In gesprek met Moniek Steegers over ISO 27001

Waarom is informatiebeveiliging belangrijk?

“Organisaties werken meer en meer met digitale informatie van zichzelf, van klanten en van andere belanghebbenden. In een wereld die steeds digitaler wordt, ontstaan nieuwe risico’s zoals datalekken en cyberaanvallen. Daarnaast is er ook nieuwe wet- en regelgeving waar organisaties aan moeten voldoen, zoals de GDPR/AVG. Informatiebeveiliging wordt steeds belangrijker. De gevolgen van inadequate informatiebeveiliging kunnen groot zijn voor organisaties, denk aan schadeclaims en boetes van autoriteiten, maar wellicht nog belangrijker reputatieschade en verlies van vertrouwen van klanten. Ik kan eigenlijk geen organisatie bedenken waar dit niet voor geldt. Iedere organisatie heeft te maken met gegevens van medewerkers en klanten. Het soort informatie, de hoeveelheid, het belang en de gevoeligheid van deze informatie verschilt natuurlijk per organisatie. Om informatiebeveiliging binnen een organisatie op peil te brengen, kan een ISO 27001 certificering helpen."

Wat is ISO 27001?

“ISO 27001 is een internationale standaard voor informatiebeveiliging. Een ISO 27001 certificaat wordt afgegeven door een onafhankelijke, onpartijdige, geaccrediteerde en deskundige instelling, zoals NCI Certificering. ISO27001 richt zich op het waarborgen van drie belangrijke aspecten van gegevensbescherming:

• Beschikbaarheid: informatie is beschikbaar voor gebruikers die er toegang toe zouden moeten hebben;
• Vertrouwelijkheid: alleen geautoriseerde gebruikers hebben toegang tot informatie;
• Integriteit: informatie blijft juist, volledig en betrouwbaar.

ISO 27001 bevat richtlijnen over hoe organisaties risico’s moeten identificeren en beheren in het kader van informatiebeveiliging. De norm is bedoeld om organisaties te helpen beter te begrijpen wat een dreiging vormt voor beschikbaarheid, vertrouwelijkheid en integriteit.

Hiermee laten organisaties dus zien aan klanten, partners en aandeelhouders dat ze maatregelen hebben genomen om gegevens te beschermen. Het helpt informatiebeveiligingsrisico’s te minimaliseren, kansen te vergroten en de continuïteit van bedrijven te waarborgen. Sowieso blijft het altijd een afweging tussen risico’s, benodigde middelen en de kosten."

Is ISO 27001 verplicht?

“Nee, ISO 27001 is niet verplicht. Het kan wel een eis zijn van een klant, in een aanbesteding bijvoorbeeld. Of een organisatie kan het gebruiken als Unique Selling Point. Let op, ISO 27001 is geen verplichting, maar dat neemt niet weg dat organisaties in Nederland wel degelijk verplicht zijn om hun informatiebeveiliging op orde te hebben. Met name als het gaat om persoonsgegevens, daarvoor geldt namelijk de AVG (algemene verordening gegevensbescherming). De AVG stelt dat organisaties persoonsgegevens technisch en organisatorisch goed moeten beveiligen. Vaak wordt dan door organisaties gezegd, dat ze niets met persoonsgegevens doen en dat dit dus niet voor hen geldt. Zodra je medewerkers in dienst hebt, werk je al met persoonsgegevens, maar het klopt dat de ene organisatie meer met persoonsgegevens doet dan de ander. Echter, zodra je met gegevens van je klanten (ook al zijn het geen persoonsgegevens) werkt, zal je daar als organisatie zorgvuldig mee om moeten gaan. Het is echt niet fijn als gegevens van je klant onbedoeld openbaar worden door jouw toedoen. Denk alleen al aan het reputatieverlies waar dit toe kan leiden. Een ISO 27001 implementatie kan organisaties helpen bij het beantwoorden van de vraag: hoe moet ik informatie in mijn bedrijf goed beveiligen."

Is dat dan niet genoeg, waarom moet ik ook nog certificeren?

"Dat ligt eraan in wat voor markt de organisatie werkt. In sommige gevallen is het genoeg. Echter, mijn ervaring is dat het gevaar bestaat dat het bij een eenmalige exercitie blijft. Een keer implementeren maar verder niet echt bijhouden. Misschien af en toe eens een steekproef, maar dat is het dan. Een certificeringstraject kan een stok achter de deur zijn om het eenmaal opgezette systeem voor informatiebeveiliging echt goed bij te houden en met de nieuwste ontwikkelingen mee te gaan. Er komt immers ieder jaar een auditor langs. Daarnaast kan het een eis zijn van klanten, bijvoorbeeld bij aanbestedingen. Maar een certificaat kan ook heel goed gebruikt worden als Unique Selling Point. Het straalt uit dat een organisatie informatiebeveiliging belangrijk vindt, waardoor klanten zich veiliger kunnen voelen."

Waar lopen veel bedrijven tegen aan?

"Het kan een uitdaging zijn om de juiste kennis aan boord te krijgen. Veel bedrijven, bijvoorbeeld in de sector Bouw, hebben veel te maken met Veiligheid en Kwaliteit. Informatiebeveiliging ligt verder van hun Core Business af. Dat wordt vaak opgelost door hulp in te roepen bij een externe adviseur. Deze kan ook helpen om nieuwe ontwikkelingen bij te houden. Als je dan vervolgens technisch en organisatorisch alles goed hebt ingericht, heb je ook nog te maken met medewerkers. Voor deze medewerkers kan informatiebeveiliging helemaal ver van hun bed zijn. De meeste datalekken ontstaan door verkeerd handelen van medewerkers. Bijvoorbeeld niet in de gaten hebben dat ze op een spammail klikken, een mail met gevoelige informatie naar de verkeerde persoon sturen, een te makkelijk wachtwoord gebruiken, een vertrouwelijk gesprek in de trein voeren en ga zo maar door. Het juiste bewustzijn bij de medewerkers creëren kan een uitdaging zijn. Je wil medewerkers ook niet overladen met informatie, dan komt het niet meer aan, maar te weinig is ook niet goed, dan wordt het vergeten (denk aan de kracht van herhaling). Je zal de juiste balans moeten vinden waardoor het gaat leven binnen de organisatie. Daarbij is het heel belangrijk dat het echt vanuit het hoogste niveau van een organisatie wordt ondersteund, daar vandaan moet de boodschap komen dat een organisatie informatiebeveiliging belangrijk vindt en daar ook de juiste middelen (en dan bedoel ik niet alleen geld, maar bijvoorbeeld ook mensen, tijd, systemen, etc.) voor ter beschikking stelt en wil stellen."

Wat vind jij zo leuk aan het auditen van deze norm?

"Ik vind het sowieso leuk dat ik bij veel organisaties binnen kan en mag kijken. Dat is ontzettend leerzaam. Tegelijkertijd denk ik dat ik als auditor een bedrijf ook verder kan helpen, zeker bij de ISO 27001. De norm vraagt specifieke kennis, waar ik een uitgebreide achtergrond in heb. Ik heb bij verschillende bedrijven aan de andere kant van de tafel gezeten als degene die verantwoordelijk was voor de implementatie van informatiebeveiliging en die bevraagd werd door een auditor. Daardoor snap ik de uitdagingen waar bedrijven voor kunnen staan. Daarnaast ben ik als auditor onafhankelijk, professioneel en onpartijdig. Daardoor krijgt de organisatie een eerlijk oordeel over de stand van zaken van haar informatiebeveiliging. Bij een eerste certificering merk ik vaak dat degenen die bij de audit betrokken zijn het best spannend vinden. Dat is ook logisch, vaak is er veel energie, tijd en geld in de voorbereiding gestoken en is het doel ook echt om dat certificaat te behalen. Ik vind het leuk als ik merk dat gedurende de audit een prettige sfeer ontstaat en men ziet dat een audit ze ook weer verder kan helpen. Tijdens de audit ontstaan er weer nieuwe inzichten. De ISO 27001 is best een complexe norm, er zijn maar weinig audits waar geen bevindingen worden vastgesteld. Dat betekent niet dat het certificaat dan niet uitgegeven kan worden, zolang het binnen de perken blijft. Ik vind het leuk als ik merk dat een organisatie er echt voor gaat en de bevindingen als leerpunten of verbeterpunten ziet. Dat is ook één van de bedoelingen van ISO, continu verbeteren. Zeker in de wereld van informatiebeveiliging gaan de ontwikkelingen ontzettend snel, dat betekent dat je eigenlijk als organisatie nooit klaar bent, maar je altijd verder kan verbeteren. Het leuke van auditen namens NCI Certificering vind ik dat NCI Certificering staat voor een persoonlijke en betrokken aanpak. Onze auditoren vinden het belangrijk een prettige sfeer te creëren tijdens een audit. Dat past bij mij, niet enkel de audit uitvoeren en toetsen volgens de norm, maar echt in gesprek gaan. Uiteraard moeten we ons houden aan de norm en mogen we geen advies geven, maar dit kan op verschillende manieren en ik ben ervan overtuigd dat een goede sfeer bijdraagt aan een goede audit."

Meer weten?

Wil je meer weten over infomatiebeveiliging en de mogelijkheden die NCI Certificering je kan bieden? Neem dan contact met ons op via voordeel@bouwendnederland.nl of bel direct naar 079-3252166.