Beveiligen of certificeren? Nee! Beveiligen en dan certificeren! Dat is de juiste volgorde.
Bij een certificering laat je zien dat je serieus over mijn security nadenkt. Dat betekent echter niet per definitie dat je veilig bent en rustig achterover kunt leunen. Door aan de minimale eisen die de ISO 27001 stelt te voldoen krijg je je certificering rond. Ben je dan ook echt veilig? Daar kan je wel een discussie over opzetten.
Eerst beveiligen, dan certificeren
Veel bedrijven hebben de wens om zich voor ISO 27001 te certificeren. Die wens is gedreven voor contractuele verplichtingen. Bedrijven stellen vaak de eis dat de leverancier aantoonbaar haar informatiebeveiliging op orde heeft. Die aantoonbaarheid komt tot uiting in een ISO 27001 certificering. ISO 27001, (bijlage 1), geeft hoog over richtlijnen waaraan je moet voldoen om je informatiebeveiliging in te richten.
Wat je ziet gebeuren is dat er een drive ontstaat om de auditor ter wille te zijn. “Alles” voor de audit… Neem een voorbeeld. Er moeten risico analyses uitgevoerd worden. OK, we doen een Business Impact Analyse over de applicaties die we hebben draaien. De gemiddelde auditor zal afvinken dat er risico analyses uitgevoerd zijn. Wat ontbreekt echter is de dreigingen en kwetsbaarheden analyse. Wat ontbreekt is de maatregel analyse. Wat ontbreekt is de GAP-analyse waarin vastgesteld wordt welke maatregelen al genomen zijn en wat er nog moet gebeuren. Welke bedrijfsprocessen maken gebruik van die software en de data die daarin opgeslagen is?
Een ander voorbeeld is de eis dat Identity & Access management is ingericht. Dat kan op vele manieren. Ieder een eigen account. Ieder kan alle data benaderen. We vertrouwen onze medewerkers immers? Of hebben we het netwerk in segment verdeeld. Kan de medewerker uitsluitend bij de data die hij/zij voor het werk nodig heeft? Is Zero Trust geïmplementeerd?
Wat wil ik hier nu mee zeggen? Natuurlijk er zijn voldoende redenen om voor een certificering te gaan. Maar prioriteit 1 moet zijn te gaan voor de best mogelijke beveiliging van je bedrijfsbelangen. Als je dat namelijk nastreeft, dan is die certificering geen enkel probleem. Breng je bedrijfsprocessen in kaart. Begin bij de belangrijkste (“Low-hanging-Fruit”) en werk dan naar de lager geprioriteerde zaken toe. Beveilig de fysieke omgeving en de infrastructuur en focus dan op alles wat daar binnen gebeurd. Eerst de buitenkant, dan de onderliggende lagen en in de kern ligt de meest kwetsbare data. De data in het rekencentrum (of in de Cloudomgeving) dat is waar je bedrijf door bestaat.
Wat je uiteindelijk wil beveiligen is het voortbestaan van je bedrijf. Natuurlijk neem je dat serieus. In de huidige tijd, waarin aanvallen van binnenuit en van buitenaf ook uw bedrijf kunnen treffen, moet je wel naar je informatiebeveiliging kijken. Doordat van de grond af aan goed op te pakken en de juiste beveiligingsmaatregelen te nemen, voldoe je automatisch ook aan die ISO norm. De ISO is gewoon een erg goed hulpmiddel om te kijken of je niets belangrijks vergeten bent. Maar staar je niet blind op die auditor en gebruik vooral je gezonde verstand als het er op aankomt wat en hoe je investeert in beveiligingsmaatregelen.
Voor meer informatie, lees mijn Whitepaper
Zou een onafhankelijk blik en hulp welkom zijn? Neem dan contact met mij op.
