Voor informatiebeveiligers is een ISO 27001-certificering het hoogste dat je kunt bereiken bij de organisatie waarvoor je werkt. Immers, een onafhankelijke auditor heeft vastgesteld dat de organisatie voldoet aan de best practices zoals neergelegd in deze internationale standaard. Maar waarom zou je als organisatie een certificering willen?
Interesse voor de ISO 27001 houdt gelijke tred met de aandacht voor cybersecurity en privacy in de media – en daar is in het afgelopen decennium geen gebrek aan geweest. Iedereen is, ook privé, weleens geconfronteerd met virussen, ransomware en phishingmails. Ook de grootschalige uitbraak van bijvoorbeeld Petya in 2017 en de gevolgen daarvan voor onder andere de Deense conglomeraat Maersk heeft veel media-aandacht gekregen.
Het cybergebied wordt door criminelen steeds meer betreden om snel en met relatief weinig risico’s geld te verdienen. De invoering van de AVG en datalekken bij bedrijven maken dat vrijwel iedereen de mening deelt dat beveiliging van informatie belangrijk is. Vroeger kon een directie nog zeggen: ‘Dat zal ons nooit gebeuren.’ Dat een directie zoiets nu nog zegt, zal nooit meer gebeuren.
Dreigingen genoeg en daarmee de vraag naar, of beter de eis om meer informatieveiligheid.
Voordelen
Je kunt als organisatie handelen naar de maatregelen die genoemd zijn in de ISO 27001 zonder een certificering na te streven. Veel organisaties doen dat. Waarom dan toch dat traject ingaan?
Er kleeft een aantal voordelen aan het behalen van een ISO 27001-certificering. Allereerst zoeken klanten en bedrijven naar zekerheden dat hun informatie op correcte wijze behandeld wordt. De AVG vraagt, voor wat betreft individuen, expliciet dat ‘persoonsgegevens […] door het nemen van passende technische of organisatorische maatregelen op een dusdanige manier worden verwerkt dat een passende beveiliging ervan gewaarborgd is, en dat zij onder meer beschermd zijn tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging (integriteit en vertrouwelijkheid)’. Bedrijven moeten met verwerkersovereenkomsten aantonen dat zij dat ook bij uitbestedingen goed controleren. Met een certificering kun je snel aantonen dat je goed met informatie omgaat.
Ook bij offertetrajecten helpt een certificering doordat je aantoont dat je het hebt geregeld. In die zin geeft het ook een snel en kort antwoord op allerlei vragen van klanten, opdrachtgevers en interne/externe auditors en accountants: het verschaft duidelijkheid naar buiten toe met een keurmerk dat internationaal bekend is. Certificering biedt dus naast een professionele imagobevestiging ook een commercieel voordeel.
Het hele traject zal bovendien de bewustwording over het veilig omgaan met informatie binnen het bedrijf doen toenemen en dat verkleint de kans op datalekken en virusuitbraken.
Consequenties
Het voor de eerste keer opstarten en opzetten van het Information Security Management System (ISMS), wat de ISO 27001 is, zal afhankelijk van de volwassenheid van de organisatie tijd en geld kosten. Het behouden van de aandacht binnen de organisatie is vervolgens noodzakelijk. Het onderhoud en het uitvoeren van basisactiviteiten dient daarmee onderdeel van de normale werkzaamheden te worden.
Certificeren
Als de organisatie besloten heeft een ISO 27001-certificering te gaan halen, hoe pak je dat dan op?
Het is essentieel dat de directie dit streven serieus neemt en volledig steunt. Als dit niet zo is, dan heeft het geen zin en is het traject gedoemd te mislukken. Zorg er ook voor dat iemand binnen de organisatie tijd voor dit project vrijmaakt. Dat kan iemand zijn die de rol van security officer op zich neemt – uiteraard een dedicated security officer. Het helpt als deze collega voldoende achtergrond en kennis heeft van informatiebeveiliging. Afhankelijk van de grootte van de organisatie kan er iemand met CISSP/CISM-achtige achtergrond aangenomen worden.
Is dit niet haalbaar, dan is het aan te raden om, zeker het eerste jaar en zeker ook als de interne medewerker weinig ervaring heeft met informatiebeveiliging, een externe adviseur in te schakelen. Die kan helpen met adviezen en templates van beleid en tijdrovende procedures. Het vervolg is eigenlijk stap voor stap de maatregelen uit de ISO 27001 door te nemen en de bijbehorende maatregelen uit te werken.
Resultaat
Het hebben van een ISO 27001-certificering kent positieve gevolgen. Allereerst heeft de security officer nu een stok achter de deur om zwakke plekken aan te pakken: ‘De auditor komt volgend jaar weer langs.’
Dit is onderdeel van de risicoanalysemethodiek; maatregelen nemen die passend zijn bij het risico en waarbij de risico-eigenaar de mogelijkheid heeft zaken niet te doen en het risico te accepteren. Het zorgt voor een volwassen omgang met risico’s en maatregelen.
Verder zal er een kwaliteitsverbetering in heel het bedrijf merkbaar zijn en zeker ook bij het it-deel. Dit omdat de ISO 27001 een breed scala aan maatregelen en processen beschrijft die een verbinding hebben met informatiebeveiliging; het brede vakgebied heeft daarmee brede (positieve) impact op de organisatie. Zoals gezegd, zal door dit alles ook de algehele bewustwording bij de werknemers toenemen met gevolg voor kwaliteit en informatieveiligheid.
Goed artikel! Kleine kanttekening: ISO 27001 heeft alleen toegevoegde waarde als het met de goede intenties wordt behaald. Een certificaat om het certificaat is jammer van de investering. Meer info: https://www.nieuwhuisconsult.nl/advies/informatiebeveiliging/iso-27001-certificering
Precies, we moeten er wel allemaal wat aan kunnen verdienen.