Excel II

jan-karel

4 min read
Excel II
Photo by Mika Baumeister / Unsplash

Een vervolg op deel I. Want niet alles is doom and gloom, er is ook hoop. Gegeven de voorgaande uitsmijter: Hoe heb jij je als organisatie georganiseerd?

Als ISO 27001 een houding is, dan is de ongemakkelijke vervolgvraag: wie houdt die houding eigenlijk vast? Want een houding zonder spieren is gewoon een instorting in slow motion.

Veel organisaties behandelen ISO 27001 alsof het een jas is: je trekt hem aan als er een audit aankomt, je knoopt hem netjes dicht, en daarna hang je hem weer aan de kapstok tot de volgende winter. Alleen is informatiebeveiliging geen seizoen. Het is eerder een klimaat. En het klimaat trekt zich weinig aan van jouw planning.

De echte kracht van ISO 27001 zit niet in het bestaan van controls, maar in de manier waarop je organisatie zó is ingericht dat controls niet afhankelijk zijn van helden, toeval of een spreadsheet met groene vakjes. Kortom: ISO 27001 als houding leeft of sterft op organisatievorm.

De grootste kwetsbaarheid is “niemand is eigenaar”

Je kunt duizend policies hebben, maar als niemand zich eigenaar voelt van de werkelijkheid, dan heb je in feite duizend excuses.

Speltip: Zit jij in een organisatie waar discussies over eigenaarschap tot topsport is verheven. Kijk uit naar een andere baan. Enniewee. De ISO vraagt impliciet: wie doet wat, wanneer, waarom en hoe weten we dat het werkt?
En daar gaat het vaak mis: de organisatie heeft wel “security”, maar security hangt ergens, als een jas aan een haakje. Niet geïntegreerd, niet ingebed, niet meegenomen in besluitvorming. Security komt langs als iemand al iets heeft gebouwd en vraagt: “Kun je dit even goedkeuren voor morgen?”

Dat is geen houding. Dat is brandweerdienst met een agenda-probleem.

Volwassenheid betekent dat eigenaarschap op de juiste plek ligt:

  • Product owners zijn eigenaar van risico’s in hun product, niet alleen van features.
  • IT is eigenaar van patchritme en platformhygiëne, niet alleen van uptime.
  • Engineering is eigenaar van secure defaults, niet alleen van “ship it”.
  • Management is eigenaar van prioritering, niet alleen van slogans.

Als dat niet klopt, wordt ISO 27001 een keurige papieren stad met een echte achterbuurt vol legacy.

Organisatie is de motor; controls zijn slechts de instrumenten

Controls zijn niet magisch. Ze zijn gereedschap. En gereedschap zonder werkplaats is theater.

Je kunt “vulnerability management” in je ISO-lijstje zetten, maar als je geen:

  • asset-inventaris,
  • prioriteringsmodel,
  • patch-SLA’s,
  • change-proces dat patchen niet saboteert,
  • en verificatie (hertest),
    dan is “vulnerability management” in werkelijkheid: “we hebben een scanner en goede intenties.”

ISO 27001 als houding betekent dat je organisatie ingericht is op een paar simpele, onromantische dingen:

  • besluiten nemen met security erin (niet erna)
  • structureel meten (niet alleen verklaren)
  • leren en bijsturen (niet alleen repareren)
  • herhaalbaarheid (ritme boven heroïek)

En dat brengt ons bij de vraag: oké, hoe organiseer je dat praktisch, zeker richting software en applicaties, waar de meeste ellende tegenwoordig vandaan komt?

Enter: OWASP SAMM — omdat “secure software” niet ontstaat uit hoop

OWASP SAMM (Software Assurance Maturity Model) is in feite een volwassenheidsmodel dat zegt: “Leuk die intenties, maar waar zitten je gewoontes?” Het helpt je niet alleen wat je moet doen, maar vooral hoe volwassen je het doet — en hoe je stap voor stap beter wordt.

Als ISO 27001 vaak voelt als: “Zorg dat je managementsysteem klopt,” dan voelt SAMM als:
“Mooi. En nu: hoe bouw je software zonder jezelf voortdurend te saboteren?”

SAMM helpt vooral op drie manieren:

A) Het maakt ‘security’ concreet voor teams die bouwen

Ontwikkelteams hebben weinig aan abstracte controls. Ze hebben behoefte aan concrete praktijken: threat modeling, secure code review, dependency management, CI/CD checks, secrets management, logging, incident readiness.

SAMM zet dat neer als een set volwassenheidsniveaus. Niet om mensen te straffen, maar om ze te laten zien: wat is de volgende haalbare stap?

Want volwassenheid faalt vaak niet door onwil, maar door vaagheid.
“Doe security.”
Prima. Waar? Wanneer? Hoe? Met wie? Met welk bewijs?

SAMM antwoordt: hier, op deze plek in je SDLC, met deze praktijken.

B) Het verandert security van “politie” naar “productieproces”

In onvolwassen organisaties is security een poortwachter. In volwassen organisaties is security een kwaliteitseigenschap van het productieproces — net als testen, performance en betrouwbaarheid.

SAMM stimuleert dat: security als onderdeel van bouwen, niet als stempel achteraf. Dat is precies de houding waar ISO 27001 op leunt, maar die je zonder een softwaregericht model vaak niet operationaliseert.

C) Het geeft je metrics die ertoe doen

ISO-vinkjes kunnen groen zijn zonder effect. SAMM dwingt je naar bewijs van volwassen gedrag:

  • doen we dit consequent?
  • in hoeveel projecten?
  • hoe vaak?
  • met welk resultaat?
  • wordt het beter?

Dat sluit naadloos aan op ISO’s “continual improvement”, maar dan op het niveau waar het dagelijks gebeurt: in teams, pipelines en releases.

ISO + SAMM: governance en praktijk horen bij elkaar

Het is geen keuze tussen ISO 27001 en SAMM. Het is een huwelijk dat verrassend goed werkt:

  • ISO 27001 zorgt voor het managementsysteem: beleid, risico’s, governance, audits, verbetercyclus, verantwoordelijkheden.
  • OWASP SAMM geeft invulling aan software assurance: concrete praktijken, volwassenheidsstappen, meetbaarheid in engineering.

Samen krijg je:

  • een organisatie die weet wat belangrijk is (ISO-risicokader)
  • én teams die weten hoe je dat praktisch doet (SAMM-praktijken)
  • én een feedbackloop om bij te sturen (metingen en verbeteracties)

Zonder ISO kun je heel goed bouwen maar stuurloos zijn.
Zonder SAMM kun je perfect sturen maar niks veranderen in de fabriek.

De echte winst: een organisatie die kan veranderen zonder paniek

De reden dat dit alles ertoe doet, is niet “compliance” of “audit”. Het is tempo. In een wereld waar je tech-stack, leveranciers en dreigingen constant veranderen, is het vermogen om gecontroleerd mee te bewegen je grootste verdedigingslinie.

ISO 27001 als houding betekent:

  • we hebben eigenaarschap, ritme en bijsturing.

SAMM helpt je dat te organiseren op de plek waar risico worden geboren. Bij de teams.