ZBC Kennisbank

Ben je ook verzand in ISO 27001 of NEN 7510?

 

Regelmatig komen we organisaties tegen, die vol goede moet begonnen zijn aan informatiebeveiliging conform ISO 27001 of NEN 7510, maar die er na een tijdje volledig in zijn vastgelopen. En natuurlijk hopen ze dan stilletjes, dat niemand er meer op terug komt.

Natuurlijk begin je als organisatie altijd netjes met het in kaart brengen van je risico’s. Gaandeweg kun je daarbij echter op zoveel punten stuiten, dat je door de bomen het bos niet meer ziet. En ieder probleem dat je probeert op te lossen, levert gelijk weer drie nieuwe problemen op. Vakbladen helpen je ook al niet echt verder. Wat je als veilig beschouwde, blijkt toch niet echt veilig te zijn. Praten met een adviseur of consultant betekent ook vaak, dat je geen oplossingen krijgt maar alleen maar meer problemen. Kortom, informatiebeveiliging lijkt een soort moeras, waarin je bij elke stap verder wegzakt. Ja, dan ligt het toch voor de hand, dat je besluit geen stap meer te zetten en dat je maar hoopt, dat niemand  er meer op terugkomt.

Privacy oorzaak voor eisen van certificaat

Helaas kom je daar niet mee weg. Dat komt vooral doordat privacy door steeds meer organisaties van belang wordt geacht, al was het alleen maar vanwege de steeds hoger wordende boetes. Men wil zich indekken. En dat heeft consequenties voor iedereen met wie persoonsgegevens gedeeld worden, zoals klanten, en in de overheid en zorg ook ketenpartners. En natuurlijk heeft het consequenties voor de eigen directie. De privacy waakhond (Autoriteit Persoonsgegevens of kortweg AP) eist met de wet in de hand van organisaties dat ze kunnen aantonen dat ze persoonsgegeven goed hebben beschermd. De nieuwe Europese privacy verordening heet niet voor niets GDPR ofwel de General Data Protection Regulation. Het gaat dus steeds meer over de bescherming van gegevens. En met alleen een overeenkomst met de bewerkers van je persoonsgegevens ben je er nog niet. Je moet aantoonbaar maken dat de beveiligingsmaatregelen uit die overeenkomst ook worden nageleefd. Dat is precies waarom van leveranciers of ketenpartners steeds vaker een ISO 27001 certificaat wordt geëist of in de zorg een NEN 7510 certificaat. Want dan hoeft de verantwoordelijke niet meer zelf de naleving van de bewerkersovereenkomst te controleren.

Hoe ben je in het moeras geraakt?

Als de informatiebeveiliging van je organisatie op jouw bordje ligt, zul je je misschien afvragen hoe jullie toch zo in het moeras verzeild zijn geraakt. Want eigenlijk is dat best vreemd. Je hebt immers methoden bestudeerd of je hierin laten adviseren. Je hebt vervolgens netjes een methode gevolgd. Dat begon met het toepassen van een risicoanalyse, vaak met prachtige rekensommetjes om prioriteiten te stellen. Je hebt netjes alle betrokkenen geïnterviewd. Dat heeft geresulteerd in een uitgebreid document. Dat heb je voorgelegd aan de directie. De directie zag de risico’s niet echt als bedrijfsrisico’s en heeft daarom het rapport goedgekeurd. Ze heeft tenslotte de opdracht gegeven om een certificaat te behalen. De directie heeft dus haar commitment getoond en je veel sterkte gewenst met het implementeren van de maatregelen. Gelukkig is er de ISO 27002, waarin een 130 kantjes aan maatregelen en best practices worden genoemd. Het gat tussen die best practices en de praktijk van je organisatie is echter dermate groot, dat de ‘to do’-lijst met de dag groeit. Het gaat maanden of misschien wel jaren duren voor je alles geïmplementeerd hebt. Je stuit bovendien op veel weerstand. Men wil niet meewerken aan de implementatie van al die best practices. Blijkbaar ontbreekt de awareness voor informatiebeveiliging. En uiteraard heb je niet het budget om hier aan te werken. Je wordt dus steeds meer een roepende in de woestijn. Beter gezegd: een roepende in het moeras.

Hoe uit het moeras komen?

Moerassen en informatiebeveiliging hebben één ding gemeen: een diepgaande kennis van de materie helpt je niet om de weg naar de uitgang te vinden. Als je eenmaal buiten de paadjes komt in het moeras, dan betekent dat doorgaans dat je bij iedere stap die je doet, verder wegzakt in dat moeras en dat het uitzicht om veilig de uitgang te bereiken steeds verder verdwijnt. Bij informatiebeveiliging is het niet anders. Je moet op de paadjes blijven. Als je afwijkt, dan zal het certificaat steeds verder uit beeld verdwijnen. Helaas staan de paadjes niet in de methode, want iedere organisatie heeft zijn eigen moeras en zijn eigen paadjes die bewandeld kunnen worden om bij de uitgang te komen.
De grootste fout wordt doorgaans dan ook direct in het begin gemaakt. De focus ligt op het moeras (de informatiebeveiliging) en niet op de eigen organisatie. Vergeten wordt dat de organisatie in het verleden al talloze paadjes door het moeras gevonden heeft. De problematiek is immers niet nieuw. Het is vooral de aandacht die nieuw is. Als je bij informatiebeveiliging uitgaat van de norm en de aanwijzingen volgt om aan die norm te voldoen, dan ga je voorbij aan al die maatregelen die al lang werken in de organisatie en waarmee je best al een behoorlijk niveau van beveiliging gecreëerd hebt. Je belangrijkste probleem is dat je niet aantoonbaar kunt maken, dat die maatregelen toegepast worden en ook effect hebben. En de norm eist: “Zeg wat je doet, doe wat je zegt en laat zien dat je dat gedaan hebt”.
Natuurlijk kan het altijd beter. Maar op dat vlak stelt de norm geen eisen. Het beter doen moet dus een keuze zijn en geen automatisme, omdat de norm dat eist. (Zie ook ‘Er moet niks van ISO, maar weet mijn auditor dit ook al?’.) ISO 27001 en NEN 7510 (vanaf 2017) zijn risk based en niet rule based. Het gaat om het afdekken van je risico’s en niet om het volgen van de regeltjes. Stel je dus bij iedere aangereikte maatregel de vraag of verbetering wel zinvol is gezien de kosten, de inspanning en de bijwerkingen van de maatregel. In veel gevallen is wat je hebt, goed genoeg en leidt een verandering niet tot een verbetering maar juist een verslechtering. (Zie ook ‘Hoe zorgen we voor een managementsysteem dat passend is voor onze organisatie?’.)

Zelf aanmodderen is vaak duurkoop

Natuurlijk is informatiebeveiliging de eigen verantwoordelijkheid van je organisatie. Als organisatie moet je er zelf invulling aan geven. Je moet daarom zelf van ieder risico bepalen: “Is dat erg?” Of anders gezegd, het is je eigen moeras, het zijn je eigen paadjes die ervoor zorgen dat iedereen in je organisatie zich veilig in dat moeras kan bewegen. Het is je taak om die paadjes te markeren, want veel van die paadjes bestaan al.
Natuurlijk kun je op goed geluk alle paadjes in het moeras bewandelen. Maar dan ben je waarschijnlijk heel veel tijd kwijt aan het jezelf uit de blubber trekken, als een paadje toch niet stevig genoeg was. Dat geldt zeker als je vindt, dat er soms ook nieuwe paadjes nodig zijn. Dan is een gids vaak handig. Niet een gids die verstand heeft van het moeras, maar juist een gids die verstand heeft van paadjes en de begaanbaarheid hiervan. Die in één oogopslag ziet of een paadje sterk genoeg is en die als je een nieuw paadje nodig hebt, uit ervaring weet hoe dat paadje moet lopen, omdat hij denkt in principes en niet in regeltjes. Daarvoor hoef je echt niet alles van het moeras of van informatiebeveiliging te weten. (Zie ook ‘Informatiebeveiliging is helemaal niet zo moeilijk’.) Het gaat om de paadjes en om maximaal gebruik te maken van de paadjes die er al zijn en deze goed te markeren. Dat voorkomt verspilling van tijd, geld en vooral frustratie. Bij jezelf, bij de directie en bij je collega’s.
Trap dus niet in de val van bangmakerij van adviseurs (onheilsprofeten) die zeggen dat het moeras allemaal nieuwe paadjes nodig heeft. Doorgaans wordt het daar niet veiliger van en het kost wel veel tijd en geld. Maak gebruik van de bestaande paadjes die iedere organisatie heeft. Dan is het halen van een ISO 27001 of NEN 7510 certificaat ook niet moeilijk, zoals we beschrijven in ‘Binnen drie maanden een ISO 27001 certificaat halen’.

ZBC helpt organisaties via coaching of cursussen om hun informatiebeveiliging conform ISO 27001 of NEN 7510 te verbeteren en daarvoor gecertificeerd te worden.
DownloadDownload artikel als MS Word document Download artikel als PDF document Print deze pagina Verstuur deze pagina naar een vriend (email)
Auteur: Wiebe Zijlstra | 3 mei 2017


Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *