Is ISO 27001 al relevant voor jouw bureau, of toch nog niet?
Bij veel digitale bureaus staat ISO 27001 ergens op een mentale lijst onder het kopje "later". Niet omdat men het niet belangrijk vindt, eerder omdat het in het hoofd hoort bij een ander soort bedrijf. Groter. Formeler. Met een security afdeling die nog helemaal niet bestaat. "Leuk voor straks, als we echt enterprise zijn". Het probleem met die gedachte is dat "later", in de praktijk meestal niet door jou wordt bepaald, maar door een klant. Bijvoorbeeld op het moment dat er een vragenlijst binnenkomt waar je niet op had gerekend. En dan is "later" plotseling "nu, en onder tijdsdruk". In dit artikel zetten we drie dingen recht: Wanneer wordt ISO 27001 eigenlijk relevant (en wanneer echt nog niet)? Wat is waar van het beeld dat ISO vooral papierwerk is? En hoe ziet zo'n traject er nou werkelijk uit, dag tot dag, voor de mensen die het ernaast moeten doen? Spoiler: dat is minder ingrijpend dan het in je hoofd is.
Wanneer wordt ISO 27001 relevant (en wanneer nog niet?)
Vergeet het idee dat er een magisch aantal medewerkers is waarop dit relevant wordt. Dat getal bestaat niet en de bureaus die erop wachten, wachten op iets dat nooit komt. Wat er wel bestaat, zijn drie concrete situaties. Herken je er één of meer, dan is ISO 27001 niet langer een gevalletje "later", dan is nu het moment.
De eerste is de meest voorkomende: je hebt je eerste vendor assessment ontvangen (en je verwacht dat er nog wel eens meer kunnen volgen). Een klant (meestal een grotere, of een klant met een eigen Governance, Risk & Compliance- of inkoopafdeling) stuurt een vragenlijst over hoe je met toegang, incidenten en data omgaat. Je beantwoordt hem, het kost een paar dagen aan uitzoekwerk, en je denkt: "dat was eenmalig". Dat is het bijna nooit. Het is het eerste signaal van een proces dat bij elke volgende vergelijkbare klant terug gaat komen.
De tweede is iets directer: er staat een security-clausule in een contract. Steeds vaker eisen klanten (vooral in aanbestedingen, of bij langere samenwerkingen) niet alleen dat je antwoorden geeft, maar dat je iets kunt aantonen. Soms expliciet ("leverancier dient te beschikken over ISO 27001 of gelijkwaardig"), soms impliciet via een lijst met eisen die in de praktijk neerkomt op hetzelfde. Op het moment dat dit in een contract staat, is de vraag niet meer óf je hier iets mee moet, maar vooral wanneer je het geregeld hebt.
De derde is minder acuut, maar daarom niet minder belangrijk: je bureau groeit richting enterprise-klanten. De markt waarin je nu actief bent (groter, professioneler, met eigen compliance-eisen) stelt dit type vragen standaard. Hoe fijn is het als je altijd op die vragen voorbereid bent?
En wanneer is het dan nog niet relevant? Als je bureau klein is, voornamelijk met mkb-klanten werkt die zelf ook geen vendor assessments doen, en je groeiambities richting enterprise (nog) niet concreet zijn. Dan is ISO 27001 weliswaar nog steeds geen "nee, nooit", maar wel een "nog niet nu” en dat is helemaal prima.
De papieren-tijger-mythe: waarom ISO niet betekent dat je alles opnieuw moet uitvinden
Meest gehoorde én begrijpelijke aarzeling: het beeld van ISO 27001 als een berg papierwerk die niets verandert aan hoe veilig je daadwerkelijk werkt. Beleidsdocumenten die in een map verdwijnen. Een certificaat aan de muur dat weinig zegt over de praktijk. Tijd die gaat naar het schrijven van dingen die niemand leest, in plaats van naar het werk zelf.
Die angst is niet onterecht, want slecht uitgevoerde trajecten bestaan en die laten inderdaad precies dit beeld achter. Maar de aanname die erachter zit, klopt meestal niet. De aanname is: "we moeten nu gaan doen wat ISO vraagt". En de praktijk is bij vrijwel elk bureau dat we tegenkomen: het grootste deel van wat ISO vraagt, gebeurt al.
Bureaus hebben toegangsbeheer (alleen staat nergens hoe het werkt). Ze lossen al incidenten op (alleen wordt er niets over vastgelegd). Er is iemand die feitelijk verantwoordelijk is voor beveiliging (alleen staat dat nergens zo). Dit is bijvoorbeeld wat we bijHandpicked Agencies zagen: een groep bureaus die al jaren serieus met data en systemen omging, maar steeds opnieuw moest uitleggen "ja, dat doen we, geloof ons maar" zodra een klant erom vroeg. De uitvoering was er. De bewijslast nog niet.
ISO 27001 is dan ook niet het opbouwen van iets nieuws van de grond af. Het is het zichtbaar maken van wat er al is, het invullen van de paar gaten die overblijven, en het organiseren van een ritme om dit actueel te houden. Een papieren tijger ontstaat pas wanneer een traject los komt te staan van hoe een bureau werkt, niet wanneer het precies beschrijft hoe een bureau al werkt.
Wat een audit daadwerkelijk toetst
Het woord "audit" doet bij veel mensen iets: het roept beelden op van een strenge schoolmeester met een checklist die langskomt om fouten te zoeken. De realiteit is minder dramatisch en eerlijk gezegd ook minder spannend.
Een ISO 27001-audit toetst in de basis één ding: doe je wat je zegt dat je doet, en kun je dat laten zien? De auditor kijkt niet naar of jouw beveiliging "perfect" is. Die lat bestaat niet en wordt ook niet gehanteerd. De auditor kijkt naar consistentie. Is er een proces voor toegangsbeheer en gebeurt dat ook zo in de praktijk? Wordt er bijgehouden of er incidenten zijn geweest en is er iets mee gedaan? Is er een vastgesteld beleid en weten de mensen die ermee moeten werken dat het bestaat?
In de praktijk betekent dat: gesprekken met een paar mensen uit de organisatie. Niet alleen de eigenaar van het ISMS, maar dus ook met iemand van operations of development. Steekproeven uit de documentatie. Klopt het toegangsoverzicht met wie er nu daadwerkelijk toegang heeft? Is het laatste incident terug te vinden in het logboek? Is het kwartaaloverleg waarin dit besproken wordt, ook echt vastgelegd?
Wat een audit nadrukkelijk niet is: een technische penetratietest, een beoordeling van je broncode, of een oordeel over of jouw tooling "goed genoeg" is. Het gaat over je systeem (in de brede zin van het woord) om jezelf te organiseren, niet over de techniek op zichzelf. Bureaus die hier het meest van schrikken, zijn vaak bureaus die dachten dat er naar iets heel anders gekeken zou worden dan waar ze goed in zijn.
Hoe het traject voelt in de dagelijkse praktijk
De vraag die hier eigenlijk achter zit, is: hoeveel van je tijd en die van je team gaat dit kosten en wat verandert er aan hoe we werken? Het korte antwoord is goed nieuws: minder dan je denkt, en minder dan je vreest.
Tijdens het traject zelf (de periode waarin het ISMS wordt opgebouwd, meestal zes tot negen maanden) is er meestal één persoon die de coördinatie op zich neemt. Niet fulltime, eerder een paar uur per week. Vaak iemand uit operations of techniek die dit naast het reguliere werk doet. Daarnaast zijn er een handvol mensen (een tech lead, soms een founder, soms iemand van HR voor het onboardingsproces) die af en toe worden betrokken voor hun eigen domein. De rest van het bureau merkt er weinig van, behalve misschien een korte sessie over bewustwording.
Na het traject, als het systeem staat, verandert het dagelijkse werk nauwelijks. Wat wél verandert: er is nu een vast ritme (meestal kwartaallijks) waarin kort wordt gekeken naar toegang, incidenten en eventuele wijzigingen. Er is een naam bij elk domein. En er is een plek waar dingen worden vastgelegd. Dat is, niet toevallig, exact dezelfde structuur die ook zonder ISO al waardevol is, alleen is het nu getoetst door een onafhankelijke partij. Dat geeft het net dat tikkeltje meer gewicht richting klanten.
Wat niet verandert: de tools die je gebruikt, de manier waarop je projecten draait, de cultuur van het bureau. Niemand krijgt een nieuwe titel met "compliance" erin. Het is geen reorganisatie. Het is een laag bovenop hoe je al werkt, die maakt dat je je veilige manier van werken kunt laten zien.
Niet meteen het traject (wel het gesprek)
Dit artikel is niet bedoeld om je nu meteen te overtuigen van een certificeringstraject. Het is bedoeld om de denkfout weg te nemen dat dit "voor later" of "voor grotere bureaus" is. Als je een van de drie triggers hierboven herkent, is de volgende stap niet meteen een traject, het is een gesprek waarin je samen met iemand die deze triggers ervaart, kunt bepalen of, en wanneer, dit voor jullie zinvol is.
Security voor Digital Agencies
ISO 27001 voor digital agencies die geen deals meer willen verliezen op security.