Verklaring van Toepasselijkheid (VvT)

Door Albertho Bolenius, CISO bij Innvolve.

Iedereen die met Informatiebeveiliging aan de gang gaat, zal een Verklaring van Toepasselijkheid (VvT) opstellen. Een VvT is een document dat wordt gebruikt om aan te tonen welke maatregelen een organisatie heeft genomen om de informatiebeveiliging te waarborgen. Ik heb veel VvT’s gezien en heb er ook zelf diverse opgesteld. En laten we eerlijk wezen, de meeste lijken praktisch allemaal hetzelfde, of hij nu van een grote multinational is of van een één-pitter.

Eigenlijk is het gewoon een enorm grote spreadsheet; de ISO 27001 Annex A (of elk andere Norm of Standaard voor informatiebeveiliging die we in Nederland kennen) daarin gekopieerd en 3 kolommen toegevoegd:

1. Van toepassing (Ja/Nee)
2. Geïmplementeerd (Ja/Nee)
3. Reden van keuze of uitsluiting

Maar… wat is nu daadwerkelijk de reden om een VvT te hebben?

Een ISO 27001-certificaat bewijst dat er een ISMS (Information Security Management System) is opgezet dat voldoet aan de eisen van de norm en dat in staat is de gedefinieerde doelstellingen op het gebied van informatiebeveiliging te behalen. Gezien het beschrijvende karakter ervan, geeft naleving van ISO 27001 weinig informatie over hoe veilig een organisatie daadwerkelijk is.

De VvT zou het belangrijkste document moeten zijn, dat context geeft aan het certificaat. Het is bedoeld om te vertellen wat er werkelijk gebeurt binnen dat gecertificeerde ISMS. Het is de enige plek die kan uitleggen hoe een bedrijf zijn specifieke beveiligingsrisico’s beheert en beschrijft en wat er daadwerkelijk is gedaan om deze aan te pakken. De uitdaging is dat de meeste VvT’s dat niet doen. Wat je ziet is dat dit document, dat het kloppende hart van het ISMS zou moeten zijn, als een simpele administratieve hindernis wordt gezien en als zodanig wordt opgesteld.

Deze ‘compliance-first’-aanpak, waarbij je alleen de spreadsheet van Annex A invult, mist het hele punt van de VvT en voldoet waarschijnlijk niet aan wat de auteurs van de standaard bedoelden.
Laten we eens kijken wat de norm (in clausule 6.1.3) daadwerkelijk vereist. Deze stelt dat de organisatie:

1. Alle beheersmaatregelen moet vaststellen die nodig zijn om haar risico’s te beheersen.
2. Deze noodzakelijke beheersmaatregelen moet vergelijken met die in bijlage A om te controleren of er geen noodzakelijke beheersmaatregelen zijn weggelaten.
3. Een Verklaring van Toepasselijkheid moet opstellen met de noodzakelijke beheersmaatregelen, de rechtvaardiging voor het opnemen ervan, hun implementatiestatus en de rechtvaardiging voor het uitsluiten van beheersmaatregelen uit Annex A.

De sleutelzin hier is “noodzakelijke beheersmaatregelen”.

De volgorde is cruciaal, meestal gebeurd dit achterstevoren. De standaard vraagt je expliciet om te beginnen met jouw risico’s en jouw maatregelen. De vergelijking met Annex A komt pas nadat je al dat werk hebt gedaan, niet ervoor.

Maar bijna iedereen springt direct naar Annex A en werkt terug uit, wat het hele risico gebaseerde doel van de standaard tenietdoet.

Jouw VvT moet een lijst zijn van jouw noodzakelijke maatregelen, niet slechts een rapportcijfer voor Annex A.

Annex A is niet jouw controlecatalogus

Dit is de kern van het misverstand. Mensen beschouwen Bijlage A als een uitgebreide catalogus met controlemaatregelen. Dat is het niet.

Wat is Bijlage A? Het is een lijst met 93 referentiemaatregelen, georganiseerd in vier thema’s. Zie het als een vangnet, een laatste checklist om je risicobeoordeling te controleren en ervoor te zorgen dat je geen hele beveiligingscategorie bent vergeten.

Het is geen gedetailleerde handleiding.

Laten we een voorbeeld nemen.

Kijk naar controle A.8.5, “Beveiligde authenticatie”. De standaard zegt:
“Veilige authenticatietechnologieën en -procedures moeten worden geïmplementeerd op basis van beperkingen op de toegang tot informatie en het onderwerpspecifieke beleid over toegangscontrole.”

Dat is alles. Het is een brede beschrijving van een gewenste status. Het vertelt je niet welke technologieën je moet gebruiken, hoe je ze moet configureren of waar je ze moet toepassen. Het is slechts een doel op hoog niveau

De standaard moet zo opgesteld zijn, want “veilige authenticatie” betekent iets heel anders voor een wereldwijde bank in vergelijking tot een kleine, uitsluitend interne productietool. Het risico is anders, dus de benodigde controle zal ook anders zijn.

Bijlage A is slechts een prompt. Het vraagt: “Heb je nagedacht over authenticatie?” Je risicobeoordeling moet het gedetailleerde antwoord geven. Je kunt A.8.5 niet “implementeren”. Je implementeert daadwerkelijke beveiligingsmaatregelen die je helpen het doel van A.8.5 te bereiken.

Dus, wat zijn ‘noodzakelijke controles’?

“Noodzakelijke maatregelen” zijn de specifieke maatregelen en technologieën die je besluit te implementeren om je risico’s te beperken.

Het “noodzakelijke” deel is de directe uitkomst van jouw risicobehandelingsplan. Als jouw risicobeoordeling aangeeft dat ‘accountovername op basis van phishing onacceptabel hoog is’, kan je risicobehandelingsplan luiden: ‘Dit risico verminderen’. Het hoe – de specifieke actie die je onderneemt – dat is je noodzakelijke maatregel.

Laten we bij het authenticatievoorbeeld blijven. Je risicobeoordeling identificeert dat hoge risico op accountcompromittering. Om dat risico te beperken, bepaal je dat een “noodzakelijke maatregel” nodig is.

Die maatregel is niet “A.8.5”. Uw noodzakelijke maatregel is iets specifieks en uitvoerbaars, zoals:

• “Implementeer hardwarematige beveiligingssleutels (bijv. YubiKey) voor alle beheerdersaccounts.”
• “Dwing MFA-authenticatie-apps (TOTP) af voor alle Cloud services.”
• “Implementeer SAML-gebaseerde Single Sign-On (SSO) met sessietime-outs en IP-gebaseerde beperkingen.”
• “Gebruik certificaat gebaseerde authenticatie voor alle machine-to-machine toegang.”
• “Gebruik biometrische authenticatie (bijv. Windows Hello).

Zie je het verschil? Dit zijn echte, specifieke en controleerbare acties. Je kan deze testen. Je kan controleren of ze correct zijn geconfigureerd. Dit zijn je “noodzakelijke controles”.

Hoe jouw VvT eruit zou moeten zien

Dit verandert de structuur van je VvT. Het document zou niet alleen de 93 Annex A-controles (beheersmaatregelen) moeten vermelden. Het moet jouw specifieke controles vermelden en deze terugkoppelen naar Annex A.
In plaats van deze gebruikelijke (en minder bruikbare) aanpak:

Jouw VvT moet er ongeveer zo uit zien, te beginnen met je controls:

Noodzakelijke controle-ID: bijv. CTR-001

Noodzakelijke controle: Toegang tot alle kritieke systemen is beveiligd met MFA.

Rechtvaardiging voor opname/uitsluiting: Deze controle is als noodzakelijk aangemerkt om een of meer geïdentificeerde risico’s te behandelen.

Status: Geïmplementeerd

Referentie: A.8.5

Hoe nu verder?

Je VvT is een levend document. Wanneer het op deze manier is opgebouwd, is het niet langer slechts een auditdocument. Het wordt een centraal governance instrument. Het vertelt een auditor, een klant of een nieuwe CISO precies wat je doet om de risico’s te beheersen.

Je gebruikt het om interne audits te begeleiden. Het is wat je nieuwe leden van het informatiebeveiliging team laat zien om ze op de hoogte te brengen van de huidige situatie. Het is een concrete, gedetailleerde samenvatting van je beveiligingsprogramma die je gebruikt om vertrouwen bij klanten op te bouwen, dat is veel effectiever dan dat je alleen het certificaat laat zien.

Hoewel de meeste auditors een VvT accepteren met de Annex A gekopieerd, kan het daadwerkelijk voldoen aan wat de norm voor ogen heeft, jouw organisatie enorm ten goede komen en helpen bij het opbouwen van vertrouwen dat je wilt creëren bij klanten en relaties.

Waarschijnlijk moet je nu overwegen om jouw VvT te upgraden!

 

Heb je hulp nodig bij het maken van je VvT? We denken en kijken graag met je mee.  Neem gerust contact met ons op! Meer weten over onze Ciso-as-a-Service dienstverlening? Kijk dan hier.

Over de auteur

Albertho Bolenius is al jaren werkzaam als CISO bij diverse organisaties. Dus we kunnen wel zeggen dat Albertho weet waar hij het over heeft (én over schrijft). Bij Innvolve is Albertho werkzaam binnen onze CISO-as-a-Service dienstverlening. Zijn motto: Je moet het zelf willen, wij helpen jou om het ook echt voor elkaar te krijgen.