Wat is informatiebeveiliging en hoe pak je het aan?
In mei 2020 is het project “ISO 27001 / NEN 7510 Certificering” van start gegaan. In mei 2021 hebben we het project succesvol afgerond: Infotopics heeft het certificaat ontvangen! In deze blog lees je de ervaringen van onze Security Officer (SO) Fred Koenders en over onze aanpak.
Informatiebeveiliging
Klanten van Infotopics vertrouwen hun data aan ons toe. Het is essentieel dat Infotopics dit vertrouwen niet schaadt: vertrouwen komt immers te voet, en gaat te paard. Infotopics heeft daarom in 2020 besloten om extra aandacht te besteden aan informatiebeveiliging. Uiteraard stond informatiebeveiliging altijd al op de agenda, maar het kan altijd beter. We weten niet wat we niet weten: zijn er wellicht blinde vlekken in onze informatiebeveiliging? Als doel werd gesteld het behalen van het ISO 27001 en NEN 7510 certificaat. Maar hoe gaan we dat doel bereiken? Zelf doen? Uitbesteden? Het werd een combinatie: we gingen op zoek naar een externe partij (Avensus) die ons een vliegende start kon bezorgen. Tijdens een groot aantal Teams-sessies met Avensus werd ons duidelijk wat erbij komt kijken om aan ISO 27001 te voldoen.
Welke stappen moet je ondernemen?
De basis is eenvoudig:
1. Stel de informatiebeveiligingsrisico’s vast.
2. Neem maatregelen zodat de kans dat een risico optreedt wordt verkleind.
3. Controleer of het gewenste resultaat is bereikt.
4. Ga terug naar stap 1.
Normen
Het lastige aan ISO 27001 & NEN 7510 is dat het “normen” zijn. Een norm is geen To Do lijst: we moeten zelf invulling geven aan de onderwerpen in de norm. Alles begint en eindigt met “bedrijfseigen eisen”: het maakt niet uit hóe je het doet, áls je het maar doet.
Wat betekent dit nu concreet?
⦁ De norm eist dat we werkwijze hanteren die de Beschikbaarheid, Integriteit en Vertrouwelijkheid (BIV) van informatie handhaaft, ook wel ISMS genoemd (Information Security Management System).
⦁ Bijlage A van ISO 27001 beschrijft 114 beheersmaatregelen, waarvan is bepaald dat deze bijdragen aan de BIV van informatie. Denk hierbij aan “Inventariseren van bedrijfsmiddelen”: wie heeft welke telefoon en laptops?
⦁ NEN 7510 is een uitbreiding op ISO 27001. Om aan NEN 7510 te voldoen, moeten we niet alleen voldoen aan de 114 beheersmaatregelen uit ISO 27001, maar ook aan 36 extra zorgspecifieke beheersmaatregelen.
Kortom: werk aan de winkel!
De eerste mijlpaal werd bereikt in augustus 2020: het “Algemeen Informatiebeveiligingsbeleid” werd verspreid onder alle medewerkers van Infotopics. Het goede nieuws was dat we al voldeden aan een aantal onderdelen uit de norm, zonder dat we dat wisten. We hebben wél de puntjes op de i gezet. Laten we nogmaals kijken naar de beheersmaatregel “Inventariseren van bedrijfsmiddelen”. We hielden de bedrijfsmiddelen bij in Excel. Maar die Excel bestanden staan op verschillende plekken, met alle risico’s van dien (zie bullit 1 hierboven). We hebben gekozen voor het inrichten van een Configuration Management Database (CMDB, zie bullit 2). De CMDB levert grote voordelen op (zie bullit 3).
Niet alles ging zo voorspoedig als het inrichten van een CMDB. Het installeren van een CMDB levert energie op: we zien direct resultaat, en het ligt in het verlengde van ons dagelijks werk. Er waren echter ook maatregelen die energie kósten. Er gebeurt immers niets vanzelf.
Conclusies
Laat ik afsluiten met mijn conclusies:
⦁ Ik raad elke organisatie aan om continue bezig te zijn met informatiebeveiliging (IB), omdat het écht helpt om de IB naar een hoger plan te tillen. Maar bedenk: IB heeft geen einddatum, zoals een project dat wel heeft.
⦁ IB raakt íedereen in de organisatie. Als SO levert dat heel veel contact momenten op met collega’s, met veel prettige gesprekken als resultaat. Maar het levert als verantwoordelijke voor de IB ook uitdagingen op: hoe krijg ik alle kikkers in mijn kruiwagen?
⦁ Een noodzakelijke voorwaarde voor het behalen van het certificaat is dat we aantoonbaar aan álle eisen van ISO/NEN voldoen. Mijn tip voor SO’s-in-spe: werk samen met een collega aan de eisen die energie kosten. Dat maakt het werken eraan een stuk prettiger, en bovendien: niets geeft meer voldoening om na hard werken successen sámen te vieren.
Mooi resultaat Fred! Het is niet eenvoudig om in een data verwerkende organisatie deze certificeringen af te dwingen. Respect!