14 apr
Bij ThreadStone zijn we de afgelopen periode bezig geweest met het verkrijgen van de ISO 27001-certificering. Onze organisatie is volledig doorgelicht: een intensief proces. Natuurlijk waren wij als leverancier van cybersecurity-oplossingen erop gebrand om deze certificering te behalen. Adel verplicht immers.
ISO 27001 is een certificering voor organisaties die willen aantonen dat zij informatiebeveiliging serieus nemen en daarvoor beleid en maatregelen hanteren. Vaak gaat het om bedrijven die werken met vertrouwelijke gegevens, zoals de overheid, financiële instellingen en IT-bedrijven, of om leveranciers en partners die hierop van tevoren worden beoordeeld door deze bedrijven. De norm stelt specifieke eisen aan een gedocumenteerd Information Security Management System (ISMS).
Voor de meeste MKB-ondernemingen is zo’n certificering waarschijnlijk te omslachtig. Drie dagen een auditor over de vloer krijgen die alles controleert en bevraagt is best pittig. Bovendien moet je van alles op papier kunnen overleggen en kunnen aantonen dat je de Plan-Do-Check-Act-cyclus doorloopt om te laten zien dat informatiebeveiliging in de organisatie is ingebed.
Toch is zo’n certificering voor kleinere ondernemingen ook belangrijk. Als een keurmerk kan het klanten informeren over de betrouwbaarheid (‘dit bedrijf gaat veilig om met mijn persoonlijke gegevens’) en het kan ook letterlijk nieuwe opdrachten opleveren. Bij aanbestedingen heb je bijvoorbeeld altijd een streepje voor; tegenwoordig wordt de ISO-certificering of een gelijkwaardig ‘keurmerk’ ook steeds vaker als eis opgenomen in aanbestedingen.
Wij pleiten daarom voor de invoering van ISO 27001-light: een certificering die speciaal is toegespitst op kleinere ondernemingen die geen tijd en middelen hebben om uitgebreide documentatie op te stellen en bij te houden. Want misschien is dat voor kleinere organisaties ook niet eens nodig. Je zou bijvoorbeeld kunnen kijken of het volstaat om een medewerkershandboek Informatiebeveiliging te hebben, dat jaarlijks wordt geüpdatet, in combinatie met e-learnings en phishing-campagnes. En voor de technische kant zaken zoals een goede back-up en anti-virusbescherming, segmentering op het netwerk, regelmatig uitvoeren van patches, 2 factor-authenticatie, continue controle op kwetsbaarheden enzovoort.
Op die aspecten zou dan een grondige maar verkorte audit kunnen plaatsvinden, waarbij op een aantal basispunten wordt gecontroleerd. Op die manier stel je ook kleinere organisaties in staat om op een erkende manier aan te tonen dat zij bewust en zorgvuldig omgaan met informatiebeveiliging en cybersecurity.