Onderstaand is een transcript van een ISO 27001 webinar dat is gegeven op 20-02-2020. Je kunt dit webinar gratis en vrijblijvend terugkijken door jezelf hier aan te melden.
Inleiding bij het ISO 27001 webinar
Goeiemorgen allemaal. Mijn naam is Joost Fasen. In deze webinar breng ik de basis beginselen van informatiebeveiliging, de ISO 27001 norm, aan jullie over. We beginnen met de basis die gevuld wordt met een aantal praktische handvatten om ervoor te zorgen dat jullie aan de slag kunnen met ISO 27001. Er wordt veel naar gevraagd omdat er toch veel bedrijven mee in aanraking komen. Bedrijven die bijvoorbeeld met ProRail werken, lopen tegen het punt aan dat ProRail dat al als eis heeft gesteld.
Wat is informatiebeveiliging?
Als eerst een vraag die wij snel stellen en op ons af krijgen: “Informatiebeveiliging, waar moeten we eigenlijk aan denken?”. Vaak wordt de koppeling gelegd met de AVG-wetgeving, die gaat over privacy. Maar informatiebeveiliging gaat veel verder dan dat. Informatiebeveiliging is namelijk ook een deel gedrag van mensen, kijken naar beschikbaarheid, integriteit en vertrouwelijkheid.
Binnen informatiebeveiliging gaat het over alle vormen van data binnen de organisatie. Of ze nu privacygevoelig zijn of niet. Denk bijvoorbeeld ook aan tekeningen van gebouwen, configuratiegegevens van IT-systemen, wachtwoorden, maar ook gegevens van medewerkers, klanten en andere relaties.
Dat ISO 27001 een invulling zou zijn voor de AVG wet, klopt dus niet. Praktisch gezien; AVG is misschien 2 tot 5 procent invulling van de gehele norm op gebied van informatiebeveiliging.
Om jullie niet af te schrikken; uiteindelijk gaat het binnen informatiebeveiliging om 114 concrete maatregelen waar een bedrijf over moet nadenken wat ze daar aan moeten doen en hoe ze dat gaan implementeren. De AVG-wetgeving (en naleving daarvan) is slechts één van deze 114 maatregelen.
Waarom is informatiebeveiliging zo belangrijk?
Waarom gaan we zoveel aan de slag met informatiebeveiliging? Bedrijven worden zich steeds meer bewust van informatiebeveiliging. Beschikbaarheid, integriteit en vertrouwelijkheid van data wordt steeds belangrijker. We regeren onze bedrijven steeds meer op basis van data, we zijn steeds actiever bezig met conclusies trekken uit grote datasets.
Beschikbaarheid
We hebben het steeds drukker en er gaan meer gegevens in IT-systemen, dus het wordt ook steeds belangrijker dat de data op het juiste moment beschikbaar is. Beschikbaarheid van informatie (van de juiste data) is ook één van de onderwerpen van ISO 27001. Dat is een deel bedrijfscontinuïteit. Bijvoorbeeld: Wat als het internet uitvalt? Wat als er een stroomuitval zou zijn? Moeten we zo snel weer running zijn dat we daarop maatregelen moeten nemen? Of kunnen we zeggen: ‘nee, we hebben wat langer de tijd’?
Informatiebeveiliging is heel erg een risicogerichte norm, dus het gaat ook heel vaak over nadenken vanuit risico’s, kijken vanuit risico’s en van daaruit de juiste maatregelen nemen. Straks krijgen jullie daar tools en tricks voor om ermee aan de slag te kunnen gaan.
Integriteit
We geven steeds meer data in systemen, maken berekeningen en leggen CRM-gegevens af. Al die gegevens moeten ook kloppen. Ze moeten integer zijn zodat we daar de juiste conclusies uit kunnen trekken en op basis daarvan acties kunnen uitzetten. Het moet niet zo zijn dat we er achteraf achter komen dat die gegevens niet klopten en dat we daardoor dingen hebben gedaan die niet compleet waren. Kwaliteit komt daarin terug. Daarom zie je ook dat de opbouw van ISO 27001 overeenkomt met de opbouw van ISO 9001. Daar komen we ook later op terug.
Vertrouwelijkheid
We delen onderling veel meer kennis en delen veel meer bestanden met elkaar. We willen er eigenlijk voor zorgen dat die bestanden op een veilige manier worden opgeslagen, dat we er op een goede manier mee omgaan en dat we er op die manier voor zorgen dat de vertrouwelijkheid van data, in de breedste zin van het woord, wel wordt gewaarborgd.
Risico’s
Eén van de dingen die natuurlijk steeds vaker gebeurt, is dat we gehackt worden. Systemen worden platgelegd. Een recent voorbeeld is de universiteit in Maastricht: zij hadden middels een zogenaamde ransomware attack het mooie geval dat al hun bestanden gelocked waren. Ze konden er dus niet meer bij.
Dat is één van de dingen die bij heel veel bedrijven gebeurt en wat ook wel een heel groot risico is. Wat als morgen een virus op jouw computer komt, verspreid wordt naar al jouw servers en vanuit daar al je bestanden geblokkeerd worden? Dan kun je er alleen nog maar bij als er losgeld wordt betaald. Stel dat dat gebeurt, dan hoop je natuurlijk dat je een hele goede back-up hebt.
Back-ups maken is ook een van de onderdelen van informatiebeveiliging. Daarom komt er ook steeds meer aandacht voor. Zeker bij bedrijven waar data echt de kern is van de werkzaamheden en data ook daadwerkelijk keihard nodig is om werkzaamheden uit te kunnen voeren, zie je dat steeds meer bedrijven zeggen: “Hé, wacht eens even. Hoe zorg ik er nou voor dat ik wel altijd door kan blijven gaan.”
Data lekken zijn ook van belang. We worden steeds bewuster van het feit dat we gegevens lekken. Of dat nu is door middel van een laptop die gestolen wordt, een USB-stick die op straat komt te liggen of volledige dossiers die openbaar worden gemaakt. Uiteindelijk proberen we door datalekken goed te onderzoeken oorzaken te vinden en zorgen dat we daar continu op blijven verbeteren. Met de informatie die daaruit komt, gaat ISO 27001 je ook helpen om de juiste processen in te richten en op basis van die processen te kijken welke maatregelen genomen moeten worden om continue verbetering mogelijk te maken.
Niet IT-gericht
Een van de dingen die ons tijdens de adviestrajecten heel erg opvalt, is dat er heel veel bedrijven zijn die beginnen aan een ISO 27001 traject en denken: “Dit is toch alleen maar een verhaal voor onze IT-afdeling. Want IT-technisch gerichte informatiebeveiliging zal ook wel gericht zijn op het inrichten van die IT systemen zodat er op een veilige manier mee gewerkt kan worden.” Dat klopt niet helemaal, het gaat namelijk veel breder.
Het gaat er bijvoorbeeld om dat iedereen bewust is van het feit dat ze met bepaalde data werken, dat ze bewust zijn van het feit dat ze met wachtwoorden werken, en dat wachtwoorden sterk moeten zijn. En dat men ook bewust is van het feit dat op het moment dat je bepaalde risico’s neemt (zoals het inloggen op een onbeveiligd netwerk op bijvoorbeeld een luchthaven) het zo kan zijn dat de data uiteindelijk wordt gelekt. Mensen krijgen toegang tot jouw account, soms zelfs tot je bankgegevens. Daarmee kan het ook zomaar voorkomen dat je via een onbeveiligd netwerk een video upload die uiteindelijk op de server van jouw organisatie terecht komt.
Gelukkig tackelen we tegenwoordig veel met virusscanners. Uiteindelijk is het wel zo dat virussen vaak voor liggen op de oplossing ervan.
Bewustzijn binnen de organisatie
Het bewustzijn creëren binnen de organisatie op het gebied van informatiebeveiliging, is al 40 tot 50 procent van de ISO 27001 norm. Wat komt er allemaal bij kijken en hoe gaan we er op een goede manier mee om?
Vergelijk het met de ARBO of met het milieu, heel vaak gaat het daar om bewustzijn creëren dat we veiliger moeten werken en dat we minder milieu-impact moeten krijgen. Dat gaat op informatiebeveiligingsgebied ook zo. Op dat gebied zijn we erop gericht om middels het creëren van bewustzijn bij collega’s, binnen de hele organisatie, te zorgen dat er op een veilige manier gewerkt gaat worden. De norm heeft kleine dingen opgenomen om bijvoorbeeld te zorgen dat we daar als organisatie actief mee bezig blijven gaan.
Risico analyse
ISO 27001 begint bij het in kaart brengen van risico’s. Op die manier kunnen we zoveel mogelijk risico’s afdekken waar mogelijk. Het gaat onder andere over het personeelsgebied en hoe er met apparatuur wordt omgegaan: wat mag je met je laptop en wat doe je als een laptop onbeheerd wordt achtergelaten? De norm zorgt ervoor dat je ermee aan de slag gaat op basis van het zogenaamde risico analyse model. Daarbij kijk je als eerst wat je als bedrijf doet als activiteiten en welke dreigingen gevaarlijke risico’s zijn.
Annex A
ISO 27001 bestaat uit 2 delen. Dat maakt de norm anders dan andere normen zoals ISO 9001, ISO 14001 of ISO 45000. Aan de ene kant hebben we ISO 27001 met de norm eisen zoals we die kennen, volgens de ‘high-level structure’. Iedereen die wel eens met ISO 9001 heeft gewerkt, zal die norm wel herkennen. 80% van die norm hebben ze bij het woord ‘informatiebeveiliging’ het woord ‘kwaliteit’ staan. ISO 27001 gaat er vanuit dat je op een gegeven moment vanuit je risico’s maatregelen gaat treffen. Dit is opgenomen in een bijlage: Annex A.
In Annex A worden 114 maatregelen genoemd waar je als organisatie mee aan de slag moet gaan. Hiermee kijk je in hoeverre die maatregelen relevant zijn voor jouw bedrijf, hoe diep je daarop in moet gaan en in hoeverre je risico’s daarmee kunt afdekken. Annex A bestaat in de norm uit een korte opsomming van elementen die je direct kan implementeren. Ze noemen dat ook wel directe best practices. Daarmee wordt eigenlijk gezegd: als je deze 114 maatregelen hebt ingericht, voldoe je aan informatiebeveiliging.
Echter, je moet wel altijd kijken hoe ver je daarin wilt gaan. Daarvoor heeft men ook de ISO 27002 bedacht. Die ISO 27002 is eigenlijk de volledige implementatie richtlijn. Alle punten die in die Annex A terugkomen staan daar in, maar worden volledig uitgelegd middels elementen waar je over kunt nadenken om mee aan de slag te gaan.
Een klein voorbeeld wat voor veel bedrijven wel herkenbaar is, is op het moment dat we een nieuwe medewerker aannemen. Hoe ga je die persoon screenen? Hoe komen we erachter dat hij of zij de juiste competenties heeft? Maar dat er ook in het verleden niets is gebeurd wat een nadelig effect kan hebben op onze organisatie?
De Verklaring Omtrent Gedrag is een heel bekend begrip daarin. De norm zegt dat erover nagedacht moet worden of dat binnen jouw organisatie nodig is. Wordt dat bijvoorbeeld van een klant geëist, werk je bijvoorbeeld voor een ziekenhuis of kom je veel in contact met een patiëntendatabase? Dan is het vrij standaard dat iedere medewerker een Verklaring Omtrent Gedrag heeft aangevraagd en moet inleveren.
Doorlooptijd
Dan komt het risico-element van ISO 27001 aan bod: we hebben ISO 27001, we hebben onze risico’s, weten welke maatregelen we moeten gaan nemen, weten hoever we daarin gaan, daar worden beslissingen in genomen en op die manier ga je aan de slag. Sommige stukjes moet je uitwerken tot een beleidsverklaring, voor sommigen heb je procedures, anderen zijn registraties.
Echter door die 114 maatregelen, zie je wel dat we te maken hebben met een norm die complexer en groter is dan we bekend zijn met die ISO 9001. En dat is ook iets waar veel organisaties tegenaan lopen. Als je in eerste instantie alleen de ISO 27001 hebt gelezen, is de kans groot dat je denkt dat het veel lijkt op de ISO 9001 en je dat dus binnen twee of drie maanden wel gedaan hebt.
In de praktijk zien wij dat de doorlooptijd van de implementatie van het 27001-management systeem (afhankelijk van type en grootte organisatie) tussen de 6 maanden en anderhalf jaar ligt. Dat is dus wel handig om rekening mee te houden. Zeker bedrijven die bij ProRail werken en waar ProRail nu de harde eis heeft neergelegd dat in juni-juli 2021 al hun leveranciers gecertificeerd moeten zijn conform ISO 27001. Dan moet je er wel rekening mee houden dat je die aanlooptijd nodig hebt om de norm te gaan implementeren.
Risicomanagement
Een belangrijk deel van de norm is het risicomanagement. Het is tegelijkertijd ook weer een onderdeel waarmee je de 27001 complexer of minder complex kan maken. Je hoeft niet ieder risico af te dekken namelijk. Je kunt zeggen dat je sommige risico’s deel vindt van de werkzaamheden dus dat je die niet zomaar kunt afdekken. Je moet bijvoorbeeld nu eenmaal met data werken. Het risico van helemaal afdekken zou betekenen dat je er helemaal niet meer mee kunt werken.
Er zijn bedrijven die hun schermen zo in hebben gesteld dat ze bij 15 of 30 seconden inactiviteit al direct op screenlock springen. Dat is voor de meeste bedrijven helemaal niet wenselijk en niet realistisch. Daarin zie je dat je moet gaan zoeken in het speelveld wat daadwerkelijk een toegevoegde waarde heeft voor jouw bedrijf of organisatie.
Het betekent tegelijkertijd dat ISO 27001 (en de maatregelen als je het gaat implementeren) een brede groep in de organisatie daardoor wegzet. Er komen HR elementen in voor, er komen elementen in voor die vaak bij een KAN-coördinator ligt, bij de IT-afdeling liggen, of bij het management thuis horen. Maar ook elementen zoals contracten, afspraken en geheimhouding met bijvoorbeeld leveranciers en onderaannemers. Dan is het natuurlijk wel van belang dat ook de inkoopverantwoordelijke hierin goed betrokken worden.
Veel of weinig risico’s
Daarin zie je ook wel dat bedrijven er steeds vaker voor kiezen om ISO 27001 met een brede groep en verschillende functionarissen te implementeren die allemaal hun eigen rol hebben en vaak aangestuurd worden door een consultant die de norm kennis heeft. Ze kunnen op die manier efficiënt aan de slag te gaan en een afweging maken wat wel of niet nodig is.
Het is bij een implementatietraject goed om in je achterhoofd te houden dat je op sommige punten kunt zeggen dat je organisatie weinig risico’s heeft en je dus weinig extra dingen hoeft te implementeren. Zo heb ik zelf recent een ISO 27001 traject gedaan bij een bedrijf dat glasvezelkabels legt en vooral het werk van graven, sleuven en het leggen van de kabels tot aan de voordeur doet. Daar komt uiteindelijk toch niet zo heel veel data bij kijken. Zo’n ISO 27001 traject is dan een compleet ander verhaal dan bijvoorbeeld bij een bank of een organisatie waar heel veel data van klanten doorheen gaat. In de zorg begint het ook steeds belangrijker te worden om informatiebeveiliging op een goede manier op te pakken.
Het zijn allemaal dingen waar we als organisatie zijnde mee te maken krijgen en daarom zien we ook dat steeds meer bedrijven vragen hoe ze het moeten aanpakken en om advies vragen om daar een juiste lijn uit te krijgen. Het komt voor dat bedrijven ISO 27001 geïmplementeerd hebben met dusdanig veel maatregelen die niet nodig waren. Je kunt je wel voorstellen dat als je 114 maatregelen tot het maximum niveau gaat implementeren in je organisatie, dat dat tot wrijving kan leiden in efficiëntie van je werkzaamheden maar tegelijkertijd kan zorgen voor benodigde uitdaging in tijd, want dan duurt de implementatie ook wel veel langer.
Dreigingsanalyse
Om zicht te krijgen op hoe ver je moet gaan, begin je met een dreigingsanalyse. Het format voor deze dreigingsanalyse is te vinden via onze site . Op dat format staan 76 bedreigingen die het meest voorkomen op gebied van informatiebeveiliging. Denk aan het niet goed beheren van wachtwoorden, geen beleidsafspraken over hoe je met je laptop mag omgaan, fraude en diefstal. Daarmee breng je alle 76 elementen in kaart: hoe belangrijk dit element is en hoe groot het risico hierop is. Dat doe je met een kans maal-effect berekening, wat ook in de template zit. Daarin zul je zien dat met de 76 elementen, er bij een gemiddeld bedrijf misschien 30 of 40 heel erg concreet en risicovol zijn, 20 tot 30 andere elementen misschien een klein beetje en dat er ook een grote groep van die dreigingen niet voor jouw organisatie van toepassing zijn.
Denk bijvoorbeeld aan het risico van overstromingen van het kantoor. Stel je hebt een eigen serverpark op kantoor en er is risico op overstromingen, dan is er een dreiging ten aanzien van de beschikbaarheid, integriteit en vertrouwelijkheid van de systemen. En dan voornamelijk het stukje beschikbaarheid aangezien dat met zich mee zou kunnen brengen dat bij een overstroming het serverpark plat ligt en daardoor werkzaamheden niet uitgevoerd kunnen worden.
Je moet breed nadenken over bepaalde dingen: van overstromingen tot diefstal van laptops tot het verkeerd invoeren van informatie. Met de 76 dreigingen die benoemd zijn, heb je een goed eerste beeld van wat binnen jouw bedrijf daadwerkelijk van belang is en dan kun je daarmee concreet aan de slag gaan.
Hoe zit het er procesmatig uit?
In eerste instantie breng je de risico’s in kaart. Op basis van de dreigingsanalyse pak je de 20 tot 30 belangrijkste elementen.
- Diefstal van laptops – als je een buitendienst hebt die veel op pad gaat met een laptop, is dat risico groter dan als je op kantoor werkt, er geen buitendienst is of je niet met laptops werkt.
- Het risico op verkeerde invoer van informatie – op het moment dat er heel veel geautomatiseerde processen zijn, is dat risico misschien wel kleiner dan op het moment dat er heel veel handmatig moet worden ingevoerd. Ook kijken we dan weer naar de informatie die we in moeten voeren en hoe kritisch die is in de rest van het proces.
Door de dreigingen te pakken en daar per dreiging twee tot drie risico’s te benoemen, heb je eigenlijk je eerste risicoanalyse al te pakken. Vanuit die risicoanalyse ga je weer evalueren en kijk je hoe groot de risico’s zijn en wat voor maatregelen je daarvoor moet gaan nemen.
Het nemen van de maatregelen is wat ISO 27001 heeft gestandaardiseerd: kijk naar Annex A en ISO 27002 en probeer van daaruit de juiste maatregelen te selecteren om een bepaald risico zoveel mogelijk af te dekken. Je mag risico’s accepteren voor wat ze zijn, maar heb er dan wel een goede uitleg voor. Bijvoorbeeld voor wachtwoorden kan bijna niemand argumenteren waarom het oké zou zijn om met een simpel wachtwoord zoals ‘welkom01’ te werken. Die risico’s breng je in kaart, je pakt de maatregelen met de ISO 27002 erbij en vanuit daar heb je het zogenaamde behandelplan.
Behandelplan
Dat behandelplan, of beveiligingsplan, gebruik je om ISO 27001 te implementeren. Je kijkt bij iedere maatregel hoever je erin gaat. Het ene bedrijf kiest ervoor om wel met VOG’s te werken, het andere bedrijf kiest ervoor om dat juist niet te doen. Er zijn bedrijven die zeggen dat ze zulke kritische systemen hebben, bijvoorbeeld door gebruik van het zogenaamde multifactor authentication waarbij je na het inloggen met een wachtwoord een code toegestuurd krijgt op je telefoon of ergens anders. Sommige bedrijven zijn niet vanuit de buitenwereld benaderbaar. Die kiezen ervoor om dat niet te doen.
Actieplan
Uiteindelijk komt het allemaal tot een actieplan. Heel belangrijk: tijdens audits worden er vaak afwijkingen op geschreven. Ieder risico wat je hebt geconstateerd, moet worden toegewezen aan een risico-eigenaar. In de beoordeling van de risico’s worden ook de maatregelen van de risico’s benoemd, er wordt een eigenaar aan gekoppeld en uiteindelijk ook een deadline. Voor veel bedrijven staat dit ook wel bekend als de opzet van doelstellingen of het SMART maken van bepaalde risico’s en maatregelen. Dit zit in iedere norm wel, alleen ISO 27001 vraagt nog concreter om te kijken naar de risico’s, wie er mee aan de slag moet en of het gemonitord blijft. Je blijft kijken of er op een goede manier aan gewerkt wordt zoals afgesproken.
Drie typen maatregelen
Er zijn drie typen maatregelen. Alle 114 maatregelen zijn te selecteren en te combineren naar een combinatie van drie verschillende factoren: fysieke maatregelen, procedurele maatregelen en technische maatregelen. 10-20% is daadwerkelijk fysiek, 50-60% heeft echt te maken met procedures en bewustzijn en het overige deel heeft te maken met het technische kader.
Fysieke maatregelen
De eerste is de zogenaamde fysieke controle. Denk daarbij aan de toegang tot het pand. Kun je zomaar naar binnen of moet dat via een gesloten deur? Kun je in het pand bij ieder kantoor binnen of werk je met een tag systeem waarbij je toegang kunt krijgen tot kantoren waar je daadwerkelijk hoort te zijn? Werk je met een afgesloten kast of werk je helemaal papierloos? Dat zijn dingen om over na te denken betreft fysieke maatregelen die je kunt hebben binnen het bedrijf.
Procedurele maatregelen
Dan heb je de procedurele maatregelen. Daar gaat het om de werkafspraken die je met elkaar maakt. Zo vraagt de norm 14 concrete procedures die moeten worden opgezet. Die gaan bijvoorbeeld om omgang met backups, laptops en pcs, toegang van een afstand en het beleid rondom wachtwoorden. Dat zijn dingen die je op papier moet zetten, breed in de organisatie moet verspreiden en jaarlijks moet reviewen.
Technische maatregelen
Als laatste heb je de technische maatregelen. Dat is echt op IT-gebied, voor de IT-specialisten in het bedrijf. Denk aan bijvoorbeeld het encrypten van de harde schijf met een bitlocker en aan het installeren van een SSL-beveiliging op je website waar data doorheen gaat. Het is meer technisch van aard.
Het technische kader binnen ISO 27001 is veel kleiner dan de meeste bedrijven van te voren bedenken. Neem beleidsstukken goed mee in je organisatie en zorg dat mensen bewust zijn van hoe ze met dingen om moeten gaan. Bedrijven zeggen ook vaak dat ze een Cloud-omgeving hebben en die veilig is. Ook in je Cloud-omgeving is het afhankelijk van hoe je bijvoorbeeld met wachtwoorden omgaat.
Structuur
De 114 maatregelen zijn gekoppeld in 14 hoofdstukken. Van onder andere veilig personeel, tot naleving, tot incidentmanagement, omgang met leveranciers, fysieke beveiliging en toegangsbeveiliging. Het is wel goed gestructureerd in de norm. Op het moment dat je de dreigingsanalyse en risicoanalyse op de goede manier hebt opgezet, ben je al een heel stuk op weg. Dan kun je goed de maatregelen die ISO 27001 via Annex A stelt erbij gaan pakken, matchen en implementeren.
Bedrijven die al ISO 9001 hebben, hebben daarbij een voorsprong, want de ISO 27001 bestaat zoals gezegd ook uit elementen van de ‘high level structure’. We moeten dus ook kijken naar een contextanalyse: sterkten en zwaktes, doelstellingen, processen in kaart brengen, interne audits en een directiebeoordeling. Dat zijn allemaal termen die terugkomen.
Op het moment dat je de ISO 9001 hebt staan, dan is dat ten opzichte van ISO 27001 het pure management systeem gedeelte. Buiten die 114 maatregelen nog een toevoeging van 15 á 20%. Heb je ISO 9001 nog niet staan, dan is het wat lastiger. Je ziet daarom ook wel dat heel veel IT-bedrijven die nu voor de eerste keer de certificering kant op gaan, er dan ook voor kiezen om direct ISO 9001 mee te pakken.
Voorbeelden van beleidsstukken die belangrijk zijn:
- Clean desk: wat voor afspraken maak je over papieren op het bureau aan het einde van de werkdag?
- E-mailprotocol: hoe ga je met emails om? Wat stuur je door en hoe ga je om met rare e-mails die je niet verwacht, zoals phishing mails?
- Toegang tot faciliteiten: Hoe snel lock je het scherm? Of krijgt iedereen de opdracht zelf het scherm te locken op het moment dat ze de werkplek verlaten?
Er is een rits aan procedures die goed zijn om bij mensen tussen de oren te krijgen. Daar gaat het niet over hoe lang de procedures zijn. Bijvoorbeeld wachtwoordbeheer; hoe sterk de wachtwoorden moeten zijn of wanneer die vernieuwd moeten worden en hoe slaan we die op? Dit kan ook in een half A4-tje worden besproken. Het gaat niet altijd om hele lange boekwerken.
Statement of Applicability
Eén van de allerbelangrijkste documenten binnen informatiebeveiliging is de zogenoemde Statement of Applicability. De Statement of Applicability is een document dat beschrijft hoe jij die 114 maatregelen hebt ingericht. Het gaat erom dat je alle 114 maatregelen hebt bekeken op basis van je risico’s en daarop heb je vastgesteld dat bepaalde niet van toepassing zijn en andere wel.
Vaak hoor je bedrijven zeggen dat er van de 114 maar 30 of 40 van toepassing zullen zijn. Het bedrijf wat de minste risico’s had, die ik zelf heb begeleid (en ik heb er ondertussen al 35 begeleid richting deze certificering), zit toch rond de 90 á 95 minimaal. En afhankelijk van het type organisatie loopt het toch vaak op rond de 110 en soms zelfs de volle 114. Maar hoe ver de maatregelen gaan, wil nog heel veel verschillen.
Dus ook al moet je 114 maatregelen hebben ingevoerd, betekent dit nog niet dat je daarmee je hele bedrijf hebt dichtgetimmerd. Het kan ook zijn dat je bij sommige maatregelen hebt vastgesteld dat je die wel invoert maar op een hele lichte basis. Uiteindelijk zetten we dat allemaal op een Statement of Applicability waarin je uitlegt welke punten je meeneemt en welke niet. Je benoemt ook de maatregelen die genomen worden zonder in detail te treden, zodat je in één overzicht en één bestand hebt uitgelegd hoe je die maatregelen hebt georganiseerd.
Voorbeelden
- Het gaat over de classificatie van data. Wat mogen we intern wel of niet delen? Wat mag wel met de klant gedeeld worden, maar alleen maar rechtstreeks? Wat mag alleen maar via bepaalde systemen gedeeld worden? Dit komt zeker veelvuldig terug in de ISO 27001.
- Hoe gaan we om met de vernietiging? Mag alles bij het oud papier? Gaan we er afspraken over maken en bewustzijn creëren?
- Wat voor bedrijven vaak het lastigste is: wachtwoorden. We zien wel vaker de noodzaak in om een wachtwoord sterker te maken maar dan hebben we vervolgens alsnog een blaadje langs de laptop liggen waar alle wachtwoorden op staan. Soms zie je bij bedrijven dat ze wachtwoord management gebruiken, wat altijd helpt. Heel belangrijk is om wachtwoorden niet met elkaar te delen. Wachtwoorden zijn net als tandenborstels: die deel je ook niet zomaar met iedereen.
- Beveiliging: wat ligt er achter slot en grendel? Hoe hebben we het kantoor ingericht? Het locken van het scherm: gaat dat automatisch of wordt het tussen de oren gebracht dat dat automatisch wordt gedaan aan de hand van de Windows Lock optie (toetsencombinatie Windows-teken + L van lock). Iets wat je eigenlijk al moet proberen altijd te doen, ongeacht de ISO 27001, zodat niet zomaar iedereen achter jouw scherm kan zitten werken.
- Informatie verzamelen; het meten van data. KPI’s bedenken, want sommige systemen zijn bijvoorbeeld kritisch. Een van de KPI’s kan dan ‘downtime’ zijn. Blijven we het meten en komt het onder de zelfgestelde grens, dan moeten daar ook corrigerende maatregelen voor zijn. Het hele verbeterproces die in de andere ISO-norm zit, zit in deze norm ook. Corrigerende maatregelen, incidenten, verbetervoorstellen.
Do’s:
- Begin te denken vanuit bedreigingen en risico’s.
- Zorg voor genoeg awareness in de organisatie: hier valt of staat informatiebeveiliging mee!
- Integreer met bestaand ISO 9001 managementsysteem (scheelt heel veel werk).
- Gebruik de Statement of Applicability als leidraad voor het implementeren van maatregelen.
- Betrek je IT-partner bij het project.
Don’ts:
- Probeer niet ieder risico 100% af te dekken: dit is in de wereld van informatiebeveiliging niet mogelijk.
- Probeer informatiebeveiliging niet in drie maanden te implementeren. Het doornemen van 114 maatregelen is een berg werk. Neem minimaal zes maanden de tijd.
- Maak procedures en interne afspraken niet te ingewikkeld.
Stappenplan:
- Breng dreigingen in kaart.
- Breng de risico’s in kaart behorende bij de dreigingen.
- Bepaal de maatregelen uit de ISO 27001 Annex A/ISO 27002.
- Implementeer ISO 27001 (vaak integratie met ISO 9001).
- Implementeer technische maatregelen.
- Implementeer organisatorische maatregelen.
- Implementeer fysieke maatregelen.
- Geef awareness trainingen intern (bijvoorbeeld e-learning modules).
- Voer security checks, interne audits en directiebeoordelingen uit.
- Externe audit tijd!
Afsluiting
Bovenstaand is een transcript van een ISO 27001 webinar dat is gegeven op 20-02-2020. Je kunt dit webinar gratis en vrijblijvend terugkijken door jezelf hier aan te melden.