De ISO-normen voor informatiebeveiliging gaan op de schop. Voor u is waarschijnlijk de belangrijkste wijziging, dat de controls van ISO 27001 slechts ingevuld hoeven worden, als dit volgens uw risicoprofiel noodzakelijk is. Dat betekent, niet meer honderden maatregelen implementeren, geen papierwinkel meer en eindelijk wordt draagvlak vanzelfsprekend.

Auditing heeft zich in de afgelopen jaren ontwikkeld van een controlerende naar een adviserende discipline, waarbij normatief denken steeds meer ingeruild wordt voor klantgericht denken. Het gaat niet meer om de goedkeuring van de auditor, maar om zijn toegevoegde waarde.

Meer toezicht en beter procedureel verantwoord werken, dus meer bureaucratie, lijken het antwoord te zijn op onzekerheden en mogelijk menselijk falen. Vaak wordt vergeten dat vertrouwen en risicoacceptatie alternatieven zijn, die veel meer bijdragen aan innovatie, ondernemerschap en productiviteit.

ISO ISO 27001 is een normatieve norm (baseline) waarop u gecertificeerd kunt worden. ISO 27002 (voorheen 17799) bevat best practices op basis waarvan u een op de risicoanalyse afgestemd basisbeveiligingsniveau kunt bepalen. Vooral voor kleinere en middelgrote organisaties bevat ISO 27001 vaak te veel overbodige eisen. Maar oordeelt u zelf.

Veel organisaties hebben het als een nadeel ervaren, dat ze niet ISO 27002 (of ISO 17799) gecertificeerd konden worden. Nu is er een certificatieschema beschikbaar, waarmee u ook voor het veel evenwichtiger ISO 27002 een certificaat kunt krijgen. In dit artikel meer over de audit.

Minister Ter Horst denkt calamiteiten met alleen preventie te moeten bestrijden. Vaak is echter de gevolgschade bij een calamiteit veel groter dan de directe schade. Gevolgschade van een calamiteit kan het werkelijke bankroet voor de BV Nederland betekenen. Met draaiboeken voor het geval een calamiteit toch optreedt kan grote indirecte schade worden voorkomen. Maar als bedrijven en burgers niet weten wat ze bij een calamiteit van de overheid kunnen verwachten, kunnen zij hierop niet inspelen.

100 procent veiligheid bestaat niet. Beveiligers stellen vaak, dat management te veel waarde hecht aan compliance en dat dat juist niets zegt. Maar we leven toch niet in een bananenrepubliek, waar wet- en regelgeving niets voorstellen?

Enerzijds kunnen managers de implementatie van maatregelen voor informatiebeveiliging niet langer traineren, gezien de steeds hogere aanspakelijkheid. Anderzijds hebben de inzichten zich zover ontwikkeld dat er geen honderden maatregelen volgens een baseline geïmplementeerd hoeven te worden, maar dat volstaan kan worden met 10-20 maatregelen. In dit artikel meer over de aanpak.