Stelt u zich voor: een wereldwijd opererend bedrijf zit middenin een transitie naar een centraal gestuurde (global) Security, IT Service Management en Enterprise Architecture. Er spelen een aantal belangrijke vragen: Hoe stellen we de juiste prioriteiten? En hoe organiseren we deze transitie, zodat we de informatiebeveiliging goed inrichten? Lees hier over de aanpak die wij adviseren.
Het voorbeeld hierboven is een recente klantvraag die bij Mirato Group binnen kwam. Deze klant hebben wij ondersteund in het professionaliseren van hun informatiebeveiliging door een interne audit voor hen uit te voeren. Met de ISO/IEC 27001-norm als uitgangspunt. Gelukkig komt ‘Informatiebeveiliging’ de laatste jaren steeds hoger op de agenda van menig directielid te staan. Iedere dag zien we de nieuwsberichten over hacks, datalekken, ongeoorloofd gebruik en verlies van privacy gegevens.
Waarom een algemene norm als basis gebruiken een goed idee is:
Het is (te) makkelijk om de verantwoordelijkheid voor informatiebeveiliging af te schuiven op de technische infrastructuur, ofwel ‘de IT’. De realiteit is dat slechts een deel samenhangt met Informatietechnologie (IT). Organisatie en mens zijn van evenveel of zelfs meer invloed op de informatiebeveiliging. In toenemende mate kiezen bedrijven ervoor om door middel van ISO/IEC 27001-certificering aan zichzelf en de buitenwereld te tonen dat zij de controle nemen over hun informatiebeveiliging. Die keuze komt voort uit de snelle groei van opgeslagen gegevens en de groeiende waarde van die data, gecombineerd met de cyberaanvallen, data hijacking en andere bedreigingen. Steeds meer bedrijven vragen aan hun leveranciers en partners onafhankelijk aan te tonen wat men doet aan informatiebeveiliging. De eisen die men aan leveranciers (en aan zichzelf) stelt worden steeds hoger en formeler.
Onvoldoende informatiebeveiliging is een bedrijfsrisico
ISO/IEC 27001 is een ISO-standaard voor informatiebeveiliging. Deze norm kan worden toegepast op iedere organisatie, ongeacht type, omvang en doelstelling. De norm bepaalt aan welke eisen een Information Security Management System (ISMS) moet voldoen. Er is een duidelijke relatie tussen de algemene bedrijfsrisico’s en het ISMS van een organisatie! Feitelijk is de norm dus eerder bedrijfskundig dan IT-georiënteerd. Thema’s zoals organisatie, personeel, fysieke beveiliging, leveranciers en risicomanagement zijn een belangrijk onderdeel van de norm.
Gegevens van klanten en medewerkers beschermen
ISO-certificering hoeft geen ‘doel op zich’ te zijn. Het volgen van de stappen die nodig zijn om tot certificering te komen, zijn echter voor iedere organisatie zinvol. Het certificaat is voornamelijk een stevig bewijs dat uw organisatie – en uw medewerkers – zich committeert aan de industriestandaard voor informatiebeveiliging. Het bewijst ook dat u de gegevensbescherming van uw klanten en medewerkers serieus neemt en op orde hebt. Uw organisatie garandeert de vertrouwelijkheid van gegevens en ook de integriteit en beschikbaarheid ervan.
Stappen om te komen tot ISO 27001-certificering:
In het afgelopen jaar heeft Mirato verschillende klanten – van MKB tot beursgenoteerd – geholpen met de voorbereiding, implementatie en behalen van de ISO 27001-certificering. Die ondersteuning is afhankelijk van de situatie bij uw organisatie. Dit kunnen de volgende stappen zijn:
- Nulmeting Informatiebeveiliging: wat is de actuele status (bijvoorbeeld aan de hand van interne interviews);
- Bepalen context en scope van het ISMS;
- Uitvoeren Business Impact Analyse (BIA) en risico inventarisaties;
- Opstellen informatiebeveiligingsbeleid;
- Opstellen plan van aanpak om de ISO27001 te implementeren;
- Projectmanagement en begeleiding bij de uitvoering van het project;
- Consultancy leveren bij opstellen en implementatie van de te nemen maatregelen;
- Uitvoeren interne of externe audits als onderdeel van de certificering;
- Uitvoeren audits bij toeleveranciers;
- Meehelpen oplossen van gebreken die bij een in- of externe audit zijn geconstateerd;
- Klankbord en expertrol, eventueel in de vorm van CISO as a Service.
Voorbeeld: het belang van scope
Ter illustratie geven we een voorbeeld: het vaststellen van de scope (hierboven stap 2). Dit is een belangrijke stap die organisaties vaak overslaan. We zeggen wel eens: “U kunt niet in één dag volwassen worden.” Bepaal vooraf wat de belangrijkste bedrijfsprocessen zijn qua informatiebeveiliging in uw organisatie. Stel scope en context vast, en begin. Herhaal dit net zo lang totdat u klaar bent, en zorg er ondertussen voor dat de informatiebeveiliging die u al hebt geïmplementeerd, ook wordt onderhouden.
Meer informatie
Wilt u meer informatie? Neem contact op met Leon van den Langenberg of Wim Luursema.
Op de hoogte blijven? Volg Mirato Group via LinkedIn.
