12 ‘best practices’ die mislukking garanderen

De afgelopen weken hebben we steeds gekeken hoe we mislukking kunnen voorkomen. Vandaag een artikel die juist het tegenovergestelde voorstelt. Klinkt misschien gek, maar als je weet welke aspecten het project zeker doen mislukken, dan weet je ook waar je extra op moet letten als je het wel tot een succes wilt maken. ‘best practices’ worden op deze manier ‘worst practices’.

Voor het hele artikel, van Bob Lewis, verwijzen we je graag naar computerworld.nl, hier vind je slechts de samenvatting.

  1. Vertel iedereen dat zij de klant zijn
  2. Behandel interne SLA’s als contracten
  3. Verspreid verhalen over domme gebruikers
  4. Stuur de kosten door
  5. Eis ROI op projecten
  6. Definieer specificaties voor software
  7. Wijs kartrekkers aan
  8. Ontwikkel een cloudstrategie
  9. Probeer agile en outsourcing tegelijk
  10. Onderbreek onderbrekingen met onderbrekingen
  11. Draai meerdere projecten tegelijk
  12. Zeg geen “ja”, zeg geen “nee”

Normen, best practices en richtlijnen

We hebben al goed nagedacht over onze aanpak op het gebied van informatiebeveiliging. Het zogenaamde “low hanging fruit” hebben we inmiddels wel geplukt en gaan nu meer en meer aanlopen tegen wat meer specifieke vragen. Hoe gaan we dit nu weer oplossen? Hoe gaan we daar nu weer mee om? Geen nood, er is genoeg informatie beschikbaar en die kan ons erg goed van pas komen. Op naar deze vraag dan maar:

Wordt bij de inrichting van de beveiliging gebruik gemaakt van normen en/of best practices en richtlijnen uit de branche of van organisaties met gelijke typologie voor standaardisatie van de integrale beveiliging?

We hebben het al eerder aangehaald, misschien heeft onze branchevereniging of hebben onze concurrenten nog wel interessante informatie beschikbaar die ons goed verder kunnen helpen. Niet geschoten is altijd mis, dus niet gevraagd is ook geen antwoord.

Ok, nu willen we niet als onwetend overkomen bij onze concurrenten dus eerst gaan we ons eigen desk research doen. Wel zo fair, toch? Beginnen we met de Code voor Informatiebeveiliging, dat is al een belangrijk raamwerk om ons verder te helpen. Niet door alles wat daarin staat zomaar te implementeren, maar wel om volgens een bepaalde structuur te werken. Een belangrijk aspect daarbij is het eerste deel van die Code (27002). Sla de eerste 4 hoofdstukken niet over om direct met de maatregelen te beginnen, maar lees juist die eerste hoofdstukken extra goed. Daarin staan de kaders, daarin staat de aanpak…en daarin staat ook dat de Code vertaald moet worden naar de eigen organisatie en dat daarbij keuzes gemaakt moeten worden.

Google ook eens op de Code voor Informatiebeveiliging. Voor de Code zelf moet betaald worden maar er is genoeg geschreven over hoe andere organisaties het aanpakken. Er is genoeg herbruikbaar materiaal te vinden. Beter goed gejat dan slecht verzonnen, zou ik zeggen.

Ik benadruk het nog maar eens: er staat nergens in de Code dat je alle maatregelen moet implementeren, er staat dat je goed moet nadenken over de specifieke risico’s voor jouw organisatie en dat de Code je daarbij behulpzaam kan zijn. Kortom: niet zomaar maatregelen implementeren maar eerst nadenken over de mogelijke risico’s.

Maar hoe gaan we nu om met die specifieke punten waar jij met je organisatie tegenaan loopt? Ook daarvoor geldt “Google is your friend” (ja ik weet het, er wordt door sommigen anders over gedacht). Loop je ergens op vast, Google dan eens met de juiste termen en je komt al snel hele bergen informatie tegen. Desk research is met de intrede van internet alleen maar makkelijker geworden en er komt nog steeds veel bruikbare informatie bij. Na de desk research kun je altijd nog even met je concurrent schakelen om na te gaan hoe zij met aspecten zijn omgegaan. Ook kun je altijd nog een specialistische interne afdeling benaderen of extern advies inhuren als dat wenselijk is.

We hebben het al vaker geschreven: als we het wiel opnieuw uit gaan vinden dan zal dat wiel ongetwijfeld weer rond worden. Dat hoeven we dus niet te doen. Nee, hergebruik wat beschikbaar is en vertaal dat naar de eigen organisatie. Een wiel is inderdaad rond, maar een wiel van een tractor zal moeilijk passen op het frame van een fiets. Heb je echt zulke grote wielen nodig of kan het ook wel een maatje kleiner? Daar zit hem wellicht de belangrijkste vraag.

Normen, best practices en richtlijnen

Gisteren hebben we vriendschap gesloten met onze auditafdeling. Eigenlijk zijn het helemaal niet van die nare (of rare) mensen, toch? Nee, eigenlijk hebben zij ook wel het beste voor met de organisatie. Aan deze vernieuwde samenwerking gaan we nog veel plezier beleven. Maar we nemen uiteraard wel onze eigen verantwoordelijkheid en proberen de informatiebeveiliging eerst zo goed mogelijk zelf in te richten. Daarmee zijn we aangekomen bij vraag 4.

De vierde vraag die we moeten stellen is:
Is bij de inrichting van de integrale beveiliging gebruik gemaakt van normen, best practices en richtlijnen uit de branche?

En het antwoord? Ja, nee of weten we het eigenlijk niet?

Inmiddels weten we dat we informatiebeveiliging serieus moeten nemen, maar waar moeten we beginnen? Geen nood, er zijn genoeg hulpmiddelen beschikbaar om de eerste paar stappen goed te zetten. Maar, voordat je je verstapt, wil ik je er nog wel even op wijzen dat het niet zozeer gaat om de beveiligingsmaatregel maar juist om het afdekken van een risico. Houden we dat voor ogen dan gaan we niet domweg allerlei standaard normenkaders implementeren (die een overkill aan maatregelen veroorzaken).

Nee, uitgaande van de risico’s, die per organisatie, per business unit, per locatie, per proces, per land, per gebouw en ga zo nog maar even door kunnen verschillen. Nu kunnen we allerlei normen, best practices en richtlijnen gebruiken om de meest effectieve en efficiënte wijze van beveiligen te bepalen.

De bekendste norm is waarschijnlijk de Code voor Informatiebeveiliging (ISO27001/27002 of voor de gezondheidszorg: NEN7510). Een uitstekende basis, zou ik zo zeggen, maar er is meer. Google er eens lustig op los en je zult zien dat er al veel, heel veel, geschreven is over informatiebeveiliging. Kijk bijvoorbeeld ook eens wat er beschikbaar is vanuit National Institute of Standards and Technology (NIST) en Federal Information Processing Standards (FIPS). Wat houd je tegen om dat her te gebruiken? Is het niet beter goed gejat dan slecht verzonnen?

Verder zijn er vast ook nog wel richtlijnen uit de branche die we kunnen hergebruiken. Beveiliging heeft misschien vele nadelen, maar een groot voordeel is er ook. Veel organisaties zien het (nog) niet als onderscheidend vermogen ten opzichte van de concurrentie. Benchmarken in de branch is daarom vaak niet zo’n probleem. Waar je normaliter zwaar concurreert kan het zomaar zo zijn dat de Security Manager van je concurrent graag met je samen werkt. Waarom? Nou, simpelweg omdat hij of zij met dezelfde problemen in de maag zit.

Zo, de concurrentie is ook geen probleem meer en we weten nu dat we via internet en allerlei beschikbare normeringen al een aardig stuk op weg zijn. Nu moeten we er alleen nog voor oppassen dat we het vakgebied straks niet echt leuk gaan vinden want dan is het hek van de dam. Maar goed, we zijn weer een stap verder en kunnen met een gerust hart op weg naar vraag 5.

Nogmaals, voor diegene onder jullie die echt niet 10 dagen willen wachten, je kunt de quickscan zelf ook al doorlopen door hier te klikken of door me snel uit te nodigen voor die bak koffie.