‘Certificering van cruciaal belang voor informatiebeveiliging’

DNV

“Natuurlijk weet iedere business manager dat informatiebeveiliging van cruciaal belang is voor zijn of haar organisatie”, zegt Rob Jansen, Lead Auditor bij DNV GL - Business Assurance. “Toch lukt het vaak niet om tot een systematische aanpak te komen. Ik denk dat daar misschien nog wel de grootste waarde van een certificering op basis van ISO 27001 en NEN 7510 zit: het ‘dwingt’ een organisatie als het ware om structuur en systematiek aan te brengen in de informatiebeveiliging.”

Een systeem voor informatiebeveiliging opzetten op basis van een formele norm geeft structuur aan de aanpak die een organisatie op het gebied van IT-security toepast, meent Rob Jansen. Hij is werkzaam bij DNV GL. Deze organisatie verzorgt certificering en trainingen op basis van onder andere ISO 27001 en NEN 7510.

Concrete maatregelen

“Deze standaarden zijn heel concreet. Ze geven een reeks van ‘beheersmaatregelen’ aan die de organisatie helpen om grip te krijgen op risico’s”, vertelt Jansen. “Ook helpen deze normen om een goede beoordeling en analyse van deze risico’s tot stand te brengen. Een certificering is hierbij een belangrijk hulpmiddel. Het is het bewijs dat de organisatie over informatiebeveiliging heeft nagedacht en de beheersmaatregelen goed heeft geïmplementeerd. Het certificaat geeft dus aan dat er binnen de organisatie sprake is van een goed functionerend managementsysteem voor informatiebeveiliging. Daarnaast geeft een certificering de organisatie de mogelijkheid om met regelmaat vast te stellen in hoeverre men nog altijd een goede grip op de risico’s heeft.”

Steeds meer organisaties kiezen voor een formele certificering op basis van ISO 27001 en NEN 7510. Toch zien we in de praktijk dat er nog volop vragen bestaan over certificering. Bijvoorbeeld over de kosten, maar ook over de rol die de certificerende instantie nu precies vervult. Beperkt deze organisatie zich puur tot het certificeren? Of geeft men ook advies en helpt men veranderingen door te voeren?

Proactief aanpakken

“Veel business managers zijn zich de afgelopen jaren bewust geworden van het belang van informatiebeveiliging. Een belangrijke reden daarvoor is dat de impact van een security incidenten steeds hoger uitvallen”, legt Jansen uit. “Het is dan ook logisch dat men is gaan nadenken over de vraag hoe men de impact van deze incidenten kan terugdringen. Dan blijkt dat proactief een systeem van informatiebeveiliging opzetten een efficiënte manier van werken is doordat de impact van incidenten sterk kan worden beperkt en als het onverhoopt toch mis gaat, erover nagedacht is hoe men dient te reageren.”

Jansen schaart onder de impact van een beveiligingsincident overigens niet alleen de financiële kosten, zoals uitgaven voor de extra inzet van medewerkers of externe deskundigen en bijvoorbeeld eventuele extra softwarelicenties en hardware. Ook het verlies van intellectual property en reputatieschade spelen een belangrijke rol. De kosten van het opzetten en certificeren van een managementsysteem voor informatiebeveiliging vallen hierbij in het niet, meent hij.

Duidelijke rol

De rol van DNV GL bij het opzetten van dit soort managementsystemen kunnen spelen, is volstrekt duidelijk, zegt Jansen: “Wij beoordelen op verzoek van organisatie de aanpak die men heeft gekozen, evenals de implementatie van de beheersmaatregelen die in ISO 27001 en NEN 7510 zijn gedefinieerd. Geven wij vervolgens een certificaat af, dan betekent dit dat wij hebben vastgesteld dat men voldoet aan de eisen die in de norm zijn vastgelegd.”

Het kan natuurlijk gebeuren dat gedurende dit beoordelingstraject enkele verbeterpunten naar voren komen. In dat geval overhandigen wij deze lijst met aandachtspunten aan de organisatie waarvoor wij de beoordeling hebben gedaan. Het is echter aan die organisatie zelf om deze punten aan te pakken. Dat kunnen zij zelfstandig doen of in samenwerking met een andere partij. Wij als onafhankelijke certificerende instantie spelen hierbij echter geen rol.”

Waarom is accreditatie belangrijk?

In feite mag elke instantie met een onafhankelijke toezichthoudende commissie van deskundigen organisaties toetsen en daarvan een certificaat afgeven. De vraag is wat de waarde is van zo’n toetsing. Accreditatie is belangrijk omdat de Nederlandse Raad voor Accreditatie (RvA) internationaal erkend is als onpartijdig en onafhankelijk toezichthouder van internationale normen, waarbij vooral gelet wordt op de deskundigheid, onpartijdigheid, onafhankelijkheid en verbetercultuur van een certificerende organisatie. DNV GL is bevoegd om het accreditatiemerk op certificaten te hanteren, waardoor de klant - maar ook zijn klanten - het vertrouwen heeft dat de toetsing juist heeft plaats gevonden met het ultieme doel om internationale handel te bevorderen.

Een certificaat op basis van ISO 27001 en NEN 7510 is drie jaar geldig. Hierbij is het wel goed om te weten dat er een maal per jaar een periodieke audit dient te worden gedaan om vast te stellen in hoeverre het managementsysteem voor informatiebeveiliging van de gecertificeerde organisatie nog steeds naar behoren functioneert. “Veel organisaties zijn continu in beweging, waarbij processen veranderen, medewerkers andere taken en verantwoordelijkheden krijgen, noem maar op. Het is daarom goed om periodiek vast te stellen of het managementsysteem nog altijd goed functioneert.”

Certificering helpt bij AVG

DNV GL heeft inmiddels enkele honderden organisaties in Nederland gecertificeerd op basis van ISO 27001 en NEN 7510. Jansen: “In eerste instantie zagen we vooral belangstelling vanuit de ICT-sector zelf. Vaak combineerde men dit met een kwaliteitssysteem op basis van ISO 9001. Inmiddels zien we een sterk toegenomen belangstelling voor certificering in vrijwel iedere branche. Interessant is ook om te zien dat voorheen vaak werd gedacht dat ISO 27001 en NEN 7510 alleen relevant waren voor grote organisaties, tegenwoordig certificeren wij ook steeds meer bedrijven uit het MKB.”

Een laatste punt dat Jansen wil aanstippen, is de relatie tussen ISO 27001 en GDPR ofwel de Algemene Verordening Gegevensbescherming (AVG). “Dat is voor veel organisaties momenteel een belangrijk punt van aandacht. ISO 27001 stelt dat de organisatie moet voldoen aan alle relevante wet- en regelgeving. Dus ook de Algemene Verordening Gegevensbescherming. Een organisatie die zichzelf wil laten certificeren voor een managementsysteem voor informatiebeveiliging zet daarmee dus ook een hele belangrijk stap richting het voldoen aan de wet- en regelgeving omtrent AVG.”

Certificeren in tien stappen

Om tot een certificering op basis van NEN 7510 te komen, doorloopt een organisatie een proces van tien stappen. Interessant genoeg maakt het hierbij niet uit of deze organisatie nu heel klein is (zeg: 10 tot 15 mensen) of juist heel groot. Dit zijn de tien stappen:

  • Stap 1 - Maak kennis met NEN 7510 en ISO 27001
  • Stap 2 - Zorg voor ondersteuning vanuit het management
  • Stap 3 - Bepaal het beleid voor informatiebeveiliging
  • Stap 4 - Stel een methode voor risicobeoordeling vast
  • Stap 5 - Identificeer, analyseer en beoordeel risico’s
  • Stap 6 - Bepaal de beheersmaatregelen en de doelstellingen voor de risicobehandeling
  • Stap 7 - Maak het definitieve implementatieplan
  • Stap 8 - Train de medewerkers en wijs middelen toe
  • Stap 9 - Voer interne audits, beoordelingen en verbeteringen uit
  • Stap 10 - Start een certificeringstraject
Lees ook
Redactie InfosecurityMagazine blikt terug op eerste editie van OrangeCon

Redactie InfosecurityMagazine blikt terug op eerste editie van OrangeCon

De afgelopen periode was de banner van OrangeCon duidelijk zichtbaar op de website van InfosecurityMagazine. Het kosteloos promoten van die bijeenkomst was een bewuste keuze. Nieuwe serieuze events, met een duidelijke focus op de Nederlandse markt, zijn meer dan welkom. Dit event was naast serieus ook nog eens een succes

Zomercolumn: waarom veilig informatiebeheer belangrijker is dan ooit

Zomercolumn: waarom veilig informatiebeheer belangrijker is dan ooit

Wereldwijd verplaatsen bedrijven hun gegevens en documentatie steeds meer naar cloud- of webgebaseerde platforms om hun workflows te stroomlijnen en de beveiliging van hun data te verbeteren. Naarmate de technologie zich ontwikkelt, nemen ook de cyberdreigingen toe die voor grote ontregeling zorgen.

Enterprise Shield van Lucid Software helpt organisaties met databeveiliging en compliance

Enterprise Shield van Lucid Software helpt organisaties met databeveiliging en compliance

Lucid Software, leider in software voor visuele samenwerking, introduceert Enterprise Shield. Deze module biedt een extra beveiligingslaag en gedetailleerde controlemechanismen waarmee het al zeer veilige platform voor samenwerking van Lucid verder kan worden versterkt.