In control zijn

Een paar overwegingen bij certificeringen, ICS-en en ISAE verklaringen voordat u “wij zijn in control” roept.

Ik probeer al een tijdje elk jaar buzz-words in kaart te brengen. Een soort IT Security Buzz-word bingo. 2014 ligt alweer ver achter ons, maar een top buzz-word was en is tot op heden toch wel “in control zijn". Het “in control zijn" is hot en een veel gehoorde term op seminars, bij leveranciers en bedrijfspresentaties. Maar hoe laat je dan daadwerkelijk zien dat je “in control” bent? Op zich is het al een vervelende term uit het engels. Als je het vertaalt betekent het “beheersen”. Maar dat bedoelen we er niet mee. In de praktijk bedoelen wij er ” verantwoording" mee.

Je kan “in control” zijn kan aantonen door bijvoorbeeld…
het hebben van kwaliteitscertificeringen als ISO27001.
het hebben van een ISAE3402 of ISAE3000 verklaring.
het opstellen van een “in-control statement” (ICS) en die naar de directie of bestuur sturen.
Mijn mening is dat….

…(1) Het hebben van een kwaliteitscertificaat, als ISO27001 niet perse aantoont dat je “in control” bent. Maar het schept wel een verwachting.
Het hebben van een kwaliteitscertificaat is te vergelijken met het hebben van je zwemdiploma’s. Van iemand die een zwemdiploma heeft mag je van verwachten dat hij blijft drijven en dat hij zich kan voortbewegen in water en zich zelfstandig op de kant kan trekken. Je zult moeten trainen om je techniek bij te houden en conditie op te bouwen.

Zo werkt het ook met een kwaliteitscertificaat. Het is een indicatie van een aanwezig basis niveau interne beheersing en dat je aan je zelf werkt om verbeteringen door te voeren. In dit geval een basis niveau interne beheersing op het gebied van informatiebeveiliging. Je zult jezelf moeten verbeteren, lees conditie opbouwen, om te zorgen dat je, gelet op veranderingen in de bedrijfsdoelen, de maatschappij, wet & regelgeving en de techniek, voldoet aan een (nieuwe) basisniveau interne beheersing.

De reden om te kiezen voor een kwaliteitsprogramma met certificering moet zijn om je te kunnen benchmarken met anderen uit de branch, je kunnen onderscheiden maar ook om een soort druk vanuit extern te hebben om te verbeteren. Het klinkt kinderachtig, maar externe druk is vaak wel nodig om te verbeteren.

…(2) Wij zijn ISAE3402 of ISAE3000 gecertificeerd dus “in control”.
ISAE is een internationale rapportage standaard. Het is bedoeld voor accountancy bedrijven om te kunnen steunen op elkaars werk en voor de klant is het een instrument om accountancy bedrijven te benchmarken. Het valt in de categorie Third Party Messages.
Het is een verklaring en geen certificering, je krijgt geen certificaat voor aan de muur.

De opbouw en componenten die in het rapport terug moet komen staan vast. De keuze van de maatregelen, die de externe auditor toetst, is aan de klant. De auditor toetst enkel of je aan je eigen maatregelen voldoet. Hooguit zijn er wat begrenzingen omdat een ISAE3402 rapport een ander doel heeft dan een ISAE3000 rapport. Je mag verwachten dat de auditor iets roept over de maatregelen set en dat deze voldoet naar de stand van de techniek in de tijd, de verwachtingen van de maatschappij, wet & regelgeving. Maar dit gebeurd onvoldoende.

Je kan dus, met een ISAE verklaring in de hand, roepen dat je “in control” bent. Maar dit hangt af van de maatregelen set.

Zo is het raar om anno 2015 nog te roepen “er moet een firewall zijn” of “er moet antivirus software zijn geïnstalleerd”. Een test op deze control is bijna altijd goed. Je wilt juist weten hoe heeft deze maatregel gewerkt.

…(3) Wij sturen een ICS naar de directie en bestuur.
Een ICS staat voor een “in control statement”. Een verklaring van een manager of proceseigenaar dat hij voldoet aan geldende wet- en regelgeving die voor zijn proces of afdeling geldt. Een ICS wordt steeds meer uitgebouwd met andere onderwerpen, o.a. informatiebeveiliging of resource verantwoording. Hierdoor wordt het invullen van een ICS en onderbouwen met een (digitaal) dossier door de managers vaak als een kriem ervaren. Met veel gezucht en gesteun vullen de managers het in. Het voelt dan ook dat je op papier “in control” bent. Dit gevoel komt omdat er meer speelt aan maatregelen dan dat je in een ICS kan vangen.

Een ICS zou een spiegel moeten zijn over de sturing van de manager binnen gestelde parameters over een periode. Deze parameters zijn de kernwaarden, bedrijfsrichtlijnen en wet & regelgeving”. Hoe heeft de manager of proces eigenaar gestuurd om zijn afdeling of proces zo goed mogelijk in te zetten om bedrijfsdoelen te behalen binnen die gestelde parameters. Misschien moeten we het ICS wel een ondernemerschap verklaring of iets dergelijks gaan noemen.

Een ICS is voor de manager of proces eigenaar even een moment om stil te staan en terug te kijken naar afgelopen periode om zo lering te trekken voor de toekomst en om zo te kunnen verbeteren, lessons learned. Wat ging er fout, goed en hoe gaan we verbeteren. Een checklijst met punten om te overwegen bij die terugblik. En deze reflectie in een korte notitie, lees mini ondernemersplan, verwoorden aan de directie en bestuur.

ICSen, een assurance verklaring als ISAE met onderliggend dossier worden in combinatie met elkaar gebruikt. Met de gedachte om audit druk te verlagen, vraagt een auditor aan de proces eigenaren of afdelingsmanagers om het ISAE audit dossier op te zetten, te beoordelen en het ICS op te stellen. Het is een uitgebreide self-assessment geworden.

De praktijk wijst uit dat die audit druk niet verlaagd wordt. En het vergroot ook de afstand tussen auditor en de werkvloer. De auditor kijkt immers enkel nog naar dossiers en doet geen of veel te weinig veldwerk.

Ik denk dan ook dat een ICS of ondernemerschap verklaring icm een onafhankelijk audit van de auditor de directie of bestuur een goede onderbouwing geeft om “in-control” te roepen

Ik ben benieuwd naar het vak buzzword van 2015…

Door: Ronald van Erven, Information Risk Officer at Timeos in samenwerking met cqure.nl