Cybercriminelen vinden steeds nieuwe manieren om ict-systemen binnen te dringen. Een phishing-mail is zo geopend, en een cryptolocker kan binnen een paar seconden belangrijke bestanden versleutelen. “Het is niet meer de vraag of hackers je systeem binnenkomen, maar wanneer,” stelt Joep, Security Officer bij OGD. Het is dan ook van levensbelang om na te denken over het beperken van veiligheidsrisico’s. Door het behalen van de ISO 27001-certificering kunnen organisaties aantonen dat ze dat hebben gedaan en daarvoor de juiste procedures hebben ingericht. Lees hier hoe dit certificeringstraject in zijn werk gaat.
Information Security Management System
De certificering ISO 27001:2013 bestaat uit standaarden die zijn gevat in een bedrijfsspecifiek Information Security Management System (ISMS). Het ISMS is een managementsysteem om informatiebeveiliging binnen een organisatie te besturen en om het functioneren ervan meetbaar te maken. Verder wordt in de norm omschreven hoe een organisatie kan omgaan met werknemersgegevens, intellectueel eigendom, financiële gegevens en andere gevoelige informatie, die zij beheren voor klanten of derden
Met de komst van Infrastructure as a Service (IaaS) en andere clouddiensten wordt het steeds belangrijker om je informatiebeveiliging op orde te hebben. Een internationale norm als ISO 27001 helpt hierbij. Joep: “Klanten willen zeker weten dat wij bewust omgaan met hun data. Dit laten we zien door het behalen van het ISO-certificaat. Het is een bewijs dat we nadenken over informatieveiligheid en er bewust mee omgaan.”
Risicoanalyse en awareness
De weg naar certificering begint met een risicoanalyse van de huidige situatie. Een belangrijk vertrekpunt hierbij zijn de medewerkers. “Voordat je nieuw personeel aanneemt moet je kunnen nagaan of diegene bijvoorbeeld een dubieus verleden heeft. . “Daarnaast is awareness erg belangrijk. Het werkt volgens het principe van weten, willen, kunnen en doen.” Met een bewustwordingscampagne leren de medewerkers de risico’s kennen en bewust met informatiebeveiliging om te gaan. Maar voor de uitvoering moet de werkgever wel de juiste middelen ter beschikking stellen. “Als je een wachtwoord niet mag delen via e-mail, dan moet hier wel een andere manier voor zijn.”
Na de risicoanalyse moet je procedures opstellen om zaken als het doorgeven van wachtwoorden en het screenen van medewerkers af te dekken. Dit gebeurt aan de hand van een set controlepunten die ieder jaar worden gecheckt. Joep: “ISO is wat dat betreft heel duidelijk. Een organisatie wil mensen screenen voordat ze worden aangenomen. Dan kun je bijvoorbeeld de HR-afdeling laten controleren of een medewerker een Verklaring omtrent gedrag (VOG) heeft. Die procedure wordt vervolgens opgenomen in het ISMS.”
Comply or explain
De procedures die een bedrijf opstelt worden ieder jaar bekeken door een externe partij. Het eerste jaar wordt een bedrijf volledig getoetst op het gebied van informatiebeveiliging. In de twee daaropvolgende jaren volgt een controle op enkele onderdelen van je ISMS. Joep: “Het toepassen van ISO 27001 werkt volgens het principe comply or explain: je houdt je aan een richtlijn of je legt uit waarom je hiervan afwijkt. Iedereen kan worden ondervraagd door de auditor, want die verzamelt bewijs voor jouw procedures.”
Uit de audit volgen soms aanbevelingen die gedurende het lopende jaar moeten worden uitgevoerd om de informatiebeveiliging te verbeteren. En wanneer wordt samengewerkt met leveranciers die zelf ook voldoen aan de ISO-standaarden, draagt dat alleen maar bij aan de veiligheid. Daarnaast is het ISO 27001-certificaat internationaal erkend. Het behalen van een ISO-certificering is dus zeker het overwegen waard.
Binnenkort volgt de blogpost waarin u leest hoe het behalen van de ISO 27001-certificering in de praktijk in zijn werk gaat!