ZBC Kennisbank

Hoe je de schade beperkt van een ISO 27001 of NEN 7510 audit

 

Veel organisaties denken dat het bij een certificeringsaudit voor ISO 27001, ISO 9001 of NEN 7510 gaat om het wel of niet behalen van het certificaat. Dit is een misverstand. Dat certificaat wordt  zeker wel gehaald. De vraag is alleen hoeveel tijd en geld dit gaat kosten. Want natuurlijk kost het tijd en geld als je iets moet repareren en de auditor nog een keer terug moet laten komen.

Twee jaar geleden schreven we: ‘Er moet niks van ISO, maar weet mijn auditor dit ook al?’. Dit was naar aanleiding van de presentatie van ISO 9001:2015 en onze ervaringen met auditors, die het moeilijk vonden om hun traditionele rule based benadering te vervangen door een risk based beoordeling. De afgelopen twee jaar hebben we ervaren, dat de meeste auditors deze overstap hebben gemaakt. Ze beoordelen organisaties op hun risicobeheersing voor informatiebeveiliging of kwaliteit. Een compliment hiervoor is op zijn plaats. Het is immers een stuk moeilijker om een organisatie te beoordelen op de bedrijfseigen risico’s dan op een generieke lijst met regeltjes. Ook de NEN 7510 wordt dit jaar risk based. (Zie ‘NEN 7510 schuift verder op naar ISO 27001 en wordt volwassen’.) We zullen daarom nu ingaan op hoe je als organisatie tegenwoordig om moet gaan met de normen en de certificering.

Inrichting van de risicobeheersing

Door de risk based benadering wordt de rol van de directie belangrijker. Zij is tenslotte verantwoordelijk voor het beheersen van de bedrijfsrisico’s en zal dan ook moeten aangeven op welke wijze zij die risico’s wil beheersen. En hoe dat kan gebeuren, is sterk afhankelijk van bijvoorbeeld de grootte en de structuur van de organisatie. 
Voor een kleine organisatie geldt, dat de directie dagelijks nauw contact heeft met de werkvloer en er direct bij betrokken wordt als zaken fout lopen of anders moeten gaan. Risicobeheersing is een proces dat dagelijks plaats vindt en de organisatie is per definitie in control. Het enige probleem is meestal, dat dit niet kan worden aangetoond. Bij grotere organisaties is de afstand tussen de top van de organisatie en de werkvloer groter. Dan zijn er twee mogelijkheden:

  • opknippen van de organisatie in kleine business units, zodat iedere business unit de risicobeheersing van kleine bedrijven kan toepassen;
  • een managementsysteem implementeren, zodat zeker gesteld wordt dat de organisatie in control is, ook bij veranderingen en calamiteiten. Uiteraard is met een dergelijk managementsysteem de reactietijd lager en bestaat het risico, dat via de rapportage over meerdere schijven de communicatie tussen de top van de organisatie en de werkvloer vervormt. De aantoonbaarheid van de risicobeheersing is daarentegen echter meestal geen probleem.

We hebben hiermee dus het eerste verschil te pakken tussen organisaties. Kleinere organisaties hebben een ander managementsysteem nodig dan grotere organisaties. Om vervorming in de communicatie te verminderen zijn bij grote organisaties duidelijke en meetbare doelen nodig en dus meer richtlijnen en strakke rapportagelijnen. In kleine organisaties neemt de directie direct waar wat er op de werkvloer plaats vindt. Vervorming in de communicatie vindt nauwelijks plaats. Wel bestaat het risico, dat de directie zo kort op de operatie zit, dat zij de hoofdlijnen van het eigen beleid soms vergeet. Kwalitatieve beleidsuitgangspunten zijn hier een goed instrument om risico’s te beheersen. Verder is het nodig, dat de directie in een directiebeoordeling wat vaker afstand neemt van de dagelijkse operatie. (Zie ook ‘SMART doelstellingen vaak bedreiging voor informatiebeveiliging’.)De norm gaat er van uit, dat er een managementsysteem nodig is met meetbare doelstellingen, voldoende richtlijnen en strakke rapportagelijnen. Als je je daar als kleinere organisatie aan conformeert, dan loop je het risico, dat je je flexibiliteit en efficiency verliest en bovendien, dat je tijdens de audit niet kunt aantonen, dat je de richtlijnen naleeft. Het is daarom van groot belang, dat je niet de norm als uitgangspunt neemt, maar je eigen organisatie. Anders kosten certificering en de audit veel tijd en geld. Een toneelstukje opvoeren helpt je niet, want daar prikken auditors doorheen.

Begin bij de bedrijfsrisico’s 

Tijdens de risicobeoordeling is de rol van de directie cruciaal. Begin altijd met de bedrijfsrisico’s. Dat doet de directie ook. In de basis zijn er altijd twee:

  • Er gaat structureel meer geld uit dan er binnen komt. Dit heeft echter zelden te maken met informatiebeveiliging, tenzij je hier teveel aan uitgeeft.
  • Stakeholders zijn ontevreden. Stakeholders kunnen zijn: klanten, ketenpartners, medewerkers, leveranciers, aandeelhouders, toezichthouders enzovoort.

De stakeholder analyse is dus cruciaal onderdeel van het bepalen van bedrijfsrisico’s. (Zie ook ‘Checklist stakeholderanalyse ISO 9001 en ISO 27001’.) Valkuil hierbij is dat je alle stakeholders op alle punten tegemoet komt. Maar daar hangt natuurlijk een stevig prijskaartje aan. Maak daarom weer de vertaalslag naar je eigen organisatie. Bekijk je processen voor levering en productontwikkeling. Beschouw belangrijke ondersteunende processen en bedrijfsmiddelen en bekijk welke daadwerkelijke risico’s je loopt naast natuurlijk de risico’s die direct te maken hebben met je bedrijfscontinuïteit. Meer hierover vind je in de ‘Checklist risicoanalyse informatiebeveiliging ISO 27001 en NEN 7510’. Pas daarna ga je kijken naar de informatiebeveiligingsrisico’s. En als een IB-risico geen bedrijfsrisico vormt, dan is dit risico per definitie acceptabel en zijn maatregelen hierop waarschijnlijk overbodig.

Het wringt tussen de scope en de Verklaring van toepasselijkheid

Vaak zien we bij de formulering van de scope, dat deze nader is uitgewerkt in de Verklaring van toepasselijkheid of de Statement of Applicability. Veel auditors pushen dit ook. Maar juist bij een risk-based aanpak wringt dit. Voor nagenoeg iedere organisatie geldt, dat één van de grootste risico’s is, dat gegevens op straat komen te liggen, die eigendom zijn van klanten of ketenpartners. Niet alleen loop je dan het risico van een boete van de Autoriteit Persoonsgegevens, een nog groter is het risico dat je klanten of ketenpartners reputatieschade oplopen. En dat willen ze natuurlijk voorkomen. Daarom eisen ze vaak een certificaat van je en doorgaans op korte termijn. Informatiebeveiliging mag natuurlijk niet ten koste gaan van je flexibiliteit en efficiency. Daarom is een zorgvuldig proces nodig. Dat vraagt doorgaans veel tijd. Bovendien is informatiebeveiliging maar één van je bedrijfsrisico’s. Om toch op korte termijn aan de eis van hun klanten of ketenpartners te voldoen, kiezen veel organisaties als de scope van hun certificaat: “De dienstverlening aan klanten, waarbij de organisatie verantwoordelijk is voor data die eigendom zijn van ketenpartners”. Vaak zijn deze processen behoorlijk goed op orde, terwijl interne processen soms veel minder goed geregeld zijn. Op de korte termijn zijn die echter minder belangrijk.De verklaring van toepasselijkheid echter dwingt je een keuze te maken tussen maatregelen die wel en maatregelen die niet toepasselijk zijn. Het is dus of zwart of wit. En dat terwijl geldt, dat veel maatregelen sterk afhankelijk zijn van het risico dat ermee verminderd moet worden en sommige maatregelen binnen de scope nu niet van toepassing zijn, maar mogelijk wel als je in de toekomst de scope wilt  uitbreiden.De norm geeft in dit kader in par. 6.1.3 over maatregelen ook aan dat maatregelen beoordeeld moeten worden om te voorkomen dat er maatregelen gemist worden. Daarom is, als het gaat om de beoordeling van het belang van een maatregel een glijdende schaal beter dan de genoemde zwart-wit beoordeling waartoe de verklaring van toepasselijkheid je dwingt. Je stelt dan dus  een bedrijfsspecifieke interne norm op, waarmee je je bedrijfseigen risico’s adequaat reduceert, zonder dat je je huidige situatie te veel geweld aan hoeft te doen. Daarmee voorkom je  hoge implementatiekosten en waarschijnlijk ook de nodige non conformities tijdens de audit, die je dan vervolgens moet repareren. Want helaas ben ik nog niet een auditor tegengekomen, die bij het vaststellen van een non-conformity met de suggestie kwam om de maatregel dan maar te schrappen of aan te passen aan de werkelijkheid.

Eind goed, al goed

Zoals ik in mijn inleiding aangaf, ben je verzekerd van certificatie, als je maar één keer start met de certificeringsaudit. Het gaat er dus om de hoeveelheid schade die een auditor kan aanrichten tijdens de audit zoveel mogelijk te beperken. En dat heb je vooral zelf in de hand. (Zie ook ‘Binnen drie maanden een ISO 27001 certificaat halen’.)Zorg ervoor dat de directie actief deelneemt aan de risicoanalyse, het bepalen van de methode van risicobeheersing, de keuzes hoe om te gaan met risico’s en de keuze van de scope. Dan heb je de basis gelegd voor het kiezen van maatregelen die passen bij wat je nu al doet en houd je binnen de scope een beperkt aantal verbeterpunten over.  (Zie ook ‘Leg de lat niet te hoog bij informatiebeveiliging’.) Natuurlijk is de certificeringsaudit dan niet ‘einde oefening’. Informatiebeveiliging vond je immers al belangrijk en uiteraard zal dat in de toekomst zo blijven. En natuurlijk wil je later de scope toch ook uitbreiden.Vrijwel iedere auditor gaat tegenwoordig mee in deze benadering. Daardoor zal de schade doorgaans heel beperkt blijven. Er zijn uitzonderingen. Daarom wens ik je geen auditor toe, die is opgegroeid in het rule based tijdperk en daarin is vastgeroest. Dat gaat je tijd en geld kosten. Want als je niet veel ervaring hebt met audits, zul je de discussie met de auditor altijd verliezen. En dat lang niet altijd omdat  hij/zij gelijk heeft, maar omdat hij/zij zorgt gelijk te krijgen. 

ZBC helpt organisaties via coaching of cursussen om hun informatiebeveiliging conform ISO 27001 of NEN 7510 te verbeteren en daarvoor gecertificeerd te worden.
DownloadDownload artikel als MS Word document Download artikel als PDF document Print deze pagina Verstuur deze pagina naar een vriend (email)
Auteur: Wiebe Zijlstra | 13 februari 2017


Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *