In onze wereld van gecommodificeerde gegevens moeten cyberbeveiligingsnormen torenhoog en messcherp zijn. De meeste bedrijven, ook al zijn ze niet direct tech-gerelateerd, zullen uiteindelijk de noodzaak tegenkomen om zichzelf van binnenuit te omgorden.
Meer dan tien jaar geleden heeft de International Organization of Standards een specificatie aangenomen met de naam ISO 27001. Dus wat is het precies? Wat kan een ISO 27001-audit ons vertellen over de innerlijke machinaties van een organisatie? En hoe beslis je of je bedrijf geaudit moet worden?
Wat is een informatiebeveiligingsbeheersysteem (ISMS)?
Een Information Security Management System (ISMS) is de belangrijkste verdedigingslinie van een organisatie tegen: datalekken en andere soorten cyberdreigingen van de buitenkant.
Een effectief ISMS zorgt ervoor dat de te beschermen informatie vertrouwelijk en veilig blijft, trouw aan de bron en toegankelijk voor de mensen die toestemming hebben om ermee te werken.
Een veelgemaakte fout is om aan te nemen dat een ISMS niet meer is dan een firewall of andere technische beschermingsmiddelen. In plaats daarvan is een volledig geïntegreerd ISMS net zo aanwezig in de cultuur van het bedrijf en in elke medewerker, ingenieur of anderszins. Het gaat veel verder dan de IT-afdeling.
Dit systeem omvat niet alleen officieel beleid en procedure, maar omvat ook het vermogen van het team om het systeem te beheren en te verfijnen. Uitvoering en de manier waarop het protocol daadwerkelijk wordt toegepast staan daarbij voorop.
Het gaat hierbij om een langetermijnbenadering van risicobeheer en -mitigatie. De opdrachtgevers van een bedrijf moeten goed op de hoogte zijn van alle risico's die verband houden met de branche waarin ze specifiek werken. Gewapend met dit inzicht kunnen ze dienovereenkomstig de muren om zich heen bouwen.
Wat is ISO 27001 precies?
In 2005 hebben de International Organization for Standardization (ISO) en de International Electrotechnical De Commissie (IEC) heeft de BS 7799 vernieuwd, een norm voor beveiligingsbeheer die voor het eerst werd vastgesteld door de BSI Group 10 jaar eerder.
ISO 27001, nu officieel bekend als ISO/IEC 27001:2005, is een internationale norm voor naleving die wordt toegekend aan bedrijven die voorbeeldig zijn op het gebied van informatiebeveiligingsbeheer.
In wezen is het een rigoureuze verzameling normen waartegen het informatiebeveiligingsbeheersysteem van een bedrijf kan worden gehouden. Met dit raamwerk kunnen auditors vervolgens de vasthoudendheid van het systeem als geheel evalueren. Bedrijven kunnen ervoor kiezen om een audit te laten uitvoeren wanneer ze hun klanten en klanten willen geruststellen dat hun gegevens veilig zijn binnen hun muren.
In deze verzameling bepalingen zijn opgenomen: specificaties met betrekking tot beveiligingsbeleid, asset classificatie, omgevingsbeveiliging, netwerkbeheer, systeemonderhoud en bedrijfscontinuïteit planning.
De ISO heeft al deze facetten uit het oorspronkelijke BSI-handvest gecondenseerd en gedistilleerd tot de versie die we vandaag de dag herkennen.
Duiken in het beleid
Wat wordt er precies geëvalueerd als een bedrijf een ISO 27001-audit ondergaat?
Het doel van de standaard is om effectief en veilig informatiebeleid internationaal te formaliseren. Het stimuleert een proactieve houding, een die probeert problemen te voorkomen voordat ze zich voordoen.
De ISO benadrukt drie belangrijke aspecten van een veilig ISMS:
1. Constante analyse en erkenning van risico: dit omvat zowel huidige risico's als risico's die zich in de toekomst kunnen voordoen.
2. Een robuust en veilig systeem: dit omvat het systeem zoals het in technische zin bestaat, evenals eventuele beveiligingsmaatregelen die de organisatie gebruikt om zich te beschermen tegen bovengenoemde risico's. Deze zullen er heel anders uitzien, afhankelijk van het bedrijf en de branche.
3. Een toegewijd team van leiders: dit zullen de mensen zijn die de controles daadwerkelijk aan het werk zetten ter verdediging van de organisatie. Het systeem is slechts zo effectief als degenen die aan het roer werken.
Door deze drie belangrijke factoren te analyseren, kan de auditor een vollediger beeld schetsen van het vermogen van een bepaald bedrijf om veilig te opereren. Duurzaamheid heeft de voorkeur boven een ISMS dat alleen afhankelijk is van brute technische kracht.
Verwant: Hoe u kunt voorkomen dat werknemers bedrijfsgegevens stelen wanneer ze vertrekken?
Er is een belangrijk menselijk element dat aanwezig moet zijn. De manier waarop mensen binnen het bedrijf controle uitoefenen over hun gegevens en hun ISMS staat boven alles. Deze controles zijn wat de gegevens daadwerkelijk veilig houdt.
Wat is bijlage A van ISO 27001?
Specifieke voorbeelden van "controles" zijn afhankelijk van de branche. Bijlage A van ISO 27001 biedt bedrijven 114 officieel erkende controlemiddelen over de veiligheid van hun activiteiten.
Deze controles vallen in een van de veertien classificaties:
A.5—Informatie- en beveiligingsbeleid: het geïnstitutionaliseerde beleid en de procedures die een bedrijf volgt.
A.6—Organisatie van informatiebeveiliging: de toewijzing van verantwoordelijkheid binnen de organisatie met betrekking tot het kader van het ISMS en de uitvoering daarvan. Vreemd genoeg is hier ook het beleid voor telewerken en de gebruik van apparaten binnen het bedrijf.
A.7—Personeelsbeveiliging: betreft onboarding, offboarding en wisselende rollen van medewerkers binnen de organisatie. Ook worden hier screeningsnormen en best practices in onderwijs en opleiding beschreven.
A.8—Vermogensbeheer: betreft de gegevens die worden verwerkt. Activa moeten worden geïnventariseerd, onderhouden en privé gehouden, in sommige gevallen zelfs over afdelingsgrenzen heen. De eigendom van elk actief moet duidelijk worden vastgesteld; deze clausule beveelt bedrijven aan om een "Acceptable Use Policy" op te stellen die specifiek is voor hun branche.
A.9—Toegangscontrole: wie mag met uw gegevens omgaan en hoe beperk je de toegang tot alleen geautoriseerde medewerkers? Denk hierbij aan voorwaardelijke toestemmingsverlening in technische zin of toegang tot afgesloten gebouwen op de bedrijfscampus.
A.10—cryptografie: houdt zich voornamelijk bezig met codering en andere manieren om gegevens tijdens het transport te beschermen. Deze preventieve maatregelen moeten actief worden beheerd; de ISO ontmoedigt organisaties om encryptie te beschouwen als een one-size-fits-all oplossing voor alle diep genuanceerde uitdagingen die verband houden met gegevensbeveiliging.
A.11—Fysieke en omgevingsbeveiliging: beoordeelt de fysieke beveiliging van overal waar gevoelige gegevens zich bevinden, of dit nu in een echt kantoorgebouw is of in een kleine ruimte met airconditioning vol servers.
A.12—Operationele beveiliging: wat zijn uw interne veiligheidsregels als het gaat om de werking van uw bedrijf? Documentatie waarin deze procedures worden uitgelegd, moet regelmatig worden bijgehouden en herzien om te voldoen aan nieuwe, opkomende zakelijke behoeften.
Verandermanagement, capaciteitsmanagement en de scheiding van verschillende afdelingen vallen allemaal onder deze noemer.
A.13—Beheer van netwerkbeveiliging: de netwerken die elk systeem binnen uw bedrijf met elkaar verbinden, moeten luchtdicht zijn en zorgvuldig worden onderhouden.
Catch-all-oplossingen zoals firewalls worden nog effectiever gemaakt wanneer ze worden aangevuld met zaken als frequente controlepunten voor verificatie, geformaliseerd overdrachtsbeleid of door het gebruik van openbare netwerken verbieden terwijl u bijvoorbeeld met de gegevens van uw bedrijf omgaat.
A.14—Systeemverwerving, ontwikkeling en onderhoud: als uw bedrijf nog geen ISMS heeft, legt deze clausule uit wat een ideaal systeem inhoudt. Het helpt u ervoor te zorgen dat de reikwijdte van het ISMS elk aspect van uw productielevenscyclus dekt.
Een intern beleid van veilige ontwikkeling geeft uw ingenieurs de context die ze nodig hebben om een conform product te bouwen vanaf de dag dat hun werk begint.
A.15—Beveiligingsbeleid leverancier: welke voorzorgsmaatregelen worden er genomen om lekken of inbreuken op de met hen gedeelde gegevens te voorkomen wanneer u zaken doet met externe leveranciers buiten uw bedrijf?
A.16—Beheer van informatiebeveiligingsincidenten: als er iets misgaat, biedt uw bedrijf waarschijnlijk een kader voor hoe het probleem in de toekomst moet worden gemeld, aangepakt en voorkomen.
De ISO zoekt naar vergeldingssystemen die gezagsdragers binnen het bedrijf in staat stellen snel en met grote vooroordelen te handelen nadat een dreiging is gesignaleerd.
A.17—Informatiebeveiligingsaspecten van bedrijfscontinuïteitsbeheer: bij een calamiteit of een ander onwaarschijnlijk incident dat uw bedrijfsvoering onherroepelijk verstoort, een plan moet aanwezig zijn om het welzijn van het bedrijf en zijn gegevens te behouden totdat de zaken worden hervat als normaal.
Het idee is dat een organisatie een manier nodig heeft om de continuïteit van de beveiliging in tijden als deze te behouden.
A.18—Nakoming: ten slotte komen we bij het eigenlijke contract van overeenkomsten dat een bedrijf moet ondertekenen om te voldoen aan de eisen voor ISO 27001-certificering. Uw verplichtingen worden voor u uitgestippeld. U hoeft alleen nog maar te tekenen op de stippellijn.
De ISO vereist niet langer dat conforme bedrijven alleen controles gebruiken die passen in de hierboven genoemde categorieën. De lijst is echter een geweldige plek om te beginnen als u net begint met het leggen van de basis van het ISMS van uw bedrijf.
Verwant: Hoe u uw mindfulness kunt verbeteren met goede beveiligingspraktijken
Moet mijn bedrijf worden gecontroleerd?
Dat hangt ervan af. Als je een heel kleine start-up bent die werkt in een gebied dat niet gevoelig of risicovol is, kun je waarschijnlijk wachten tot je plannen voor de toekomst meer zeker zijn.
Later, naarmate uw team groeit, kunt u zich in een van de volgende categorieën bevinden:
- Mogelijk werkt u samen met een belangrijke klant die vraagt om uw bedrijf te laten beoordelen om er zeker van te zijn dat ze veilig bij u zijn.
- Misschien wilt u in de toekomst overstappen naar een IPO.
- U bent al het slachtoffer geworden van een inbreuk en moet opnieuw nadenken over de manier waarop u de gegevens van uw bedrijf beheert en beschermt.
Voorspellen voor de toekomst is misschien niet altijd gemakkelijk. Zelfs als je jezelf niet in een van de bovenstaande scenario's ziet, kan het geen kwaad om proactief te zijn en te beginnen met het opnemen van enkele van de aanbevolen werkwijzen van de ISO in je regime.
De kracht ligt in jouw handen
Het voorbereiden van uw ISMS voor een audit is net zo eenvoudig als het uitvoeren van due diligence, zelfs als u vandaag werkt. Documentatie moet altijd worden bijgehouden en gearchiveerd, zodat u het bewijs krijgt dat u nodig hebt om uw beweringen over competentie te staven.
Het is net als op de middelbare school: je doet het huiswerk en je haalt het cijfer. De klanten zijn veilig en wel, en je baas is erg blij met je. Dit zijn eenvoudige gewoontes om te leren en vol te houden. Je zult jezelf later dankbaar zijn als de man met een klembord eindelijk komt bellen.
Dit zijn de cyberaanvallen die u in 2021 in de gaten moet houden en hoe u kunt voorkomen dat u er het slachtoffer van wordt.
Lees volgende
- Veiligheid
- Computer beveiliging
- Dataveiligheid
Emma Garofalo is een schrijver die momenteel in Pittsburgh, Pennsylvania woont. Als ze niet aan haar bureau aan het zwoegen is op zoek naar een betere toekomst, is ze meestal te vinden achter de camera of in de keuken.
Abonneer op onze nieuwsbrief
Word lid van onze nieuwsbrief voor technische tips, recensies, gratis e-boeken en exclusieve deals!
Nog een stap…!
Bevestig uw e-mailadres in de e-mail die we u zojuist hebben gestuurd.