brand swoosh

ISO 27001, dat is toch een feestje van de ICT afdeling?

ISO 27001, dat is toch een feestje van de ICT afdeling?

Als informatie verwerkende organisatie tel je bijna niet meer mee wanneer je niet aantoonbaar kunt maken dat je je informatiebeveiliging en informatieverwerkingsproces onder controle hebt. Maar hoe doe je dat en wat houdt dat precies in?

Informatiebeveiliging volgens ISO-27001

Op dag 1 hoor ik de docent van de cursus ‘Informatiebeveiliging volgens ISO-27001’ nog zeggen: “Het grootste misverstand van ISO-27001, de internationale norm voor informatiebeveiliging, is dat dit wordt gezien als iets van de ICT afdeling. Informatiebeveiliging gaat namelijk niet alleen over het technisch beveiligen van gegevens tegen ongeautoriseerde toegang. De mate van informatiebeveiliging wordt met name bepaald door het gedrag van de eigen medewerkers in de organisatie en de wijze hoe zij met die informatie omgaan. En let wel, medewerkers zijn enorm creatief en vindingrijk. Voor elke belemmering die je ze oplegt, zullen ze proberen deze op slinkse wijze te ontwijken.“

Bewustwording en mede-eigenaarschap

‘Awareness’, ofwel ‘bewustwording’ en mede-eigenaarschap van het beleid, is datgene wat je als Information Security Officer moet willen bereiken. Zorg dat medewerkers begrijpen waarom bepaalde maatregelen en procedures er zijn. Niet om ze te belemmeren in hun werk, maar om de organisatie te behoeden voor de risico’s die zij anders loopt. ISO-27001 is immers geen feestje van de ICT afdeling; het is een niveau van informatiebeveiliging van de hele organisatie dat je met z’n allen nastreeft.

En eigenlijk is dat zo logisch als wat. Immers, waarom mag je op een woonerf slechts 20 rijden? Niet omdat de wegbeheerder er een bord met 20 heeft geplaatst. Maar omdat er op een woonerf kinderen spelen, waarbij het risico op en de impact van een aanrijding bij een lage snelheid aanzienlijk kleiner is dan bij een hoge snelheid. En zo is het ook bij informatiebeveiliging: afhankelijk van hoe hoog de kans is dat het risico zich voordoet en de mate van impact áls het zich voordoet, bepaal je met welke ‘passende maatregel’ je het risico maximaal kunt beheersen en die de minste belemmering oplevert voor het bedrijfsproces.
quote
Twan Kennisquote background

ISO-27001 is geen feestje van de ICT afdeling; het is een niveau van informatiebeveiliging van de hele organisatie dat je met z’n allen nastreeft.

Twan Kennis, ICT specialist en security officer

Risico-inventarisatie verschilt per bedrijf

Hoe kan een ISO-27001 norm voor een zorgorganisatie hetzelfde zijn als voor een ICT bedrijf? Beide lopen toch geheel andere risico’s? Dat klopt! De ISO-27001 norm bestaat uit een aantal facetten. Eén daarvan, de bekendste, is de Verklaring van Toepasselijkheid, ofwel de VvT. Hierbij wordt uitgegaan van 114 generieke normpunten verdeeld over diverse thema’s, waaronder:

  • Beleidsmatig (management)
  • Organisatorisch (rollen, functies en verantwoordelijkheden)
  • Bedrijfsmiddelen (infrastructuur, netwerk, systemen)
  • Personeel (huisregels, in-/uitdiensttreding)
  • Fysiek (toegangsdeuren, sleutelbeleid, alarmering, brandbeveiliging)
  • Communicatie & operatie (beheer van systemen, processen en procedures)
  • Toegangscontrole (identificatie, autorisatie, wachtwoordbeleid, 2FA)
  • Systeem-/softwareontwikkeling en onderhoud (documentatie, processen, OTAP)
  • Continuïteit (calamiteitenvoorzieningen, verzekeringen, backup&restore)
  • Compliency (wet- en regelgeving, AVG)

Bij elk van deze 114 normpunten geef je aan in welke mate dit voor jouw organisatie van toepassing is en in welke mate het een risico vormt. Bij de jaarlijkse externe audit maak je vervolgens aantoonbaar op welke manier je het risico beheerst: bijvoorbeeld technisch (met een policy), procedureel (m.b.v. een procedure of vastgestelde werkinstructie), een combinatie van beide, of een anderssoortige maatregel.

Daarnaast vereist een ISO-27001 certificering dat je ook een eigen risico-inventarisatie uitvoert. Hierbij breng je de risico’s in kaart die specifiek voor jouw organisatie en werkprocessen van toepassing zijn, classificeer je dit naar kans en impact en geef je aan op welke manier je het risico beheerst.

Tezamen met de 114 normpunten van de VvT vormt dit het risico-radar waar je als organisatie op koerst.

Mooi, dan hebben we nu alles onder controle, toch?

In theorie wel, maar de praktijk wijst helaas toch anders uit. Immers, waar gewerkt wordt, worden fouten gemaakt en in een innoverende organisatie ontstaan vanzelfsprekend nieuwe risico’s. En ook technieken veranderen continu; daar waar Internet Explorer ooit het paradepaartje van Microsoft was, is het tegenwoordig ‘not done’ om je nog met deze browser op het Internet te begeven.
Plan Do Check Act

Plan Do Check Act

Kortom, als Security Officer zit je nooit stil en ben je vrijwel dagelijks bezig met het up-to-date houden van je risico-radar. Denk aan het doorlopen en uitvoeren van de periodieke operationele planning, het actualiseren van eerder getroffen maatregelen, het organiseren van interne audits, het doorvoeren van verbeterpunten, het registreren en beoordelen van incidenten, het beantwoorden van vragen vanuit de organisatie en niet onbelangrijk… het blijven onderhouden van de ‘security awareness’ van de medewerkers in de organisatie.

Niet voor niets is de ISO-27001 certificering een continu verbeterproces volgens het principe van de zogenaamde ‘Plan-Do-Check-Act cyclus’.

SKB is ISO/IEC 27001 gecertificeerd

Informatiebeveiliging vinden we als SKB een belangrijke kernwaarde van ons werk. Vandaar dat we in 2017 gestart zijn om ons informatiebeveiligingsbeleid en de daaraan verwante werkwijze volgens de ISO-27001 norm te certificeren. En met succes! In 2018 zijn wij door Stichting Toetsingsbureau KCC getoetst en hebben wij het ISO/IEC 27001 certificaat ontvangen. En daar zijn we natuurlijk met z’n allen hartstikke trots op. Immers, ISO-27001 is niet alleen een feestje van de afdeling ICT, maar van de hele organisatie!
ISO/IEC 27001