MSP Kennisbank

De zin en onzin van ISO 27001 certificering

Het is voor Managed Service Providers een gewilde prijs een ISO 27001-certificering. Eerlijk gezegd willen we niet door alle hoepels heen springen maar het certificaat is goud waard. Het papiertje wordt gevraagd bij aanbestedingen en bij uitvragen en je hebt alles aantoonbaar, een onafhankelijke auditor heeft tenslotte vastgesteld dat de organisatie voldoet aan de best practices zoals neergelegd in deze internationale standaard. Maar waarom zou je als MSP of ICT dienstverlener een certificering willen?

Interesse voor de ISO 27001 is enorm toegenomen nadat de GDPR actief in werking is getreden, dit in combinatie met met de aandacht voor cybersecurity en privacy in de media – daar is de afgelopen jaren geen gebrek aan geweest. Iedereen is, ook privé, weleens geconfronteerd met virussen, ransomware en phishingmails.

Cybergijzelingen en ransomware worden steeds normaler. Criminelen kunnen ransomware als een abonnement online kopen en de maker van de software deelt mee in een eventuele buit. Moest je vroeger nog verstand van coderen en ICT hebben, nu wordt het cybergebied steeds meer betreden omdat je met relatief weinig risico veel geld kunt verdienen.

De invoering van de GDPR aka AVG en datalekken bij bedrijven maken dat vrijwel iedereen de mening deelt dat beveiliging van informatie belangrijk is. Vroeger was het vooral voorbestemd voor grote bedrijven en banken, de nieuwe doelgroep is juist de Managed Service Provider. Om via hun systemen de apparaten van eindklanten over te nemen.

Waarom certificeren?

Je kunt als MSP handelen naar de maatregelen die genoemd zijn in de ISO 27001 zonder een certificering na te streven. Certificeren is niet verplicht, waarom dan wel doen?

Er zijn wel wat voorbeelden aan het behalen van een ISO 27001-certificering. Zo zoeken klanten zekerheid en hoe fijn is het als je met een ISO 27001-certificaat kunt wapperen? Ook de AVG vraagt, voor wat betreft individuen, expliciet dat ‘persoonsgegevens […] door het nemen van passende technische of organisatorische maatregelen op een dusdanige manier worden verwerkt dat een passende beveiliging ervan gewaarborgd is, en dat zij onder meer beschermd zijn tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging (integriteit en vertrouwelijkheid)’.  Je moet het simpelweg van de GDPR aan kunnen tonen dat je spullen op orde hebt, met een ISO 27001-certificering is dit gemakkelijk te doen.

Ook bij offertetrajecten en aanbestedingen is het ISO 27001-certifcaat steeds meer onmisbaar geworden. Je hebt met het certificaat een streepje voor op je collega’s als zijnde een professionele en betrouwbare partij.

Certificeren

Als je als Managed Service Provider hebt besloten dat je een ISO 27001-certificering wilt behalen, hoe pak je dat dan op?

Het is belangrijk dat directie dit serieus neemt en volledig steunt. Zonder de steun van directie is het gedoemd te mislukken, zorg dus dat er commitment is door de hele organisatie. Het is ook belangrijk dat er voldoende tijd is, zorg er dan ook voor dat iemand binnen je bedrijf hier tijd voor heeft en maakt, dit mag ook een groep mensen zijn.

Veel Managed Service Providers hebben geen moeite met het technische gedeelte en de praktische implementatie. Ze zijn gewend te documenteren en techniek is hun dagelijkse werk. Waar je op moet letten is dat je iemand in huis hebt of haalt die je kan helpen om een praktische vertaalslag te maken van de maatregelen uit de ISO 27001. Bij veel implementaties zijn we namelijk meer bezig om het simpel te houden dan dat bedrijven te weinig doen. Let wel op: Het is een continue proces. Behalen is prima te doen met alle focus en aandacht van het moment, behouden is de uitdaging.

ISO 27001 behouden

Het hebben van een ISO 27001-certificering is uiteraard helemaal top! Zo heeft de security officer nu een stok om mee te slaan als er zaken niet goed zijn, wat van de ISO moet het en de externe auditor komt er volgend jaar ook weer aan.

De risicoanalyse helpt hier enorm bij en geeft je focus. Je neemt maatregelen die passend zijn bij het risico en waarbij de risico-eigenaar de verantwoordelijkheid en mogelijkheden heeft om het risico te beheersen, migreren of accepteren.

Wees dus niet bang om het ISO 27001 certificaat te behalen, maar het is wel een serieuze spiegel. Wil je echt verbeteren dan is het een ideaal hulpmiddel. Wil je alleen op voor het papiertje dan kan het misschien nog een uitdaging worden. In offertetrajecten heb je in ieder geval altijd een stapje voor.