Excel
Naast emotionele problemen met het concept PowerPoint-defensie heb ik ook een andere frustratie.
Er bestaat een plaats in bijna elke organisatie waar beleid heen gaat om te sterven. Het is geen kelder, geen archiefkast, geen vergeten SharePoint-map met de naam “Definitief_Nieuw_Nu_Echt_Final”. Het is iets veel subtielers, veel moderners, veel gevaarlijkers:
Een Excel-sheet.
Excel is fantastisch. Je kunt er een begroting in maken, een planning, een lijst met lunchvoorkeuren en — als je écht ambitieus bent — een schijnbaar volledige informatiebeveiligingsstrategie. Want in Excel kun je alles “afdekken”. Je zet een control in kolom A, een eigenaar in kolom B, een status in kolom C (“Groen”), en klaar. Cybersecurity geregeld. Ga vooral door met je dag.
En dan gebeurt er iets vreemds: de wereld verandert.
En ISO 27001 is precies bedoeld om je eraan te herinneren dat de wereld verandert — alleen werkt dat pas als je het niet behandelt als een spreadsheetreligie.
ISO 27001 is geen papierwerk, het is een werkwoord
Veel mensen zien ISO 27001 als een keurmerk. Een stempel. Een bewijs dat je “veilig genoeg” bent. Alsof je organisatie een pak melk is en iemand heeft gekeken of het netjes gepasteuriseerd is.
Maar ISO 27001 is in essentie een managementsysteem. Management, zoals in: continu managen. Niet één keer. Niet jaarlijks. Niet vlak voor de audit met veel koffie en lichte paniek. Continu.
Het punt is niet dat je een control hebt opgeschreven. Het punt is dat je organisatie in staat is om steeds weer te beantwoorden:
- Wat is er veranderd?
- Wat betekent dat voor onze risico’s?
- Werken onze maatregelen nog?
- Wat gaan we aanpassen?
Als je dat niet doet, wordt ISO 27001 een toneelstuk: iedereen kent zijn rol, iedereen heeft zijn script, en aan het eind klapt de auditor. Maar backstage staat de realiteit met een kettingzaag.
Controls zijn momentopnames; dreigingen zijn bewegende doelen
Een control is een antwoord op een vraag die je ooit stelde.
Een dreiging is een vraag die morgen anders klinkt.
Neem “toegangsbeheer”. Prachtig control-domein. Maar toegangsbeheer in 2016 was: “zorg dat mensen een wachtwoord hebben en dat het niet ‘Welkom123’ is.”
Toegangsbeheer vandaag is: MFA, conditional access, phishing-resistente authenticatie, sessiebeheer, device posture, identity governance, en een eindeloze stoet SaaS-apps waar je marketingteam zich gisteren op heeft geabonneerd met een creditcard en optimisme.
Als je controls niet mee bewegen met de werkelijkheid, dan heb je geen beveiliging. Dan heb je nostalgie.
Het Excel-probleem: groen is geen bewijs
In Excel is alles eenvoudig. “Status: geïmplementeerd.” Groene cel. Soms zelfs met een vrolijk vinkje. En daar gaat het mis, want groen betekent vaak:
- het document bestaat,
- iemand heeft ooit iets ingesteld,
- of “het is besproken”.
Maar security is niet: “heb je het ooit gedaan?”
Security is: werkt het nu?
- Is MFA aan… ook op legacy?
- Worden logs verzameld… en bekijkt iemand ze?
- Zijn back-ups er… en heb je echt herstel getest?
- Is patchmanagement een proces… of een hoop goede bedoelingen?
- Is incident response een plan… of een pdf met telefoonnummers van mensen die al vertrokken zijn?
Een control zonder toetsing is als een rookmelder met lege batterijen. Je kunt hem in Excel prima op “groen” zetten. Totdat je hem nodig hebt.
“Continu toetsen” is geen bureaucratie — het is onderhoud
Mensen haten “continu”. Continu klinkt als: meer vergaderingen, meer formulieren, meer KPI’s, meer frustratie.
Maar continu toetsen betekent in de praktijk vooral: onderhoud.
Je onderhoudt:
- je aannames (klopt onze dreigingsanalyse nog?)
- je omgeving (hebben we nieuwe systemen, nieuwe leveranciers, nieuwe dataflows?)
- je effectiviteit (detecteren we echt wat we denken dat we detecteren?)
- je discipline (volgen teams de afspraken nog, of is “tijdelijk” weer permanent geworden?)
En onderhoud is saai, ja. Maar saai is goed. Saai is stabiel. Saai is: geen ransomware op woensdag.
Volwassenheid is het vermogen om bij te sturen zonder drama
De volwassen versie van ISO 27001 is niet “we hebben de controls”. Het is:
- we meten of ze werken,
- we oefenen wat mis kan gaan,
- we leren van incidenten en bijna-incidenten,
- we passen aan op basis van nieuwe dreigingen en nieuwe businesskeuzes.
Dat is volwassenheid: niet het vermijden van fouten, maar het vermogen om sneller te herstellen en slimmer te worden.
Als jouw ISMS vooral bestaat uit documenten, dan is het geen systeem. Dan is het een bibliotheek. En bibliotheken zijn geweldig, maar ze reageren slecht op crises.
Wat je eigenlijk wilt: controls als feedbackloop
De grap is: ISO 27001 is op zijn best wanneer je het gebruikt als een feedbackloop, niet als een eindpunt.
- Nieuwe cloudmigratie? Herzie je controls.
- Nieuwe aanvalstrend (phishing, MFA fatigue, supply chain)? Pas je maatregelen aan.
- Incident gehad? Update je risico’s én je controls.
- Tooling veranderd? Toets of detectie/response nog klopt.
- Organisatie groeit? Herzie rollen, eigenaarschap, processen.
Als je dit niet doet, krijg je “compliance security”: je voldoet keurig aan een plaatje, terwijl aanvallers gewoon om het plaatje heen lopen.
ISO 27001 is geen certificaat, het is een houding
Voorgaande lap tekst was om dit punt scherp te zetten. ISO 27001 is meer dan een Excel-sheet omdat het niet gaat om het opschrijven van maatregelen, maar om het doorleven ervan.
Een control die je niet toetst, is decoratie.
Een maatregel die je niet bijstelt, is geschiedenis.
De wereld verandert. Jouw organisatie verandert. Jouw techniek verandert. Jouw aanvallers veranderen. Als jouw controls niet mee veranderen, dan is je beveiliging niet “stabiel” — het is “achtergebleven”.
En dat is het lullige aan cybersecurity: je kunt alles perfect documenteren en toch keihard verliezen van één vergeten systeem dat nog in het echt bestaat.
Dus ja: maak die Excel-sheet gerust. Maar behandel hem als wat hij hoort te zijn:
Een startpunt, niet een eindstation. Hoe heb jij je als organisatie georganiseerd?