In 2024 zal de NIS2-richtlijn een cruciale rol spelen voor veel (essentiële) organisaties. Met de recente upgrade van de NIS-richtlijn naar versie 2 en de uitbreiding van het aantal organisaties dat eraan moet voldoen, neemt het belang van een goede cybersecuritystrategie aanzienlijk toe. Maar ook als je geen essentiele organisatie bent wil je misschien richting je klant aantonen dat je de juiste cybersecuritymaatregelen treft. Een ISO27001-certificering kan daarbij helpen. Bij GTS online hebben we onze eigen ISO27001-certificering en zorgen we ervoor dat de digitale werkplekken van zowel bestaande als nieuwe klanten zodanig zijn ingericht dat deze ook aan een ISO27001-certificering (en NIS2-richtlijn) voldoen.
De vraag naar een sterke cybersecuritystrategie groeit en steeds meer organisaties besteden hier extra aandacht aan. Bij GTS Online zijn we daarom onlangs een nieuwe dienstverlening gestart, waarbij we met al onze kennis en expertise meekijken. We bieden jou inzicht in de stappen die genomen moeten worden naar een eerste NIS2, ISO27001 of NEN7510 audit.
Verscheidene vragen over een ISO27001-certificering komen regelmatig terug, wellicht ben jij ze ook tegengekomen. Benieuwd naar ons advies?
Niet iedereen binnen onze organisatie is zich nog bewust van het belang van cyber security. Hoe kunnen we anderen overtuigen en hoe geven we beter beeld van wat een goede strategie opbrengt?
Het is altijd lastig om binnen een organisatie draagkracht te creëren voor het leed dat (gelukkig) nog niet is geschied. Een cybersecuritystrategie vraagt om tijd, de juiste mensen en ruimte, en laten we eerlijk zijn, dat drukt ook op de kosten. Toch kunnen we het niet zo zwart/wit bekijken. Door het niet als losstaand project te zien, maar het echt onderdeel te maken van de bedrijfsprocessen, zul je een algehele verbetering van de gehele bedrijfsvoering terugzien.
We hebben zoveel applicaties, waar moeten we beginnen? Hoe krijgen we zicht op onze processen en hoe verdelen we de BIA-score (Business Impact-Analyse) die nodig is voor de ISO27001-certificering?
Het lijkt ingewikkeld, maar als je het pragmatisch aanpakt, krijg je al snel overzicht. Als eerst moet je weten welke informatiesystemen je gebruikt, denk aan productiesystemen, facturatiesoftware, HR-applicaties, laptops, etc. Vervolgens kader je per systeem af hoe belangrijk de beschikbaarheid, integriteit en vertrouwelijkheid zijn. Op basis daarvan krijg je snel inzicht in hoelang een systeem daadwerkelijk kunt missen als deze plat gaat.Waarom je dit moet weten? Met deze helicopterview kun je ook de beveiligingsmaatregelen aanscherpen en krijg je meer zicht op wat je organisatie echt nodig heeft binnen een optimale cybersecuritystrategie.
Is zo’n ISO27001-certificering wel haalbaar voor onze organisatie? We hebben zoveel processen en systemen?
Zeker, je bedrijf of organisatie hoeft namelijk niet in zijn geheel gecertificeerd te zijn. Elk ISO 27001-certificaat heeft een eigen scope. Jij bepaalt welke processen of bedrijfsonderdelen je wilt meenemen in deze certificering. Meestal kiezen organisaties voor een klantleveringsproces. De bedrijfsonderdelen die daar onder vallen worden dan meegenomen in de scope. Ben je over specifieke onderdelen niet in controle, zoals werkzaamheden op klantlocaties of samenwerkingen met partners, dan is het logisch dat je deze onderdelen niet kunt certificeren.
We horen zo vaak, wat een gedoe. Hoe kunnen we de cyber security maatregelen praktisch maken voor onze medewerkers?
Uiteindelijk valt of staat alles met beleid. Heb je een duidelijke strategie, dan kun je de bedrijfsrisico’s goed uitleggen en bespreken wat de impact is voor de bedrijfscontinuïteit. Dat zorgt vaak voor draagkracht. Een goede uitleg is het halve werk. Vaak denken we te ingewikkeld. Een wat-te-doen-bij-een-incident-maatregel past gemakkelijk uitgeschreven achter op een bierviltje. Maak het compact. De ISO 27001-certificering bepaalt de norm, maar jij bepaalt een passende aanpak.
Hoe doe je een audit in één keer goed?
Helemaal perfect doe je het de eerste keer nooit. Ieders scope is uniek en het is vooral zaak dat je start met een solide basis. De eerste audit blijft dus altijd een beetje pionieren. Gelukkig wordt er tijdens een audit rekening gehouden met de duur van je certificering. Verbeteren is de kern van certificering, dus als je kunt aantonen dat je je zwakke punten proactief aanpakt, is er geen reden tot afwijzing.
Hoe draag je een cybersecuritystrategie goed over?
Vaak wordt een strategie bedacht door de security officer, en is het de directie of het management dat het beleid en de procedures vaststelt. Als jullie in deze fase van het proces zitten, hebben we maar één tip: maak het niet te gedetailleerd. Uiteindelijk verandert de techniek zo snel dat technische maatregelen niet het uitgangspunt kunnen zijn, maar slechts het middel om het beleid te bereiken. Het is vooral belangrijk dat je medewerkers begrijpen waar het beleid om gaat en weten wat er nodig is om het beleid te bereiken.
Kiezen voor een interne of externe auditor?
Uiteraard moet je, in het belang van een effectieve strategie, ervoor zorgen dat de slager nooit zijn eigen vlees keurt. Een objectieve blik is belangrijk, ook tijdens een interne audit. In een grote organisatie kunnen medewerkers deze auditorrol eventueel op zich nemen, maar de meeste bedrijven kiezen toch voor iemand extern. Een interne audit ben je verplicht volgens de norm. De externe audit, om daadwerkelijk het certificaat te krijgen, wordt gedaan door iemand die door de Raad van Accreditatie (RVA) is geaccrediteerd.
Volg je de Annex A volgens het boekje of kies je ervoor om je eigen controls te definiëren. Wanneer wel en wanneer niet?
De Annex A is een bijlage bij ISO 27001 en bevat de beheersmaatregelen op hoofdlijnen. Je kunt een deel van deze maatregelen uitsluiten, maar aan de meeste maatregelen moet je voldoen. Wel zijn dit slechts normen. Je kunt dus, passend bij je organisatie, zelf bepalen hoe je deze beheersmaatregelen vormgeeft.
Vaak zijn maar een paar processen binnen een organisatie ISO-gecertificeerd. Hoe kan ik dit als klant achterhalen?
Als klant mag je de certificering opvragen. Je kunt dan het certificaat inzien, waarop ook de scope vermeld staat.