De aanvallen die de krantenkoppen halen, vinden altijd plaats bij multinationals, overheidsdiensten of grote dienstverleners. Geen enkele organisatie, hoe klein dan ook, mag zich echter veilig wanen voor wat feitelijk georganiseerde criminele activiteiten zijn.
Al voor de pandemie werden digitalisering en interconnectiviteit steeds belangrijker voor moderne organisaties. De productiviteit werd gewaarborgd of zelfs verhoogd en de kosten werden verlaagd door medewerkers de mogelijkheid te bieden om vanaf bijna elk punt in de wereld verbinding met netwerken te maken.
Hoewel digitalisering en interconnectiviteit onvermijdelijk zijn, brengen ze risico’s met zich mee die in veel organisaties slecht worden begrepen. Computervirussen, wormen en trojans circuleren al bijna net zo lang op internet als het bestaat, maar worden vaak vooral gezien als overlast voor de IT-afdeling. Organisaties beginnen zich nu pas zorgen te maken over de omvang die de verstoring van hun bedrijfsactiviteiten en de daarmee gepaard gaande financiële verliezen kan hebben.
De grootste bedreiging op dit moment is waarschijnlijk ransomware. Organisaties en eigenaren van door gijzelsoftware geïnfecteerde netwerken worden gechanteerd om grote sommen geld te overhandigen als ze de controle over hun systemen terug willen krijgen. Volgens een rapport van de Amerikaanse cybersecurityspecialist SonicWall zijn er in 2021 ongeveer 623 miljoen ransomwareaanvallen uitgevoerd. Met zo veel risico is het van vitaal belang dat organisaties stappen ondernemen om hun zakelijke context te begrijpen en zichzelf te beschermen.
Makkelijk gezegd, maar waar te beginnen?
Over het algemeen is men het erover eens dat het beheer van de informatie-, gegevens- en cyberbeveiliging niet noemenswaardig verschilt van het beheer van andere bedrijfsrisico’s. Er moeten procedures worden opgesteld en medewerkers worden opgeleid, zodat ze begrijpen hoe risico’s ontstaan en hoe ze die het beste kunnen voorkomen of zo kunnen beheersen dat de verstoring minimaal is. Het bestuderen van de voordelen van een gecertificeerd managementsysteem voor informatiebeveiliging (ISMS) is daarbij een eerste goede stap. Een dergelijk systeem biedt organisaties inzicht in hun risicobeeld, waardoor ze hun risico’s kunnen beheersen en hun prestaties kunnen verbeteren.
ISO/IEC 27001 is de meest erkende internationale norm voor managementsystemen voor informatiebeveiliging. De norm beschrijft de eisen voor het opzetten, implementeren, onderhouden, bewaken en verbeteren van een ISMS. Het is de certificeerbare norm in de ISO/IEC 27000-serie. De andere normen bieden richtlijnen. Bijlage A ISO/IEC 27002 bevat bijvoorbeeld eisen voor beheersmaatregelen op het gebied van informatiebeveiliging om bedreigingen met betrekking tot cloud en automatisering, malware en ransomware en cyberbeveiliging en privacy aan te pakken.
De norm is daardoor ideaal om een constant veranderend risicobeeld op een gestructureerde manier te managen. Zoals met alle ISO-managementsysteemnormen, is het geen eenmalige exercitie waarnaar je geen omkijken meer hebt. De norm wordt regelmatig herzien om dynamisch mee te bewegen met steeds nieuwe pogingen van criminelen om hun doelen te bereiken. De 2022-versie is ontwikkeld om beter om te gaan met de huidige technologische scenario’s. De norm is bovendien geharmoniseerd met de andere voornaamste ISO-managementsysteemnormen, te weten die voor kwaliteit, milieu en gezond en veilig werken.
Voordelen van onafhankelijke certificering
Zoals eerder vermeld, specificeert ISO/IEC 27001 de eisen voor het opzetten, implementeren, onderhouden en continu verbeteren van een managementsysteem voor informatiebeveiliging. Maar zelfs als u de norm minutieus hebt opgevolgd en met succes hebt geïmplementeerd, kunt u er nog niet helemaal zeker van zijn dat alles in orde is en dat u vol vertrouwen uw prestaties aan klanten en andere stakeholders kunt doorgeven.
In het hedendaagse bedrijfsleven is onafhankelijk bewijs voor uw prestaties belangrijk om vertrouwen bij interne en externe stakeholders op te bouwen. Ze moeten weten dat u de zaken niet alleen serieus neemt, maar dat u vastbesloten bent en de nodige stappen hebt ondernomen om relevante risico’s te managen, uw prestaties te verbeteren en uw organisatie te beschermen. In sommige gevallen is het kunnen leveren van bewijs zelfs belangrijk voor het voortbestaan.
Informatiebeveiliging wint snel aan belang, en niet alleen voor het interne vertrouwen. Nu steeds meer organisaties eisen dat hun partners stappen ondernemen om informatie-, gegevens- en cyberbeveiligingsrisico’s te managen, wordt onafhankelijke certificering een essentiële stap.
Niet iedereen is bekend met de ISO/IEC 27001-norm, maar het lijdt geen enkele twijfel dat werken en gecertificeerd worden volgens deze norm de prestaties zal verbeteren. Talrijke studies suggereren dat van alle managementsysteemnormen de certificeerbare normen aanzienlijk meer succes hebben.
Een certificatie-instelling heeft als voornaamste rol om te beoordelen of een managementsysteem voldoet aan de eisen van ISO/IEC 27001. De auditors hebben vrijwel zeker veel systemen in werking gezien. Ze hebben tijdens hun audits talrijke problemen geïdentificeerd en de beste manier gevonden om ze aan te pakken. Om belangenverstrengeling te voorkomen, kunnen auditors de verbeteringen niet begeleiden. Door hun competentie en ervaring kunnen ze echter wel waardevolle inzichten bieden in de grootste risico’s en de acties die door vergelijkbare organisaties worden toegepast om hiaten aan te pakken.