Vijf voordelen van een ISO 27001 certificaat
Even beginnen bij het begin: ISO 27001 is de internationale norm voor informatiebeveiliging. De norm biedt een kader om de beveiliging van informatie in je organisatie op orde te krijgen en te houden. Dat betekent dat je met een certificaat op zak, aan kunt tonen dat je de vertrouwelijkheid, beschikbaarheid én integriteit van (bedrijfs)informatie beschermt. Maar ook dat je de continuïteit waarborgt. En, tot slot, dat je zicht hebt op mogelijke beveiligingsrisico’s in je organisatie, deze aanpakt en monitort.
Op basis van een managementsysteem voor informatiebeveiliging, richt je aan de hand van 114 controls beleid, protocollen, procedures en systemen in, om informatie optimaal te beveiligen. Deze controls worden ondersteund door een 7 hoofdstukken tellend High Level Structure. Een structuur met kernelementen die voor alle ISO-certificeringen wordt gebruikt, om normen beter op elkaar aan te laten sluiten. ISO 27001 is geschikt voor alle organisaties die informatiebeveiliging naar een volgend niveau willen tillen én dat willen kunnen aantonen. Mooi en aardig allemaal, maar wat zijn nou eigenlijk echt voordelen van zo’n implementatie? In dit artikel bespreken we de vijf belangrijkste.
#1 Klanten binnenhalen én binnenhouden
Meer en meer organisaties stellen een ISO 27001 certificering als ingangseis om überhaupt te kunnen samenwerken. Aangescherpte wetgeving zoals de AVG* (en haar internationale evenknie GDPR**), een steeds mondigere consument, het groeiende aantal cyberaanvallen en datalekken; het zorgt er allemaal voor dat organisaties hun privacy en informatiebeveiliging nog beter op orde willen én moeten hebben. En dat in de hele keten van de dienstverlening, dus ook bij partner en leveranciers. Dat betekent dat het voor jouw organisatie noodzakelijk kan worden om ISO 27001 gecertificeerd te raken, om business te kunnen binnenhalen én binnenhouden. Daar zit natuurlijk ook gelijk een kans in; je kunt een voordeel behalen ten opzichte van je concurrenten die nog geen heil zien in het behalen van een ISO 27001 certificaat. Een mooie reden dus, om direct met de implementatie te gaan starten en een voorsprong te pakken.
#2 Zicht op beveiligingsrisico’s
Alles begint met het in kaart brengen van de risico’s in jouw bedrijf. Welke informatie is aanwezig en wie kan erbij? Hoe waarschijnlijk is het dat daar iets misgaat? Van welke systemen is je organisatie afhankelijk, en daarmee van welke dienstverleners? Zijn er alternatieven bij storingen of calamiteiten? En hoe snel kunnen deze worden geactiveerd? Door met elkaar te kijken naar alle risico’s én deze te prioriteren, ontstaat er een praktische to do lijst om aan de benoemde beveiligingsrisico’s te werken. Zo’n lijst levert je ook inzichten op, waar nog kansen liggen. Of om te kijken waar je het bijvoorbeeld beter kunt doen dan je concurrenten. Om een mogelijk risicovol proces om te buigen naar een proces wat meerwaarde oplevert. Werken vanuit die risico-inventarisatie, geeft zo onmiddellijk richting aan beleid én prioriteit. En daarmee pak je de belangrijkste zaken, als eerste aan.
#3 Beleid maken en processen vastleggen
Vanuit de geïnventariseerde risico’s, ga je bepalen hoe je deze gaat aanpassen. Dat kan betekenen dat je een kleine aanpassing in een systeem moet doen. Of dat je een proces moet implementeren of vastleggen om te borgen dat iedereen op dezelfde manier omgaat met informatie. Kortom; je bepaalt beleid en zorgt voor bijpassende werkbare processen.
We zien bij veel organisaties dat bedrijfsprocessen met de tijd zijn geëvolueerd en/of bij medewerkers in het hoofd zitten. Maar staan ze ook ergens? Zijn ze voor elke nieuwe medewerker 100% helder? En hoe lopen de informatiestromen nou precies? Het in kaart brengen van de processen helpt je niet alleen om de risico’s beter in te schatten (waar we bij het vorige voordeel over spraken), maar het kan je ook helpen aan nieuwe inzichten. Zijn die processen nog wel zo efficiënt? Welke informatie is er in welke stap van het proces daadwerkelijk nodig? Kunnen er misschien stappen uit? Zo leidt de analyse van je bedrijfsprocessen, met de juiste aanpak, tot verbeterpotentieel wat verder gaat dan goed beveiligde informatie alleen.
#4 Bewustzijn vergroten
Dus je hebt de risico’s in kaart. Oplossingen bedacht om de risico’s te verkleinen. Systemen aangepast en processen geoptimaliseerd. Dan nog staat of valt de veilige omgang met informatie bij de laatste schakel: de mens. Om ervoor te zorgen dat je ‘human error’ zoveel mogelijk beperkt, moet je aan de gang met Security Awareness.
De manier waarop je dit inzet, kun je zelf bepalen, maar waar het om gaat, is dat je structureel aan de slag gaat met je medewerkers bewust te maken van mogelijke veiligheidsrisico’s én hoe daarmee om te gaan. Dit goed organiseren, betekent dat je met elkaar minder vatbaar wordt voor diverse risico’s. Dat men minder snel ingaat op phishing mails, minder snel verkeerde bijlages opent, of CEO-fraude sneller herkent. Maar ook dat je de kans op een uitbraak van gijzelsoftware beperkt.
De menselijke component is een vaak onderschatte, maar grote oorzaak van beveiligingsincidenten. Voldoen aan de norm, stimuleert een bewustzijnsbeleid met structureel aandacht voor informatiebeveiliging. Zo beperk je de ‘human error’ tot een minimum. En dat geeft absoluut meer vertrouwen.
#5 Je beveiliging aantoonbaar op orde maakt jouw organisatie meer waard
Het fijne aan voldoen aan een internationaal erkende norm als ISO 27001, is dat je zonder veel extra uitleg kunt aantonen dat je informatiebeveiliging goed op orde hebt. Sommige organisaties claimen al te werken volgens de methodiek, of hebben hun eigen manier ontwikkeld om met informatiebeveiliging aan de gang te gaan, maar kunnen geen certificaat overleggen om dat te bewijzen. Hoewel we elk initiatief richting een betere informatiebeveiliging alleen maar toejuichen, is de beoordeling van de kwaliteit dan natuurlijk nogal arbitrair. Want heb je het wel echt in orde? En volgens wie? Een ISO 27001 certificaat zorgt ervoor dat je dat kunt aantonen, omdat een externe auditor jouw bedrijfsprocessen heeft doorgelicht. Behaal je je ISO 27001 certificaat, dan heb je daarmee aantoonbaar de juiste maatregelen en processen ingericht, om binnen je organisatie informatie optimaal te beveiligen. Met de vastlegging van de processen en als bewijsstuk het certificaat, wordt immateriële waarde en kennis tastbaar. Hierdoor wordt jouw organisatie ook nog eens meer waard.
De bijvangst van een implementatie
Wij geloven erin dat ISO 27001 je meer oplevert, als je ook er met een bedrijfskundige bril naar kijkt. Dus enerzijds kijken naar hoe jouw specifieke bedrijfsprocessen passen in de norm, maar óók kijken naar hoe die bedrijfsprocessen jouw organisatie überhaupt dienen. Met alle belanghebbenden aan tafel tijdens een ISO 27001 implementatie, is het een mooi moment om nog eens kritisch met elkaar te kijken naar de effectiviteit van je processen. En zo wordt dat certificaat aan de muur, veel meer dan een bewijs van een goede informatiebeveiliging alleen: het wordt een middel om kennis, efficiency én kwaliteit te vergroten.
Benieuwd hoe onze pragmatische aanpak andere organisaties heeft geholpen met ISO27001 én efficiëntere bedrijfsvoering? Lees de testimonials hier, of neem contact met ons op!
* Algemene Verordening Gegevensbescherming. Wikpedia
** General Data Protection Regulation. Wikipedia
