Risico’s op het gebied van informatiebeveiliging en cybersecurity zijn aan de orde van de dag (denk maar aan MediaMarkt, Log4j / Log4shell, Onderzoeksraad voor Veiligheid) en worden voor elke organisatie een steeds relevanter aandachtspunt. Niets doen is geen optie meer, je moet je er als organisatie tegen wapenen. Is het niet uit eigen behoefte aan risicobeheersing, dan wel vanuit eisen van (potentiële of bestaande) klanten/stakeholders. Aan de slag dus! Maar hoe? De best passende weg is niet voor iedere organisatie hetzelfde en hangt af van het uitgangspunt waar vandaan je vertrekt.
ISO 27001 als kapstok
In het kader van gestructureerd met informatiebeveiliging aan de slag gaan én dat voldoende aantoonbaar maken, kom je al snel uit bij de ISO 27001*) norm. Deze norm is internationaal erkend als hét raamwerk voor het inrichten van informatiebeveiligingsmanagement (cq. informatiebeveiligingsmanagementsystemen, ook wel ISMS).
*) Kanttekening: in specifieke sectoren kan ISO 27001 hier ook gelezen worden als afgeleide normen als NEN 7510 of BIO, maar voor het gemak gebruiken we hier verder de term ISO 27001.
GAP analyse
Hoe groot de stap is van de huidige situatie (‘ist’) naar een ISO 27001 certificeerbaar ISMS (‘soll’), verschilt per organisatie. Voor sommige is het een kwestie van punten op de i, maar voor veel organisaties is het een forse stap. Het is verstandig om die ‘gap’ eerst in beeld te brengen. Een nulmeting is daarvoor bij uitstek geschikt.
Wil je alles weten over de nulmeting? Bekijk dan de adviespagina nulmeting.
In stappen de gaten dichten
Afhankelijk van de uitkomst van de nulmeting kan je aan de slag gaan met het dichten van de gaten. Je hebt daarbij verschillende opties en afwegingen die je kunt maken. Als de gap’s overzichtelijk en binnen enkele maanden te overbruggen zijn, kan je direct ‘all the way’ gaan met implementatie van de hele ISO 27001 norm en rechtstreeks door naar certificering. Maar lijkt de kloof (en daarmee de kluif) wel erg groot? Laat je dan niet ontmoedigen en kom vooral NIET tot de conclusie dat je beter nog even kunt wachten. Uitstellen en/of niks doen is in de huidige tijd geen optie, daarmee neem je als organisatie een te groot risico, zowel als het gaat om het ontstaan van serieuze security incidenten, als het niet kunnen voldoen aan security eisen van opdrachtgevers (en daarmee het mislopen van tenders/opdrachten) of, op de iets langere termijn, aangekondigde wetgeving op dit gebied. Een betere oplossing is om het traject op te delen in behapbare stappen. Met andere woorden: eerst een fundament leggen, om daar in de loop van de tijd op voort te bouwen.
Lees ook het artikel: Wat is de GAP analyse in de ISO 27001 norm?
Opstaptraject
Om eerst op een laagdrempelige en toegankelijke manier een informatiebeveiligingsfundament te leggen, kan een ‘opstaptraject ISO 27001’ uitkomst bieden. Bij een opstaptraject maken we in overleg een selectie van enkele ‘basic’ beheersmaatregelen vanuit Annex A van ISO 27001. Met ‘basic’ bedoelen we de voor jouw organisatie meest essentiële en voor de hand liggende zaken waarop snel resultaat kan worden geboekt; het ‘laaghangend fruit’. Mocht je organisatie op die punten nog stappen moeten zetten, dan gaan we daarmee als eerste aan de slag. Indien een externe IT-leverancier de technische security van de organisatie beheert, dan pakken we dat samen met hen op.
Lees ook: Het verschil tussen ISO 27001 en 27002, hoe zit dat?
Onderwerpen/maatregelen die hierbij als eerste onder de aandacht komen, zijn:
- Operationele beveiliging (malware, backups, software-installatie etc)
- Netwerkbeveiliging
- Autorisaties
- Wachtwoorden protocol
- Leveranciersbeleid
- Cleardesk/screen beleid
- Fysieke toegang
- Informatieclassificatie
Door met deze ‘basisbeginselen’ aan de slag te gaan en hier stappen in te maken, verlaag je al in belangrijke mate risico’s op het gebied van informatiebeveiliging/cyber security.
Voor iedere organisatie zijn deze onderwerpen relevant en behapbaar. Bovendien zijn de acties op dit gebied zichtbaar voor iedereen binnen de organisatie. Je zet hiermee dan ook de eerste belangrijke stappen naar een grotere bewustwording rondom informatiebeveiliging binnen de organisatie.
Bekijk ook: Beveiligingsbewustzijn verhogen? Handige tips en security awareness voorbeelden!
Aantoonbaarheid
De stappen in dit traject worden weliswaar nog niet direct aantoonbaar in de vorm van een ISO-certificering*), maar over de genomen concrete acties en maatregelen kan al wel naar belanghebbenden worden gerapporteerd. Vanuit CAN kunnen wij hieraan bijdragen, door bijvoorbeeld op deze onderwerpen een interne audit uit te voeren en daar een rapport over op te maken, waarmee een bepaalde mate van bewijs naar belanghebbenden kan worden overlegd.
*) Kanttekening: er worden wel initiatieven ontplooid door certificerende instellingen en andere spelers in de markt, die certificering op deelaspecten (‘fundamentals’) van ISO 27001 in de toekomst wellicht mogelijk maken.
Interne audit uitvoeren of uitbesteden? Lees er alles over op de interne audit adviespagina.
Fundament voor verdere stappen
Na afronding van deze eerste stap, staat (bewustwording met betrekking tot) informatiebeveiliging als thema beter op de kaart binnen de organisatie. Er is een fundament gebouwd, waarop (indien gewenst/noodzakelijk) in een volgende fase kan worden voortgebouwd met de overige normeisen uit ISO 27001 en waarmee uiteindelijk naar certificering kan worden toegewerkt.
Meer weten over de mogelijkheden voor een nulmeting of een opstaptraject voor de ‘basics’ van informatiebeveiliging? Neem contact met ons op! We helpen je graag op weg.