ENSIA: méér dan de C in PDCA?
Het gemak waarmee ENSIA wordt gereduceerd tot onderhoudsbeurt is teleurstellend
Lokale overheden leggen middels de ENSIA-systematiek jaarlijks verantwoording af over informatiebeveiliging. M.i.v. dit jaar gaat dit grotendeels langs de lat van de Baseline Informatiebeveiliging Overheid (BIO). ENSIA wordt in de praktijk gemakkelijk gereduceerd tot een verplichte, jaarlijkse onderhoudsbeurt. Maar het is zoveel meer, toch?
ENSIA en de auditlast
Eenduidige Normatiek Single Information Audit; een hele mond vol. Eenvoudig komt het er op neer dat ENSIA bestaande verantwoordingslijnen binnen (lokale) overheden richting toezichthouders heeft gebundeld, en wel op twee manieren: 1) normenkaders zijn zoveel mogelijk ontdubbeld, en 2) de verantwoordingsmomenten zijn zoveel mogelijk uitgelijnd. Dat klinkt veelbelovend.
Deze rijke definitie van ENSIA maakt echter niet dat het instrument in de praktijk ten volle wordt benut. Regelmatig hoor ik geklaag over de hoge auditlast die ENSIA oplegt en hoe het afleidt van het ‘eigenlijke’ werk. Alsof informatiebeveiliging een auto is, waarbij elke onderhoudsbeurt (audit) slechts gedoogd wordt om het gebruik te continueren. Nee, dan laat je veel liggen wat mij betreft.
Onderhoudskosten
Om nog even bij de auto te blijven: de kosten voor een onderhoudsbeurt zijn doorgaans hoger bij een oudere auto, maar ook bij een auto waar onzorgvuldig mee wordt omgegaan. Deze kosten dienen we voor lief te nemen indien de auto ons van A naar B moet blijven brengen. Wanneer het gaat om de jaarlijkse audit op informatiebeveiliging redeneren we echter anders, zo lijkt.
Onvolwassen processen, een managementsysteem dat nog in de kinderschoenen staat, de afwezigheid van interne controle, en in het algemeen: reageren in plaats van anticiperen creëert de perceptie dat ENSIA een hoge auditlast oplegt. Echter, de voornoemde zaken creëren de hoge onderhoudskosten (het werk) en niet de onderhoudsbeurt (de audit) zelf. Wie een oude auto blijft rijden, dient de onderhoudskosten voor lief te nemen. En oplappen is en blijft tijdelijk.
Van onderhoud naar verbetering
Onderhoud is geen stap in een verbetercyclus, maar ENSIA wél
Waar de analogie van de auto in de garage echter niet opgaat: ENSIA dient een stap in een verbetercyclus te zijn. We laten geen onderhoudsbeurten uitvoeren om slechts ‘te blijven rijden’, maar om het onderhoud zelf steeds verder te reduceren. Uit een audit volgen immers bevindingen en derhalve verbeterpunten. Een goede opvolging van deze punten maakt dat ze het daarop volgende jaar niet wederom op de factuur van de garage hoeven te staan.
Verbeterplannen zetten auditbevindingen om in maatregelen en acties. Op deze wijze vangt de Plan-Do-Check-Act (PDCA) cyclus opnieuw aan vanuit de audit, die als Check fungeert. Maar papier is geduldig en voor je het weet ligt de spreekwoordelijke brief van de RDW alweer op de mat. Dan ben je alweer toe aan de volgende Check zonder dat je goed invulling hebt kunnen geven aan de tussenliggende fasen. Van monitoring op de plannen was namelijk nauwelijks sprake. Ik begrijp maar al te goed dat de weerbarstige praktijk maakt dat je achter de feiten aan blijft lopen. De auto gaande houden vraagt al genoeg, laat staan dat je nadenkt over verbeteren. Maar ENSIA is een middel, en geen doel op zich.
Stop met smeren
Laat het maar eens piepen en kraken
Deze weinig constructieve jaarcyclus doorbreken vraagt mijns inziens tenminste de volgende twee zaken. Allereerst dienen wijzelf, de informatiebeveiligers, te stoppen met smeren. Geen eigen onderhoud tussendoor (dat onder de radar blijft) om zo de kosten voor de jaarlijkse onderhoudsbeurt te beperken. Berg de olieknip op. Wij zijn niet de eigenaar van deze auto. Dat ‘ie vervolgens gaat piepen en kraken is alleen maar goed.
Ten tweede dien je serieus tijd te reserveren in je agenda voor het inrichten van een werkend managementsysteem, ofwel de PDCA-cyclus voor informatiebeveiliging. Kijk regelmatig óver je werk heen en ontwaar de jaarlijks terugkerende, vaste onderdelen en momenten. Zorg dat alle vier fasen invulling krijgen, hoe bescheiden ook. Vervolgens dienen ze elkaar natuurlijk logisch op te volgen. Torenhoge onderhoudskosten kúnnen hierbij als wind in de rug dienen.
Het eigenlijke object van onderzoek
De kunst is om ENSIA aan te grijpen voor het intern verleggen van focus. Die moet niet primair liggen op individuele voorzieningen, systemen of registraties. Niet primair op de aldaar juist geïmplementeerde maatregelen. De focus dient primair te liggen op het proces waarbinnen deze maatregelen geïmplementeerd zijn én beheerd worden. Anders slaag je er niet in om ooit ‘in control’ te komen, zoals we dat dan mooi noemen.
Stel jezelf de vraag: waarop wordt nu eigenlijk onderhoud uitgevoerd? Waarvoor staat die auto? Wat is het eigenlijke object van onderzoek? Voorkom dat je niet voorbij de maatregelen komt. De maatregelen waarvoor je jezelf grotendeels verantwoordelijk voelt. Natuurlijk moeten die maatregelen genomen worden en middels ENSIA blijkt of dat adequaat is gebeurd. Maar informatiebeveiliging is zoveel meer dan alleen maatregelen implementeren.
Tot slot
ENSIA is alles behalve perfect. Onlangs rondde ik als ENSIA-coördinator twee tijdrovende, complexe verantwoordingstrajecten af die niet vanzelf gingen. De E van Eenduidig en de S van Single blijven onder druk staan, maar desalniettemin bepalen jij en ik grotendeels zélf wat we van ENSIA willen maken. En ik rijk daarbij elk jaar een stukje verder.
