We zijn het er allemaal wel over eens dat informatiebeveiliging van groot belang is. Zeker als je veel informatie en gegevens verwerkt. De ISO 27001 staat vol met eisen en richtlijnen, maar we zijn geneigd in een soort van kramp te schieten en uiteindelijk soms onnodige maatregelen te nemen. En da’s natuurlijk zonde van de kosten en de moeite. Op basis van een ISO 27001 risicoanalyse en de context van je organisatie bepaal je welke onderdelen jouw aandacht vragen. Stiekem heb je waarschijnlijk al best veel zaken op orde.
Het nut van een ISO 27001-certificaat.
Allereerst, gevoelige informatie en gegevens moeten beveiligd worden. Punt. Maar alles moet wel in proportie zijn. Een taxibedrijf hoeft niet dezelfde zware beveiligingsmaatregelen te nemen als een huisartsenpraktijk, bijvoorbeeld.
Maar als je op regelmatige basis veel gegevens verwerkt die niet in verkeerde handen mogen vallen, is het een goed idee om een serieus na te denken over het beveiligen van je informatie.
In principe alle ICT dienstverleners in Nederland beginnen met de de ISO 27001 norm, regelmatig gecombineerd met de NEN 7510 en/of ISO 9001, voor informatiebeveiliging. Een internationale norm, of eigenlijk keurmerk, die dus wereldwijd erkend en gebruikt wordt. Opvallend is dat in deze norm de mens centraal staat. En dat is maar goed ook, want uiteindelijk blijkt vaak (het gedrag) van de mens de zwakste schakel. Technische maatregelen zijn makkelijk te bepalen en in te richten, maar gedrag niet. ISO 27001 geeft daarom richtlijnen over het procesmatig inrichten van informatiebeveiliging, zowel offline als online.
Om het 27001-certificaat te krijgen moet je kunnen aantonen dat je gevoelige informatie beveiligt, zoals dat in de norm omschreven staat.
Risicoanalyse voorbereiding
Het begint uiteraard allemaal met de intentie je informatie goed te willen beveiligen. Een beslissing op directieniveau. Maar er is natuurlijk geen bedrijf dat dat niet wil. Je wilt gewoon niet gehackt worden, je wilt niet dat gevoelige informatie makkelijk voor het grijpen ligt.
De ISO 27001 schrijft veel maatregelen voor maar je hoeft niet elke maatregel te implementeren. Je beveiligt/neemt maatregelen voor de risico’s die voor jouw organisatie gelden op basis van je context en relevante risico’s. Om die risico’s in kaart te brengen voer je een risicoanalyse uit. Je weet dan ook meteen waar de risico’s nou echt liggen en kunt zo ook goed inschatten wat jullie met jullie eigen bedrijfscultuur eraan kunnen doen om ze te beheersen. Met deze kennis richt je vervolgens een informatiebeveiligingssysteem (ISMS) in. Ook dat is een eis uit de ISO 27001-norm.
Klinkt allemaal omslachtig? Juist focussen op een doordachte risicoanalyse met relevante risico’s maakt dat je niet rondrent als een kip zonder kop maar dat iedereen zich focust op risico’s die actueel zijn en er toe doen. Je komt er dan ook gelijk achter welke zaken er al prima op orde zijn en waar je nog (veel) aandacht aan moet besteden. In veel gevallen is in ieder geval de basis op orde en kan een goede adviseur jullie huidige werkwijze, procedures, systemen en automatisering gebruiken als basis. Met kleine optimalisaties zijn zaken dan al snel op orde.
Scope van de certificering bepalen
De ISO 27001 scope geeft aan waarvoor je het ISO-certificaat precies wilt gaan behalen. Alle bedrijfsonderdelen die je uit de scope laat, gaan niet mee in de certificering. Het is dus erg belangrijk dat je hier goed over nadenkt. Maar eigenlijk is ons advies om altijd je hele organisatie binnen de scope te laten vallen.
Een smallere ISO 27001 scope is niet goedkoper, sneller of makkelijker
Een kleinere scope betekent namelijk niet dat certificeren voor ISO 27001 makkelijker of sneller gaat. Sterker nog, voor je certificering betekent het dat de afdelingen buiten de scope ook als buitenstaander gezien moeten worden. Daardoor staan ze op gelijke voet met een klant, leverancier of partner en krijgen ze beperkte of zelfs geen toegang tot de informatiestroom die bínnen de scope valt. Het levert dus vooral meer gedoe op.
Soms kan de scope niet eens verkleind worden. Als medewerkers van de ene afdeling die binnen de scope valt, in dezelfde ruimte zitten als medewerkers van de andere afdeling die buiten de scope valt, bijvoorbeeld. Of wanneer iedereen van hetzelfde netwerk gebruik maakt, zonder splitsing. Het hele bedrijf binnen de scope is dus gewoon het makkelijkst, mits haalbaar uiteraard.
Als het simpelweg teveel is om ineens te doen adviseren we om te focussen op de belangrijkste afdelingen, producten of processen. Maar bij ICT dienstverleners in Nederland is altijd het advies: Niet moeilijk doen, gewoon de hele scope (behalve softwareontwikkeling dan).
Een onderwerp voor iedereen
Informatiebeveiliging is een onderwerp dat alle afdelingen van de organisatie aangaat. Je betrekt ze daarom ook allemaal bij de risicoanalyse, zodat je zeker weet dat alle mogelijke risico’s aan het licht komen. Dit zorgt ook voor een breed draagvlak van de uiteindelijke, omdat iedereen zich gehoord voelt.
De risicoanalyse voer je vervolgens uit op alle processen van je organisatie. Van receptie tot productie en van management tot beleidvorming; iedereen komt aan de beurt.
De eisen van de ISO 27001
In hoofdstuk 5 van ISO 27001 staan de eisen voor het vaststellen van het informatiebeveiligingsbeleid. Het zijn heel algemeen geformuleerde eisen, maar dat is expres, want je moet er als organisatie je eigen eisen van kunnen maken.
De term eigen eisen staat ook echt zo genoemd in de norm en gaat over de manier waarop een organisatie vanuit haar eigen risico’s, doelstellingen en verplichtingen zélf invulling geeft aan de eisen van hoofdstuk 5 t/m 10 en aan de beheersmaatregelen in Annex A (ISO 27002).
Je stelt dus aan de hand van de ISO 27001 een informatiebeveiligingsbeleid vast dat bij je bedrijf past. De richtlijnen uit de ISO 27001 vormen een goede basis. De ISO 27001 vertelt je bijvoorbeeld niet hóe je datalekken voorkomt, maar wel dat je ze moet voorkomen.
Een andere belangrijke eis is een helder omschreven risicobeoordelingsproces. De norm eist dat de risico’s regelmatig opnieuw beoordeeld worden. Vaak kunnen organisaties wel de resultaten van zo’n beoordelingsproces laten zien, maar niet het proces zelf. En juist met een procesbeschrijving kun je laten zien dat die resultaten ook valide zijn.
ISO 27001 Risicoanalyse stappenplan
Hoe bepaal je nou je eigen eisen? De ISO 27001 heeft een bijlage, Annex A, met daarin alle beheersmaatregelen. Deze lijst is een norm op zichzelf, namelijk de ISO 27002. In de lijst staan veelvoorkomende risico’s,
referentiebeheerdoelstellingen en beheersmaatregelen. Als je deze lijst als basis neemt voor je risicoanalyse, weet je dat je alle belangrijke onderdelen gehad hebt.
Zoals eerder gezegd, is het aan te raden alle afdelingen hierbij te betrekken, zodat er een compleet overzicht is van alle mogelijke dreigingen.
Risicoanalyse ISO 27001 Stappenplan
- Vul per proces in welke dreigingen van toepassing kunnen zijn.
Wees zo volledig mogelijk, in de volgende stappen moet je namelijk concreet aan kunnen geven hoe groot het risico is. Bij een vage beschrijving is dat erg lastig.
‘Malware’ is geen goede omschrijving. Geef aan waar de malware zich bevindt en wat het gevolg ervan is: ‘Door malware op onze productiesystemen kunnen klanten niet meer over hun gegevens beschikken.’ Nu is duidelijk wat precies de ongewenste situatie is die je wilt voorkomen. - Benoem risico-eigenaren
Wijs alle dreigingen toe aan een risico-eigenaar. Deze personen zijn eindverantwoordelijk en bevoegd voor de genoemde dreigingen.
Het zijn ook personen die kennis hebben van de processen waar de dreiging voor geldt. Voorkom dat de directie uiteindelijk overal als risico-eigenaar genoemd wordt. Zij zijn misschien wel eindverantwoordelijk, maar niet altijd in staat de risico’s ook echt te managen. - Vul per dreiging in wat de kans is dat dit zich voordoet.
Een ‘grote’ of ‘kleine’ kans zegt niet zo veel. Dit hangt af van het soort bedrijf, interpretatie en omgevingsfactoren. Wat voor het ene bedrijf een grote kans is, is voor een ander bedrijf misschien maar heel klein. De criteria moeten dus meetbaar zijn. Een voorbeeld daarvan:
Kansniveau Frequentie
Zeer laag Kan 1 x in de 10 jaar voorkomen
Laag Kan 1 x in de 5 jaar voorkomen
Midden Kan 1 x per jaar voorkomen
Hoog Kan 5 x per jaar voorkomen
Zeer hoog Kan 10 x per jaar voorkomen - Vul per dreiging in wat de impact is als het zich voordoet.
De impact of schade die de dreiging met zich meebrengt is bijvoorbeeld uit te drukken in geld (financiële schade), imagoschade en/of gezondheidsschade. Ook deze moet meetbaar gemaakt worden:
Impactniveau Financiële schade
Zeer laag €0 – €1.000
Laag €1.001 – €5.000
Midden €5.001 – €10.000
Hoog €10.001 – €50.000
Zeer hoog €50.001 – €100.000
Bij het bepalen van de impact moeten ook de eventuele domino-effecten van een risico worden meegenomen. Het ene gevolg kan ook weer volgende risico’s met zich meebrengen. - Bereken de risicowaarde: kans op impact x risicowaarde
In deze stap bereken je per dreiging de risicowaarde aan de hand van de meetbare criteria uit de vorige twee stappen. Door ze met elkaar te vermenigvuldigen, kom je op een ‘maximale schade per jaar’
Je vermenigvuldigt elke kans op impact met elke risicowaarde:
Zeer laag x Zeer laag
Zeer laag x Laag
Zeer laag x Midden
Enz. - Bepaal de risicoacceptatiecriteria
In hoeverre ben je als organisatie bereid elk beschreven risico te nemen? Dit hangt af van je eigen beleid en doelstellingen, de eisen van de belanghebbenden en de kosten-batenafweging.
- Geef per dreiging aan welke beheersmaatregel van toepassing is
Wat moet er gebeuren om de genoemde dreigingen zo veel mogelijk buiten de deur te houden, welke maatregelen kunnen jullie zelf nemen, wat doen jullie nu al en wat moet er eventueel veranderen of toegevoegd worden?
- Bepaal of het nodig is aanvullende maatregelen te treffen
Hebben jullie alles in huis om de genoemde maatregelen te kunnen treffen? Wat moet er aangeschaft worden? Zijn er misschien cursussen of opleidingen die kunnen bijdragen aan de beheersmaatregel?
Het kan dus zijn dat sommige beheersmaatregelen helemaal niet van toepassing zijn op jullie processen. Prima, dan hoef je daar ook geen actie voor te ondernemen. Maar je moet wel goed kunnen uitleggen of aantonen dat die voor jullie niet geldt. Dit geef je later aan in je Verklaring van Toepasselijkheid inclusief de reden van uitsluiting.
In een ISO 27001 risicoanalyse bestaat geen goed of fout.
Het doen van een risicoanalyse is geen test met als uitkomst goed of fout. Sommige risico’s zijn bijvoorbeeld niet goed in te schatten of te labelen en dan blijft de analyse subjectief.
Daarnaast is het belangrijk om een goede balans te vinden tussen te veel en te weinig risico’s. Alle reële risico’s moeten uiteraard zichtbaar zijn, maar het braaf een voor een afwerken van de beheersmaatregelen moet niet uitmonden in een waslijst aan risico’s waar je misschien nooit mee te maken krijgt. Stem het goed af op jouw organisatie en maak het zo specifiek mogelijk.
ISO 27001 Risicobehandeling
ISO 27001 schrijft voor dat je een behandelprocedure voor informatiebeveiligingsrisico’s definieert. Oftewel, hoe ga je om met de genoemde risico’s in de analyse? Voor elk risico kies je een passende behandeloptie. Passend is hier vergelijkbaar met de eigen eisen: passend bij jouw organisatie, dus. De mogelijkheden:
- Accepteren
- Verlagen
- Vermijden
- Overdragen
Accepteren van een risico
Elke risico dat je in de analyse hebt aangemerkt als aanvaardbaar, valt onder optie 1, een risico dat je accepteert. Daarvoor hoef je geen verdere maatregelen te treffen.
Verlagen van een risico
Het verlagen van een risico kan op twee manieren: ofwel verlaag je de káns dat het risico zich voordoet, ofwel verlaag je de impact van het risico áls deze zich voordoet.
Om het voorbeeld van de malware nog eens aan te halen: je kunt maatregelen treffen die ervoor zorgen dat er niet of nauwelijks meer malware binnenkomt (de kans wordt kleiner) of je zorgt ervoor dat er regelmatig back-ups worden gemaakt, zodat je in geval van malware de oude data snel weer terug kunt zetten (de impact wordt kleiner).
Vermijden van een risico
Tja, het ligt voor de hand, maar het vermijden van een risico doe je door de bron van het risico weg te nemen. Dat klinkt eenvoudiger dan het vaak is. Dat komt omdat het in veel gevallen betekent dat je moet stoppen met een bepaalde activiteit. En dat kan nogal wat voeten in de aarde hebben of werkzaamheden omslachtiger maken. Als jij als externe systeembeheerder ‘vanwege het gemak’ schrijfrechten hebt in het personeelsbestand, bijvoorbeeld.
Omdat jij die rechten hebt, ben je ook ineens (mede-)verantwoordelijk voor de juistheid van de gegevens. Dat is een risico, want jij hoort in principe niet bij die gegevens te kunnen. Het risico wordt vermeden door jou de schrijfrechten te ontnemen. Dit maakt sommige procedures misschien wel omslachtiger.
Overdragen van een risico
Een risico overdragen kun je doen door een verzekering af te sluiten die de kosten (impact) dekt als het risico zich voordoet.
Een andere manier is een externe partij inschakelen die beter is dan jij of jouw organisatie in het beheersen van het betreffende risico. Let op! Je geeft daarmee niet de verantwoordelijkheid weg; die ligt nog steeds bij jou!
Tips voor ISO 27001 risicoanalyse en risicobehandeling
1. Laat iedereen aan het woord
We zeiden het al: informatiebeveiliging is een onderwerp dat iedereen aangaat. Laat dus ook iedereen, of iedere afdeling, aan het woord. Informatiebeveiliging is geen ‘kunstje’ van de directie of ICT-afdeling dat wel even geflikt wordt. Op iedere afdeling spelen andere situaties. Maar als je geen lid bent van de afdeling, weet je ook niet precies wat er gebeurt, waardoor je de kans loopt sommige risico’s over het hoofd te zien.
2. Wees concreet en helder
Een pakket beheersmaatregelen waar alle werknemers mee te maken krijgen, moet ook door alle werknemers begrepen en gedragen worden. Door concreet en helder de risico’s, hun impact en de genomen maatregelen te benoemen, is de kans van slagen het grootst. Geen mooigeschreven volzinnen maar echte risico’s die mensen herkennen en erkennen.
3. Houd het werkbaar
Neem je huidige processen als uitgangspunt. Probeer te vermijden dat de maatregelen te veel verandering vragen. Ten eerste is dat vaak domweg niet nodig en kom je heel ver met wat kleine aanpassingen. En ten tweede verkleint het de kans op slagen van je beleid.
Advies?
Mocht je nou graag nog even sparren of advies inwinnen; Jasper zit klaar om al je ISO 27001 vraagstukken te beantwoorden. Zet jezelf in onze agenda:
