Op dag 1 hoor ik de docent van de cursus ‘Informatiebeveiliging volgens ISO-27001’ nog zeggen: “Het grootste misverstand van ISO-27001, de internationale norm voor informatiebeveiliging, is dat dit wordt gezien als iets van de ICT afdeling. Informatiebeveiliging gaat namelijk niet alleen over het technisch beveiligen van gegevens tegen ongeautoriseerde toegang. De mate van informatiebeveiliging wordt met name bepaald door het gedrag van de eigen medewerkers in de organisatie en de wijze hoe zij met die informatie omgaan. En let wel, medewerkers zijn enorm creatief en vindingrijk. Voor elke belemmering die je ze oplegt, zullen ze proberen deze op slinkse wijze te ontwijken.“

‘Awareness’, ofwel ‘bewustwording’ en mede-eigenaarschap van het beleid, is datgene wat je als Information Security Officer moet willen bereiken. Zorg dat medewerkers begrijpen waarom bepaalde maatregelen en procedures er zijn. Niet om ze te belemmeren in hun werk, maar om de organisatie te behoeden voor de risico’s die zij anders loopt. ISO-27001 is immers geen feestje van de ICT afdeling; het is een niveau van informatiebeveiliging van de hele organisatie dat je met z’n allen nastreeft.

En eigenlijk is dat zo logisch als wat. Immers, waarom mag je op een woonerf slechts 20 rijden? Niet omdat de wegbeheerder er een bord met 20 heeft geplaatst. Maar omdat er op een woonerf kinderen spelen, waarbij het risico op en de impact van een aanrijding bij een lage snelheid aanzienlijk kleiner is dan bij een hoge snelheid. En zo is het ook bij informatiebeveiliging: afhankelijk van hoe hoog de kans is dat het risico zich voordoet en de mate van impact áls het zich voordoet, bepaal je met welke ‘passende maatregel’ je het risico maximaal kunt beheersen en die de minste belemmering oplevert voor het bedrijfsproces.

Hoe kan een ISO-27001 norm voor een zorgorganisatie hetzelfde zijn als voor een ICT bedrijf? Beide lopen toch geheel andere risico’s? Dat klopt! De ISO-27001 norm bestaat uit een aantal facetten. Eén daarvan, de bekendste, is de Verklaring van Toepasselijkheid, ofwel de VvT. Hierbij wordt uitgegaan van 114 generieke normpunten verdeeld over diverse thema’s, waaronder:

• Beleidsmatig (management)
• Organisatorisch (rollen, functies en verantwoordelijkheden)
• Bedrijfsmiddelen (infrastructuur, netwerk, systemen)
• Personeel (huisregels, in-/uitdiensttreding)
• Fysiek (toegangsdeuren, sleutelbeleid, alarmering, brandbeveiliging)
• Communicatie & operatie (beheer van systemen, processen en procedures)
• Toegangscontrole (identificatie, autorisatie, wachtwoordbeleid, 2FA)
• Systeem-/softwareontwikkeling en onderhoud (documentatie, processen, OTAP)
• Continuïteit (calamiteitenvoorzieningen, verzekeringen, backup&restore)
• Compliency (wet- en regelgeving, AVG)

Bij elk van deze 114 normpunten geef je aan in welke mate dit voor jouw organisatie van toepassing is en in welke mate het een risico vormt. Bij de jaarlijkse externe audit maak je vervolgens aantoonbaar op welke manier je het risico beheerst: bijvoorbeeld technisch (met een policy), procedureel (m.b.v. een procedure of vastgestelde werkinstructie), een combinatie van beide, of een anderssoortige maatregel.

Daarnaast vereist een ISO-27001 certificering dat je ook een eigen risico-inventarisatie uitvoert. Hierbij breng je de risico’s in kaart die specifiek voor jouw organisatie en werkprocessen van toepassing zijn, classificeer je dit naar kans en impact en geef je aan op welke manier je het risico beheerst.

Tezamen met de 114 normpunten van de VvT vormt dit het risico-radar waar je als organisatie op koerst.

In theorie wel, maar de praktijk wijst helaas toch anders uit. Immers, waar gewerkt wordt, worden fouten gemaakt en in een innoverende organisatie ontstaan vanzelfsprekend nieuwe risico’s. En ook technieken veranderen continu; daar waar Internet Explorer ooit het paradepaartje van Microsoft was, is het tegenwoordig ‘not done’ om je nog met deze browser op het Internet te begeven.