokken

om alles op

alles te zetten de zaken op orde te krijgen. Dat is geen

sinecure en dwingt

respect af. Dus moeten ook leveranciers met de billen bloot en

vertellen hoe

procedureel zaken in elkaar steken.

Op cruciale punten is die

informatie

onmisbaar voor goedwillende auditors. En u voelt hem al

aankomen: sommige

bedrijven werken niet mee. Geld van de belastingbetaler vangen

is prima, maar

verantwoordelijkheid nemen is toch weer minder leuk.

KPN

Als voorbeeld (maar er zijn er meer) noem ik KPN.

Pardon? Ja, KPN.

Het bedrijf dat zelf trots prijkt met een ISO-certificaat dat

evident ze zou

moeten worden afgepakt, blijkt de onderneming deze informatie

niet te willen

leveren. Dus hebben we een speler die cruciale elementen in de

ICT-infrastructuur doet en schimmig over de werking. Het geeft

certificaten uit

en doet schimmig over hoe zij tot resultaat komen. Er is geen

enkele reden

denkbaar waarom dit niet gewoon kan worden gestuurd. Juist

procedures zijn een

belangrijk in het certificeringsproces en geen geheim van de

smid. En als het

wel het geheim van de smid was geweest dan geef je dat in

vertrouwen aan de

auditor.

Op

blauwe ogen vertrouwen hebben we in het verleden iets te vaak

geprobeerd en leidt binnen de ICT iets te vaak tot ongelukken.

Terecht want KPN

heeft mij al eens duidelijk gemaakt dat er misschien iets anders

aan de hand

is.

Toen ik vroeg naar gedetailleerde informatie over KPN

Getronics en hun PKI

Overheid-certificaten kreeg ik na veel brieven schrijven en

stampvoeten

eindelijk de waarheid te horen: “Zoals bij verschillende

gelegenheden al aan

jou kenbaar gemaakt, heeft KPN simpelweg geen eigendom of

beschikking over de

informatie die jij vraagt.”

Tja, daar kan de beste wil van de

beste ambtenaar

niet tegen op. Wat kun je daar nog aan toevoegen behalve dat ik

nu ben begonnen

uit te zoeken welke auditor dan ooit akkoord is gegaan met de

certificering van

KPN, KPN Getronics en Gemnet.

Epiloog

Persoonsgegevens

verwerk je veilig of je doet het niet. Onder dat

motto ben ik op zoek naar meer voorbeelden en kom graag in

contact met

ambtenaren die ook door hun leveranciers worden gehinderd. Dat

is mooi voor een

zwartboek dat dan voor het begin van het parlementaire onderzoek

naar wat er

toch structureel misgaat in de industrie. 

Share on FacebookTweet about this on TwitterShare on LinkedInEmail this to someone

Over Auteur

2 reacties

  1. Erik-Jan Vens op

    Een belangrijk onderdeel van ISO 27001 is het risk assessment. Hierin worden alle risico’s geinventariseerd, wordt de impact op de bedrijfsvoering beschreven en wordt de kans op optreden berekend/beredeneerd. Daarnaast worden de maatregelen om de risico’s te vermijden op een rijtje gezet.

    De auditor doet geen uitspraak over de beschreven risico’s en de gekozen maatregelen. De auditor kijkt of de organisatie tot een goed gedefinieerde methode is gekomen om dat risk assessment uit te voeren. Of die methode herhaalbaar is, of het management de methode inzet, evalueert, tot verbetering kan komen; of er een PDCA-cyclus aan verbonden is: je kunt niet altijd alles van te voren weten en daarom moet er een procedure voor verbetering zijn.

    De control om informatie te leveren over overheids PKI certificaten is blijkbaar niet toereikend. Als KPN of Getronics een procedure heeft om deze control te verbeteren zijn ze nog steeds ISO 27001 waardig.

    Hebben ze die procedure niet dan voldoen ze niet aan hun ISO 27001 certificering.

Reageer