woensdag 10 januari 2024

Artikel 27001: Solidus veterschoen, extra brede uitvoering? Zeker. Maar niet wat onze klant in gedachten had toen die dit wat willekeurige getal op tafel legde. ‘Want toezichthouder’. Het bleek iets ISO-achtigs over systematisch organiseren en verbeteren van je informatiebeveiliging. En dan niet alleen anti-lek maatregelen (vertrouwelijkheid), maar ook anti-vernaggel (integriteit) en anti-platliggen (beschikbaarheid).

Oké, daar waren we niet tegen. Met steeds meer teams, klanten en klantgegevens was een groeibestendige structuur welkom. Maar dan wel optimaal in onze praktijk vervlochten; van stoffige ordners op sharepoint wordt niemand beter.

En zo begonnen we, met de frisse moed van jonge hobbits, aan wat een flinke tocht zou worden. Ondanks tips van ervaren klanten en begeleiding hebben we eigenwijs een onderhoudende collectie valkuilen bezocht. (Genoeg blauwe plekken voor een afzonderlijk artikel.)

Onze voornaamste blinde vlek bleek denken op managementsysteem-niveau. Als techneuten gingen we heerlijk de informatiebeveiliging zelf poetsen. Maar het doel was vooral meta, een systeem en processen voor continu verbeteren van beveiliging, en meta-meta: dat systeem en die processen vervolgens ook weer continu verbeteren. Continu, continu...

Stug volhouden dus. En toen een week of wat geleden een schamel A4-tje op de mat viel was het zweet snel vergeten.Bestemming bereikt: al onze processen en systemen afgedekt, royaal maatregelen ingericht en alle (meta(meta))besturing via onze dagelijkse GitLab-omgeving. We hebben er al een tijd plezier van: strakkere en consequente processen en inrichting, systematische incidentanalyses, aantoonbaar beheersbaar. En continu risico-gestuurd verbeteren: hoe vaker je het doet, hoe leuker het wordt. Het gerucht gaat dat sommigen van ons het nu thuis ook gebruiken 🙂.

De hobbits slapen weer gerust ‘s nachts. Ze hebben er een mooi paar extra brede schoenen aan overgehouden.